NN - 2024 - 14 - 254

SRIJEDA, 7. VELJAČE 2024.
NARODNE NOVINE
SLUŽBENI LIST REPUBLIKE HRVATSKE
BROJ 14 – STRANICA 7
– međunarodne organizacije ili drugi subjekti iz članka 4. pod- PRIJELAZNE I ZAVRŠNE ODREDBE
stavaka 4. i 5. ovoga Zakona
Postupci u tijeku i podzakonski akti
– zaklade, zavodi i ustanove koji su osnovani ili čiji je suosnivač
Republika Hrvatska za javnu dobrobit ili u dobrotvorne svrhe, prav- Članak 15.
ne osobe s javnim ovlastima te pravne osobe kojima Republika Hr- (1) Postupci ugovaranja i provedbe projekata i programa razvoj-
vatska na temelju međunarodnih ugovora priznaje pravnu osobnost ne suradnje koji su započeti prije stupanja na snagu ovoga Zakona
u hrvatskom pravnom poretku, sukladno njihovim djelatnostima ili dovršit će se po odredbama Zakona o razvojnoj suradnji i humani-
nadležnostima koje su obuhvaćene predmetom ovoga Zakona tarnoj pomoći inozemstvu (»Narodne novine«, br. 146/08.).
– organizacije civilnog društva (2) Odluku o osnivanju Povjerenstva iz članka 7. ovoga Zakona
– pravne osobe upisane u sudski registar. Vlada Republike Hrvatske donijet će u roku od šest mjeseci od dana
stupanja na snagu ovoga Zakona.
Nadležnosti i obveze nositelja provedbe
Članak 11. Prestanak važenja Zakona
(1) Proračunski korisnici, kao nositelji provedbe, vlastitim razvoj- Članak 16.
nim i humanitarnim projektima, programima i drugim aktivnostima Danom stupanja na snagu ovoga Zakona prestaje važiti Zakon
pružaju razvojnu suradnju partnerskim zemljama, samostalno ili u o razvojnoj suradnji i humanitarnoj pomoći inozemstvu (»Narodne
suradnji sa subjektima iz članka 10. ovoga Zakona, sukladno svojim novine«, br. 146/08.).
nadležnostima, planovima i osiguranim proračunskim sredstvima.
(2) Proračunski korisnici dužni su dostavljati Ministarstvu na Stupanje na snagu
njegov zahtjev podatke o korištenju sredstava za pružanje razvojne
suradnje u skladu s pravilima Odbora za razvojnu pomoć OECD-a, u Članak 17.
svrhu pripreme Izvješća kojeg je Ministarstvo nositelj. Ovaj Zakon stupa na snagu osmoga dana od dana objave u
Dodjela sredstava za bilateralnu razvojnu suradnju »Narodnim novinama«.
Klasa: 022-02/23-01/20
Članak 12. Zagreb, 26. siječnja 2024.
Sredstva za ostvarivanje bilateralne razvojne suradnje dodjelju-
ju se: HRVATSKI SABOR
– financijskim doprinosom tijelu državne uprave, jedinici lokal- Predsjednik
ne i područne (regionalne) samouprave, nadležnoj stručnoj službi Hrvatskoga sabora
Vlade Republike Hrvatske, zakladi, zavodu, pravnim osobama iz Gordan Jandroković, v. r.
članka 10. ovoga Zakona, ili drugom nositelju ili sunositelju pro-
vedbe u Republici Hrvatskoj, trećoj zemlji ili partnerskoj zemlji, me-
đunarodnoj organizaciji, fondu ili drugoj međunarodnoj instituciji 254
s nadležnostima u provedbi razvojne suradnje, pri čemu se definira
ciljna partnerska zemlja ili regija Na temelju članka 89. Ustava Republike Hrvatske, donosim
– ugovaranjem s organizacijama civilnog društva putem javnog
poziva u skladu s kriterijima, mjerilima i postupcima financiranja i ODLUKU
ugovaranja projekata i programa za korisnike državnog proračuna
– izravnim financijskim doprinosom partnerskim zemljama u O PROGLAŠENJU ZAKONA O KIBERNETIČKOJ
obliku proračunskih potpora i drugim financijskim instrumentima SIGURNOSTI
iz članka 9. podstavaka 6. i 7. ovoga Zakona, u skladu s uvjetima za Proglašavam Zakon o kibernetičkoj sigurnosti, koji je Hrvatski
odobravanje takvih potpora i instrumenata sabor donio na sjednici 26. siječnja 2024.
– financijskim instrumentima namijenjenima aktivnostima
privatnog sektora u projektima i programima razvojne suradnje iz Klasa: 011-02/24-02/03
članka 9. podstavka 5. ovoga Zakona, pri čemu se definira svrha i Urbroj: 71-10-01/1-24-2
ciljna partnerska zemlja ili regija. Zagreb, 1. veljače 2024.
Predsjednik
Dodjela sredstava za multilateralnu razvojnu suradnju Republike Hrvatske
Članak 13. Zoran Milanović, v. r.
Sredstva za ostvarivanje multilateralne razvojne suradnje dodje-
ljuju se uplatom doprinosa, članarina ili drugih financijskih uplata
putem ili u korist međunarodnih organizacija, institucija, programa
ZAKON
i fondova te pravnim osobama iz članka 10. ovoga Zakona, pri čemu O KIBERNETIČKOJ SIGURNOSTI
nije definirana ciljna partnerska zemlja ili regija.
DIO PRVI
Uvjeti za dodjelu sredstava OSNOVNE ODREDBE
Članak 14.
Cilj i predmet Zakona
Sredstva za provedbu bilateralne i multilateralne razvojne su-
radnje dodjeljuju se u skladu s uvjetima i kriterijima za financiranje Članak 1.
ili sufinanciranje projekata i programa razvojne suradnje te aktom (1) Ovim se Zakonom uređuju postupci i mjere za postizanje
strateškog planiranja iz članka 5. ovoga Zakona. visoke zajedničke razine kibernetičke sigurnosti, kriteriji za kate-
STRANICA 8 – BROJ 14 NARODNE NOVINE
gorizaciju ključnih i važnih subjekata, zahtjevi kibernetičke sigur- stava, u kombinaciji s upotrebom kapaciteta koji se primjenjuju unu-
nosti za ključne i važne subjekte, posebni zahtjevi za upravljanje tar i izvan mrežnog i informacijskog sustava koji je cilj kibernetičkog
podacima o registraciji naziva domena i kontrola njihove proved- napada
be, dobrovoljni mehanizmi kibernetičke zaštite, nadležna tijela u 2. CSIRT je kratica za Computer Security Incident Response
području kibernetičke sigurnosti i njihove zadaće i ovlasti, stručni Team, odnosno nadležno tijelo za prevenciju i zaštitu od kibernetičkih
nadzor nad provedbom zahtjeva kibernetičke sigurnosti, prekršajne incidenata, za koju se koristi i kratica CERT (Computer Emergency
odredbe, praćenje provedbe ovoga Zakona i druga pitanja od značaja Response Team)
za područje kibernetičke sigurnosti. 3. CSIRT mreža je mreža nacionalnih CSIRT-ova osnovana u
(2) Ovim se Zakonom uspostavlja okvir strateškog planiranja svrhu razvoja povjerenja i pouzdanja te promicanja brze i učinko-
i odlučivanja u području kibernetičke sigurnosti te utvrđuju nacio- vite operativne suradnje među državama članicama Europske unije
nalni okviri upravljanja kibernetičkim incidentima velikih razmjera (u daljnjem tekstu: države članice), koju uz predstavnike nacionalnih
i kibernetičkim krizama. CSIRT-ova čine i predstavnici nadležnog tijela za prevenciju i zaštitu
(3) Postizanje i održavanje visoke zajedničke razine kiberne- od kibernetičkih incidenata Europske unije (CERT-EU)
tičke sigurnosti, posebno kroz razvoj i kontinuirano unaprjeđenje 4. digitalna usluga je svaka usluga informacijskog društva odno-
politika kibernetičke zaštite i njihove provedbe, razvoj nacionalnih sno svaka usluga koja se uobičajeno pruža uz naknadu, na daljinu,
sposobnosti u području kibernetičke sigurnosti, jačanje suradnje i elektroničkim sredstvima te na osobni zahtjev primatelja usluge, gdje
koordinacije svih relevantnih tijela, jačanje suradnje javnog i privat- u smislu ovoga pojma:
nog sektora, promicanje razvoja, integracije i upotrebe relevantnih a) »na daljinu« znači da se usluga pruža, a da strane nisu isto-
naprednih i inovativnih tehnologija, promicanje i razvoj obrazovanja dobno prisutne
i osposobljavanja u području kibernetičke sigurnosti te razvojne ak-
tivnosti usmjerene na jačanje svijesti o kibernetičkoj sigurnosti od b) »elektroničkim sredstvima« znači da se usluga od početka šalje
nacionalnog su značaja za Republiku Hrvatsku. i na odredištu prima putem elektroničke opreme za obradu, uključu-
jući digitalno sažimanje i pohranjivanje podataka, te da se u cjelini
(4) Cilj je ovoga Zakona uspostavljanje sustava upravljanja ki-
šalje, prenosi i prima žičanim, radijskim, svjetlosnim ili drugim elek-
bernetičkom sigurnošću koji će osigurati djelotvornu provedbu po-
tromagnetskim sustavom
stupaka i mjera za postizanje visoke razine kibernetičke sigurnosti
u sektorima od posebne važnosti za nesmetano obavljanje ključnih c) »na osobni zahtjev primatelja usluge« znači da se usluga pruža
društvenih i gospodarskih aktivnosti i pravilno funkcioniranje unu- prijenosom podataka na osobni zahtjev
tarnjeg tržišta. 5. elektronička komunikacijska usluga je usluga koja se uobiča-
jeno pruža uz naknadu putem elektroničkih komunikacijskih mreža,
Popis priloga koji su sastavni dio Zakona a obuhvaća, uz iznimku usluga pružanja sadržaja ili obavljanja ured-
ničkog nadzora nad sadržajem koji se prenosi uporabom elektroničkih
Članak 2. komunikacijskih mreža i usluga, sljedeće vrste usluga:
Sastavni su dio ovoga Zakona: a) »uslugu pristupa internetu« odnosno javno dostupnu elektro-
− Prilog I. Sektori visoke kritičnosti (u daljnjem tekstu: Prilog ničku komunikacijsku uslugu kojom se omogućuje pristup internetu
I. ovoga Zakona) te time povezivanje s gotovo svim krajnjim točkama interneta, bez ob-
− Prilog II. Drugi kritični sektori (u daljnjem tekstu: Prilog II. zira na mrežnu tehnologiju i terminalnu opremu koja se upotrebljava
ovoga Zakona) b) »interpersonalnu komunikacijsku uslugu« odnosno uslugu
− Prilog III. Popis nadležnosti u području kibernetičke sigur- koja se, u pravilu, pruža uz naknadu, a omogućuje izravnu interperso-
nosti (u daljnjem tekstu: Prilog III. ovoga Zakona) i nalnu i interaktivnu razmjenu obavijesti putem elektroničkih komuni-
kacijskih mreža između ograničenog broja osoba, pri čemu osobe koje
− Prilog IV. Obvezni sadržaj nacionalnog akta strateškog plani- pokreću komunikaciju ili sudjeluju u njoj određuju njezina primatelja
ranja iz područja kibernetičke sigurnosti (u daljnjem tekstu: Prilog ili više njih. Ova usluga ne obuhvaća usluge koje omogućuju interper-
IV. ovoga Zakona). sonalnu i interaktivnu komunikaciju samo kao manje bitnu pomoćnu
značajku koja je suštinski povezana s drugom uslugom i
Usklađivanje propisa s pravnim aktima Europske unije c) usluge koje se sastoje, u cijelosti ili većim dijelom, od prijenosa
Članak 3. signala, kao što su usluge prijenosa koje se upotrebljavaju za pružanje
Ovim se Zakonom u hrvatsko zakonodavstvo preuzima Direk- usluga komunikacije između strojeva i za radiodifuziju
tiva (EU) 2022/2555 Europskog parlamenta i Vijeća od 14. prosinca 6. EU-CyCLONe mreža je Europska mreža organizacija za vezu
2022. o mjerama za visoku zajedničku razinu kibernetičke sigurno- za kibernetičke krize osnovana s ciljem djelovanja na operativnoj ra-
sti širom Unije, izmjeni Uredbe (EU) br. 910/2014 i Direktive (EU) zini kao posrednik između tehničke razine (CSIRT mreže) i političke
2018/1972 i stavljanju izvan snage Direktive (EU) 2016/1148 (Direk- razine, a u svrhu stvaranja učinkovitog procesa operativnog procjenji-
tiva NIS2) (SL L 333/80, 27. 12. 2022.). vanja i upravljanja tijekom kibernetičkih incidenata velikih razmjera
i kibernetičkih kriza, kao i podupiranja procesa donošenja odluka o
složenim kibernetičkim pitanjima na političkoj razini
Pojmovi
7. IKT je informacijsko-komunikacijska tehnologija
Članak 4. 8. IKT proces je IKT proces kako je definiran u članku 2. točki 14.
(1) U smislu ovoga Zakona pojedini pojmovi imaju sljedeće zna- Uredbe (EU) 2019/881 Europskog parlamenta i Vijeća od 17. travnja
čenje: 2019. o ENISA-i (Agencija Europske unije za kibernetičku sigurnost)
1. aktivna kibernetička zaštita je zaštita koja uvodi napredni pri- te o kibernetičkoj sigurnosnoj certifikaciji u području informacijske i
stup koji umjesto reaktivnog odgovora na incidente, podrazumijeva komunikacijske tehnologije i stavljanju izvan snage Uredbe (EU) br.
njihovu prevenciju odnosno aktivno sprječavanje, otkrivanje, praćenje, 526/2013 (Akt o kibernetičkoj sigurnosti) (Tekst značajan za EGP) (SL
analizu i ublažavanje povreda sigurnosti mrežnih i informacijskih su- L 151/15, 7. 6. 2019.) (u daljnjem tekstu: Uredba (EU) 2019/881)
SRIJEDA, 7. VELJAČE 2024. NARODNE NOVINE
9. IKT proizvod je IKT proizvod kako je definiran u članku 2. snage Direktive 1999/93/EZ (SL L 257/73 28. 8. 2014. – u daljnjem
točki 12. Uredbe (EU) 2019/881 tekstu: Uredba (EU) br. 910/2014)
10. IKT usluga je IKT usluga kako je definirana u članku 2. točki 23. kvalificirana usluga povjerenja je kvalificirana usluga povjere-
13. Uredbe (EU) 2019/881 nja kako je definirana u članku 3. točki 17. Uredbe (EU) br. 910/2014
11. incident je događaj koji ugrožava dostupnost, autentičnost, 24. mreža za isporuku sadržaja je mreža zemljopisno raspoređe-
cjelovitost ili povjerljivost pohranjenih, prenesenih ili obrađenih po- nih poslužitelja u svrhu osiguravanja visoke dostupnosti, pristupačno-
dataka ili usluga koje mrežni i informacijski sustavi nude ili kojima sti ili brze isporuke digitalnog sadržaja i usluga korisnicima interneta
omogućuju pristup u ime pružatelja sadržaja i usluga
12. internetska tražilica je internetska tražilica kako je definirana 25. mrežni i informacijski sustav čine:
u članku 2. točki 5. Uredbe (EU) 2019/1150 Europskog parlamenta i a) »elektronička komunikacijska mreža« odnosno prijenosni
Vijeća od 20. lipnja 2019. o promicanju pravednosti i transparentnosti sustavi koji se temelje na stalnoj infrastrukturi ili centraliziranom
za poslovne korisnike usluga internetskog posredovanja (SL L 186, upravljačkom kapacitetu i, ako je primjenjivo, oprema za prospajanje
11. 7. 2019.) (komutaciju) ili usmjeravanje i druga sredstva, uključujući dijelove
13. internetsko tržište je digitalna usluga kojom se upotrebom sof- mreže koji nisu aktivni, a koji omogućuju prijenos signala žičanim, ra-
tvera, uključujući mrežne stranice, dio mrežnih stranica ili aplikacija dijskim, svjetlosnim ili drugim elektromagnetskim sustavom, što obu-
kojima upravlja trgovac ili kojima se upravlja u njegovo ime potroša- hvaća satelitske mreže, nepokretne zemaljske mreže (s prospajanjem
čima omogućuje sklapanje ugovora na daljinu s drugim trgovcima ili kanala i prospajanjem paketa, uključujući internet), zemaljske mreže
potrošačima pokretnih komunikacija, elektroenergetske kabelske sustave u mjeri
14. istraživačka organizacija je subjekt čiji je primarni cilj pro- u kojoj se upotrebljavaju za prijenos signala, radiodifuzijske mreže i
vođenje primijenjenog istraživanja ili eksperimentalnog razvoja radi mreže kabelske televizije, bez obzira na vrstu podataka koji se prenose
iskorištavanja rezultata tog istraživanja u komercijalne svrhe, ali koji b) svaki uređaj ili skupina povezanih ili srodnih uređaja od kojih
ne uključuje obrazovne ustanove jedan ili više njih programski izvršava automatsku obradu digitalnih
podataka ili
15. izbjegnuti incident je svaki događaj koji je mogao ugroziti c) digitalni podaci koji se pohranjuju, obrađuju, dobivaju ili pre-
dostupnost, autentičnost, cjelovitost ili povjerljivost pohranjenih, prenose elementima opisanima u podtočkama a) i b) ove točke, u svrhu
nesenih ili obrađenih podataka ili usluga koje mrežni i informacijski njihova rada, uporabe, zaštite i održavanja
sustavi nude ili kojima omogućuju pristup, ali je uspješno spriječen 26. nacionalni akt strateškog planiranja iz područja kibernetičke
ili se nije ostvario sigurnosti je sveobuhvatan okvir kojim se definiraju posebni ciljevi i
16. javna elektronička komunikacijska mreža je elektronička ko- prioriteti u području kibernetičke sigurnosti i upravljanje za njihovo
munikacijska mreža koja se u cijelosti ili većim dijelom upotrebljava postizanje
za pružanje javno dostupnih elektroničkih komunikacijskih usluga 27. nadležna tijela za provedbu posebnih zakona su Hrvatska na-
koje podržavaju prijenos podataka među završnim točkama mreže rodna banka, Hrvatska agencija za nadzor financijskih usluga i Hrvat-
17. javni subjekti su pravne osobe čiji je osnivač Republika Hrvat- ska agencija za civilno zrakoplovstvo
ska ili jedinica lokalne ili područne (regionalne) samouprave, pravne 28. nadležna tijela za provedbu zahtjeva kibernetičke sigurnosti su
osobe koje obavljaju javnu službu, pravne osobe koje se na temelju središnje državno tijelo za kibernetičku sigurnost, središnje državno
posebnog propisa financiraju pretežito ili u cijelosti iz državnog pro- tijelo za informacijsku sigurnost, regulatorno tijelo za mrežne djelat-
računa ili iz proračuna jedinica lokalne i područne (regionalne) sa- nosti, tijelo državne uprave nadležno za razvoj digitalnog društva i
mouprave odnosno iz javnih sredstava i trgovačka društva u kojima tijelo državne uprave nadležno za znanost i obrazovanje
Republika Hrvatska i jedinice lokalne i područne (regionalne) samo- 29. nadležni CSIRT je CSIRT pri središnjem državnom tijelu za
uprave imaju zasebno ili zajedno većinsko vlasništvo, ne uključujući kibernetičku sigurnost ili CSIRT pri Hrvatskoj akademskoj i istraživač-
Hrvatsku narodnu banku koj mreži – CARNET (u daljnjem tekstu: CARNET), ovisno o podjeli
18. jedinstvena kontaktna točka je nacionalna kontaktna točka nadležnosti utvrđenoj ovim Zakonom
odgovorna za nacionalnu koordinaciju i suradnju s drugim državama 30. norma je norma kako je definirana u članku 2. točki 1.
