Dejan KošutićIako je Hrvatska zadnja zemlja koja se pridružila Europskoj uniji, čini se da je najbrža kada je riječ o NIS-u 2 – ona je prva zemlja koja je donijela lokalno zakonodavstvo temeljeno na NIS 2 direktivi. Zakon o kibernetičkoj sigurnosti (NN 14/2024) stupio je na snagu u veljači 2024. godine – ovaj članak će napraviti pregled da li je ovaj zakon zaista pratio NIS 2, i koliko je dodao vlastitih zahtjeva.
Zakon o kibernetičkoj sigurnosti vrlo je usklađen sa NIS 2, razjašnjava neke načelne zahtjeve iz NIS 2 kao što su revizija i nadzor, i dodaje nove zahtjeve poput samoprocjene.
Osnove Zakona o kibernetičkoj sigurnosti Hrvatske
Zakon o kibernetičkoj sigurnosti Hrvatske (ZKS) objavljen je u veljači 2024. godine, a njegov službeni tekst može se pronaći ovdje: https://narodne-novine.nn.hr/clanci/sluzbeni/2024_02_14_254.html
Najvažniji cilj ZKS-a je definiranje pravila kibernetičke sigurnosti za ključne i važne subjekte za kritičnu infrastrukturu koji djeluju u Hrvatskoj. Objavljivanjem ZKS-a, Hrvatska implementira NIS 2 u lokalno zakonodavstvo – ovaj proces se naziva transpozicija.
Zakon o kibernetičkoj sigurnosti Hrvatske zamjenjuje stari Zakon o kibernetičkoj sigurnosti operatora ključnih usluga i davatelja digitalnih usluga (NN 64/18) koji je objavljen 2018. godine, kao i Uredbu o kibernetičkoj sigurnosti operatora ključnih usluga i davatelja digitalnih usluga (NN 68/18).
Ostatak ovog članka fokusirat će se na zahtjeve vezane uz kibernetičku sigurnost s kojima se moraju uskladiti ključni i važni subjekti – svrha ovog članka nije opisati ulogu državnih tijela koja trebaju provoditi usklađenost s ZKS-om.
| Zakon o kibernetičkoj sigurnosti (ZKS) u usporedbi s NIS-om 2 | |
| Koje tvrtke moraju biti usklađene | Isti su kriteriji kao i u NIS-u 2, ali samo za tvrtke koje su registrirane u Hrvatskoj. Izuzeci su pružatelji javnih elektroničkih komunikacijskih mreža i pružatelji javno dostupnih elektroničkih komunikacijskih usluga – oni moraju biti u skladu s ZKS-om ako pružaju usluge u Hrvatskoj bez obzira gdje su registrirani. |
| Rokovi | Nadležno tijelo obavijestit će ključne i važne subjekte najkasnije do veljače 2025. godine, i oni se moraju uskladiti u roku od 1 godine od te obavijesti. |
| Odgovornosti višeg menadžmenta | Isti kao u NIS-u 2. |
| Važnost obuke | Isti kao u NIS-u 2. |
| Upravljanje rizikom kibernetičke sigurnosti | Isti kao u NIS-u 2. |
| Mjere kibernetičke sigurnosti | Isti kao u NIS-u 2. |
| Sigurnost u lancu opskrbe | Isti kao u NIS-u 2. |
| Obveze izvještavanja o incidentima | Isti kao u NIS-u 2. |
| Korištenje certificiranih IT proizvoda i usluga | Isti kao u NIS-u 2. |
| Nadzor i provedba | Nadzor za ključne subjekte mora se obavljati svakih 3 do 5 godina. Revizija kibernetičke sigurnosti za ključne subjekte mora se provoditi barem jednom u svake 2 godine. |
| Kazne | Za ključne subjekte: između €10.000 i €10.000.000 ili između 0.5% i 2% godišnjeg prometa (ovisno o tome što je veće); za članove višeg menadžmenta: između €1.000 i €6.000. Za važne subjekte: između €5.000 i €7.000.000 ili između 0.2% i 1.4% godišnjeg prometa (ovisno o tome što je veće); za članove višeg menadžmenta: između €500 i €3.000. |
| Potpuno novi zahtjevi | Samoprocjena kibernetičke sigurnosti za važne subjekte mora se provoditi barem jednom svake 2 godine. |
Koje tvrtke moraju biti usklađene sa Zakonom o kibernetičkoj sigurnosti?
Zakon o kibernetičkoj sigurnosti relevantan je za tvrtke registrirane u Hrvatskoj koje pružaju proizvode i usluge u bilo kojoj zemlji Europske unije. Postoji izuzetak od ovog pravila, gdje Zakon o kibernetičkoj sigurnosti nalaže da sljedeće tvrtke moraju biti usklađene čak i ako nisu registrirane u Hrvatskoj, ako pružaju svoje usluge u zemlji:
- Pružatelji javnih elektroničkih komunikacijskih mreža
- Pružatelji javno dostupnih elektroničkih komunikacijskih usluga
Zakon o kibernetičkoj sigurnosti definira iste kriterije kao i NIS 2 za kategoriziranje tvrtki i drugih organizacija na ključne i važne subjekte. Međutim, Zakon o kibernetičkoj sigurnosti ima dva dodatna zahtjeva koji ne postoje u NIS-u 2:
- Jedinice lokalne i područne (regionalne) samouprave smatrat će se važnim subjektima ako se procjeni da su ključne za obavljanje društvenih ili gospodarskih aktivnosti.
