NA PORTALU eSavjetovanja objavljeni su odgovori na komentare o prijedlogu Zakona o kibernetičkoj sigurnosti, koji će se uskoro naći pred vladom, a pažnju javnosti izazvao je jer predviđa da se Nacionalni centar za kibernetičku sigurnost osnuje unutar Sigurnosno-obavještajne agencije (SOA).

Tijekom javnog savjetovanja o nacrtu zakona izneseno je 119 komentara, od kojih je prihvaćeno (potpuno ili djelomično) ili primljeno na znanje njih 76, dok 43 komentara nisu prihvaćena.

Izradu nacrta Zakona o kibernetičkoj sigurnosti vodila je međuresorna radna skupina Nacionalnog vijeća za kibernetičku sigurnost, a formalni predlagatelj je Ministarstvo hrvatskih branitelja jer je postupak donošenja predvodio član vlade RH zadužen za nacionalnu sigurnost, ministar Tomo Medved.

Ovaj zakon će zamijeniti postojeći Zakon o kibernetičkoj sigurnosti iz 2018.

Zakon o kibernetičkoj sigurnosti, ističu predlagatelji, prvi je korak u procesu prenošenja direktive EU o kibernetičkoj sigurnosti u nacionalno zakonodavstvo. EU je 16. siječnja 2023. donijela Direktivu o mjerama za visoku razinu kibernetičke sigurnosti širom Unije (tzv. EU NIS2 direktiva), koju države članice moraju prenijeti u nacionalna zakonodavstva najkasnije do 17. listopada 2024.

Ovaj zakon će zamijeniti postojeći Zakon o kibernetičkoj sigurnosti operatora ključnih usluga i davatelja digitalnih usluga, koji je 2018. godine donesen radi usklađivanja s tadašnjom EU NIS1 direktivom.

U skladu s EU NIS2 direktivom, novi zakon će povećati broj sektora koji će biti obveznici jačanja mjera kibernetičke sigurnosti, a sustav se planira centralizirati na način da postojeći Centar za kibernetičku sigurnost SOA-e postane Nacionalni centar za kibernetičku sigurnost.

Nacionalni centar za kibernetičku sigurnost neće biti regulatorno tijelo

U odgovorima na komentare iz javnog savjetovanja predlagatelj navodi da se radi o najučinkovitijem rješenju jer Centar za kibernetičku sigurnost SOA-e već ima razvijene tehničke, organizacijske i stručne kapacitete, kao i da već obavlja značajan dio zadaća predviđenih zakonom.

Također, napominje se kako Nacionalni centar za kibernetičku sigurnost neće preuzeti sadašnje nadležnosti drugih tijela u sektorima kibernetičke sigurnosti. Radi se o sektorima koji su već u nadležnosti drugih tijela - bankarstvo, financije, zračni promet, telekomunikacije, javni sektor, pružanje usluga povjerenja, istraživanje i obrazovanje, nacionalni CERT.

To znači da će, primjerice, Hrvatska narodna banka (HNB) i Hrvatska agencija za nadzor financijskih usluga (HANFA) i nadalje ostati nadležni za sve aspekte mjera kibernetičke sigurnosti u financijskom sektoru, dok će, primjerice, Hrvatska regulatorna agencija za mrežne djelatnosti (HAKOM) ostati nadležna za telekomunikacijski sektor.

U odgovorima na komentare posebno se naglašava kako Nacionalni centar za kibernetičku sigurnost neće biti regulatorno tijelo, već sigurnosno tijelo zaduženo za koordinaciju provedbe sigurnosnih kibernetičkih mjera i pomoć u rješavanju kibernetičkih napada.

Veći broj država članica EU koristio upravo sigurnosno-obavještajne sustave za ovaj proces centralizacije

Po pitanju smještaja Nacionalnog centra za kibernetičku sigurnost u SOA-u, navodi se da svaka država članica EU organizaciju kibernetičke sigurnosti uređuje temeljem vlastitih specifičnosti, potreba i već razvijenih kapaciteta, a da je veći broj država članica EU koristio upravo sigurnosno-obavještajne sustave za ovaj proces centralizacije.

Tako se ističu primjeri Danske, Španjolske i Grčke, u kojima su nacionalni centri dio sigurnosnih i obavještajnih sustava, kao i Njemačke i Italije, koje su svoje centre inicijalno osnovale u okvirima sigurnosno-obavještajnog sustava, ali su ih kasnije izdvojile u zasebne agencije.

SK@UT obvezan samo za središnja državna tijela

Nekoliko komentara odnosilo se na sustav SK@UT, kojim upravlja Centar za kibernetičku sigurnost SOA-e, a namijenjen je za zaštitu od najsloženijih kibernetičkih napada. Pod "kibernetičkim kišobranom" sustava SK@UT trenutno je više od 60 državnih tijela, operatora ključnih usluga i pravnih osoba od posebnog interesa za RH.

U komentarima se izražavala zabrinutost da će sustav SK@UT biti obvezan za privatne tvrtke, no u odgovorima predlagatelj zakona ističe da je SK@UT obvezan samo za središnja državna tijela, dok se za privatne tvrtke radi o dobrovoljnom mehanizmu kojem privatne tvrtke mogu pristupiti isključivo na vlastiti zahtjev te nakon potpisivanja sporazuma o pristupanju sustavu.

SOA je u svom javnom izvješću objavljenom u svibnju iznijela kako raste broj kibernetičkih napada i napadača na hrvatske institucije i tvrtke. Tako je tijekom 2022. SOA otkrila 19 državno-sponzoriranih kibernetičkih napada na hrvatske institucije s ciljem krađe osjetljivih podataka, dok je taj broj ove godine premašen već u prvih šest mjeseci. Većina otkrivenih državno-sponzoriranih hakerskih grupa povezana je sa stranim obavještajnim službama.

Sve su češći hakerski napadi

Sve su češći i napredni kibernetički napadi koje provode hakerske kriminalne skupine hakirajući i potom ucjenjujući tvrtke po svijetu za milijunske iznose.

Tako su početkom 2020. hakeri napali INA-u i zaključali joj podatke. Početkom prošle godine provaljeno je u središnji korisnički sustav A1 telekoma, a u lipnju ove godine hakeri su srušili sustave Hrvatskog autokluba i danima onemogućavali njegove usluge stotinama tisuća hrvatskih građana i turista.

Što se tiče građana, prijedlog Zakona o kibernetičkoj sigurnosti ne nameće nikakve obaveze. S druge strane, predlagatelj navodi da Zakon uvodi mjere kibernetičke sigurnosti u velikom broju sektora društva, što će u narednim godinama podići sigurnost korištenja niza digitalnih usluga koje državna tijela i pravne osobe pružaju na tržištu.

Uvođenje visokih zajedničkih mjera kibernetičke sigurnosti, zaključuju, istovremeno znači sigurnije digitalne podatke i digitalni identitet građana na razini cijele EU.