članicama u pitanjima sigurnosti mrežnih i informacijskih sustava Uredbe (EU) br. 1025/2012 Europskog parlamenta i Vijeća o europ-
19. kibernetička prijetnja je kibernetička prijetnja kako je defini- skoj normizaciji, o izmjeni direktiva Vijeća 89/686/EEZ i 93/15/EEZ i
rana u članku 2. točki 8. Uredbe (EU) 2019/881 direktiva 94/9/EZ, 94/25/EZ, 95/16/EZ, 97/23/EZ, 98/34/EZ, 2004/22/
EZ, 2007/23/EZ, 2009/23/EZ i 2009/105/EZ Europskog parlamenta i
20. kibernetički sigurnosni incident velikih razmjera je incident Vijeća te o stavljanju izvan snage Odluke Vijeća 87/95/EEZ i Odluke
na razini Europske unije koji uzrokuje poremećaje koji premašuju br. 1673/ 2006/EZ Europskog parlamenta i Vijeća (SL L 316, 14. 11.
sposobnost jedne države članice za odgovor na incident ili koji ima 2012. – u daljnjem tekstu: Uredba (EU) br. 1025/2012)
znatan učinak na najmanje dvije države članice, kao i incident na na- 31. osobni podaci su svi podaci kako su definirani člankom 4.
cionalnoj razini koji uzrokuje poremećaje koji premašuju sposobnost stavkom 1. točkom 1. Uredbe (EU) 2016/679 Europskog parlamenta i
sektorskog CSIRT tijela za odgovor na incident ili koji ima znatan Vijeća od 27. travnja 2016. o zaštiti pojedinaca u vezi s obradom osob-
učinak na najmanje dva sektora te se u takvim slučajevima pokreću nih podataka i o slobodnom kretanju takvih podataka te o stavljanju
procedure upravljanja kibernetičkim krizama, usklađene s postojećim izvan snage Direktive 95/46/EZ (Opća uredba o zaštiti podataka) (SL
nacionalnim općim okvirom upravljanja krizama i okvirom za uprav- L 119/1, 4. svibnja 2016.) (u daljnjem tekstu: Uredba (EU) 2016/679),
ljanje kibernetičkim krizama Europske unije a osobito informacije potrebne za identifikaciju korisnika domena i
21. kibernetička sigurnost je kibernetička sigurnost kako je defi- kontaktnih točaka koje upravljaju nazivima domena, kao i IP adrese
nirana u članku 2. točki 1. Uredbe (EU) 2019/881 (adresa internet protokola koja se koristi na svakom uređaju spojenom
22. kvalificirani pružatelj usluga povjerenja je kvalificirani pruža- na internet), jedinstveni lokatori resursa (URL-ovi), nazivi domena,
telj usluga povjerenja kako je definiran u članku 3. točki 20. Uredbe adrese e-pošte, vremenski žigovi i druge informacije koje u određe-
(EU) br. 910/2014 o elektroničkoj identifikaciji i uslugama povjerenja nim slučajevima, u okviru aktivnosti koje se provode na temelju ovoga
za elektroničke transakcije na unutarnjem tržištu i stavljanju izvan Zakona, mogu otkrivati osobne podatke
32. ozbiljna kibernetička prijetnja je kibernetička prijetnja za koju 45. rizik je mogućnost gubitka ili poremećaja uzrokovana inci-
se na temelju njezinih tehničkih obilježja može pretpostaviti da može dentom koji se izražava kao kombinacija opsega takvog gubitka ili
imati ozbiljan učinak na mrežne i informacijske sustave nekog subjek- poremećaja i vjerojatnosti pojave tog incidenta
ta ili korisnike usluga subjekta, uzrokovanjem znatne materijalne ili 46. sigurnost mrežnih i informacijskih sustava je sposobnost
nematerijalne štete odnosno prekida usluga korisnicima mrežnih i informacijskih sustava da na određenoj razini pouzdanosti
33. platforma za usluge društvenih mreža je platforma koja kraj- odolijevaju svim događajima koji mogu ugroziti dostupnost, autentič-
njim korisnicima omogućuje međusobno povezivanje, dijeljenje i nost, cjelovitost ili povjerljivost pohranjenih, prenesenih ili obrađenih
otkrivanje sadržaja te komuniciranje na više uređaja, posebno preko podataka ili usluga koje ti mrežni i informacijski sustavi nude ili ko-
razgovora, objava, videozapisa i preporuka jima omogućuju pristup
34. postupanje s incidentom su sve radnje i postupci čiji je cilj 47. sistemski rizik je rizik od poremećaja u funkcioniranju usluge
sprečavanje, otkrivanje, analiza, zaustavljanje incidenta ili odgovor na odnosno u obavljanju djelatnosti koji bi mogao imati ozbiljne negativ-
njega te oporavak od incidenta ne posljedice za jedan ili više sektora ili bi mogao imati prekogranični
35. predstavnik je fizička ili pravna osoba koja ima poslovni na- učinak
stan u Europskoj uniji koju su pružatelj usluga sustava naziva dome- 48. Skupina za suradnju je skupina osnovana u svrhu podupi-
na (u daljnjem tekstu: pružatelj usluga DNS-a), registar naziva vršne ranja i olakšavanja strateške suradnje i razmjene informacija među
nacionalne internetske domene, registrar, pružatelj usluga računalstva državama članicama te razvijanja povjerenja i sigurnosti na razini
u oblaku, pružatelj usluga podatkovnog centra, pružatelj mreža za is- Europske unije u području kibernetičke sigurnosti
poruku sadržaja, pružatelj upravljanih usluga, pružatelj upravljanih 49. središnje državno tijelo za informacijsku sigurnost je Ured Vi-
sigurnosnih usluga, ili pružatelj internetskog tržišta, pružatelj inter- jeća za nacionalnu sigurnost
netske tražilice ili pružatelj platforme za usluge društvenih mreža koji 50. središnje državno tijelo za kibernetičku sigurnost je Sigurno-
nema poslovni nastan u Europskoj uniji izričito imenovali da djeluje sno-obavještajna agencija
u njihovo ime i kojoj se nadležno tijelo ili CSIRT mogu obratiti umje- 51. središnje državno tijelo za obavljanje poslova u tehničkim po-
sto samom subjektu u pogledu obveza tog subjekta na temelju ovoga dručjima informacijske sigurnosti je Zavod za sigurnost informacijskih
Zakona sustava
36. privatni subjekti su fizičke ili pravne osobe osnovane i pri- 52. središte za razmjenu internetskog prometa je mrežni instru-
znate kao takve na temelju nacionalnog prava mjesta svojeg poslov- ment koji omogućuje međupovezivanje više od dviju neovisnih mreža
nog nastana koje mogu, djelujući u vlastito ime, ostvarivati prava i (autonomnih sustava), prije svega u svrhu olakšavanja razmjene inter-
preuzimati obveze netskog prometa, koji omogućuje međupovezivanje samo za autono-
37. pružatelj upravljanih sigurnosnih usluga je pružatelj uprav- mne sustave i za koji nije potrebno da internetski promet između bilo
ljanih usluga koji provodi ili pruža pomoć za aktivnosti povezane s kojih dvaju autonomnih sustava sudionika prođe kroz bilo koji treći
upravljanjem kibernetičkim sigurnosnim rizicima autonomni sustav te koji takav promet ne mijenja i ne utječe na njega
38. pružatelj upravljanih usluga je subjekt koji pruža usluge po- ni na koji drugi način
vezane s instalacijom, upravljanjem, radom ili održavanjem IKT pro- 53. subjekt je svaki javni subjekt, privatni subjekt i subjekt javnog
izvoda, mreža, infrastrukture, aplikacija ili bilo kojih drugih mrežnih sektora
i informacijskih sustava, u obliku pomoći ili aktivnog upravljanja koje 54. subjekti javnog sektora su tijela državne uprave, druga držav-
se provodi u prostorima klijenata ili na daljinu na tijela, pravne osobe s javnim ovlastima, jedinice lokalne i područ-
39. pružatelj usluga DNS-a je subjekt koji pruža: ne (regionalne) samouprave, kao i privatni i javni subjekti za koje se
a) javno dostupne rekurzivne usluge razlučivanja naziva domena provodi kategorizacija na temelju ovoga Zakona zbog njihove uloge
krajnjim korisnicima interneta i/ili u upravljanju, razvijanju ili održavanju državne informacijske infra-
b) mjerodavne usluge razlučivanja naziva domena za upotrebu strukture
trećih strana, uz iznimku korijenskih poslužitelja naziva 55. sustav naziva domena ili DNS je hijerarhijsko raspoređeni
40. pružatelj usluga povjerenja je pružatelj usluga povjerenja kako sustav imenovanja koji omogućuje utvrđivanje internetskih usluga i
je definiran u članku 3. točki 19. Uredbe (EU) br. 910/2014 resursa, čime se krajnjim korisnicima uređaja omogućuje korištenje
internetskim uslugama usmjeravanja i povezivosti za pristupanje tim
41. ranjivost je slabost, osjetljivost ili nedostatak IKT proizvoda uslugama i resursima
ili IKT usluga koje kibernetička prijetnja može iskoristiti
56. sustav obrazovanja obuhvaća rani i predškolski odgoj i ob-
42. registar naziva vršne nacionalne internetske domene je subjekt razovanje, osnovno obrazovanje, srednje obrazovanje i visoko obra-
kojem je delegirana određena vršna internetska domena i koji je odgo- zovanje, praćenje, vrednovanje i razvoj sustava te provedbu programa
voran za upravljanje njome, uključujući registraciju naziva domena u
okviru vršne domene i tehničko upravljanje vršnom domenom, uklju- 57. tehnička specifikacija je tehnička specifikacija kako je defini-
čujući upravljanje njezinim poslužiteljima naziva, održavanje njezinih rana u članku 2. točki 4. Uredbe (EU) br. 1025/2012
baza podataka i distribuciju datoteka iz zone vršne domene u poslu- 58. tijelo državne uprave nadležno za razvoj digitalnog društva je
žitelje naziva, neovisno o tome obavlja li sam subjekt bilo koju od tih Središnji državni ured za razvoj digitalnog društva
operacija ili za njihovo obavljanje koriste vanjskog davatelja usluge, ali 59. tijelo državne uprave nadležno za znanost i obrazovanje je
su isključene situacije u kojima registar koristi nazive vršnih domena Ministarstvo znanosti i obrazovanja
samo za vlastitu upotrebu. U Republici Hrvatskoj to je CARNET 60. tijelo nadležno za zaštitu osobnih podataka je Agencija za za-
43. registrar je subjekt koji pruža usluge registracije naziva dome- štitu osobnih podataka ili drugo nadzorno tijelo iz članaka 55. i 56.
na odnosno pravna ili fizička osoba koja obavlja samostalnu djelatnost Uredbe (EU) 2016/679
ovlaštena za registraciju i administraciju.hr domena u ime registra 61. treća strana pružatelj IKT usluga je pružatelj IKT usluga
naziva vršne nacionalne internetske domene kako je definiran u članku 3. točki 19. Uredbe (EU) 2022/2554 Eu-
44. regulatorno tijelo za mrežne djelatnosti je Hrvatska regulator- ropskog parlamenta i Vijeća od 14. prosinca 2022. o digitalnoj ope-
na agencija za mrežne djelatnosti rativnoj otpornosti za financijski sektor i o izmjeni uredbi (EZ) br.
1060/2009, (EU) br. 648/2012, (EU) br. 600/2014, (EU) br. 909/2014 i Primjena posebnih zakona u pitanjima kibernetičke
(EU) 2016/1011 (SL L 333/1 27. 12. 2022. – u daljnjem tekstu: Uredba sigurnosti
(EU) 2022/2554)
Članak 8.
62. upravljačko tijelo ključnog i važnog subjekta je tijelo ili tijela
imenovana u skladu sa zakonom kojim se uređuje osnivanje i poslo- (1) Ako su za ključne i važne subjekte iz pojedinih sektora iz
vanje subjekta, a koja raspolažu ovlastima za upravljanje i vođenje Priloga I. i Priloga II. ovoga Zakona posebnim zakonima propisani
poslova subjekta zahtjevi koji po svom sadržaju i svrsi odgovaraju zahtjevima kiber-
63. usluga podatkovnog centra je usluga koja uključuje strukture netičke sigurnosti iz ovoga Zakona, ili predstavljaju strože zahtjeve,
ili skupine struktura namijenjenih centraliziranom smještaju, među- na te se subjekte primjenjuju odgovarajuće odredbe tog posebnog
povezivanju i radu opreme informacijske tehnologije i mreža za usluge zakona u onim pitanjima koja su vezano uz te zahtjeve i njihovu
pohrane, obrade i prijenosa podataka, uključujući sve objekte i infra- provedbu tim propisima uređena, uključujući odredbe o nadzoru
strukturu za distribuciju električne energije i kontrolu okoliša nad provedbom zahtjeva.
64. usluga povjerenja je usluga povjerenja kako je definirana u
(2) Zahtjevi iz stavka 1. ovoga članka po svom sadržaju i svrsi
članku 3. točki 16. Uredbe (EU) br. 910/2014
65. usluga računalstva u oblaku je digitalna usluga koja omogu- odgovaraju zahtjevima kibernetičke sigurnosti iz ovoga Zakona ako:
ćuje administraciju na zahtjev i širok daljinski pristup nadogradivom – su po svom učinku barem jednakovrijedni mjerama upravlja-
i elastičnom skupu djeljivih računalnih resursa, među ostalim kad su nja kibernetičkim sigurnosnim rizicima utvrđenim ovim Zakonom
takvi resursi raspoređeni na nekoliko lokacija – je posebnim zakonom utvrđen neposredan, po potrebi i au-
66. zaposlenik subjekta je fizička osoba koja u radnom odnosu tomatski i izravan pristup obavijestima o incidentima nadležnom
obavlja određene poslove za subjekt, uključujući fizičku osobu koja CSIRT-u te ako su obveze obavještavanja o značajnim incidentima
je, prema propisu o trgovačkim društvima, kao član uprave ili izvršni iz posebnog zakona po učinku barem jednakovrijedne obvezama
direktor ili fizička osoba koja je u drugom svojstvu prema posebnom obavještavanja o značajnim incidentima utvrđenim ovim Zakonom.
zakonu, pojedinačno i samostalno ili zajedno i skupno, ovlaštena vodi-
ti poslove subjekta, ili fizičku osobu koja kao radnik u radnom odnosu (3) Tijela koja su prema posebnim zakonima iz stavka 1. ovoga
obavlja određene poslove za subjekt. članka nadležna za sektor odnosno podsektor i/ili subjekt iz Priloga
(2) Izrazi koji se koriste u ovome Zakonu, a imaju rodno značenje I. i Priloga II. ovoga Zakona i nadležna tijela za provedbu zahtjeva
odnose se jednako na muški i ženski rod. kibernetičke sigurnosti dužna su prilikom primjene stavaka 1. i 2.
ovoga članka međusobno surađivati i razmjenjivati relevantne infor-
Primjena posebnih propisa o zaštiti tajnosti i povjerljivosti macije te voditi računa o smjernicama Europske komisije kojima se
podataka objašnjava primjena povezanog mjerodavnog prava Europske unije.
Članak 5.
(1) Ako u provedbi ovoga Zakona nastaju ili se koriste klasifici- DIO DRUGI
rani podaci ili drugi podaci za koje su posebnim propisima utvrđena KATEGORIZACIJA SUBJEKATA
pravila postupanja radi zaštite njihove tajnosti ili povjerljivosti, na
takve podatke primjenjuju se posebni propisi o njihovoj zaštiti. POGLAVLJE I.
(2) Ovaj se Zakon ne primjenjuje na informacijske sustave si- KRITERIJI ZA PROVEDBU KATEGORIZACIJE SUBJEKATA
gurnosno akreditirane za postupanje s klasificiranim podacima.
Opći kriteriji za provedbu kategorizacije ključnih subjekata
Primjena pravila o zaštiti osobnih podataka Članak 9.
Članak 6. U kategoriju ključnih subjekata razvrstavaju se:
(1) Primjena odredaba ovoga Zakona ne utječe na obveze pru- – privatni i javni subjekti iz Priloga I. ovoga Zakona koji prelaze
žatelja javnih elektroničkih komunikacijskih mreža ili pružatelje gornje granice za srednje subjekte maloga gospodarstva utvrđene
javno dostupnih elektroničkih komunikacijskih usluga da obrađuju zakonom kojim se uređuju osnove za primjenu poticajnih mjera
osobne podatke sukladno posebnim propisima o zaštiti osobnih po- gospodarske politike usmjerenih razvoju, restrukturiranju i tržišnom
dataka i zaštiti privatnosti. prilagođavanju maloga gospodarstva
(2) Primjena odredaba ovoga Zakona ne utječe na obveze ključ- – kvalificirani pružatelji usluga povjerenja, registar naziva vršne
nih i važnih subjekata da u slučaju povrede osobnih podataka postu- nacionalne internetske domene te pružatelji usluga DNS-a, neovisno
paju sukladno odredbama članaka 33. i 34. Uredbe (EU) 2016/679. o njihovoj veličini
– pružatelji javnih elektroničkih komunikacijskih mreža ili jav-
Odnos sa zakonom kojim se uređuje područje elektroničkih no dostupnih elektroničkih komunikacijskih usluga koji predstavlja-
komunikacija ju srednji subjekt maloga gospodarstva na temelju zakona kojim se
Članak 7. uređuju osnove za primjenu poticajnih mjera gospodarske politike
(1) Primjena odredaba ovoga Zakona ne utječe na obvezu usmjerenih razvoju, restrukturiranju i tržišnom prilagođavanju ma-
provedbe temeljnih zahtjeva za elektroničku komunikacijsku infra- loga gospodarstva ili koji prelaze gornje granice za srednje subjekte
strukturu i drugu povezanu opremu propisanih zakonom kojim je maloga gospodarstva
uređeno područje elektroničkih komunikacija. – informacijski posrednici u razmjeni elektroničkog računa
(2) Primjena odredaba ovoga Zakona ne utječe na pravila među poduzetnicima, neovisno o njihovoj veličini i
upravljanja vršnom nacionalnom internetskom domenom te prava – subjekti koji su utvrđeni kao kritični subjekti na temelju za-
i obveze korisnika domena propisanih zakonom kojim je uređeno kona kojim se uređuje područje kritične infrastrukture, neovisno o
područje elektroničkih komunikacija. njihovoj veličini.
