II. OCJENA STANJA I OSNOVNA PITANJA KOJA SE TREBAJU UREDITI a) Europska unija poduzela je niz mjera kako bi uredila odnose u kibernetičkom prostoru, povećavajući pri tome otpornost i pojačavajući svoju kibernetičku sigurnosnu pripravnost. Od prve strategije EU-a za kibernetičku sigurnost, koja je donesena 2013., u kojoj su utvrđeni strateški ciljevi i konkretne mjere za postizanje otpornosti, smanjenje kibernetičkog kriminaliteta, razvoj politike kibernetičke obrane i sposobnosti za kibernetičku obranu, razvoj industrijskih i tehnoloških resursa i uspostavu usklađene međunarodne politike kibernetičkog prostora za EU, do prijedloga najnovije iz 2020., u kojoj su dodatno naglašena tri područja: (1) otpornost, tehnološka suverenost i vodstvo; (2) izgradnja operativnih kapaciteta u svrhu sprječavanja, odvraćanja i uzvraćanja; (3) razvijanje globalnog i otvorenog kibernetičkog prostora, stalno se naglašava potreba za reguliranjem digitalne transformacije društva na način da čovjek uvijek ostane u središtu zbivanja odnosno subjekt i u kibernetičkom prostoru, pri čemu je razvidan značaj sigurnosnih parametara za izgradnju povjerenja prema tim procesima. U cilju povećanja povjerenja i sigurnosti na Jedinstvenom digitalnom tržištu Unije (JDT) te s obzirom na brzo širenje povezanih uređaja (internet stvari), bilo je potrebno uspostaviti okvir za sigurnosno certificiranje proizvoda, usluga i procesa informacijsko komunikacijske tehnologije (IKT) odnosno svih objekata kibernetičkog prostora. Kibernetičko sigurnosno certificiranje postaje posebno važno s obzirom na sve veću uporabu kibernetičkih tehnologija za namjene koje zahtijevaju visok stupanj pouzdanosti i sigurnosti te je u sve većem broju sektora primjetno povećanje ovisnosti o IKT proizvodima, uslugama i procesima, osobito u prometu (automatizirano upravljanje), u sustavima održavanja života i zdravlja (e-zdravstvo), u industriji (kontrolni sustavi za industrijsku automatizaciju – IACS) te u ostvarivanju ljudskih interesa i prava (e- građani). Direktiva o sigurnosti mrežnih i informacijskih sustava1 (EU NIS Direktiva), transponirana Zakonom o kibernetičkoj sigurnosti operatora ključnih usluga i davatelja digitalnih usluga („Narodne novine“, broj 64/18.) je regulirala razvrstavanje usluga odnosno objekata kibernetičkog prostora po njihovom značaju (ključne i digitalne usluge) te uspostavila sustav otpornosti (štićenje, izvješćivanje i interveniranje), specifično za najvažnije sektore. Slijednim propisom koji se na EU NIS Direktivu i naslanja, Uredbom o Agenciji Europske unije za kibernetičku sigurnost (ENISA) i o kibernetičkoj Direktiva (EU) 2016/1148 Europskog parlamenta i Vijeća od 6. srpnja 2016. o mjerama za visoku zajedničku razinu sigurnosti mrežnih i informacijskih sustava širom Unije sigurnosnoj certifikaciji u području komunikacijske i informacijske tehnologije („Akt o kibernetičkoj sigurnosti“) 2019/881 od 17. travnja 2019. (u daljnjem tekstu: Uredba (EU) 2019/881) dovršena je druga faza uređivanja kibernetičkog prostora iz aspekta objekata tog prostora. Uredbom je ENISA dobila aktivniju i važniju ulogu u postizanju kibernetičke otpornosti Unije te je postala stožerno tijelo u mreži agencija država članica koje se bave kibernetičkom sigurnošću na sličan način. Glavni regulator na razini Europske unije je Europska komisija koja, uz operativnu pomoć ENISA-e i savjetodavnu pomoć Europske skupine za kibernetičku sigurnosnu certifikaciju (European Cybersecurity Certification Group, ECCG), osigurava provođenje odredbi oba ova zakona, a sukladno proklamiranim strategijama i planskim dokumentima. b) Osnovna pitanja koja se trebaju urediti ovim Zakonom, odnosno jedan od ciljeva koji se misli postići sustavom kibernetičke sigurnosne certifikacije je jačanje Jedinstvenog digitalnog tržišta EU, kako bi ono postalo značajniji čimbenik na globalnoj sceni i postalo otpornije na disruptivna djelovanja konkurentskih globalnih gospodarstava. Time se olakšava postizanje i jednog od strateških ciljeva Unije – digitalne suverenosti, odnosno mogućnosti slobodnog i samostalnog odlučivanja o svim stvarima u svezi s kibernetičkim prostorom. Posljedično navedenom, države članice EU su preuzele obvezu harmoniziranja svojih propisa i djelovanja na ovom području, te izgradnje ili prilagodbe nacionalnih sustava kibernetičke sigurnosne certifikacije zajedničkom. Očekuje se da sve „nacionalne komponente“ u dogledno vrijeme postanu „komponente na nacionalnoj razini“ dobro