Središnji državni ured za razvoj digitalnog društva pokrenuo je e-savjetovanje o prijedlogu Zakona o provedbi Uredbe (EU) 2019/881 Europskog parlamenta i Vijeća od 17. travnja 2019. o ENISA-i (Agenciji Europske unije za kibersigurnost) te o kibersigurnosnoj certifikaciji u području informacijske i komunikacijske tehnologije i stavljanju izvan snage Uredbe (EU) br. 526/2013 (Akta o kibersigurnosti).
Obzirom da je Uredbom (EU) 2019/881 zadan glavni okvir jedinstvenog sustava kibernetičkog sigurnosnog certificiranja u Europskoj uniji odnosno način uspostave i provedbe sustava, prijedlogom Zakona se, kako je navedeno, određuju nadležna tijela na nacionalnoj razini, pravna zaštita i sankcijski režim, koji su specifični za svaku državu članicu. Uz tu Uredbu, Zakon, navedeno je, jasno upućuje sve subjekte u Republici Hrvatskoj što im je činiti i kako postupati kada žele ili moraju pribjeći postupku certificiranja za svoje IKT proizvode, usluge ili procese ako ih namjeravaju staviti na jedinstveno tržište Europske unije.
Uvodno je obrazloženo kako je Europska unija poduzela niz mjera kako bi uredila odnose u kibernetičkom prostoru, povećavajući pri tome otpornost i pojačavajući svoju kibernetičku sigurnosnu pripravnost. Tako navode kako se od prve strategije EU-a za kibernetičku sigurnost, koja je donesena 2013., u kojoj su utvrđeni strateški ciljevi i konkretne mjere za postizanje otpornosti, smanjenje kibernetičkog kriminaliteta, razvoj politike kibernetičke obrane i sposobnosti za kibernetičku obranu, razvoj industrijskih i tehnoloških resursa i uspostavu usklađene međunarodne politike kibernetičkog prostora za EU, do prijedloga najnovije iz 2020., u kojoj su dodatno naglašena tri područja: otpornost, tehnološka suverenost i vodstvo, potom izgradnja operativnih kapaciteta u svrhu sprječavanja, odvraćanja i uzvraćanja, te razvijanje globalnog i otvorenog kibernetičkog prostora, stalno naglašava potreba za reguliranjem digitalne transformacije društva na način da čovjek uvijek ostane u središtu zbivanja odnosno subjekt i u kibernetičkom prostoru, pri čemu je, kako je navedeno, razvidan značaj sigurnosnih parametara za izgradnju povjerenja prema tim procesima.
Nadalje, navedeno je kako je u cilju povećanja povjerenja i sigurnosti na Jedinstvenom digitalnom tržištu Unije (JDT) te s obzirom na brzo širenje povezanih uređaja (internet stvari), bilo potrebno uspostaviti okvir za sigurnosno certificiranje proizvoda, usluga i procesa informacijsko komunikacijske tehnologije (IKT) odnosno svih objekata kibernetičkog prostora.
Kibernetičko sigurnosno certificiranje, istaknuto je u nacrtu ovog zakonskog prijedloga, postaje posebno važno s obzirom na sve veću uporabu kibernetičkih tehnologija za namjene koje zahtijevaju visok stupanj pouzdanosti i sigurnosti te je u sve većem broju sektora primjetno povećanje ovisnosti o IKT proizvodima, uslugama i procesima, osobito u prometu (automatizirano upravljanje), u sustavima održavanja života i zdravlja (e-zdravstvo), u industriji (kontrolni sustavi za industrijsku automatizaciju – IACS) te u ostvarivanju ljudskih interesa i prava (e-građani).
Obrazloženo je i kako je Uredbom o Agenciji Europske unije za kibernetičku sigurnost (ENISA) i o kibernetičkoj sigurnosnoj certifikaciji u području komunikacijske i informacijske tehnologije („Akt o kibernetičkoj sigurnosti“) 2019/881 od 17. travnja 2019. dovršena druga faza uređivanja kibernetičkog prostora iz aspekta objekata tog prostora.
Uredbom je, istaknuto je, ENISA dobila aktivniju i važniju ulogu u postizanju kibernetičke otpornosti Unije te je postala stožerno tijelo u mreži agencija država članica koje se bave kibernetičkom sigurnošću na sličan način. Glavni regulator na razini Europske unije je Europska komisija koja, uz operativnu pomoć ENISA-e i savjetodavnu Europske skupine za kibernetičku sigurnosnu certifikaciju (ECCG – European Cybersecurity Certification Group), osigurava provođenje odredbi oba ova zakona
Predlagatelj ovog zakonskog prijedloga ističe nadalje kako je jedan od ciljeva koji se misli postići sustavom kibernetičke sigurnosne certifikacije jačanje Jedinstvenog digitalnog tržišta EU, kako bi ono postalo značajniji čimbenik na globalnoj sceni i postalo otpornije na disruptivna djelovanja konkurentskih globalnih gospodarstava. Time se, naglašavaju, olakšava postizanje i jednog od strateških ciljeva Unije – digitalne suverenosti, odnosno mogućnosti slobodnog i samostalnog odlučivanja o svim stvarima u svezi s kibernetičkim prostorom.
U skladu s tim, države članice EU su preuzele obvezu harmoniziranja svojih propisa i djelovanja na ovom području, te izgradnje ili prilagodbe nacionalnih sustava kibernetičke sigurnosne certifikacije zajedničkom. Očekuje se, navedeno je, da sve „nacionalne komponente“ u dogledno vrijeme postanu „komponente na nacionalnoj razini“ dobro uvezanog i otpornog europskog sustava kibernetičke sigurnosne certifikacije.
Istaknuto je i kako poslovi kontrole kvalitete odnosno provjere dostizanja nekog standarda koji rezultiraju nekom svjedodžbom, atestom ili certifikatom čine oko 10 posto digitalnog tržišta s tendencijom rasta proporcionalnom naglašenoj brizi za sigurnost i kompleksnošću novih tehnologija.
Nadalje, navedeno je kako je za hrvatsko digitalno gospodarstvo ova diversifikacija dobrodošla te se očekuje rast u ovoj niši uz minimalne intervencije i poticaje, jer će omogućiti domaćim digitalnim poduzetnicima dostizanje poslovne i stručne razine jednake najboljima u Uniji za vrlo kratko vrijeme.
Procjenjuje se da u digitalnom gospodarstvu „nove članice“ EU odnosno one iz područja srednje i istočne Europe, zaostaju 3-4 godine i da se taj procjep ne smanjuje, pa se očekuje kako će uspostava sustava kibernetičke sigurnosne certifikacije izbrisati takve razlike barem u toj niši, poručuju predlagatelji zakona.
Kibernetičkom sigurnosnom certifikacijom, pojašnjeno je, potvrđuje se da su IKT proizvodi, usluge i procesi evaluirani u skladu s europskim shemama kibernetičke sigurnosne certifikacije te da ispunjavaju utvrđene sigurnosne zahtjeve za potrebe zaštite dostupnosti, izvornosti, cjelovitosti i povjerljivosti pohranjenih, poslanih ili obrađenih podataka, funkcija ili usluga koje se nude s pomoću tih proizvoda, usluga i procesa ili kojima se s pomoću njih može pristupiti tijekom njihova životnog ciklusa.
E- savjetovanje traje 15 dana, do 13. listopada, a skraćeni postupak određen je, prema obrazloženju iz Središnjeg državnog ureda za razvoj digitalnog društva, kako bi nadoknadili vrijeme izgubljeno zbog pandemije koronavirusa, odnosno nemogućnosti sastajanja u radnim skupinama.