Opći kriteriji za provedbu kategorizacije važnih subjekata (3) Jedinice lokalne i područne (regionalne) samouprave razvr-
stavaju se, neovisno o njihovoj veličini, u kategoriju važnih subjeka-
Članak 10. ta, ovisno o rezultatima provedene procjene njihove važnosti za ne-
U kategoriju važnih subjekata razvrstavaju se: smetano obavljanje ključnih društvenih ili gospodarskih djelatnosti.
– privatni i javni subjekti iz Priloga II. ovoga Zakona koji pred-
stavljaju srednji subjekt maloga gospodarstva na temelju zakona ko- Kategorizacija subjekata iz sustava obrazovanja
jim se uređuju osnove za primjenu poticajnih mjera gospodarske Članak 13.
politike usmjerenih razvoju, restrukturiranju i tržišnom prilagođa-
vanju maloga gospodarstva ili koji prelaze gornje granice za srednje Iznimno od članka 10. podstavka 1. ovoga Zakona, privatni
subjekte maloga gospodarstva i javni subjekti iz sustava obrazovanja razvrstavaju se, neovisno o
njihovoj veličini, u kategoriju važnih subjekata, ovisno o rezultati-
– privatni i javni subjekti iz Priloga I. ovoga Zakona koji nisu ma provedene procjene njihove posebne važnosti na nacionalnoj ili
utvrđeni kao ključni subjekti na temelju članka 9. podstavka 1. regionalnoj razini za obavljanje odgojnog odnosno obrazovnog rada.
ovoga Zakona, a predstavljaju srednji subjekt maloga gospodarstva
na temelju zakona kojim se uređuju osnove za primjenu poticajnih Određivanje nadležnosti na temelju teritorijalnosti
mjera gospodarske politike usmjerenih razvoju, restrukturiranju i
tržišnom prilagođavanju maloga gospodarstva Članak 14.
– pružatelji usluga povjerenja koji nisu kategorizirani kao ključ- (1) Subjekti iz Priloga I. i Priloga II. ovoga Zakona podliježu
ni subjekti na temelju članka 9. podstavka 2. ovoga Zakona, neovi- nadležnostima i ovlastima propisanim ovim Zakonom ako pružaju
sno o njihovoj veličini, i usluge odnosno obavljaju djelatnosti na području Europske unije, a
– pružatelji javnih elektroničkih komunikacijskih mreža ili jav- imaju poslovni nastan na teritoriju Republike Hrvatske.
no dostupnih elektroničkih komunikacijskih usluga koji nisu katego- (2) Iznimno od stavka 1. ovoga članka, pružatelji javnih elek-
rizirani kao ključni subjekti na temelju članka 9. podstavka 3. ovoga troničkih komunikacijskih mreža ili javno dostupnih elektroničkih
Zakona, neovisno o njihovoj veličini. komunikacijskih usluga podliježu nadležnostima i ovlastima propi-
sanim ovim Zakonom ako svoje usluge pružaju na teritoriju Repu-
Posebni kriteriji za provedbu kategorizacije ključnih i važnih blike Hrvatske, neovisno o državi poslovnog nastana.
subjekata (3) Iznimno od stavka 1. ovoga članka, pružatelji usluga DNS-a,
registar naziva vršne nacionalne internetske domene i registri, pru-
Članak 11. žatelji usluga računalstva u oblaku, pružatelji usluga podatkovnog
Iznimno od članka 9. podstavka 1. i članka 10. podstavaka 1. centra, pružatelji mreža za isporuku sadržaja, pružatelji upravljanih
i 2. ovoga Zakona, privatni i javni subjekti iz Priloga I. i Priloga II. usluga, pružatelji upravljanih sigurnosnih usluga, pružatelji inter-
ovoga Zakona mogu se razvrstati u kategoriju ključnih ili važnih netskih tržišta, pružatelji internetskih tražilica ili pružatelji platfor-
subjekata, neovisno o njihovoj veličini, ako: mi za usluge društvenih mreža podliježu nadležnostima i ovlastima
– je subjekt jedini pružatelj usluge koja je ključna za održavanje propisanim ovim Zakonom ako na teritoriju Republike Hrvatske
ključnih društvenih ili gospodarskih djelatnosti imaju glavni poslovni nastan ili njihov predstavnik ima poslovni
– bi poremećaj u funkcioniranju usluge koju pruža subjekt nastan na teritoriju Republike Hrvatske.
odnosno poremećaj u obavljanju djelatnosti subjekta mogao imati (4) Subjekt ima glavni poslovni nastan u smislu stavka 3. ovoga
znatan učinak na javnu sigurnost, javnu zaštitu ili javno zdravlje članka ako na teritoriju Republike Hrvatske:
– bi poremećaj u funkcioniranju usluge koju pruža subjekt od- – pretežno donosi odluke povezane s mjerama upravljanja ki-
nosno poremećaj u obavljanju djelatnosti subjekta mogao uzrokovati bernetičkim sigurnosnim rizicima ili
znatne sistemske rizike u sektorima iz Priloga I. i Priloga II. ovoga – provodi mjere upravljanja kibernetičkim sigurnosnim rizici-
Zakona, posebno u sektorima u kojima bi takav poremećaj mogao ma kada se država članica u kojoj donosi odluke iz podstavka 1.
imati prekogranični učinak ili ovoga stavka ne može utvrditi ili takve odluke subjekt ne donosi u
– je subjekt značajan zbog svoje posebne važnosti na nacional- Europskoj uniji ili
noj, regionalnoj ili lokalnoj razini za određeni sektor ili vrstu usluge – ima poslovnu jedinicu s najvećim brojem zaposlenika u Eu-
ili za druge međuovisne sektore u Republici Hrvatskoj. ropskoj uniji kada se država članica u kojoj provodi aktivnosti iz
podstavka 2. ovoga stavka ne može utvrditi.
Kategorizacija subjekata javnog sektora
Članak 12. Primjena kriterija veličine subjekta
(1) U kategoriju ključnih subjekata razvrstavaju se, neovisno o Članak 15.
njihovoj veličini: (1) Prilikom utvrđivanja predstavlja li subjekt srednji subjekt
– tijela državne uprave i maloga gospodarstva odnosno subjekt koji prelazi gornje granice za
– druga državna tijela i pravne osobe s javnim ovlastima, ovi- srednje subjekte maloga gospodarstva na temelju zakona kojim se
sno o rezultatima provedene procjene njihove važnosti za nesmetano uređuju osnove za primjenu poticajnih mjera gospodarske politike
obavljanje ključnih društvenih ili gospodarskih djelatnosti. usmjerenih razvoju, restrukturiranju i tržišnom prilagođavanju ma-
(2) Iznimno od članka 9. podstavka 1. i članka 10. podstavka loga gospodarstva, uzima se u obzir:
2. ovoga Zakona, privatni i javni subjekti koji upravljaju, razvijaju – godišnji prosjek ukupnog broja zaposlenika subjekta i
ili održavaju državnu informacijsku infrastrukturu sukladno zakonu – ukupan godišnji poslovni prihod subjekta prema financijskim
kojim se uređuje državna informacijska infrastruktura razvrstavaju izvještajima za prethodnu godinu ili ukupna aktiva subjekta ako je
se u kategoriju ključnih subjekata, neovisno o njihovoj veličini. obveznik poreza na dobit odnosno ukupna dugotrajna imovina su-
bjekta ako je obveznik poreza na dohodak, neovisno o tome pruža primitka te obavijesti mijenjaju i obveze kojima podliježu na temelju
li subjekt i druge usluge odnosno obavlja li i druge djelatnosti koje ovoga Zakona i provedbenog propisa o zahtjevima kibernetičke si-
nisu obuhvaćene Prilogom I. i Prilogom II. ovoga Zakona. gurnosti iz ovoga Zakona, s naznakom bitnih promjena o kojima
(2) Prilikom kategorizacije subjekata vodi se računa o smjerni- moraju voditi računa ovisno o promjeni kategorije o kojoj se oba-
cama Europske komisije o provedbi kriterija veličine koji se primje- vještava.
njuju na mikropoduzeća i mala poduzeća. (3) Nadležna tijela za provedbu zahtjeva kibernetičke sigurnosti
dužna su subjekte koji se nakon ažuriranja popisa ključnih i važnih
Primjena Zakona u slučaju dvostruke kategorizacije subjekta subjekata više ne smatraju ni ključnim subjektima ni važnim subjek-
Članak 16. tima obavijestiti o toj činjenici te činjenici da od datuma primitka
te obavijesti više ne podliježu obvezama provedbe zahtjeva kiberne-
Ako je subjekt razvrstan u kategoriju i ključnih i važnih subje- tičke sigurnosti iz ovoga Zakona.
kata, na takvog se subjekta primjenjuju odredbe ovoga Zakona koje
se odnose na ključne subjekte. (4) Nadležna tijela za provedbu zahtjeva kibernetičke sigurnosti
dužna su o provedenoj kategorizaciji subjekta, kao i promjenama
iz stavaka 2. i 3. ovoga članka obavijestiti subjekte u roku od 30
POGLAVLJE II.
dana od dana provedene kategorizacije subjekta ili ažuriranja popisa
POPISI KLJUČNIH I VAŽNIH SUBJEKATA ključnih i važnih subjekata.
Vođenje popisa
Članak 17.
Obveze subjekata iz Priloga I. i Priloga II. Zakona u
prikupljanju podataka
(1) Nadležna tijela za provedbu zahtjeva kibernetičke sigurnosti
i nadležna tijela za provedbu posebnih zakona provode kategori- Članak 20.
zaciju subjekata sukladno ovom Zakonu te utvrđuju i vode popise (1) Za potrebe kategorizacije subjekata sukladno ovom Zakonu
ključnih i važnih subjekata. te vođenja popisa ključnih i važnih subjekata, subjekti iz Priloga I.
(2) Nadležna tijela za provedbu zahtjeva kibernetičke sigurnosti i Priloga II. ovoga Zakona dužni su nadležnim tijelima za provedbu
i nadležna tijela za provedbu posebnih zakona dužna su redovito, a zahtjeva kibernetičke sigurnosti i nadležnim tijelima za provedbu
najmanje jednom u dvije godine provjeravati popise ključnih i važ- posebnih zakona, na njihov zahtjev, dostaviti sljedeće podatke:
nih subjekata te ih, po potrebi, ažurirati. – naziv subjekta
– adresu i ažurirane podatke za kontakt, uključujući adrese e-
Dostava podataka Europskoj komisiji i Skupini za suradnju pošte, IP adresne raspone i telefonske brojeve
Članak 18. – relevantni sektor, podsektor i vrstu subjekta iz Priloga I. i
(1) Jedinstvena kontaktna točka svake dvije godine dostavlja: Priloga II. ovoga Zakona
– Europskoj komisiji i Skupini za suradnju podatke o broju – popis država članica u kojima pružaju usluge obuhvaćene
ključnih i važnih subjekata razvrstanih na temelju članka 9. pod- područjem primjene ovoga Zakona
stavaka 1., 2., 3. i 5., članka 10. i članka 12. stavka 1. podstavka 1. – druge podatke o pružanju svojih usluga ili obavljanju svojih
i stavka 3. ovoga Zakona, za svaki sektor i podsektor iz Priloga I. i djelatnosti bitne za provedbu kategorizacije subjekta ili utvrđivanje
Priloga II. ovoga Zakona nadležnosti nad subjektom.
– Europskoj komisiji podatke o broju ključnih i važnih su- (2) Rokovi za dostavu podataka na temelju stavka 1. ovoga
bjekata razvrstanih na temelju članka 11. ovoga Zakona, sektoru i članka određuju se ovisno o opsegu i složenosti podataka na koje se
podsektoru kojima pripadaju, vrsti usluge koju pružaju i odredbama zahtjev odnosi, s tim da ostavljeni rok ne može biti kraći od 15 dana
članka 11. ovoga Zakona na temelju kojih je provedena kategoriza- niti duži od 45 dana od dana primitka zahtjeva za dostavu podataka.
cija, a dodatno, na njezin zahtjev, može Europskoj komisiji dostaviti (3) Subjekti iz stavka 1. ovoga članka dužni su bez odgode, u
i podatke o nazivima tih subjekata. roku od dva tjedna od datuma promjene, obavijestiti nadležno tije-
(2) Nadležna tijela za provedbu zahtjeva kibernetičke sigurnosti lo za provedbu zahtjeva kibernetičke sigurnosti odnosno nadležno
i nadležna tijela za provedbu posebnih zakona dužna su jedinstvenoj tijelo za provedbu posebnih zakona o svim promjenama podataka
kontaktnoj točki dostavljati podatke potrebne za dostavu podataka koje su tom tijelu dostavili u skladu sa stavkom 1. ovoga članka.
sukladno stavku 1. ovoga članka.
Prikupljanje podataka iz drugih izvora radi provedbe
Obavijesti o provedenoj kategorizaciji subjekata kategorizacije subjekata
Članak 19. Članak 21.
(1) Nadležna tijela za provedbu zahtjeva kibernetičke sigurnosti (1) Tijela državne uprave, druga državna tijela, jedinice lokalne
dužna su sve subjekte s popisa iz članka 17. stavka 1. ovoga Zakona i područne (regionalne) samouprave, pravne osobe s javnim ovlasti-
koji su u njihovoj nadležnosti obavijestiti o provedenoj kategorizaciji ma i javni subjekti koji u okviru svog djelokruga prikupljaju podatke
subjekta i obvezama kojima podliježu na temelju ovoga Zakona i odnosno vode registre, evidencije i zbirke podataka o subjektima iz
provedbenog propisa o zahtjevima kibernetičke sigurnosti iz ovoga Priloga I. i Priloga II. ovoga Zakona dužni su, bez naknade, nadlež-
Zakona. nim tijelima za provedbu zahtjeva kibernetičke sigurnosti:
(2) Nadležna tijela za provedbu zahtjeva kibernetičke sigurno- – redovito dostavljati popise subjekata iz Priloga I. i Priloga
sti dužna su subjekte u odnosu na koje je nakon ažuriranja popisa II. ovoga Zakona odnosno omogućiti pristup odgovarajućim poda-
ključnih i važnih subjekata došlo do promjene u kategorizaciji su- cima u registrima, evidencijama i zbirkama podataka elektroničkim
bjekta obavijestiti o promjeni kategorije te činjenici da se od datuma putem
– na zahtjev nadležnog tijela za provedbu zahtjeva kibernetičke (4) Po zaprimanju podaci iz stavaka 1. i 3. ovoga članka, osim
sigurnosti, za subjekte s popisa iz podstavka 1. ovoga stavka do- podataka iz stavka 1. podstavka 6. ovoga članka, dostavljaju se bez
stavljati: odgode, putem jedinstvene kontaktne točke, Europskoj agenciji za
a) podatke o njihovoj veličini i/ili kibernetičku sigurnost (u daljnjem tekstu: ENISA).
b) druge podatke o subjektima, uključujući podatke o pružanju
njihovih usluga ili obavljanju njihovih djelatnosti, ako su takvi po- Provedbeni propis o kategorizaciji subjekata, vođenju popisa
daci potrebni za provođenje kategorizacije subjekata sukladno ovom ključnih i važnih subjekata i posebnog registra subjekata
Zakonu ili
Članak 24.
c) ih uputiti na tijelo državne uprave, drugo državno tijelo, je-
dinicu lokalne i područne (regionalne) samouprave, pravnu osobu Mjerila za razvrstavanje subjekata u kategoriju ključnih od-
s javnim ovlastima ili javnog subjekta koji takve podatke posjeduje. nosno važnih subjekata na temelju posebnih kriterija iz članka 11.
ovoga Zakona, kriteriji za provođenje procjena iz članka 12. stavka
(2) Ako se podaci na temelju ovoga članka dostavljaju na za- 1. podstavka 2. i stavka 3. i članka 13. ovoga Zakona, vođenje popi-
htjev nadležnih tijela za provedbu zahtjeva kibernetičke sigurnosti, sa ključnih i važnih subjekata, prikupljanje podataka u svrhu pro-
rokovi za dostavu podataka određuju se ovisno o opsegu i složenosti vođenja kategorizacije subjekata sukladno ovom Zakonu i vođenje
podataka na koje se zahtjev odnosi, s tim da ostavljeni rok ne može posebnog registra subjekata iz članka 22. ovoga Zakona propisuje
biti kraći od 15 dana niti duži od 45 dana od dana primitka zahtjeva Vlada Republike Hrvatske (u daljnjem tekstu: Vlada) uredbom, na
za dostavu podataka. prijedlog središnjeg državnog tijela za kibernetičku sigurnost.
POGLAVLJE III.
POSEBAN REGISTAR SUBJEKATA DIO TREĆI
ZAHTJEVI KIBERNETIČKE SIGURNOSTI
Vođenje posebnog registra subjekata
Opseg zahtjeva kibernetičke sigurnosti
Članak 22.
(1) Središnje državno tijelo za kibernetičku sigurnost uspostav- Članak 25.
lja i vodi poseban registar sljedećih subjekata: (1) Zahtjevi kibernetičke sigurnosti obuhvaćaju postupke i mjere
– pružatelja usluga DNS-a koje su ključni i važni subjekti dužni primjenjivati radi postizanja vi-
– registra naziva vršne nacionalne internetske domene soke razine kibernetičke sigurnosti u pružanju svojih usluga odnosno
obavljanju svojih djelatnosti, a sastoje se od:
– registrara
– pružatelja usluga računalstva u oblaku – mjera upravljanja kibernetičkim sigurnosnim rizicima i
– pružatelja usluga podatkovnog centra – obveza obavještavanja o značajnim incidentima i ozbiljnim ki-
bernetičkim prijetnjama.
– pružatelja mreža za isporuku sadržaja
(2) Zahtjevi kibernetičke sigurnosti odnose se na sve mrežne i
– pružatelja upravljanih usluga
informacijske sustave kojima se ključni i važni subjekti služe u svom
– pružatelja upravljanih sigurnosnih usluga poslovanju ili u pružanju svojih usluga i sve usluge koje ključni i važni
– pružatelja internetskih tržišta subjekti pružaju odnosno djelatnosti koje obavljaju, neovisno o tome
– pružatelja internetskih tražilica i pruža li subjekt i druge usluge odnosno obavlja li i druge djelatnosti
– pružatelja platformi za usluge društvenih mreža. koje nisu obuhvaćene Prilogom I. i Prilogom II. ovoga Zakona.
(2) Registar iz stavka 1. ovoga članka vodi se neovisno o obvezi
vođenja popisa ključnih i važnih subjekata. POGLAVLJE I.
