Na portalu eSavjetovanja objavljeni su odgovori na komentare o prijedlogu Zakona o kibernetičkoj sigurnosti, koji će se uskoro naći pred vladom, a pažnju javnosti izazvao je jer predviđa da se Nacionalni centar za kibernetičku sigurnost osnuje unutar Sigurnosno-obavještajne agencije (SOA).
Tijekom javnog savjetovanja o nacrtu zakona izneseno je 119 komentara, od kojih je prihvaćeno (potpuno ili djelomično) ili primljeno na znanje njih 76, dok 43 komentara nisu prihvaćena.
Izradu nacrta Zakona o kibernetičkoj sigurnosti vodila je međuresorna radna skupina Nacionalnog vijeća za kibernetičku sigurnost, a formalni predlagatelj je Ministarstvo hrvatskih branitelja jer je postupak donošenja predvodio član vlade RH zadužen za nacionalnu sigurnost, ministar Tomo Medved.
Ovaj zakon će zamijeniti postojeći Zakon o kibernetičkoj sigurnosti iz 2018.
Zakon o kibernetičkoj sigurnosti, ističu predlagatelji, prvi je korak u procesu prenošenja direktive EU o kibernetičkoj sigurnosti u nacionalno zakonodavstvo. EU je 16. siječnja 2023. donijela Direktivu o mjerama za visoku razinu kibernetičke sigurnosti širom Unije (tzv. EU NIS2 direktiva), koju države članice moraju prenijeti u nacionalna zakonodavstva najkasnije do 17. listopada 2024.
Ovaj zakon će zamijeniti postojeći Zakon o kibernetičkoj sigurnosti operatora ključnih usluga i davatelja digitalnih usluga, koji je 2018. godine donesen radi usklađivanja s tadašnjom EU NIS1 direktivom.
U skladu s EU NIS2 direktivom, novi zakon će povećati broj sektora koji će biti obveznici jačanja mjera kibernetičke sigurnosti, a sustav se planira centralizirati na način da postojeći Centar za kibernetičku sigurnost SOA-e postane Nacionalni centar za kibernetičku sigurnost.
Nacionalni centar za kibernetičku sigurnost neće biti regulatorno tijelo
U odgovorima na komentare iz javnog savjetovanja predlagatelj navodi da se radi o najučinkovitijem rješenju jer Centar za kibernetičku sigurnost SOA-e već ima razvijene tehničke, organizacijske i stručne kapacitete, kao i da već obavlja značajan dio zadaća predviđenih zakonom.
Također, napominje se kako Nacionalni centar za kibernetičku sigurnost neće preuzeti sadašnje nadležnosti drugih tijela u sektorima kibernetičke sigurnosti. Radi se o sektorima koji su već u nadležnosti drugih tijela - bankarstvo, financije, zračni promet, telekomunikacije, javni sektor, pružanje usluga povjerenja, istraživanje i obrazovanje, nacionalni CERT.
To znači da će, primjerice, Hrvatska narodna banka (HNB) i Hrvatska agencija za nadzor financijskih usluga (HANFA) i nadalje ostati nadležni za sve aspekte mjera kibernetičke sigurnosti u financijskom sektoru, dok će, primjerice, Hrvatska regulatorna agencija za mrežne djelatnosti (HAKOM) ostati nadležna za telekomunikacijski sektor.
U odgovorima na komentare posebno se naglašava kako Nacionalni centar za kibernetičku sigurnost neće biti regulatorno tijelo, već sigurnosno tijelo zaduženo za koordinaciju provedbe sigurnosnih kibernetičkih mjera i pomoć u rješavanju kibernetičkih napada.
Veći broj država članica EU koristio upravo sigurnosno-obavještajne sustave za ovaj proces centralizacije
Po pitanju smještaja Nacionalnog centra za kibernetičku sigurnost u SOA-u, navodi se da svaka država članica EU organizaciju kibernetičke sigurnosti uređuje temeljem vlastitih specifičnosti, potreba i već razvijenih kapaciteta, a da je veći broj država članica EU koristio upravo sigurnosno-obavještajne sustave za ovaj proces centralizacije.
Tako se ističu primjeri Danske, Španjolske i Grčke, u kojima su nacionalni centri dio sigurnosnih i obavještajnih sustava, kao i Njemačke i Italije, koje su svoje centre inicijalno osnovale u okvirima sigurnosno-obavještajnog sustava, ali su ih kasnije izdvojile u zasebne agencije.
SK@UT obvezan samo za središnja državna tijela
Nekoliko komentara odnosilo se na sustav SK@UT, kojim upravlja Centar za kibernetičku sigurnost SOA-e, a namijenjen je za zaštitu od najsloženijih kibernetičkih napada. Pod "kibernetičkim kišobranom" sustava SK@UT trenutno je više od 60 državnih tijela, operatora ključnih usluga i pravnih osoba od posebnog interesa za RH.
U komentarima se izražavala zabrinutost da će sustav SK@UT biti obvezan za privatne tvrtke, no u odgovorima predlagatelj zakona ističe da je SK@UT obvezan samo za središnja državna tijela, dok se za privatne tvrtke radi o dobrovoljnom mehanizmu kojem privatne tvrtke mogu pristupiti isključivo na vlastiti zahtjev te nakon potpisivanja sporazuma o pristupanju sustavu.
SOA je u svom javnom izvješću objavljenom u svibnju iznijela kako raste broj kibernetičkih napada i napadača na hrvatske institucije i tvrtke. Tako je tijekom 2022. SOA otkrila 19 državno-sponzoriranih kibernetičkih napada na hrvatske institucije s ciljem krađe osjetljivih podataka, dok je taj broj ove godine premašen već u prvih šest mjeseci. Većina otkrivenih državno-sponzoriranih hakerskih grupa povezana je sa stranim obavještajnim službama.
Sve su češći hakerski napadi
Sve su češći i napredni kibernetički napadi koje provode hakerske kriminalne skupine hakirajući i potom ucjenjujući tvrtke po svijetu za milijunske iznose.
Tako su početkom 2020. hakeri napali INA-u i zaključali joj podatke. Početkom prošle godine provaljeno je u središnji korisnički sustav A1 telekoma, a u lipnju ove godine hakeri su srušili sustave Hrvatskog autokluba i danima onemogućavali njegove usluge stotinama tisuća hrvatskih građana i turista.
Što se tiče građana, prijedlog Zakona o kibernetičkoj sigurnosti ne nameće nikakve obaveze. S druge strane, predlagatelj navodi da Zakon uvodi mjere kibernetičke sigurnosti u velikom broju sektora društva, što će u narednim godinama podići sigurnost korištenja niza digitalnih usluga koje državna tijela i pravne osobe pružaju na tržištu.
Uvođenje visokih zajedničkih mjera kibernetičke sigurnosti, zaključuju, istovremeno znači sigurnije digitalne podatke i digitalni identitet građana na razini cijele EU.