uvezanog i otpornog europskog sustava kibernetičke sigurnosne certifikacije. Da bi to zaista skladno funkcioniralo, bilo je potrebno odrediti načela i pravila izgradnje takvih sustava, što se Uredbom (EU) 2019/881 nastojalo i napraviti, a od država članica se očekuje provedba. Definirane su uloge raznih tijela, njihovi pravni statusi i načini asociranja, kako bi se postigla ujednačenost komponenata na razini Unije i na kraju izbjeglo štetno fragmentiranje praksi i procedura. Prvi korak na nacionalnoj, hrvatskoj, razini jest uspostava okvira odnosno strukture koja se može uvezati na onu zajedničku od Unije te koja može ostvarivati programe na predviđeni način, prvenstveno s ciljem izgradnje domaćeg tržišta, skladno povezanog s ostalima u jedinstvenom digitalnom tržištu i provoditi njegovu regulaciju u skladu s načelima Unije, a prilagođenu domaćim okolnostima i zakonskoj praksi. Općenito, poslovi kontrole kvalitete odnosno provjere dostizanja nekog standarda koji rezultiraju nekom svjedodžbom, atestom ili certifikatom čine oko 10 % digitalnog tržišta s tendencijom rasta proporcionalnom naglašenoj brizi za sigurnost i kompleksnošću novih tehnologija. Objektivno, za hrvatsko digitalno gospodarstvo ova je diversifikacija dobrodošla te se očekuje rast u ovoj niši uz minimalne intervencije i poticaje, jer će omogućiti domaćim digitalnim poduzetnicima dostizanje poslovne i stručne razine jednake najboljima u Uniji za vrlo kratko vrijeme. Razmatrajući prevladavajuće procjene koje govore da u digitalnom gospodarstvu „nove članice“ EU odnosno one iz područja srednje i istočne Europe, zaostaju 3-4 godine i da se taj procijep ne smanjuje, uspostava sustava kibernetičke sigurnosne certifikacije obećava brisanje takve razlike barem u toj niši. Važećim propisima u Republici Hrvatskoj nisu predviđene obveze koje bi bile kompatibilne sa zahtjevima Uredbe (EU) 2019/881, pa je izrađen ovaj Prijedlog zakona, kojim se namjerava na jedinstveni način propisati potrebno radi osiguranja provedbe Uredbe (EU) 2019/881. Kibernetičkom sigurnosnom certifikacijom potvrđuje se da su IKT proizvodi, usluge i procesi evaluirani u skladu s europskim shemama kibernetičke sigurnosne certifikacije te da ispunjavaju utvrđene sigurnosne zahtjeve za potrebe zaštite dostupnosti, izvornosti, cjelovitosti i povjerljivosti pohranjenih, poslanih ili obrađenih podataka, funkcija ili usluga koje se nude s pomoću tih proizvoda, usluga i procesa ili kojima se s pomoću njih može pristupiti tijekom njihova životnog ciklusa. Na temelju pojedinih europskih shema kibernetičke sigurnosne certifikacije provodi se kibernetička sigurnosna certifikacija koja predstavlja postupak izdavanja europskih kibernetičkih sigurnosnih certifikata odnosno izjava o sukladnosti za proizvođače ili pružatelje IKT proizvoda, usluga i procesa u svrhu postizanja visoke zajedničke razine kibernetičke sigurnosti diljem Europske unije za određene IKT proizvode, usluge i procese. c) Ovim Prijedlogom zakona osigurava se provedba Uredbe (EU) 2019/881, osiguravaju se potrebne pretpostavke za trajno unaprjeđenje stanja europske kibernetičke sigurnosne certifikacije u sve širem opsegu društvenih i gospodarskih sektora njome obuhvaćenih uslijed digitalne transformacije i razvoja interneta stvari, ali se istodobno potiče i razvoj Republike Hrvatske u području digitalnog gospodarstva usklađenim pristupom između niza dionika iz javnog i privatnog sektora, imajući u vidu da u Republici Hrvatskoj izdani europski certifikat vrijedi na cijelom području jedinstvenog digitalnog tržišta Unije. Time se otvaraju mogućnosti za učinkovitiji zajednički pristup i združenom djelovanju državnog, akademskog i gospodarskog sektora, prvenstveno u razvoju novih hrvatskih proizvoda, procesa i usluga informacijsko-komunikacijske tehnologije, sukladnih s jedinstvenim zahtjevima za cijelo područje Europske unije. Obzirom da je Uredbom (EU) 2019/881 zadan glavni okvir jedinstvenog sustava kibernetičkog sigurnosnog certificiranja u Europskoj uniji odnosno način uspostave i provedbe sustava, prijedlogom Zakona se određuju nadležna tijela na nacionalnoj razini, pravna zaštita i sankcijski režim, koji su specifični za svaku državu članicu. Uz samu Uredbu (EU) 2019/881 ovaj Zakon jasno upućuje sve subjekte u Republici Hrvatskoj što im je činiti i kako postupati kada žele ili moraju pribjeći postupku certificiranja za svoje IKT proizvode, usluge ili procese ako ih namjeravaju staviti na jedinstveno tržište Europske unije.