MJERE UPRAVLJANJA KIBERNETIČKIM SIGURNOSNIM
Prikupljanje podataka RIZICIMA I PROVJERE USKLAĐENOSTI KLJUČNIH I
Članak 23. VAŽNIH SUBJEKATA
(1) Subjekti iz članka 22. ovoga Zakona dužni su središnjem Primjena mjera
državnom tijelu za kibernetičku sigurnost dostaviti sljedeće podatke: Članak 26.
– naziv subjekta (1) Ključni i važni subjekti dužni su provoditi odgovarajuće i
– popis usluga iz članka 22. ovoga Zakona koje pružaju razmjerne mjere upravljanja kibernetičkim sigurnosnim rizicima.
– adresu glavnog poslovnog nastana subjekta i njegovih drugih (2) Cilj je primjene mjera upravljanja kibernetičkim sigurno-
poslovnih jedinica ili adresu njegova predstavnika snim rizicima zaštita mrežnih i informacijskih sustava i fizičkog
– ažurirane podatke za kontakt, uključujući adrese e-pošte i okruženja tih sustava od incidenata, uzimajući pritom u obzir sve
telefonske brojeve subjekta i njegova predstavnika opasnosti kojima su ti sustavi izloženi.
– popis država članica u kojima pružaju usluge iz članka 22. (3) Mjere upravljanja kibernetičkim rizicima obuhvaćaju:
ovoga Zakona – tehničke, operativne i organizacijske mjere za upravljanje
– IP adresne raspone subjekta. rizicima kojima su izloženi mrežni i informacijski sustavi kojima
(2) Rok za dostavu podataka na temelju stavka 1. ovoga članka se ključni i važni subjekti služe u svom poslovanju ili u pružanju
je 15 dana od dana primitka zahtjeva za dostavu podataka. svojih usluga te
(3) Subjekti iz članka 22. ovoga Zakona dužni su bez odgode, – mjere za sprečavanje ili smanjivanje na najmanju moguću
u roku od tri mjeseca od datuma promjene obavijestiti središnje dr- mjeru učinka incidenata na mrežne i informacijske sustave ključnih
žavno tijelo za kibernetičku sigurnost o svim promjenama podataka i važnih subjekata, primatelje njihovih usluga ili na druge sektore,
koje su dostavili u skladu sa stavkom 1. ovoga članka. subjekte i usluge.
(4) Ključni i važni subjekti dužni su provoditi mjere upravljanja tijela ključnih i važnih subjekata odnosno čelnici tijela državne upra-
kibernetičkim sigurnosnim rizicima bez obzira na to upravljaju li ve, drugih državnih tijela i izvršna tijela jedinica lokalne i područ-
i/ili održavaju svoje mrežne i informacijske sustave sami ili za to ne (regionalne) samouprave (u daljnjem tekstu: osobe odgovorne za
koriste vanjskog davatelja usluge. upravljanje mjerama).
(5) Ključni i važni subjekti dužni su provesti mjere upravljanja (2) Osobe odgovorne za upravljanje mjerama dužne su odobra-
kibernetičkim sigurnosnim rizicima u roku od godine dana od dana vati mjere upravljanja kibernetičkim sigurnosnim rizicima koje će
dostave obavijesti iz članka 19. stavka 1. ovoga Zakona. subjekt primjenjivati radi usklađivanja s obvezama utvrđenim ovim
(6) Kada subjekta obavještava o promjeni u kategorizaciji su- Zakonom i provedbenim propisom o zahtjevima kibernetičke sigur-
bjekta na temelju članka 19. stavka 2. ovoga Zakona, nadležno tijelo nosti te kontrolirati njihovu provedbu.
za provedbu zahtjeva kibernetičke sigurnosti dužno je u obavijesti
naznačiti i primjereni rok za provedbu obveza kojima subjekt zbog (3) U svrhu stjecanja znanja i vještina u pitanjima upravljanja
promjene kategorije podliježe na temelju ovoga Zakona i provedbe- kibernetičkim sigurnosnim rizicima i njihova učinka na usluge koje
nog propisa o zahtjevima kibernetičke sigurnosti iz ovoga Zakona. subjekt pruža odnosno djelatnost koju obavlja, osobe odgovorne za
(7) Rok iz stavka 6. ovoga članka određuje se ovisno o opsegu upravljanje mjerama dužne su:
i složenosti obveza o kojima se subjekta obavještava, s tim da ostav- – pohađati odgovarajuća osposobljavanja
ljeni rok ne može biti kraći od 60 dana niti duži od šest mjeseci od – zaposlenicima subjekta omogućiti pohađanje odgovarajućih
dana primitka obavijesti iz članka 19. stavka 2. ovoga Zakona. osposobljavanja.
(4) Odredbe ovoga članka odnose se i na druge fizičke osobe
Obveza osiguranja razine sigurnosti mrežnih i informacijskih koje na temelju ovlasti za provođenje nadzora nad vođenjem poslova
sustava proporcionalne utvrđenom riziku subjekta ili u svojstvu pravnog predstavnika subjekta na temelju pu-
Članak 27. nomoći ili druge ovlasti za zastupanje ili punomoći ili druge ovlasti
(1) Ključni i važni subjekti dužni su primjenom mjera upravlja- za donošenje odluka u ime subjekta sudjeluju u donošenju odluka
nja kibernetičkim sigurnosnim rizicima osigurati razinu sigurnosti o mjerama upravljanja kibernetičkim sigurnosnim rizicima i/ili nji-
mrežnih i informacijskih sustava proporcionalnu utvrđenom riziku. hovoj provedbi.
(2) Pri procjeni proporcionalnosti primijenjenih mjera uprav-
ljanja kibernetičkim sigurnosnim rizicima u obzir se uzimaju: Mjere upravljanja kibernetičkim sigurnosnim rizicima
– stupanj izloženosti subjekta rizicima Članak 30.
– veličina subjekta (1) Mjere upravljanja kibernetičkim sigurnosnim rizicima
– vjerojatnost pojave incidenata i njihova ozbiljnost, uključujući uključuju sljedeće:
njihov mogući društveni i gospodarski učinak. – politike analize rizika i sigurnosti informacijskih sustava
– postupanje s incidentima, uključujući njihovo praćenje, evi-
Način provedbe mjera upravljanja kibernetičkim sigurnosnim dentiranje i prijavljivanje
rizicima – kontinuitet poslovanja, kao što je upravljanje sigurnosnim
Članak 28. kopijama i oporavak od nesreća, prekida rada i incidenata iz članka
(1) Mjere upravljanja kibernetičkim sigurnosnim rizicima pro- 37. ovoga Zakona, te upravljanje kibernetičkim krizama
vode se na način da se, bez nametanja obveza ili diskriminacije u – sigurnost lanca opskrbe, uključujući sigurnosne aspekte u
korist uporabe određene vrste tehnologije, uzimaju u obzir najnovi- pogledu odnosa između subjekta i njegovih izravnih dobavljača ili
ja tehnička dostignuća koja se koriste u okviru najbolje sigurnosne pružatelja usluga
prakse u području kibernetičke sigurnosti, kao i europske i me- – sigurnost u nabavi, razvoju i održavanju mrežnih i informa-
đunarodne norme i tehničke specifikacije relevantne za sigurnost cijskih sustava, uključujući otklanjanje ranjivosti i njihovo otkrivanje
mrežnih i informacijskih sustava, uzimajući pritom u obzir i trošak – politike i postupke za procjenu djelotvornosti mjera upravlja-
provedbe. nja kibernetičkim sigurnosnim rizicima
(2) Ključni i važni subjekti dužni su prilikom provedbe mjera – osnovne prakse kibernetičke higijene i osposobljavanje o ki-
upravljanja kibernetičkim sigurnosnim rizicima koristiti se određe- bernetičkoj sigurnosti
nim IKT proizvodima, IKT uslugama i IKT procesima te upravlja-
– politike i postupke u pogledu kriptografije i, prema potrebi,
nim sigurnosnim uslugama koje su certificirane na temelju europ-
kriptiranja
skih programa kibernetičke sigurnosne certifikacije ili nacionalnih
shema kibernetičke sigurnosne certifikacije, ako je takva obveza – sigurnost ljudskih resursa, politike kontrole pristupa i uprav-
propisana: ljanja programskom i sklopovskom imovinom, uključujući i redovito
– mjerodavnim propisima Europske unije ažuriranje popisa ove imovine
– posebnim propisima kojima se uređuje područje pružanja – korištenje višefaktorske provjere autentičnosti ili rješenja
određenih usluga odnosno obavljanja određenih djelatnosti kontinuirane provjere autentičnosti, zaštićene glasovne, video i tek-
stualne komunikacije te sigurnih komunikacijskih sustava u hitnim
– ovim Zakonom ili uredbom iz članka 24. ovoga Zakona. slučajevima unutar subjekta, prema potrebi.
Odgovornost za provedbu mjera (2) Pri procjeni proporcionalnosti primijenjenih mjera iz stavka
1. podstavka 4. ovoga članka ključni i važni subjekti dužni su uzeti u
Članak 29. obzir ranjivosti specifične za svakog izravnog dobavljača i pružatelja
(1) Za provedbu mjera upravljanja kibernetičkim sigurnosnim usluge te opću kvalitetu proizvoda i kibernetičku sigurnosnu praksu
rizicima sukladno ovom Zakonu odgovorni su članovi upravljačkih svojih dobavljača i pružatelja usluga, kao i rezultate koordiniranih
procjena sigurnosnih rizika ključnih lanaca opskrbe IKT uslugama, (3) Pravila iz stavka 1. ovoga članka primjenjuju se ako nije
IKT sustavima ili IKT proizvodima, koje provodi Skupina za surad- donesena odgovarajuća europska shema kibernetičke sigurnosne
nju zajedno s Europskom komisijom i ENISA-om. certifikacije koja obuhvaća revizije kibernetičke sigurnosti.
(3) Mjere upravljanja kibernetičkim sigurnosnim rizicima i (4) Središnje državno tijelo za obavljanje poslova u tehničkim
način njihove provedbe uredit će se uredbom iz članka 24. ovoga područjima informacijske sigurnosti vodi javno dostupan registar
Zakona. pružatelja upravljanih sigurnosnih usluga iz članka 32. stavka 2.
podstavka 1. ovoga Zakona.
Provjere usklađenosti uspostavljenih mjera upravljanja
kibernetičkim sigurnosnim rizicima Provedba revizije kibernetičke sigurnosti
(1) Ključni i važni subjekti dužni su provjeravati usklađenost (1) Reviziju kibernetičke sigurnosti ključni subjekti dužni su
uspostavljenih mjera upravljanja kibernetičkim sigurnosnim rizi- provoditi najmanje jednom u dvije godine.
cima s mjerama upravljanja kibernetičkim sigurnosnim rizicima (2) Reviziju kibernetičke sigurnosti ključni subjekti dužni su
provesti i prije isteka roka iz stavka 1. ovoga članka, kada to za-
propisanim ovim Zakonom i uredbom iz članka 24. ovoga Zakona. traži nadležno tijelo za provedbu zahtjeva kibernetičke sigurnosti
(2) Provjera usklađenosti iz stavka 1. ovoga članka obavlja se u na temelju članka 79. stavka 1. podstavka 7. ili članka 81. stavka 1.
postupku revizije kibernetičke sigurnosti ključnih i važnih subjekata podstavka 2. ovoga Zakona.
te u postupku samoprocjene kibernetičke sigurnosti važnih subje- (3) Revizija kibernetičke sigurnosti iz stavka 1. ovoga članka
kata. provodi se kao zaseban postupak ili u okviru revizije poslovanja
odnosno druge provjere sukladnosti subjekata koja se provodi na
Revizori kibernetičke sigurnosti temelju posebnih propisa kojima se uređuje područje pružanja odre-
đenih usluga odnosno obavljanja određenih djelatnosti.
Članak 32. (4) Reviziju kibernetičke sigurnosti važni subjekti dužni su pro-
(1) Reviziju kibernetičke sigurnosti ključnih i važnih subjekata vesti kada to zatraži nadležno tijelo za provedbu zahtjeva kiberne-
provode revizori kibernetičke sigurnosti. tičke sigurnosti na temelju članka 79. stavka 1. podstavka 7. ovoga
(2) Revizori kibernetičke sigurnosti su pružatelji upravljanih Zakona.
sigurnosnih usluga kojima je izdan: (5) Izvješće iz članka 32. stavka 4. ovoga Zakona ključni i važni
subjekti dužni su dostaviti nadležnom tijelu za provedbu zahtjeva
– nacionalni sigurnosni certifikat za reviziju kibernetičke si- kibernetičke sigurnosti bez odgode, a najkasnije u roku od osam
gurnosti ili dana od dana njegova primitka.
– odgovarajući kibernetički sigurnosni certifikat na temelju (6) Iznimno od stavka 5. ovoga članka, kada je revizija kiber-
mjerodavne europske sheme kibernetičke sigurnosne certifikacije. netičke sigurnosti provedena na zahtjev nadležnog tijela za proved-
(3) Iznimno od stavka 2. ovoga članka, revizor kibernetičke si- bu zahtjeva kibernetičke sigurnosti na temelju članka 79. stavka 1.
podstavka 7. ili članka 81. stavka 1. podstavka 2. ovoga Zakona,
gurnosti za tijela državne uprave i druga državna tijela je središnje subjekt za koji je revizija kibernetičke sigurnosti provedena dužan
državno tijelo za obavljanje poslova u tehničkim područjima infor- je izvješće iz članka 32. stavka 4. ovoga Zakona dostaviti nadlež-
macijske sigurnosti. nom tijelu za provedbu zahtjeva kibernetičke sigurnosti odmah po
(4) O provedenoj reviziji kibernetičke sigurnosti revizori kiber- njegovu primitku.
netičke sigurnosti sastavljaju izvješće. (7) Troškove provedbe revizije kibernetičke sigurnosti snose
ključni i važni subjekti, ako nije drugačije propisano ovim Zakonom.
Nacionalni sigurnosni certifikat za reviziju kibernetičke
sigurnosti Provedba samoprocjene kibernetičke sigurnosti
(1) Nacionalni sigurnosni certifikat za reviziju kibernetičke (1) Samoprocjenu kibernetičke sigurnosti važni subjekti dužni
sigurnosti izdaje središnje državno tijelo za obavljanje poslova u su provoditi najmanje jednom u dvije godine.
tehničkim područjima informacijske sigurnosti na temelju pravila (2) Za provedbu samoprocjene kibernetičke sigurnosti važni
sigurnosne certifikacije za reviziju kibernetičke sigurnosti. subjekti mogu koristiti i vanjskog davatelja takve usluge.
(2) Pravila iz stavka 1. ovoga članka donosi središnje državno (3) Ako rezultati provedene samoprocjene kibernetičke sigur-
tijelo za obavljanje poslova u tehničkim područjima informacijske nosti pokazuju da su uspostavljene mjere upravljanja kibernetičkim
sigurnosti, a ona obuhvaćaju: sigurnosnim rizicima u skladu s mjerama upravljanja kibernetičkim
sigurnosnim rizicima propisanim ovim Zakonom i uredbom iz član-
– organizacijske i stručne zahtjeve koje moraju ispunjavati pru- ka 24. ovoga Zakona, važni subjekti sastavljaju izjavu o sukladnosti.
žatelji upravljanih sigurnosnih usluga za provedbu revizije kiberne-
tičke sigurnosti (4) Ako rezultati provedene samoprocjene kibernetičke sigur-
nosti pokazuju da uspostavljene mjere upravljanja kibernetičkim
– pravila, tehničke zahtjeve, norme i postupke koji se primje- sigurnosnim rizicima nisu u skladu s mjerama upravljanja kiber-
njuju u provedbi revizije kibernetičke sigurnosti, uključujući obvezni netičkim sigurnosnim rizicima propisanim ovim Zakonom i ured-
sadržaj izvješća o provedenoj reviziji kibernetičke sigurnosti i bom iz članka 24. ovoga Zakonom, važni subjekti dužni su utvrditi
– postupak izdavanja i opoziva nacionalnog sigurnosnog certi- plan daljnjeg postupanja, uključujući plan za pravodobnu ponovnu
fikata za reviziju kibernetičke sigurnosti, prava i obveze pružatelja samoprocjenu kibernetičke sigurnosti i ispravljanje utvrđenih ne-
upravljanih sigurnosnih usluga te pravnu zaštitu u tom postupku. dostataka.
(5) Izjavu iz stavka 3. ovoga članka i plan iz stavka 4. ovoga Obavještavanje o značajnom incidentu s prekograničnim i
članka važni subjekti dužni su dostaviti nadležnom tijelu za proved- međusektorskim učinkom
bu zahtjeva kibernetičke sigurnosti bez odgode, a najkasnije u roku
od osam dana od dana njihova sastavljanja. Članak 40.
(6) Troškove provedbe samoprocjene kibernetičke sigurnosti (1) Jedinstvena kontaktna točka, na zahtjev nadležnog CSIRT-a
snose važni subjekti. ili prema vlastitoj procjeni, o značajnom incidentu s prekograničnim
učinkom obavještava jedinstvene kontaktne točke pogođene države
Provedbeni propis za samoprocjenu kibernetičke sigurnosti članice i ENISA-u, osobito ako se incident odnosi na dvije države
Članak 36. članice ili više njih.
Pravila, tehnički zahtjevi, norme, obrasci i postupci koji se (2) Jedinstvena kontaktna točka, na zahtjev nadležnog CSIRT-a
primjenjuju prilikom samoprocjene kibernetičke sigurnosti, uklju- ili prema vlastitoj procjeni, o značajnom incidentu s međusektor-
skim učinkom obavještava tijela državne uprave nadležna za pogo-
čujući sadržaj izjave o sukladnosti, uredit će se uredbom iz članka đene sektore.
24. ovoga Zakona.
POGLAVLJE II. Obavještavanje javnosti o značajnom incidentu
OBVEZE OBAVJEŠTAVANJA O KIBERNETIČKIM Članak 41.
PRIJETNJAMA I INCIDENTIMA Ako je za sprečavanje ili rješavanje značajnog incidenta koji je u
Obavještavanje o značajnim incidentima tijeku nužno obavijestiti javnost ili ako je objava informacija o zna-
čajnom incidentu u javnom interesu iz nekog drugog razloga, nad-
Članak 37. ležni CSIRT te, prema potrebi, CSIRT-ovi ili nadležna tijela drugih
(1) Ključni i važni subjekti dužni su nadležni CSIRT obavijestiti pogođenih država članica mogu, nakon savjetovanja s jedinstvenom
o svakom incidentu koji ima znatan učinak na dostupnost, cjelovi- kontaktnom točkom, nadležnim tijelom za provedbu zahtjeva kiber-
tost, povjerljivost i autentičnost podataka od značaja za poslovanje netičke sigurnosti odnosno nadležnim tijelom za provedbu posebnih
subjekta i/ili kontinuitet usluga koje pružaju ili djelatnost koju obav- zakona, ovisno o podjeli nadležnosti iz Priloga III. ovoga Zakona, te
ljaju (u daljnjem tekstu: značajan incident). pogođenim subjektom obavijestiti javnost o značajnom incidentu ili
zatražiti od ključnog i važnog subjekta da to učini.
