S inkorporiranjem različitih EU uredbi u Hrvatskoj se nerijetko odugovlači, no kad je riječ o novoj direktivi o sigurnosti mrežnih i informacijskih sustava (NIS2), takvih odugovlačenja definitivno neće biti. Naime, ovih je dana učinjen prvi formalni korak prema donošenju zakona koji će osigurati provođenje nove direktive, iako je Hrvatska, kao i druge članice EU, za taj posao dobila puni 21 mjesec, sve do listopada 2024. godine. U e-Savjetovanju je tako u petak osvanula procjena učinaka budućeg Zakona o kibernetičkoj sigurnosti, koji će se, u skladu s novom direktivom, odnositi na višestruko veći broj sektora nego do sada i propisati "sveobuhvatan pristup koji postavlja kibernetičke zahtjeve prema cjelokupnom poslovanju svakog od subjekata obveznika".
Podsjetimo, direktiva NIS1 iz 2016. godine obuhvaćala je osam osnovnih sektora s kritičnom infrastrukturom, no u međuvremenu su se pojavili novi sigurnosni izazovi, posebno nakon izbijanja pandemije COVID-19, koja je znatno proširila primjenu tehnologije u svim područjima. Zbog toga je provedena evaluacija NIS1 direktive, na temelju koje je zaključeno kako je ona nedovoljna za razinu razvoja disruptivne tehnologije poput računalstva u oblaku, 5G-a, kvantnog računarstva i sl. u digitalnom desetljeću 2020. – 2030., na što se podsjeća i u tekstu puštenom u EU savjetovanje.
Nova je uredba zato obuhvatila i sektore poput gospodarenja otpadom, proizvodnje i distribucije hrane, lijekova i kemikalija, poštanske i kurirske usluge i javnu upravu. A među zahtjevima direktive vezanim za ublažavanje sigurnosnih rizika su periodičke obveze revizije o trošku poduzeća ključnih subjekata revizije. No, sudeći po testu malog i srednjeg poduzetništva priloženom tekstu u e-Savjetovanju, ta će se obveza odnositi ponajprije na velika poduzeća, koja će zakonom biti utvrđena kao ključni subjekti u propisanim sektorima, i to u otprilike trećini sektora obuhvaćenih uredbom. Srednji poduzetnici ove će zahtjeve morati ispunjavati samo uz postojanje posebnih kriterija, navodi se u tekstu, uz zaključak da novi zakon neće nametnuti i nove troškove malom i srednjem poduzetništvu.
A kao "važne" i "bitne" subjekte nova direktiva, podsjetimo, prepoznaje one koji pružaju javno dostupne elektroničke komunikacijske usluge, registre domena i davatelje usluga domena, oni koji nude usluge u kojima bi poremećaji mogli utjecati na javnu sigurnost i zdravlje ili izazvati sigurnosne rizike. A kad je riječ o prijedlogu procjene učinaka, zanimljivo je da je tekst u javno savjetovanje kao stručni nositelj uputilo Ministarstvo branitelja.
Na tu se činjenicu odnosio i prvi komentar u savjetovanju, u kojem je primijećeno kako kibernetička sigurnost nije među zakonom opisanim zadaćama ovog ministarstva. Iz Ministarstva branitelja objašnjavaju, međutim, da im je taj posao dopao zato što je ministar Tomo Medved ujedno i potpredsjednik Vlade nadležan za nacionalnu sigurnost pa podsjećaju da je 2018. godine, kada se donosio prvi zakon, na čelu koordinacije za nacionalnu sigurnost bio tadašnji ministar obrane Damir Krstičević, zbog čega je zakon pripremalo Ministarstvo obrane.
Iz Medvedova ministarstva pritom ističu da nemaju i neće imati kibernetičke sigurnosne nadležnosti, već tek administrativnu ulogu tijekom procedure transpozicije NIS2 direktive. "A sadržajno se NIS2 transpozicija radi na isti način kao i NIS1 transpozicija, kroz odluku Nacionalnog vijeća za kibernetičku sigurnost i međuresornu radnu skupinu", otpisali su nam iz ovog ministarstva na pitanje kakve veze resor branitelja ima s kibernetičkom sigurnošću. Savjetovanje o procjeni učinaka budućeg Zakona o kibernetičkoj sigurnosti otvoreno je do 30. travnja.
