Na portalu eSavjetovanja objavljeni su odgovori na komentare o prijedlogu Zakona o kibernetičkoj sigurnosti koji će se uskoro naći pred vladom, a pažnju javnosti izazvao je jer predviđa da se Nacionalni centar za kibernetičku sigurnost osnuje unutar Sigurnosno-obavještajne agencije (SOA).
Tijekom javnog savjetovanja na nacrt zakona izneseno je 119 komentara od kojih je prihvaćeno (potpuno ili djelomično) ili primljeno na znanje njih 76, dok 43 komentara nisu prihvaćena.
Izradu nacrta Zakona o kibernetičkoj sigurnosti vodila je međuresorna radna skupina Nacionalnog vijeća za kibernetičku sigurnost, a formalni predlagatelj je Ministarstvo hrvatskih branitelja jer je postupak donošenja predvodio član Vlade RH zadužen za nacionalnu sigurnost, ministar Tomo Medved.
Zakon o kibernetičkoj sigurnosti, ističu predlagatelji, prvi je korak u procesu prenošenja direktive EU o kibernetičkoj sigurnosti u nacionalno zakonodavstvo. EU je 16. siječnja 2023. donijela Direktivu o mjerama za visoku razinu kibernetičke sigurnosti širom Unije (tzv. EU NIS2 direktiva), a koju države članice moraju prenijeti u nacionalna zakonodavstva najkasnije do 17. listopada 2024.
Ovaj zakon će zamijeniti postojeći Zakon o kibernetičkoj sigurnosti operatora ključnih usluga i davatelja digitalnih usluga koji je 2018. godine donesen radi usklađivanja s tadašnjom EU NIS1 direktivom.
U skladu s EU NIS2 direktivom, novi zakon će povećati broj sektora koji će biti obveznici jačanja mjera kibernetičke sigurnosti, a sustav se planira centralizirati na način da postojeći Centar za kibernetičku sigurnost SOA-e postane Nacionalni centar za kibernetičku sigurnost.
Nacionalni centar za kibernetičku sigurnost neće biti regulatorno tijelo
U odgovorima na komentare iz javnog savjetovanja predlagatelj navodi da se radi o najučinkovitijem rješenju jer Centar za kibernetičku sigurnost SOA-e već ima razvijene tehničke, organizacijske i stručne kapacitete, kao i da već obavlja značajan dio zadaća predviđenih zakonom.
Također, napominje se kako Nacionalni centar za kibernetičku sigurnost neće preuzeti sadašnje nadležnosti drugih tijela u sektorima kibernetičke sigurnosti. Radi se o sektorima koji su već u nadležnosti drugih tijela - bankarstvo, financije, zračni promet, telekomunikacije, javni sektor, pružanje usluga povjerenja, istraživanje i obrazovanje, nacionalni CERT.
To znači da će primjerice Hrvatska narodna banka (HNB) i Hrvatska agencija za nadzor financijskih usluga (HANFA) i nadalje ostati nadležni za sve aspekte mjera kibernetičke sigurnosti u financijskom sektoru, dok će primjerice Hrvatska regulatorna agencija za mrežne djelatnosti (HAKOM) ostati nadležna za telekomunikacijski sektor.
U odgovorima na komentare posebno se naglašava kako Nacionalni centar za kibernetičku sigurnost neće biti regulatorno tijelo, već sigurnosno tijelo zaduženo za koordinaciju provedbe sigurnosnih kibernetičkih mjera i pomoć u rješavanju kibernetičkih napada.
Po pitanju smještaja Nacionalnog centra za kibernetičku sigurnost u SOA-u, navodi se da svaka država članica EU organizaciju kibernetičke sigurnosti uređuje temeljem vlastitih specifičnosti, potreba i već razvijenih kapaciteta, a da je veći broj država članica EU koristilo upravo sigurnosno-obavještajne sustave za ovaj proces centralizacije.
Tako se ističu primjeri Danske, Španjolske i Grčke u kojima su nacionalni centri dio sigurnosnih i obavještajnih sustava, kao i Njemačke i Italije koje su svoje centre inicijalno osnovale u okvirima sigurnosno-obavještajnog sustava, ali su ih kasnije izdvojili u zasebne agencije.
SK@UT obvezan samo za središnja državna tijela
Nekoliko komentara odnosilo se na sustav SK@UT kojim upravlja Centar za kibernetičku sigurnost SOA-e, a namijenjen je za zaštitu od najsloženijih kibernetičkih napada. Pod 'kibernetičkim kišobranom' sustava SK@UT trenutno je više od 60 državnih tijela, operatora ključnih usluga i pravnih osoba od posebnog interesa za RH.
U komentarima se izražavala zabrinutost da će sustav SK@UT biti obvezan za privatne tvrtke, no u odgovorima predlagatelj zakona ističe da je SK@UT obvezan samo za središnja državna tijela, dok se za privatne tvrtke radi o dobrovoljnom mehanizmu kojem privatne tvrtke mogu pristupiti isključivo na vlastiti zahtjev te nakon potpisivanja sporazuma o pristupanju sustavu.
SOA je u svom javnom izvješću objavljenom u svibnju iznijela kako raste broj kibernetičkih napada i napadača na hrvatske institucije i tvrtke. Tako je tijekom 2022. SOA otkrila 19 državno-sponzoriranih kibernetičkih napada na hrvatske institucije s ciljem krađe osjetljivih podataka, dok je taj broj ove godine premašen već u prvih šest mjeseci. Većina otkrivenih državno-sponzoriranih hakerskih grupa povezana je sa stranim obavještajnim službama.
Sve su češći i napredni kibernetički napadi koje provode hakerske kriminalne skupine koje hakiraju i potom ucjenjuju tvrtke po svijetu za milijunske iznose. Tako su početkom 2020. hakeri napali INA-u i zaključali joj podatke. Početkom prošle godine provaljeno je u središnji korisnički sustav A1 telekoma, a u lipnju ove godine hakeri su srušili sustave Hrvatskog autokluba i danima onemogućili njegove usluga stotinama tisuća hrvatskih građana i turista.
Što se tiče građana, prijedlog Zakona o kibernetičkoj sigurnosti ne nameće nikakve obaveze. S druge strane, predlagatelj navodi da Zakon uvodi mjere kibernetičke sigurnosti u velikom broju sektora društva, što će u narednim godinama podići sigurnost korištenja niza digitalnih usluga koje državna tijela i pravne osobe pružaju na tržištu.
Uvođenje visokih zajedničkih mjera kibernetičke sigurnosti, zaključuju, istovremeno znači sigurnije digitalne podatke i digitalni identitet građana na razini cijele EU.