(2) Incident se smatra značajnim incidentom:
– ako je uzrokovao ili može uzrokovati ozbiljne poremećaje u
Obavještavanje jedinstvene kontaktne točke i ENISA-e
funkcioniranju usluga koje subjekt pruža odnosno djelatnosti koju
obavlja ili financijske gubitke za subjekt Članak 42.
– ako je utjecao ili bi mogao utjecati na druge fizičke ili pravne (1) Nadležni CSIRT-ovi dužni su jedinstvenu kontaktnu točku
osobe uzrokovanjem znatne materijalne ili nematerijalne štete. obavijestiti o značajnim incidentima, ostalim incidentima, ozbiljnim
(3) Ključni i važni subjekti dužni su obavijesti iz stavka 1. ovoga kibernetičkim prijetnjama i izbjegnutim incidentima o kojima su ih
članka dostaviti tijelima kaznenog progona u slučajevima u kojima ključni i važni subjekti obavijestili na temelju članaka 37. i 39. ovoga
Zakona, sukladno njezinim smjernicama.
postoje osnove sumnje da su značajni incidenti nastali počinjenjem (2) Jedinstvena kontaktna točka podnosi ENISA-i svaka tri
kaznenog djela, na temelju odredbi zakona kojim se uređuje kazneni mjeseca sažeto izvješće koje uključuje anonimizirane i agregirane
postupak. podatke o značajnim incidentima, ostalim incidentima, ozbiljnim
(4) Ključni i važni subjekti dužni su započeti s dostavom oba- kibernetičkim prijetnjama i izbjegnutim incidentima o kojima su
vijesti iz stavka 1. ovoga članka u roku od 30 dana od dana dostave ključni i važni subjekti obavijestili nadležni CSIRT na temelju čla-
obavijesti iz članka 19. stavka 1. ovoga Zakona. naka 37. i 39. ovoga Zakona.
Obavještavanje primatelja usluga Nacionalna platforma za prikupljanje, analizu i razmjenu

Članak 38. podataka o kibernetičkim prijetnjama i incidentima
(1) Ključni i važni subjekti dužni su obavijestiti primatelje svo- Članak 43.
jih usluga o značajnim incidentima na koje bi takav incident mogao (1) Obavještavanje na temelju članaka 37. i 39. ovoga Zakona
utjecati. i razmjena podataka o kibernetičkim prijetnjama i incidentima iz-
(2) U slučaju pojave ozbiljne kibernetičke prijetnje ključni i među nadležnih tijela iz Priloga III. ovoga Zakona obavlja se putem
važni subjekti dužni su primatelje svojih usluga na koje bi takva nacionalne platforme za prikupljanje, analizu i razmjenu podataka
prijetnja mogla utjecati obavijestiti o svim mogućim mjerama zašti- o kibernetičkim prijetnjama i incidentima, kao jedinstvene ulazne
te ili pravnim sredstvima koje mogu uporabiti u svrhu sprečavanja točke za obavještavanje o kibernetičkim prijetnjama i incidentima.
ili naknade uzrokovane štete te, po potrebi, obavijestiti primatelje (2) Razvoj i upravljanje nacionalnom platformom iz stavka 1.
usluga i o samoj ozbiljnoj kibernetičkoj prijetnji. ovoga članka u nadležnosti je CARNET-a.
(3) Ključni i važni subjekti dužni su započeti s dostavom oba-
vijesti iz stavaka 1. i 2. ovoga članka u roku od 30 dana od dana Provedbeni propis o obavještavanju o kibernetičkim
dostave obavijesti iz članka 19. stavka 1. ovoga Zakona. prijetnjama i incidentima
Članak 44.
Obavještavanje na dobrovoljnoj osnovi
Kriteriji za utvrđivanje značajnih incidenata, uključujući krite-
Članak 39. rijske pragove ako su potrebni zbog specifičnosti pojedinog sektora,
Ključni i važni subjekti mogu nadležni CSIRT dobrovoljno oba- vrste i sadržaj obavijesti iz članaka 37. do 40. ovoga Zakona, roko-
vijestiti o svakom incidentu, kibernetičkoj prijetnji i izbjegnutom vi za njihovu dostavu, postupanja s tim obavijestima, uključujući
incidentu. postupanja nadležnog CSIRT-a u povodu zaprimljenih obavijesti iz
članaka 37. i 39. ovoga Zakona, prava pristupa i druga pitanja bitna (2) Registar naziva vršne nacionalne internetske domene i regi-
za korištenje nacionalne platforme za prikupljanje, analizu i razmje- strari dužni su periodično, a najmanje jednom godišnje, za sve svoje
nu podataka o kibernetičkim prijetnjama i incidentima, uključujući korisnike domena provoditi provjere postojanja korisnika domene,
mogućnosti korištenja drugih načina dostave obavijesti iz članaka kao i usklađenost postupanja korisnika domene s obvezama iz pro-
37. i 39. ovoga Zakona, propisuju se uredbom iz članka 24. ovoga pisa kojim je uređeno ustrojstvo i upravljanje vršnom nacionalnom
Zakona. internetskom domenom.
(3) U slučaju nedostupnosti korisnika domene u okviru više-
POGLAVLJE III. kratnih provjera iz stavka 2. ovoga članka na različite registrirane
POSEBNI ZAHTJEVI ZA UPRAVLJANJE PODACIMA O podatke za kontakt korisnika domene odnosno utvrđene zlouporabe
REGISTRACIJI NAZIVA DOMENA prava ili drugog nepropisnog postupanja korisnika domene, registar
naziva vršne nacionalne internetske domene i registrari dužni su
Svrha provođenja posebnih zahtjeva za upravljanje takvu domenu brisati.
podacima o registraciji naziva domena (4) Registar naziva vršne nacionalne internetske domene i regi-
strari dužni su uspostaviti i javno objaviti politike upravljanja bazom
Članak 45.
podataka iz članka 46. ovoga Zakona koje obvezno sadržavaju i po-
U svrhu osiguranja pouzdanog, otpornog i sigurnog sustava stupke provjere podataka iz zahtjeva za registraciju domene.
naziva domena, registar naziva vršne nacionalne internetske dome- (5) Registar naziva vršne nacionalne internetske domene i regi-
ne i registrari dužni su provoditi posebne zahtjeve za upravljanje strari nakon registracije naziva domene bez odgode javno objavljuju
podacima o registraciji naziva domena. podatke o registraciji naziva domena koji nisu osobni podaci.
Sadržaj informacija u bazama podataka o registraciji naziva Čuvanje podataka i pristup podacima o korisniku domene
domena i utvrđivanje identiteta korisnika domene
Članak 48.
Članak 46. (1) Registar naziva vršne nacionalne internetske domene i re-
(1) Registar naziva vršne nacionalne internetske domene i registrari dužni su podatke, informacije i dokumentaciju prikupljenu
gistrari dužni su osiguravati da baza podataka o registraciji naziva na temelju članaka 46. i 47. ovoga Zakona čuvati 25 godina od pre-
domena sadržava informacije potrebne za identifikaciju korisnika stanka prava korisnika na korištenje domene.
domene i registrara koji upravljaju nazivima domena te za kontakt (2) Dokumentacija iz stavka 1. ovoga članka mora sadržavati:
s njima, i to: – identifikacijske dokumente i drugu dokumentaciju na temelju
– naziv domene koje je utvrđen identitet korisnika domene
– zahtjev za registraciju domene i drugu dokumentacija vezanu
– datum registracije uz registraciju domene.
– ime korisnika domene te adresu njegove e-pošte i telefonski (3) Registar naziva vršne nacionalne internetske domene i re-
broj za kontakt gistrari dužni su tijelima kaznenog progona i nadležnom CSIRT-u,
– adresu e-pošte i telefonski broj za kontakt registrara koji tijelu nadležnom za zaštitu osobnih podataka i drugim pravnim
upravlja nazivom domene. osobama s javnim ovlastima, kao i državnim tijelima u okviru iz-
vršavanja javnih ovlasti, na njihov obrazloženi zahtjev, bez odgode,
(2) Registar naziva vršne nacionalne internetske domene i a najkasnije u roku od 72 sata od primitka zahtjeva, dostaviti ili na
registrari dužni su utvrditi identitet korisnika domene i provjeriti drugi odgovarajući način omogućiti pristup podacima o korisniku
njegov identitet na osnovi identifikacijskih dokumenata odnosno domene.
dokumenata, podataka ili informacija dobivenih iz vjerodostojnoga, (4) Registar naziva vršne nacionalne internetske domene i re-
pouzdanoga i neovisnoga izvora, uključujući, ako ga korisnik dome- gistrari dužni su nakon isteka roka čuvanja iz stavka 1. ovoga član-
ne ima, kvalificirani certifikat za elektronički potpis ili elektronički ka osobne podatke o korisniku domene brisati, a dokumentaciju iz
pečat ili bilo koji drugi siguran, daljinski ili elektronički, postupak stavka 2. ovoga članka uništiti sukladno propisima o zaštiti osobnih
identifikacije koji su regulirala, priznala, odobrila ili prihvatila rele- podataka.
vantna nacionalna tijela. (5) Registar naziva vršne nacionalne internetske domene i re-
(3) Nepostupanje podnositelja zahtjeva za registraciju domene gistrari obvezni su u svojim politikama upravljanja iz članka 47.
i korisnika domene sukladno obvezama propisanim ovim Zakonom stavka 4. ovoga Zakona naznačiti svoju obvezu postupanja u skladu
sa stavcima 1. i 3. ovoga članka.
predstavlja temelj za uskratu registracije domene odnosno brisanje
(6) Tehničke i organizacijske mjere za zaštitu osobnih podataka
domene. o korisnicima domena uređuju se posebnim propisima kojima se
uređuje ustrojstvo i upravljanje vršnom nacionalnom internetskom
Obveze registra naziva vršne nacionalne internetske domene domenom.
i registrara
Članak 47. Provedba kontrole usklađenosti s posebnim zahtjevima za
upravljanje podacima o registraciji naziva
(1) Ako zahtjev za registraciju domene ne sadržava sve podatke
iz članka 46. stavka 1. podstavaka 1. do 3. ovoga Zakona, registar Članak 49.
naziva vršne nacionalne internetske domene i registrari dužni su od- Kontrolu usklađenosti postupanja registra naziva vršne naci-
biti takav zahtjev, a podnositelja zahtjeva obavijestiti o uskraćivanju onalne internetske domene i registrara s posebnim zahtjevima za
registracije domene odnosno privremenoj deaktivaciji domene i ne- upravljanje podacima o registraciji naziva domena iz članaka 45. do
mogućnosti njezina korištenja sve dok zahtjev ne bude uredno pod- 48. ovoga Zakona provodi tijelo državne uprave nadležno za znanost
nesen, i to u roku od osam dana od dana primitka takve obavijesti. i obrazovanje.
DIO ČETVRTI cijskih sustava subjekta, kao i primijenjene relevantne europske i

DOBROVOLJNI MEHANIZMI KIBERNETIČKE međunarodne norme i sigurnosne prakse.
ZAŠTITE (2) Procjena kritičnosti subjekta iz članka 51. stavka 2. ovoga
Zakona provodi se na temelju:
Provedba samoprocjena kibernetičke sigurnosti i – zahtjeva subjekta za pristupanje nacionalnom sustavu ili
obavještavanje o incidentima i kibernetičkim prijetnjama na
– prijedloga za pristupanje nacionalnom sustavu koje je pod-
dobrovoljnoj osnovi
nijelo tijelo državne uprave ili regulatorno tijelo nadležno za sektor
Članak 50. kojem subjekt pripada.
(1) Svaki subjekt koji nije kategoriziran kao ključan i važan su- (3) Zahtjevi i prijedlozi iz stavka 2. ovoga članka podnose se
bjekt sukladno ovom Zakonu može: središnjem državnom tijelu za kibernetičku sigurnost.
– provoditi samoprocjene kibernetičke sigurnosti za mrežne i (4) Podnošenje zahtjeva i prijedloga za pristupanje nacional-
informacijske sustave kojima se služi u svom poslovanju ili u pru- nom sustavu, prikupljanje podataka potrebnih za provođenje pro-
žanju svojih usluga cjene kritičnosti subjekata u svrhu pristupanja sustavu i provedba
– nadležni CSIRT dobrovoljno obavijestiti o svakom značajnom pristupanja subjekata nacionalnom sustavu uredit će se uredbom iz
incidentu, ostalim incidentima, kibernetičkim prijetnjama ili izbje- članka 24. ovoga Zakona.
gnutim incidentima, pod uvjetom da periodično provodi samopro-
cjene kibernetičke sigurnosti iz podstavka 1. ovoga stavka. Dobrovoljna razmjena informacija o kibernetičkoj sigurnosti
(2) Mogućnost provedbe samoprocjena kibernetičke sigurnosti Članak 53.
i dobrovoljnog obavještavanja iz stavka 1. ovoga članka uredit će se (1) Ključni subjekti, važni subjekti i drugi subjekti koji nisu
uredbom iz članka 24. ovoga Zakona. kategorizirani kao ključni ili važni subjekti sukladno ovom Zakonu
mogu međusobno dobrovoljno razmjenjivati informacije o kiberne-
Nacionalni sustav za otkrivanje kibernetičkih prijetnji i tičkoj sigurnosti u svrhu povećanja razine kibernetičke sigurnosti ili
zaštitu kibernetičkog prostora postupanja s incidentima.
Članak 51. (2) Razmjena informacija iz stavka 1. ovoga članka može uklju-
(1) Radi podizanja ukupne sposobnosti i otpornosti u područ- čivati informacije koje se odnose na kibernetičke prijetnje, uključu-
ju kibernetičke sigurnosti, središnje državno tijelo za kibernetičku jući informacije o izvoru prijetnje, izbjegnute incidente, ranjivosti,
sigurnost kontinuirano razvija nacionalni sustav za otkrivanje kiber- tehnike i postupke, pokazatelje ugroženosti, taktike, tehnike i pro-
netičkih prijetnji i zaštitu kibernetičkog prostora (u daljnjem tekstu: cedure kibernetičkih napadača, indikatore kompromitacije, kiberne-
nacionalni sustav). tička sigurnosna upozorenja i preporuke o konfiguraciji kibernetič-
kih sigurnosnih alata za otkrivanje kibernetičkih napada.
(2) Nacionalnom sustavu mogu dobrovoljno pristupiti ključni
subjekti, važni subjekti i drugi subjekti koji nisu kategorizirani kao (3) Razmjena informacija iz stavka 2. ovoga članka odvija se
ključni ili važni subjekti sukladno ovom Zakonu, ovisno o procjeni između subjekata iz stavka 1. ovoga članka te, prema potrebi, njiho-
kritičnosti subjekta koju provodi središnje državno tijelo za kiber- vih dobavljača ili pružatelja usluga putem mehanizama za razmjenu
netičku sigurnost. informacija uspostavljenih posebno u te svrhe.
(3) Pristupanje nacionalnom sustavu može se provoditi kao (4) Mehanizmi iz stavka 3. ovoga članka uspostavljaju se na
obvezujuća mjera kibernetičke zaštite za subjekte javnog sektora, temelju sporazuma o dobrovoljnoj razmjeni informacija o kiberne-
ako je takva obveza propisana uredbom iz članka 24. ovoga Zakona. tičkoj sigurnosti.
(4) Pristupanje nacionalnom sustavu provodi se na temelju (5) Sporazumom iz stavka 4. ovoga članka utvrđuju se uvjeti
sporazuma koji sklapaju središnje državno tijelo za kibernetičku za pristupanje mehanizmu koji se sporazumom uspostavlja, sadržaj
sigurnost i subjekt koji pristupa sustavu. informacija koje se razmjenjuju, mogućnost upotrebe namjenskih
platformi i drugih alata za automatiziranu razmjenu informaciju,
(5) Pristupanje nacionalnom sustavu ne utječe na obveze ključ- kao i svi drugi operativni elementi bitni za učinkovitu i sigurnu
nih i važnih subjekata iz članka 25. ovoga Zakona, već predstavlja razmjenu informacija.
dodatnu mjeru kibernetičke zaštite.
(6) Ključni i važni subjekti o svom sudjelovanju u mehanizmi-
ma za dobrovoljnu razmjenu informacija o kibernetičkoj sigurnosti
Kriteriji za provedbu procjene kritičnosti subjekta iz stavka 3. ovoga članka dužni su obavijestiti nadležno tijelo za pro-
Članak 52. vedbu zahtjeva kibernetičke sigurnosti, a subjekti javnog sektora koji
(1) Procjena kritičnosti subjekta iz članka 51. stavka 2. ovoga su kategorizirani kao ključni subjekti dužni su dodatno o takvom
Zakona provodi se na temelju sljedećih kriterija: sudjelovanju i opsegu informacija koje mogu razmjenjivati s osta-
– važnosti i značaja usluga koje subjekt pruža ili djelatnosti lim uključenim dionicima prethodno zatražiti mišljenje središnjeg
koje subjekt obavlja u odnosu na druge pružatelje istih ili istovrsnih državnog tijela za kibernetičku sigurnost.
usluga i djelatnosti u Republici Hrvatskoj
Koordinirano otkrivanje ranjivosti
– važnosti mrežnih i informacijskih sustava kojima se subjekt
koristi u pružanju usluga ili obavljanju djelatnosti te njihovoj izlože- Članak 54.
nosti rizicima, opasnostima i prijetnjama u kibernetičkom prostoru i (1) Svaka fizička i pravna osoba može anonimno prijaviti ra-
– stanju mrežnih i informacijskih sustava kojima se subjekt njivost.
koristi u pružanju usluga ili obavljanju djelatnosti, i to vezano za (2) Prijave ranjivosti podnose se CSIRT koordinatoru za otkri-
način projektiranja, upravljanja i održavanja mrežnih i informa- vanje ranjivosti.
(3) CSIRT koordinator za otkrivanje ranjivosti djeluje kao po- – posebni ciljevi i prioriteti u području razvoja kibernetičke
uzdani posrednik koji, prema potrebi, olakšava interakciju između sigurnosti koji najmanje obuhvaćaju javne politike iz Priloga IV.
fizičke ili pravne osobe koja prijavljuje ranjivost i proizvođača ili ovoga Zakona te
pružatelja potencijalno ranjivih IKT proizvoda ili IKT usluga, na – okvir za praćenje i vrednovanje provedbe ciljeva i prioriteta
zahtjev bilo koje strane. iz podstavka 1. ovoga stavka.