- Obrazovne ustanove smatrat će se važnim subjektima ako se procjeni da su ključne za obavljanje obrazovnih aktivnosti.
Pogledajte također: Which companies must comply with NIS 2? Essential vs. important entities.
Rokovi
Nadležna tijela moraju kategorizirati ključne i važne subjekte najkasnije do veljače 2025. godine, i ti subjekti moraju implementirati sve sigurnosne mjere u roku jedne godine od primitka obavijesti.
To znači, ukoliko nadležna tijeka budu spora u slanju tih obavijesti, najkasniji rok za implementaciju mjera bit će veljače 2026. godine.
Nadzor i provedba
ZKS propisuje da se nadzor za ključne subjekte mora obavljati svakih 3 do 5 godina, dok se za važne subjekte nadzor provodi samo ako se ne pridržavaju zakona i ostalih propisa o kibernetičkoj sigurnosti. Nadzor se provodi od strane nadležnih tijela.
ZKS također definira obvezu kibernetičke revizije – ključni subjekti moraju provesti takvu reviziju barem jednom svake 2 godine, dok važni subjekti moraju provesti reviziju samo na zahtjev nadležnog tijela. Kibernetičke revizije provode samo certificirani revizori kibernetičke sigurnosti.
Postoji jedna vrlo bitna odredba u ZKS-u – ako ključni subjekt ne izvrši korektivne mjere koje je zatražilo nadležno tijelo, to tijelo može suspendirati ovlaštenje za obavljanje djelatnosti i može zabraniti menadžmentu obavljanje upravljačkih dužnosti u tvrtki.
Novčane kazne
Novčane kazne za nepoštivanje ZKS-a su sljedeće:
- Za ključne subjekte – između 10.000 EUR i 10.000.000 EUR ili između 0.5% i 2% godišnjeg prometa (što je veće); za članove višeg menadžmenta – između 1.000 EUR i 6.000 EUR.
- Za važne subjekte – između 5.000 EUR i 7.000.000 EUR ili između 0.2% i 1.4% godišnjeg prometa (što je veće); za članove višeg menadžmenta – između 500 EUR i 3000 EUR.
Nove obveze u ZKS-u
Budući da su redoviti nadzor kibernetičke sigurnosti i revizije obavezni za ključne subjekte (ali ne i za važne subjekte), ZKS je uveo potpuno novu obvezu za važne subjekte: redovitu samoprocjenu.
Ova samoprocjena kibernetičke sigurnosti obvezna je samo za važne subjekte, i oni ju moraju provoditi barem jednom svake 2 godine. Pravila za samoprocjenu bit će propisana uredbom o kibernetičkoj sigurnosti Vlade RH (vidi sljedeći odjeljak).
Zahtjevi koji su isti kao u NIS-u 2
Postoji mnogo toga u ZKS-u što je isto kao i u NIS-u 2:
- Odgovornosti višeg menadžmenta — detalje pogledajte ovdje: What is NIS 2 Directive? A detailed and straightforward guide
- Važnost obuke — saznajte više: How to perform training and awareness according to NIS 2
- Pristup kibernetičkoj sigurnosti zasnovan na riziku — saznajte više: The 8 most important cybersecurity and reporting requirements in NIS2
- Kibernetička sigurnost kao kombinacija tehničkih, operativnih i organizacijskih mjera — pogledajte također: List of required documents according to NIS 2
- Sigurnost lanca opskrbe
- Obveze izvješćivanja o incidentima — pogledajte također: What are reporting obligations according to NIS 2?
- Korištenje certificiranih IT proizvoda i usluga
Međutim, ZKS nalaže da će Vlada RH donijeti uredbu koja će dodatno specificirati upravljanje rizicima kibernetičke sigurnosti, izvješćivanje o incidentima i druge važne elemente — ova uredba o kibernetičkoj sigurnosti bit će objavljena najkasnije do studenog 2024. godine.
Zakon o kibernetičkoj sigurnosti Hrvatske u usporedbi s NIS-om 2
Ukratko, Hrvatska je bila zaista brza u objavljivanju ZKS-a, a ovaj zakon vrlo striktno prati NIS 2. Nadalje, ZKS pojašnjava neke nejasne točke iz NIS 2 poput revizije i nadzora, te dodaje neke zanimljive nove zahtjeve poput samoprocjene.
Međutim, mnogo toga će ovisiti o uredbi o kibernetičkoj sigurnosti koju će objaviti hrvatska vlada — nadam se da će i to biti ugodno iznenađenje.
Za više informacija o NIS 2, preuzmite ovaj besplatni materijal (na engleskom jeziku): Comprehensive guide to the NIS 2 Directive.