(4) Zadaće CSIRT koordinatora za otkrivanje ranjivosti su utvr- (3) U svrhu razrade mjera za provedbu posebnih ciljeva i pri-
đivanje predmetnih subjekata i kontaktiranje s njima, pružanje po- oriteta akta strateškog planiranja iz stavka 1. ovoga članka izrađuje
moći fizičkim ili pravnim osobama koje prijavljuju ranjivost i prego- se akcijski plan za njegovu provedbu.
varanje o vremenskom okviru za usklađeno otkrivanje i upravljanje (4) Izvještavanje, praćenje i vrednovanje akta strateškog plani-
ranjivostima koje utječu na više subjekata. ranja iz stavka 1. ovoga članka provodi se u skladu s propisom ko-
(5) CSIRT koordinator za otkrivanje ranjivosti osigurava pro- jim se uređuje područje strateškog planiranja i upravljanja razvojem
vedbu daljnjih mjera u pogledu prijavljene ranjivosti i osigurava Republike Hrvatske.
anonimnost fizičke ili pravne osobe koja prijavljuje ranjivost. (5) Središnje državno tijelo za kibernetičku sigurnost obavje-
(6) CSIRT koordinator za otkrivanje ranjivosti dužan je prili- štava Europsku komisiju o donošenju akta strateškog planiranja iz
kom razmjene podataka o prijavljenoj ranjivosti osigurati anoni- stavka 1. ovoga članka u roku od tri mjeseca od dana njegova do-
mnost prijavitelja ranjivosti pomoću tehnike uklanjanja izravnih nošenja odnosno u roku od tri mjeseca od dana donošenja njegovih
identifikatora, tehnike poopćavanja, tehnike nasumične izmjene izmjena i/ili dopuna.
podataka odnosno drugih poznatih tehnika.
Upravljanje kibernetičkim incidentima velikih razmjera i
(7) Kada je u svrhu provedbe zadaća iz stavka 4. ovoga članka
kibernetičkim krizama
nužno pohranjivati podatke o prijavitelju ranjivosti, CSIRT koordi-
nator za otkrivanje ranjivosti dužan je voditi evidenciju pohranjenih Članak 56.
podataka. (1) Središnje državno tijelo za kibernetičku sigurnost je tijelo
(8) CSIRT koordinator za otkrivanje ranjivosti dužan je podatke odgovorno za upravljanje kibernetičkim incidentima velikih razmje-
i evidencije iz stavka 7. ovoga članka čuvati najduže tri godine od ra i kibernetičkim krizama (u daljnjem tekstu: upravljanje kiberne-
prijave ranjivosti, a nakon isteka tog roka osobne podatke o prijavi- tičkim krizama).
telju ranjivosti brisati, a evidencije iz stavka 7. ovoga članka uništiti (2) Vlada, na prijedlog tijela odgovornog za upravljanje kiber-
sukladno propisima o zaštiti osobnih podataka. netičkim krizama, donosi nacionalni program upravljanja kiberne-
tičkim krizama.
(9) CSIRT koordinator za otkrivanje ranjivosti dostavlja infor-
(3) Nacionalnim programom iz stavka 2. ovoga članka utvrđuju
macije o novootkrivenim ranjivostima nadležnim CSIRT-ovima iz se kapaciteti, sredstva i postupci upravljanja kibernetičkim krizama
ovoga Zakona, zajedno s uputom o načinu daljnjeg obavještavanja te se pobliže utvrđuju:
o ranjivostima subjekata u njihovoj nadležnosti.
– ciljevi upravljanja kibernetičkim krizama, uključujući ciljeve
(10) Nadležni CSIRT-ovi izrađuju smjernice namijenjene kori- razvoja nacionalnih mjera pripravnosti, kao i usklađenost s okvirom
snicima ranjivih IKT proizvoda ili IKT usluga o načinu na koji se za upravljanje kibernetičkim krizama Europske unije
mogu ublažiti rizici koji proizlaze iz otkrivenih ranjivosti te dostav- – koherentnost s nacionalnim općim okvirom za upravljanje
ljaju obavijesti s najboljim praksama subjektima za koje su zaduženi krizama
na temelju ovoga Zakona. – mjere i aktivnosti za jačanje nacionalne pripravnosti
(11) Ako bi prijavljena ranjivost mogla imati znatan učinak – plan provedbe nacionalnih mjera pripravnosti, uključujući
na subjekte u više od jedne države članice, CSIRT koordinator za plan aktivnosti osposobljavanja te provedbe vježbi koje su sastavni
otkrivanje ranjivosti, prema potrebi, surađuje s CSIRT-ovima dru- dio plana iz članka 58. ovoga Zakona
gih država članica koji su imenovani koordinatorima za otkrivanje – zadaće i odgovornosti tijela uključenih u upravljanje kiber-
ranjivosti u okviru CSIRT mreže. netičkim krizama
(12) Zadaće CSIRT koordinatora za otkrivanje ranjivosti obavlja – uloga javnog i privatnog sektora i infrastruktura bitna za
CSIRT pri središnjem državnom tijelu za kibernetičku sigurnost. upravljanje u kibernetičkim krizama te
– nacionalni postupci i koordinacija na nacionalnoj razini po-
DIO PETI trebna za osiguranje potpore koordiniranom upravljanju kibernetič-
kim krizama koje se provodi na razini Europske unije i učinkovitog
STRATEŠKO PLANIRANJE I UPRAVLJANJE sudjelovanja Republike Hrvatske u takvom upravljanju.
KIBERNETIČKOM SIGURNOSTI (4) Sastavni dio nacionalnog programa iz stavka 2. ovoga članka
Nacionalni akt strateškog planiranja iz područja kibernetičke su standardne operativne procedure kojima se detaljnije utvrđuju:
sigurnosti – postupci upravljanja kibernetičkim krizama, uključujući nji-
hovu integraciju u opći okvir nacionalnog kriznog upravljanja te
Članak 55. – sva pitanja bitna za razmjenu podataka.
(1) Vlada, na prijedlog središnjeg državnog tijela za kibernetič- (5) Tijelo odgovorno za upravljanje kibernetičkim krizama
ku sigurnost, donosi srednjoročni akt strateškog planiranja iz pod- obavještava Europsku komisiju i EU-CyCLONe mrežu o donošenju
ručja kibernetičke sigurnosti. nacionalnog programa iz stavka 2. ovoga članka u roku od tri mje-
(2) Aktom strateškog planiranja iz stavka 1. ovoga članka utvr- seca od njegova donošenja odnosno njegovih izmjena i dopuna ili
đuju se: donošenja novoga programa.
Ocjenjivanje stanja kibernetičke sigurnosti vježbe koje se održavaju u inozemstvu uz sudjelovanje predstavnika
Članak 57. nadležnih tijela iz Republike Hrvatske
(1) U svrhu razmjene stečenih znanja i iskustava, jačanja po- b) nacionalne vježbe kibernetičke sigurnosti – vježbe koje pla-
vjerenja, jačanja kapaciteta i sposobnosti u području kibernetičke si- niraju, organiziraju i provode nadležna tijela iz ovoga Zakona, uk-
gurnosti te unaprjeđenja politika iz područja kibernetičke sigurnosti ljučujući nadležne CSIRT-ove.
organiziraju se i provode postupci samoocjene stanja kibernetičke (4) Planom provedbi vježbi kibernetičke sigurnosti utvrđuje
sigurnosti. se broj planiranih vježbi, nositelji vježbi, naziv i cilj vježbi, termin
(2) Samoocjene stanja kibernetičke sigurnosti organiziraju se i lokacija održavanja vježbi, okvirni broj sudionika vježbi, nositelji
i provode i na nacionalnoj razini (u daljnjem tekstu: nacionalne financijskih obveza za provedbu vježbi te sadržaj, rokovi i način iz-
samoocjene), neovisno o provedbi samoocjena koje države članice vještavanja o provedbi vježbi.
provode u okviru istorazinskih ocjenjivanja koja se provode suklad- (5) Prijedloge planova provedbi vježbi kibernetičke sigurnosti
no metodologiji koju su utvrdile Skupina za suradnju, Europska izrađuje središnje državno tijelo za kibernetičku sigurnost u suradnji
komisija i ENISA. s ostalim nadležnim tijelima za provedbu zahtjeva kibernetičke si-
(3) U okviru nacionalnih samoocjena ocjenjuje se razina pro- gurnosti, nadležnim CSIRT-ovima i nadležnim tijelima za provedbu
vedbe zahtjeva kibernetičke sigurnosti propisanih ovim Zakonom, posebnih zakona.
razina kibernetičkih kapaciteta, uključujući dostupne financijske,
tehničke i ljudske resurse, djelotvornost izvršavanja zadaća i razina DIO ŠESTI
provedbe suradnje nadležnih tijela za provedbu zahtjeva kibernetič- NADLEŽNA TIJELA U PODRUČJU KIBERNETIČKE
ke sigurnosti, nadležnih CSIRT-ova, nadležnih tijela za provedbu po- SIGURNOSTI
sebnih zakona i nadležnih tijela iz zakona kojim se uređuje područje
kritične infrastrukture, razina provedbe mehanizama za razmjenu
informacija o kibernetičkoj sigurnosti iz članka 53. ovoga Zakona i POGLAVLJE I.
posebna pitanja međusektorske prirode. NADLEŽNA TIJELA ZA PROVEDBU ZAHTJEVA
KIBERNETIČKE SIGURNOSTI
(4) Na nacionalne samoocjene na odgovarajući se način pri-
mjenjuje metodologija za provedbu samoocjena država članica koju Zadaće nadležnih tijela za provedbu zahtjeva kibernetičke
donose Skupina za suradnju, Europska komisija i ENISA. sigurnosti
(5) Planove i programe provedbe samoocjena koje države čla- Članak 59.
nice provode u okviru istorazinskih ocjenjivanja iz stavka 2. ovoga
članka i nacionalnih samoocjena donosi Vlada, na prijedlog središ- (1) Nadležna tijela za provedbu zahtjeva kibernetičke sigurnosti
njeg državnog tijela za kibernetičku sigurnost. obavljaju sljedeće poslove:
(6) Središnje državno tijelo za kibernetičku sigurnost prije po- – provode kategorizaciju subjekata sukladno ovom Zakonu te
četka istorazinskih ocjenjivanja iz stavka 2. ovoga članka razmatra utvrđuju i vode popise ključnih i važnih subjekata
postojanje rizika od sukoba interesa stručnjaka za kibernetičku si- – provode stručni nadzor nad ključnim i važnim subjektima u
gurnost imenovanih za njihovu provedbu te o utvrđenim rizicima provedbi zahtjeva kibernetičke sigurnosti sukladno ovom Zakonu i
obavještava druge države članice, Skupinu za suradnju, Europsku uredbi iz članka 24. ovoga Zakona
komisiju i ENISA-u. – u poslovima kategorizacije subjekata, postupanja u slučaju
(7) Kada postoje opravdani razlozi za protivljenje imenovanju značajnih incidenata te poslovima stručnog nadzora usko surađuju
pojedinog stručnjaka za kibernetičku sigurnost za provedbu isto- i koordiniraju svoj rad s tijelima državne uprave nadležnim za poje-
razinskih ocjenjivanja iz stavka 2. ovoga članka, središnje državno dini sektor u kojem posluju subjekti iz njihove nadležnosti
tijelo za kibernetičku sigurnost o tome obavještava državu članicu – blisko surađuju i razmjenjuju relevantne informacije s tije-
koja provodi imenovanja. lima za zaštitu osobnih podataka u rješavanju incidenata koji su
doveli do povrede osobnih podataka odnosno s tijelima kaznenog
Vježbe kibernetičke sigurnosti progona kada su incidenti rezultat kriminalnih aktivnosti
Članak 58. – međusobno surađuju i razmjenjuju relevantne informacije i
(1) Kako bi se postigla maksimalna razina pripravnosti, osobito iskustva u provedbi ovoga Zakona
u slučaju kibernetičkih kriza, radi provjere raspoloživih kapaciteta – surađuju i razmjenjuju relevantne informacije s nacional-
i sposobnosti u području kibernetičke sigurnosti, testiranja uspo- nim koordinacijskim centrom imenovanim na temelju Uredbe
stavljenih komunikacijskih mehanizama, kao i razmjene stečenih (EU) 2021/887 Europskog parlamenta i Vijeća od 20. svibnja 2021.
znanja, iskustava i najboljih praksi te jačanja povjerenja provode se o osnivanju Europskog stručnog centra za industriju, tehnologiju i
vježbe kibernetičke sigurnosti. istraživanja u području kibernetičke sigurnosti i mreže nacionalnih
(2) Vježbe kibernetičke sigurnosti organiziraju se i provode na koordinacijskih centara (SL L 202/1, 8. 6. 2021.)
temelju Plana provedbe vježbi kibernetičke sigurnosti koji donosi – surađuju s nadležnim CSIRT-ovima i
Vlada na prijedlog središnjeg državnog tijela za kibernetičku sigur- – obavljaju i druge poslove za koje je ovim Zakonom propisano
nost, za razdoblje od dvije godine. da ih obavljaju tijela nadležna za provedbu zahtjeva kibernetičke
(3) U Planu provedbe vježbi kibernetičke sigurnosti iskazuju se: sigurnosti.
a) međunarodne vježbe kibernetičke sigurnosti – vježbe koje se (2) Nadležna tijela za provedbu zahtjeva kibernetičke sigurnosti
provode u Republici Hrvatskoj uz sudjelovanje stručnjaka iz drugih poslove iz stavka 1. ovoga članka obavljaju prema podjeli nadležno-
država članica ili drugih zemalja i međunarodnih organizacija te sti iz Priloga III. ovoga Zakona.
(3) Ako za pojedini subjekt postoji nadležnost dvaju ili više – surađuje s drugim nadležnim tijelima iz ovoga Zakona
tijela iz Priloga III. ovoga Zakona, radi izbjegavanja dupliciranja i – ostvaruje međunarodnu suradnju u pitanjima kibernetičke
preklapanja u obavljanju poslova, središnje državno tijelo za kiber- sigurnosti u okviru svojih nadležnosti utvrđenih ovim Zakonom te
netičku sigurnost, u suradnji sa svim tijelima nadležnim za subjekt,
– obavlja i druge poslove za koje je ovim Zakonom propisano
izrađuje protokol o postupanju nadležnih tijela, vodeći računa pri-
da ih obavlja središnje državno tijelo za kibernetičku sigurnost.
marno o glavnoj djelatnosti subjekta.
(4) Postupak izrade protokola iz stavka 3. ovoga članka središ- (2) Središnje državno tijelo za kibernetičku sigurnost je Sigur-
nje državno tijelo za kibernetičku sigurnost pokreće po službenoj nosno-obavještajna agencija.
dužnosti, na prijedlog jednog od nadležnih tijela prema Prilogu III.
ovoga Zakona ili na prijedlog subjekta. Zadaće jedinstvene kontaktne točke
Članak 62.
Primjena zahtjeva kibernetičke sigurnosti na nadležna tijela Jedinstvena kontaktna točka obavlja sljedeće poslove:
za provedbu zahtjeva kibernetičke sigurnosti – obavještava bez odgode Europsku komisiju o nazivima nad-
Članak 60. ležnih tijela iz članka 54. stavka 12., članka 56. stavka 1., članka 61.
(1) Nadležna tijela za provedbu zahtjeva kibernetičke sigurnosti stavka 1. podstavaka 6., 7. i 8. i članka 70. stavka 1. ovoga Zakona
koja nisu kategorizirana kao ključni ili važni subjekti sukladno ovom te njihovim zadaćama i svim naknadnim promjenama dostavljenih
Zakonu dužna su: informacija
– primjenjivati zahtjeve kibernetičke sigurnosti iz članka 25. – obavještava bez odgode Europsku komisiju o odredbama
ovoga Zakona u skladu s odredbama uredbe iz članka 24. ovoga ovoga Zakona kojima se uređuje izricanje novčanih kazni i svim
Zakona koje se odnose na ključne subjekte i naknadnim promjenama dostavljenih informacija
– najmanje jednom u dvije godine provoditi samoprocjene ki- – sudjeluje u radu Skupine za suradnju
bernetičke sigurnosti za mrežne i informacijske sustave kojima se – osigurava prekograničnu suradnju nadležnih tijela za pro-
služe u svom poslovanju te o provedenim samoprocjenama kiberne- vedbu zahtjeva kibernetičke sigurnosti, nadležnih tijela za proved-
tičke sigurnosti izvještavati središnje državno tijelo za kibernetičku bu posebnih zakona i nadležnih CSIRT-ova s relevantnim tijelima u
sigurnost. drugim državama članicama i, prema potrebi, s Europskom komi-
(2) U smislu stavka 1. podstavka 1. ovoga članka zadaće CSIRT- sijom i ENISA-om
a obavlja središnje državno tijelo za kibernetičku sigurnost.
– osigurava međusektorsku suradnju nadležnih tijela za pro-
vedbu zahtjeva kibernetičke sigurnosti, nadležnih tijela za provedbu
Zadaće središnjeg državnog tijela za kibernetičku sigurnost posebnih zakona i nadležnih CSIRT-ova s drugim relevantnim tije-
Članak 61. lima na nacionalnoj razini
(1) Središnje državno tijelo za kibernetičku sigurnost, uz poslo- – izrađuje smjernice o sadržaju obavijesti, načinu i rokovima
ve iz članka 59. ovoga Zakona, obavlja i sljedeće poslove: obavještavanja jedinstvene kontaktne točke o zaprimljenim obavije-
– koordinira izradu i donošenje akta strateškog planiranja iz stima o značajnim incidentima, ostalim incidentima, kibernetičkim
područja kibernetičke sigurnosti prijetnjama i izbjegnutim incidentima te
– usmjerava i prati provedbu akta strateškog planiranja iz po- – obavlja i druge poslove za koje je ovim Zakonom propisano
dručja kibernetičke sigurnosti da ih obavlja jedinstvena kontaktna točka.
– unaprjeđuje mjere upravljanja kibernetičkim sigurnosnim
rizicima planiranjem razvoja regulativnog okvira kibernetičke si- Nacionalni centar za kibernetičku sigurnost
gurnosti Članak 63.
– prati provedbu ovoga Zakona te daje preporuke, mišljenja, Za obavljanje zadaća iz članaka 59., 61. i 62. ovoga Zakona u
smjernice i upute vezane uz provedbu zahtjeva kibernetičke sigur- Sigurnosno-obavještajnoj agenciji ustrojava se Nacionalni centar za
nosti
kibernetičku sigurnost.
– potiče uspostavljanje mehanizama za dobrovoljnu razmjenu
informacija o kibernetičkoj sigurnosti iz članka 53. ovoga Zakona POGLAVLJE II.
te daje preporuke, smjernice i upute radi njihove lakše uspostave SURADNJA NADLEŽNIH TIJELA NA NACIONALNOJ
– kao tijelo odgovorno za upravljanje kibernetičkim krizama RAZINI
koordinira aktivnosti vezane za upravljanje kibernetičkim krizama
na nacionalnoj razini Suradnja s nadležnim tijelima za provedbu posebnih zakona
– sudjeluje u radu EU-CyCLONe mreže i u ime Republike Hr- Članak 64.
vatske koordinira aktivnosti vezane za upravljanje kibernetičkim (1) Središnje državno tijelo za kibernetičku sigurnost i dru-
krizama na razini Europske unije ga nadležna tijela za provedbu zahtjeva kibernetičke sigurnosti te
– obavlja poslove jedinstvene kontaktne točke nadležna tijela za provedbu posebnih zakona međusobno surađuju
– obavlja poslove CSIRT tijela prema podjeli nadležnosti iz Pri- i razmjenjuju relevantne informacije i iskustva.
loga III. ovoga Zakona (2) Središnje državno tijelo za kibernetičku sigurnost pruža
– provodi aktivnosti u svrhu otkrivanja kibernetičkih prijetnji pomoć u provedbi nadzornih aktivnosti koje se izvršavaju na te-
i zaštite nacionalnog kibernetičkog prostora melju posebnih zakona iz članka 8. ovoga Zakona, kada to zatraže
– izrađuje izvješća o stanju kibernetičke sigurnosti nadležna nadzorna tijela.
(3) Pomoć iz stavka 2. ovoga članka pruža se na temelju spora- – pruža rana upozorenja i najave te informira ključne i važne
zuma o suradnji kojim se uređuju sva bitna pitanja koja se odnose subjekte, druga nadležna tijela iz ovoga Zakona ili druge relevantne
na koordinaciju i provedbu nadzornih aktivnosti, uključujući meha- dionike o kibernetičkim prijetnjama, ranjivostima i incidentima, ako
nizam za razmjenu relevantnih informacija o nadzorima te pristup je moguće u gotovo stvarnom vremenu
informacijama povezanima s kibernetičkom sigurnošću subjekata – obrađuje zaprimljene obavijesti o incidentima te, ako to do-
na koje se primjenjuju posebni zakoni iz članka 8. ovoga Zakona. puštaju okolnosti, nakon primitka obavijesti o incidentu, dostavlja
(4) Središnje državno tijelo za kibernetičku sigurnost obavješta- ključnim i važnim subjektima relevantne informacije u pogledu
va Nadzorni forum osnovan na temelju članka 32. stavka 1. Ured- daljnjeg postupanja, a osobito informacije koje bi mogle pridonijeti
be (EU) 2022/2554 o nadzornim aktivnostima koje se provode na djelotvornom rješavanju incidenta
temelju ovoga Zakona nad ključnim i važnim subjektima koji su – odgovara na incidente te pruža pomoć ključnim i važnim
na temelju članka 31. Uredbe (EU) 2022/2554 određeni kao ključna subjektima, na njihov zahtjev ili uz njihovu suglasnost
treća strana pružatelj IKT usluga. – na zahtjev ključnih i važnih subjekata provodi proaktivno
skeniranje mrežnih i informacijskih sustava ključnih i važnih su-
Suradnja s nadležnim tijelima iz zakona kojim se uređuje bjekata, radi otkrivanja ranjivosti s potencijalno značajnim učinkom
područje kritične infrastrukture
– prikuplja i analizira računalne forenzičke podatke i provodi
Članak 65. dinamičku analizu rizika i incidenata u sektorima za koje je nadle-
(1) Nadležna tijela za provedbu zahtjeva kibernetičke sigurnosti žan te izrađuje pregled situacije o stanju u sektoru u pogledu kiber-
i nadležna tijela iz zakona kojim se uređuje područje kritične infra- netičke sigurnosti
strukture međusobno surađuju i razmjenjuju relevantne informacije, – donosi smjernice za ujednačavanje i unapređenje stanja pro-
i to informacije o: vedbe obveze obavještavanja iz članaka 37. i 38. ovoga Zakona te
– utvrđivanju subjekata kritičnim subjektima na temelju zako- provedbe dobrovoljnog obavještavanja iz članka 39. ovoga Zakona
na kojim se uređuje područje kritične infrastrukture – u suradnji s nadležnim tijelom za provedbu zahtjeva kiber-
– rizicima, prijetnjama i incidentima kojima su izloženi kritični netičke sigurnosti, određuje prekogranične i međusektorske učinke
subjekti, kao i poduzetim mjerama kao odgovor na rizike, prijetnje značajnih incidenata
i incidente, neovisno o tome potječu li ti rizici, prijetnje i incidenti – surađuje s drugim CSIRT-ovima na nacionalnoj i međuna-
iz kibernetičkog ili fizičkog prostora rodnoj razini
– zahtjevima kibernetičke sigurnosti i fizičkim mjerama zaštite – sudjeluje u radu CSIRT mreže
koje ti subjekti provode te
– pruža uzajamnu pomoć u skladu sa svojim kapacitetima i
– rezultatima nadzornih aktivnosti provedenih nad postupa- kompetencijama drugim članovima CSIRT mreže, na njihov zahtjev
njem kritičnih subjekata sukladno ovom Zakonu odnosno zakonu
– surađuje i, prema potrebi, razmjenjuje relevantne informacije
kojim se uređuje područje kritične infrastrukture.
sa sektorskim ili međusektorskim zajednicama ključnih i važnih su-
(2) Nadležna tijela iz zakona kojim se uređuje područje kritične bjekata uspostavljenih na temelju sporazuma o dobrovoljnoj razmje-
infrastrukture mogu zatražiti od nadležnih tijela za provedbu zahtje- ni informacija o kibernetičkoj sigurnosti iz članka 53. ovoga Zakona
va kibernetičke sigurnosti i nadležnih tijela za provedbu posebnih
– surađuje s relevantnim dionicima iz privatnog sektora te u
zakona da izvršavaju svoje nadzorne ovlasti nad subjektima koji su
svrhu uspostave takve suradnje promiče donošenje i primjenu zajed-
utvrđeni kao kritični subjekti.
ničkih ili normiranih praksi, planova za kategorizaciju i taksonomiju
(3) Razmjena informacija o kritičnim subjektima odvija se u u odnosu na postupanje s incidentima, upravljanje kibernetičkim
okvirima koji se uspostavljaju sporazumom središnjeg državnog krizama i koordinirano otkrivanje ranjivosti na temelju članka 54.
tijela za kibernetičku sigurnost i nadležnog koordinativnog tijela ovoga Zakona
državne uprave iz zakona kojim se uređuje područje kritične in-
frastrukture. – pridonosi uvođenju i korištenju alata za sigurnu razmjenu
informacija
(4) Sporazumom iz stavka 3. ovoga članka uređuju se sva bit-
na pitanja koja se odnose na razmjenu informacija i koordinaciju – sudjeluje u provedbi istorazinskih ocjenjivanja koja se pro-
nadležnih tijela, uključujući način razmjene informacija iz stavka 1. vode sukladno metodologiji koju su utvrdile Skupina za suradnju,
ovoga članka, kao i informacija o provedenim nadzorima nad kri- Europska komisija i ENISA
tičnim subjektima. – sudjeluje u provedbi samoocjena stanja kibernetičke sigurno-
sti koja se provode na nacionalnoj razini te
POGLAVLJE III. – obavlja druge poslove za koje je ovim Zakonom propisano da
CSIRT NADLEŽNOSTI ih obavlja nadležni CSIRT.
Zadaće CSIRT-a (2) Pri obavljanju zadaća iz stavka 1. ovoga članka CSIRT daje
prednost prioritetnim zadaćama prema procjeni rizika, a prilikom
Članak 66. obrade zaprimljenih obavijesti, na temelju ovoga Zakona, daje pred-
(1) CSIRT obavlja sljedeće poslove: nost obradi obavijesti o značajnim incidentima.
– prati i analizira kibernetičke prijetnje, ranjivosti i incidente i, (3) Kada suradnja iz stavka 1. podstavka 9. ovoga članka uklju-
na njihov zahtjev, pruža pomoć ključnim i važnim subjektima u vezi čuje sudjelovanje CSIRT-a u međunarodnim mrežama za suradnju i/
s praćenjem njihovih mrežnih i informacijskih sustava u stvarnom ili suradnju s CSIRT-ovima trećih zemalja, CSIRT je dužan koristiti
ili gotovo stvarnom vremenu se odgovarajućim protokolima za razmjenu informacija.
Provođenje proaktivnog neintruzivnog skeniranja javno (2) U smislu članka 50. stavka 1. podstavka 2. ovoga Zakona,
dostupnih mrežnih i informacijskih sustava središnje državno tijelo za kibernetičku sigurnost obavlja zadaće
Članak 67. CSIRT-a za državna tijela, pravne osobe s javnim ovlastima i jedini-
ce lokalne i područne (regionalne) samouprave, a CARNET obavlja
(1) Radi otkrivanja ranjivih ili nesigurno konfiguriranih mrež- zadaće CSIRT-a za javne i privatne subjekte, uključujući građanstvo.
nih i informacijskih sustava CSIRT može provoditi proaktivno ne-
intruzivno skeniranje javno dostupnih mrežnih i informacijskih Zadaće od javnog interesa
sustava ključnih i važnih subjekata iz svoje nadležnosti.
(2) Skeniranje iz stavka 1. ovoga članka ne smije imati nega- Članak 71.
tivan učinak na funkcioniranje usluga koje ključan i važan subjekt Zadaće koje su ovim Zakonom utvrđene za središnje državno
pruža i na djelatnost koju obavlja. tijelo za kibernetičku sigurnost, nadležna tijela za provedbu zahtje-
(3) Nadležni CSIRT dužan je obavijestiti ključnog i važnog su- va kibernetičke sigurnosti i nadležne CSIRT-ove, uključujući zadaće
bjekta o otkrivenim ranjivostima ili nesigurno konfiguriranim mrež- vezane uz suradnju, pružanje pomoći i razmjenu informacija, na
nim i informacijskim sustavima na temelju skeniranja iz stavka 1. nacionalnoj i međunarodnoj razini, nužne su za osiguranje djelo-
ovoga članka. tvorne provedbe postupaka i mjera za postizanje visoke razine ki-
bernetičke sigurnosti u sektorima od posebne važnosti za nesmetano
Suradnja subjekata s nadležnim CSIRT-om i nepostojanje obavljanje ključnih društvenih i gospodarskih aktivnosti i pravilno
odgovornosti CSIRT-a za uzrokovanu štetu funkcioniranje unutarnjeg tržišta te je izvršavanje tih zadaća od jav-
nog interesa.
Članak 68.
(1) Ključni i važni subjekti dužni su surađivati s nadležnim
CSIRT-om i s njim razmjenjivati potrebne informacije u postupku
DIO SEDMI
rješavanja incidenata. ZAŠTITA I OBRADA OSOBNIH PODATAKA I
(2) CSIRT u obavljanju svojih zadaća ne može snositi odgovor- PRISTUP INFORMACIJAMA
nost za štetu uzrokovanu incidentom na mrežnim i informacijskim Zaštita i obrada osobnih podataka
sustavima ključnih i važnih subjekata.
Članak 72.
Osiguravanje uvjeta za obavljanje zadaća nadležnog Na obradu osobnih podataka koju provode nadležna tijela za
CSIRT-a provedbu zahtjeva kibernetičke sigurnosti i nadležni CSIRT-ovi
u okviru svojih zadaća propisanih ovim Zakonom primjenjuje se
Članak 69. Uredba (EU) 2016/679.
Nadležni CSIRT dužan je:
– osigurati visoku razinu dostupnosti svojih usluga komuni- Ograničenja u korištenju i pravu pristupa informacijama
ciranja izbjegavanjem jedinstvenih točki prekida, uz raspoloživost Članak 73.
sredstava za mogućnost dvosmjernog komuniciranja te jasno odre-
đenim i poznatim komunikacijskim kanalima za njihove klijente i (1) Popisi ključnih i važnih subjekata, kao i svi ostali zapisi koji
suradnike nastaju u okviru provedbe ovoga Zakona koriste se i razmjenjuju
isključivo u svrhu izvršavanja zahtjeva iz ovoga Zakona, uz pošti-
– osigurati povjerljivost i pouzdanost aktivnosti koje provode
vanje potrebe ograničavanja pristupa tim zapisima, pod uvjetima
– svoje prostore i informacijske sustave za potporu smjestiti na propisanim zakonom kojim se uređuje zaštita fizičkih osoba u vezi
sigurne lokacije s obradom i razmjenom osobnih podataka u svrhe sprječavanja,
– osigurati opremljenost odgovarajućim sustavom za upravlja- istraživanja, otkrivanja ili progona kaznenih djela ili izvršavanja
nje zahtjevima za rješavanje incidenata kaznenih sankcija.
– osigurati dovoljan broj osposobljenih zaposlenika, kao i opre- (2) Popisi i ostali zapisi iz stavka 1. ovoga članka predstavljaju
mljenost redundantnim sustavima i odgovarajućim radnim prosto- informacije u odnosu na koje je moguće ograničiti pravo pristupa
rima, radi osiguravanja kontinuiteta u obavljanju CSIRT zadaća i korisniku prava na pristup informacija i ponovnu uporabu informa-
razvoju tehničkih sposobnosti potrebnih za obavljanje CSIRT zadaća cija, ovisno o rezultatima testa razmjernosti i javnog interesa koji se
– raspolagati sigurnom i otpornom komunikacijskom i infor- provodi prema odredbama zakona kojim se uređuje pravo na pristup
macijskom infrastrukturom za razmjenu informacija s ključnim i informacijama.
važnim subjektima te drugim relevantnim dionicima iz ovoga Za-
kona te Obveza izvještavanja o povredama koje uključuju povredu
– osigurati i druge resurse koji su potrebni za učinkovito obav- osobnih podataka
ljanje CSIRT zadaća. Članak 74.
(1) Ako nadležno tijelo za provedbu zahtjeva kibernetičke si-
Određivanje nadležnosti CSIRT-a
gurnosti tijekom stručnog nadzora nad provedbom zahtjeva kiber-
Članak 70. netičke sigurnosti ili izvršavanja drugih aktivnosti iz ovoga Zakona
(1) Središnje državno tijelo za kibernetičku sigurnost, kroz sazna za povredu obveza iz članka 25. ovoga Zakona koju je počinio
Nacionalni centar za kibernetičku sigurnost i CARNET, kroz Nacio- ključan ili važan subjekt koja uključuje povredu osobnih podataka,
nalni CERT, obavljaju zadaće CSIRT-a na nacionalnoj razini, prema dužno je o toj povredi i utvrđenom činjeničnom stanju izvijestiti
podjeli nadležnosti iz Priloga III. ovoga Zakona. tijelo nadležno za zaštitu osobnih podataka bez nepotrebne odgode.
(2) Ako o povredi iz stavka 1. ovoga članka izvještava tijelo nad- upravljanja kibernetičkim sigurnosnim rizicima, izvršavanja propi-
ležno za zaštitu osobnih podataka osnovano u drugoj državi članici, sanih obveza obavještavanja o kibernetičkim prijetnjama i incidenti-
nadležno tijelo za provedbu zahtjeva kibernetičke sigurnosti dužno ma te postupanja po zahtjevima nadležnih tijela iz ovoga Zakona ili
je o istoj povredi izvijestiti i Agenciju za zaštitu osobnih podataka. – uvidom u izvješća o provedenim revizijama kibernetičke si-
gurnosti te po potrebi drugim, dodatno zatraženim i dostavljenim
DIO OSMI podacima i dokumentaciji nadziranog subjekta.
STRUČNI NADZOR NAD PROVEDBOM ZAHTJEVA (2) Nadležno tijelo za provedbu zahtjeva kibernetičke sigurno-
KIBERNETIČKE SIGURNOSTI sti dužno je o provedbi stručnog nadzora iz stavka 1. podstavka 1.
ovoga članka obavijestiti nadzirani subjekt najkasnije u roku od pet
POGLAVLJE I. dana prije dana početka nadzora.
PROVEDBA STRUČNOG NADZORA (3) Iznimno od stavka 2. ovoga članka, kada se stručni nadzori
provode na temelju članka 75. stavka 2. i članka 76. stavka 1. ovoga
Provedba stručnog nadzora nad ključnim subjektom Zakona, stručni nadzor iz stavka 1. podstavka 1. ovoga članka može
Članak 75. biti proveden bez prethodne obavijesti:
(1) Stručni nadzor nad provedbom zahtjeva kibernetičke si- – u slučaju postojanja razloga koji upozoravaju na potrebu za
gurnosti (u daljnjem tekstu: stručni nadzor) u ključnom subjektu hitnim postupanjem subjekta sa značajnim incidentom ili
provodi se najmanje jednom u roku od tri do pet godina. – radi sprečavanja ili ublažavanja rizika koji proizlaze iz ozbilj-
(2) Stručni nadzor nad ključnim subjektom provodi se i prije ne kibernetičke prijetnje.
isteka rokova iz stavka 1. ovoga članka ako nadležno tijelo za pro- (4) Nadležno tijelo za provedbu zahtjeva kibernetičke sigurno-
vedbu zahtjeva kibernetičke sigurnosti raspolaže informacijama koje sti dužno je pri provedbi stručnog nadzora iz stavka 1. podstavka
upozoravaju da subjekt ne provodi mjere upravljanja kibernetičkim 1. ovoga članka voditi računa o utjecaju provedbe nadzora na rad
sigurnosnim rizicima u skladu s propisanim obvezama ili da ne is- i poslovanje nadziranog subjekta te osigurati da provedba nadzora
punjava obveze vezane uz obavještavanje o kibernetičkim prijetnja- ne dovodi do prekida u radu i poslovanju nadziranog subjekta, osim
ma i incidentima na propisani način i u propisanim ili ostavljenim u slučaju da stručni nadzor na drugi način nije moguće provesti.
rokovima ili da ne postupa po zahtjevima nadležnih tijela iz ovoga
Zakona. Obveze ključnih i važnih subjekata u okviru stručnog
(3) Terminski plan provedbe stručnih nadzora iz stavka 1. ovo- nadzora
ga članka utvrđuje se godišnjim planom rada nadležnog tijela za
provedbu zahtjeva kibernetičke sigurnosti. Članak 78.
(4) U svrhu utvrđivanja terminskih planova provedbe stručnih Ključni i važni subjekti dužni su omogućiti provedbu stručnog
nadzora iz stavka 1. ovoga članka te odlučivanja o prioritetima u nadzora te osigurati sve uvjete za neometano provođenje stručnog
provedbi nadzora nadležno tijelo za provedbu zahtjeva kibernetičke nadzora, što posebno uključuje obvezu:
sigurnosti može razvrstavati ključne subjekte prema kategoriji ri- – omogućavanja nesmetanog pristupa i korištenja prostorima,
zičnosti. opremom, sustavima i drugom infrastrukturom ili tehničkim sred-
stvima nadziranog subjekta
Provedba stručnog nadzora nad važnim subjektom – omogućavanja uvida i korištenja, uključujući izradu preslika,
Članak 76. svih potrebnih podataka i dokumentacije
(1) Stručni nadzor nad važnim subjektom provodi se kada – omogućavanja razgovora s nadležnim i odgovornim osobama
nadležno tijelo za provedbu zahtjeva kibernetičke sigurnosti raspo- nadziranog subjekta.
laže informacijama koje upozoravaju da subjekt ne provodi mjere
upravljanja kibernetičkim sigurnosnim rizicima u skladu s propisa- POGLAVLJE II.
nim obvezama ili da ne ispunjava obveze vezane uz obavještavanje OVLASTI NADLEŽNIH TIJELA ZA PROVEDBU
o kibernetičkim prijetnjama i incidentima na propisani način i u ZAHTJEVA KIBERNETIČKE SIGURNOSTI U PROVEDBI
propisanim ili ostavljenim rokovima ili da ne postupa po zahtjevima STRUČNOG NADZORA
nadležnih tijela iz ovoga Zakona.
Opće nadzorne mjere za ključne i važne subjekte
(2) U svrhu utvrđivanja terminskih planova provedbe stručnih
nadzora iz stavka 1. ovoga članka te odlučivanja o prioritetima u Članak 79.
provedbi nadzora nadležno tijelo za provedbu zahtjeva kibernetičke (1) Nadležno tijelo za provedbu zahtjeva kibernetičke sigurnosti
sigurnosti može razvrstavati važne subjekte prema kategoriji rizič- ovlašteno je u obavljanju stručnog nadzora:
nosti. – provesti neposredan uvid u podatke, dokumentaciju i mrežne
i informacijske sustave
Način provedbe stručnog nadzora i obavijest o provedbi
– neposredno provjeriti uvjete i načine provedbe mjera uprav-
nadzora
ljanja kibernetičkim sigurnosnim rizicima, uključujući nasumične
Članak 77. provjere
(1) Nadležna tijela za provedbu zahtjeva kibernetičke sigurnosti – neposredno ostvariti uvid u dokumentaciju izvršavanja propi-
provode stručni nadzor: sanih obveza obavještavanja o kibernetičkim prijetnjama i inciden-
– na način da se u nadziranom subjektu obavlja neposredan tima te drugih postupanja po zahtjevima nadležnih tijela iz ovoga
uvid u podatke, dokumentaciju, uvjete i načine provedbe mjera Zakona
– zatražiti podatke i dokumentaciju potrebnu za ocjenjivanje POGLAVLJE III.

proporcionalnosti mjera upravljanja kibernetičkim sigurnosnim ri- KOREKTIVNE MJERE, PRIVREMENE SUSPENZIJE I
zicima koje subjekt primjenjuje ZABRANE OBAVLJANJA DJELATNOSTI
– zatražiti izvješća o provedenim revizijama kibernetičke si-
gurnosti koje je proveo revizor kibernetičke sigurnosti iz članka 32. Korektivne mjere za ključne i važne subjekte
ovoga Zakona te druge relevantne dokaze o provedbi kibernetičkih Članak 82.
sigurnosnih politika iz članka 30. ovoga Zakona (1) Nadležno tijelo za provedbu zahtjeva kibernetičke sigurno-
– zatražiti i druge podatke, dokumentaciju i informacije po- sti, ovisno o rezultatima stručnog nadzora, ključnim i važnim su-
trebne za provedbu nadzora bjektima može izreći sljedeće korektivne mjere:
– zatražiti provedbu ciljane revizije kibernetičke sigurnosti. – izdati upozorenja o povredama ovoga Zakona i uredbe iz
(2) Prilikom provedbe nadzornih mjera iz stavka 1. podstavaka članka 24. ovoga Zakona
4. do 6. ovoga članka nadležno tijelo za provedbu zahtjeva kiber- – izdati obvezujuće upute ili naloge kojima se zahtijeva da
netičke sigurnosti dužno je navesti njezinu svrhu i pobliže odrediti
podatke, dokumentaciju i druge informacije koje traži od subjekta. otklone utvrđene nedostatke ili povrede ovoga Zakona i uredbe iz
članka 24. ovoga Zakona, uz navođenje mjera koje subjekt treba pro-
(3) Kada se primjenjuje nadzorna mjera iz stavka 1. podstavka vesti radi sprečavanja značajnih incidenata ili otklanjanja njihovih
7. ovoga članka, nadležno tijelo za provedbu zahtjeva kibernetičke posljedica
sigurnosti izrađuje dodatnu analizu kibernetičke sigurnosti na te-
melju objektivnih, nediskriminirajućih, pravednih i transparentnih – naložiti da prestanu s postupanjem koje je u suprotnosti s
kriterija za procjenu rizika, ako je to potrebno u suradnji s nadzira- ovim Zakonom i uredbom iz članka 24. ovoga Zakona i da ne po-
nim subjektom, a radi utvrđivanja preporuka za poboljšanje stanja navljaju takvo postupanje
ili smanjenje rizika kojima je subjekt izložen ili može biti izložen. – naložiti da osiguraju da su njihove mjere upravljanja kiber-
netičkim sigurnosnim rizicima u skladu s propisanim obvezama ili
Ciljane revizije kibernetičke sigurnosti da ispune obveze obavještavanja o kibernetičkim prijetnjama i in-
Članak 80. cidentima na propisani način i u propisanom ili ostavljenom roku
odnosno da na određeni način i/ili ostavljenom roku postupe po
(1) Provođenje i opseg ciljane revizije kibernetičke sigurnosti zahtjevima nadležnih tijela iz ovoga Zakona
određuje se ovisno o dostupnim podacima o procjeni rizika kojima
je nadzirani subjekt izložen ili može biti izložen. – naložiti da u razumnom roku provedu preporuke koje su
dane u izvješću o provedenoj reviziji kibernetičke sigurnosti ili u
(2) Troškove ciljane revizije kibernetičke sigurnosti snosi nad- okviru izrađenih analiza sigurnosti i
zirani subjekt.
– naložiti da objave aspekte povreda ovoga Zakona i uredbe iz
(3) Iznimno od stavka 2. ovoga članka, troškove ciljane revizi- članka 24. ovoga Zakona na određeni način.
je kibernetičke sigurnosti može snositi nadležno tijelo za provedbu
zahtjeva kibernetičke sigurnosti ako se ocjena provodi u okviru pro- (2) Upute i nalozi iz stavka 1. ovoga članka moraju sadržavati
vedbe hitnih mjera koje je potrebno poduzeti kako bi se izbjegli ili rok za provedbu korektivnih mjera i rok za obavještavanje o proved-
spriječili značajni incidenti ili ublažile posljedice značajnih incidena- bi izrečenih korektivnih mjera.
ta ili drugih rizika kojima je nadzirani subjekt izložen, a koji imaju (3) Ako ključan ili važan subjekt ne postupi sukladno izrečenim
ili mogu imati prekogranični ili međusektorski učinak. korektivnim mjerama iz stavka 1. podstavaka 1. do 5. ovoga članka,
nadležno tijelo za provedbu zahtjeva kibernetičke sigurnosti odredit
Posebne nadzorne mjere za ključne subjekte će subjektu dodatni primjereni rok za provedbu korektivnih mjera.
Članak 81. (4) Iznimno od stavka 3. ovoga članka, u iznimnim slučajevi-
ma nadziranom subjektu neće se odrediti dodatni primjeren rok za
(1) Osim nadzornih mjera iz članka 79. ovoga Zakona, u obav- provedbu korektivnih mjera, ako bi to onemogućilo poduzimanje
ljanju stručnog nadzora nad ključnim subjektom nadležno tijelo
za provedbu zahtjeva kibernetičke sigurnosti ovlašteno je zatražiti hitnih mjera koje su naložene radi sprečavanja značajnih incidenata
provedbu: ili odgovora na takve incidente.
– redovite revizije kibernetičke sigurnosti, kada raspolaže in-
formacijama iz kojih proizlazi da subjekt reviziju kibernetičke sigur- Posebna korektivna mjera za ključne subjekte
nosti nije proveo u rokovima iz članka 34. stavka 1. ovoga Zakona i Članak 83.
– izvanredne revizije kibernetičke sigurnosti, u slučaju značaj- (1) Osim korektivnih mjera iz članka 82. ovoga Zakona, nad-
nog incidenta ili kada utvrdi da su u prethodno provedenoj reviziji ležno tijelo za provedbu zahtjeva kibernetičke sigurnosti može na
kibernetičke sigurnosti utvrđene nepravilnosti, nedostaci ili propusti određeno razdoblje imenovati službenika za praćenje usklađenosti
u provedbi mjera upravljanja kibernetičkim sigurnosnim rizicima ključnog subjekta sa zahtjevima kibernetičke sigurnosti.
koji u međuvremenu nisu otklonjeni ili raspolaže informacijama da (2) Odluka o imenovanju iz stavka 1. ovoga članka mora sadr-
subjekt ne provodi mjere upravljanja kibernetičkim sigurnosnim ri-
zicima sukladno ovom Zakonu i uredbi iz članka 24. ovoga Zakona. žavati razdoblje za koje se imenuje službenik za praćenje usklađeno-
sti subjekta sa zahtjevima kibernetičke sigurnosti i njegove zadaće.
(2) Na troškove revizija kibernetičke sigurnosti provedenih na
temelju stavka 1. ovoga članka primjenjuje se članak 34. stavak 7.
ovoga Zakona. Privremene suspenzije i zabrane obavljanja djelatnosti
(3) Kada se primjenjuje posebna nadzorna mjera iz stavka 1. Članak 84.
podstavka 2. ovoga članka za slučaj značajnog incidenta, nadležno (1) Ako ključan subjekt ne postupi u skladu s izrečenim ko-
tijelo za provedbu zahtjeva kibernetičke sigurnosti izrađuje dodatnu rektivnim mjerama iz članka 82. ovoga Zakona, nadležno tijelo za
analizu kibernetičke sigurnosti iz članka 79. stavka 3. ovoga Zakona. provedbu zahtjeva kibernetičke sigurnosti može:
– zatražiti nadležno tijelo da privremeno suspendira ovlaštenje nom tužitelju odnosno izdati prekršajni nalog sukladno prekršajnim
izdano subjektu za pružanje usluga ili obavljanje djelatnosti iz Pri- odredbama ovoga Zakona.
loga I. odnosno Priloga II. ovoga Zakona (2) Iznimno od stavka 1. ovoga članka, u stručnim nadzorima
– zahtijevati od nadležnog tijela privremenu zabranu obavlja- ne može se podnijeti prijava ovlaštenom tužitelju odnosno izdati
nja upravljačkih dužnosti u ključnom subjektu fizičkim osobama iz prekršajni nalog sukladno prekršajnim odredbama ovoga Zakona
članka 29. ovoga Zakona. ako je nadziranom subjektu tijelo nadležno za zaštitu osobnih po-
(2) Mjere iz stavka 1. ovoga članka primjenjuju se samo dok dataka za povrede osobnih podataka koje proizlaze iz istog postupa-
ključni subjekt ne postupi sukladno izrečenim korektivnim mjerama nja subjekta izreklo upravnu novčanu kaznu sukladno Uredbi (EU)
iz članka 82. ovoga Zakona. 2016/679.
(3) Mjere iz stavka 1. ovoga članka ne primjenjuju se na tijela
državne uprave, druga državna tijela, jedinice lokalne i područne POGLAVLJE IV.
(regionalne) samouprave i javne subjekte koji u svojstvu tijela jav- ZAPISNIK O PROVEDENOM STRUČNOM NADZORU
nog prava predstavljaju javne naručitelje u smislu propisa kojim se Sadržaj zapisnika
uređuje javna nabava.
Članak 87.
Okolnosti koje se uzimaju u obzir prilikom donošenja odluka (1) Nakon provedenoga stručnog nadzora nadležno tijelo za
o izricanju korektivnih mjera, predlaganju privremenih provedbu zahtjeva kibernetičke sigurnosti sastavlja zapisnik o pro-
vedenom nadzoru (u daljnjem tekstu: zapisnik).
suspenzija i zabrane obavljanja djelatnosti
(2) Primjerak zapisnika dostavlja se čelniku nadziranog subjek-
Članak 85. ta odnosno drugoj odgovornoj osobi za nadzirani subjekt (u dalj-
(1) Prilikom donošenja odluka o izricanju korektivnih mjera njem tekstu: odgovorna osoba).
iz članaka 82. i 83. ovoga Zakona odnosno podnošenju zahtjeva (3) Zapisnik obvezno sadržava naznaku predmeta stručnog
sukladno članku 84. ovoga Zakona nadležno tijelo za provedbu za- nadzora, utvrđeno činjenično stanje i uputu o pravu na podnošenje
htjeva kibernetičke sigurnosti uzima u obzir: primjedbi na zapisnik.
– ozbiljnost povrede i važnost odredaba koje nadzirani subjekt (4) Ako su u provedenom stručnom nadzoru utvrđene povre-
krši de propisanih obveza ili neusklađenost sa zahtjevima kibernetičke
– trajanje povrede sigurnosti, zapisnik obvezno sadržava opis utvrđenih povreda i ne-
– relevantne prethodno počinjene povrede od strane istog su- usklađenosti, izrečene nadzorne mjere te obvezu obavještavanja o
bjekta poduzetim korektivnim mjerama.
– štetu koja je uzrokovana, uključujući financijske ili gospodar-
ske gubitke, učinke na druge usluge ili djelatnosti i broj pogođenih Primjedbe na zapisnik
korisnika
– je li nadzirani subjekt djelovao s namjerom ili nepažnjom Članak 88.
– mjere koje je nadzirani subjekt poduzeo radi sprečavanja ili (1) Odgovorna osoba može izjaviti primjedbe na zapisnik, u
ublažavanja štete pisanom obliku, u roku koje mu je za dostavu primjedbi odredilo
– postupanja sukladna relevantnim kodeksima ponašanja ili nadležno tijelo za provedbu zahtjeva kibernetičke sigurnosti.
pravilima i uvjetima certificiranja za pružanje usluga odnosno obav- (2) Prilikom određivanja rokova za dostavu primjedbi vodi se
ljanje djelatnosti i računa o veličini subjekta, opsežnosti provedenog stručnog nadzora
– razinu suradnje osoba iz članka 29. ovoga Zakona s nadlež- te s tim u svezi utvrđenog činjeničnog stanja, primijenjenih nadzor-
nim tijelima iz ovoga Zakona.
(2) Ozbiljnim povredama iz stavka 1. podstavka 1. ovoga članka nih mjera, kao i utvrđenih rezultata stručnog nadzora.
smatraju se: (3) Iznimno od stavka 2. ovoga članka, u iznimnim slučajevi-
– opetovane povrede ma nadziranom subjektu neće se omogućiti podnošenje primjedbi
– neprijavljivanje ili nerješavanje značajnih incidenata na zapisnik, ako bi to onemogućilo poduzimanje hitnih mjera koje
– neuklanjanje nepravilnosti i nedostataka u skladu s uputa- su naložene radi sprečavanja značajnih incidenata ili odgovora na
ma ili nalozima nadležnog tijela za provedbu zahtjeva kibernetičke takve incidente.
sigurnosti
– onemogućavanje ili otežavanje provedbe postupka revizije Postupanje po primjedbama na zapisnik
kibernetičke sigurnosti koje je zatražilo nadležno tijelo za provedbu
zahtjeva kibernetičke sigurnosti ili aktivnosti praćenja koje je nalo- Članak 89.
žilo na temelju članka 83. ovoga Zakona i (1) Ako nadležno tijelo za provedbu zahtjeva kibernetičke si-
– davanje lažnih ili izrazito netočnih informacija povezanih s gurnosti utvrdi da su primjedbe na zapisnik u cijelosti ili djelomično
provedbom zahtjeva kibernetičke sigurnosti ili drugih obveza koje za osnovane, sastavit će dopunski zapisnik kojim će odlučiti o primjed-
nadziranog subjekta proizlaze iz ovoga Zakona ili uredbe iz članka bama.
24. ovoga Zakona. (2) Ako nadležno tijelo za provedbu zahtjeva kibernetičke si-
gurnosti utvrdi da su primjedbe na zapisnik u cijelosti neosnovane,
Izricanje novčanih kazni obvezan je o tome dostaviti pisanu obavijest nadziranom subjektu.
Članak 86. (3) Dopunski zapisnik iz stavka 1. odnosno obavijest iz stavka
(1) Uz korektivne mjere propisane ovim Zakonom i podnoše- 2. ovoga članka dostavlja se odgovornoj osobi u roku od 30 dana od
nje zahtjeva sukladno članku 84. ovoga Zakona, nadležno tijelo za dana primitka primjedbi.
provedbu zahtjeva kibernetičke sigurnosti može protiv prekršajno (4) Protiv dopunskog zapisnika i obavijesti iz stavka 3. ovoga
odgovornih ključnih i važnih subjekata podnijeti prijavu ovlašte- članka primjedbe nisu dopuštene.
Sudska zaštita Okviri pružanja uzajamne pomoći

Nakon dostave dopunskog zapisnika odnosno obavijesti iz član- (1) Uzajamna pomoć iz članka 94. ovoga Zakona obuhvaća:
ka 89. ovoga Zakona ovlaštena osoba nadziranog subjekta može tuž- – slanje obavijesti, putem jedinstvene kontaktne točke, o po-
bom pred nadležnim upravnim sudom zatražiti ocjenu zakonitosti duzetim nadzornim mjerama i izrečenim korektivnim mjerama te
postupanja nadležnog tijela za provedbu zahtjeva kibernetičke sigur- davanje savjeta
nosti u odnosu na predmet stručnog nadzora i zapisnik sastavljen o – podnošenje zahtjeva za poduzimanje nadzornih mjera ili izri-
provedenom stručnom nadzoru. canje korektivnih mjera i
– nakon primitka obrazloženog zahtjeva, pružanje pomoći raz-
Obvezujuće upute za tijela državne uprave, druga državna mjerne vlastitim resursima kako bi se nadzorne mjere ili izrečene
tijela i jedinice lokalne i područne (regionalne) samouprave korektivne mjere mogle provesti na djelotvoran, učinkovit i doslje-
Članak 91. dan način.
(1) Ako su u stručnom nadzoru tijela državne uprave, drugih (2) Uzajamna pomoć iz stavka 1. podstavka 3. ovoga članka
državnih tijela i jedinica lokalne i područne (regionalne) samou- može obuhvaćati postupanje po zahtjevima za dostavu relevantnih
prave utvrđeni nedostaci i povrede ovoga Zakona i uredbe iz članka informacija i poduzimanje nadzornih mjera ili izricanje korektivnih
24. ovoga Zakona, a nadzirano tijelo ne provede izrečene korektivne mjera, uključujući zahtjeve za provođenje stručnih nadzora ili cilja-
mjere u ostavljenom roku, središnje državno tijelo za informacijsku nih revizija kibernetičke sigurnosti.
sigurnost dostavlja središnjem državnom tijelu za kibernetičku si- (3) Nadležno tijelo za provedbu zahtjeva kibernetičke sigurnosti
gurnost izvješće o rezultatima stručnog nadzora tog tijela. kojem je upućen zahtjev za uzajamnu pomoć u provedbi stručnog
(2) Središnje državno tijelo za kibernetičku sigurnost izdaje nadzora ne smije odbiti zahtjev, osim kada utvrdi da:
obvezujuće upute o provedbi mjera koje je čelnik nadziranog tije- – nije nadležan za pružanje zatražene pomoći
la dužan osigurati, određujući i rok provedbe tih mjera te o tome – da zatražena pomoć nije razmjerna ovlastima nadležnog tijela
obavještava Vladu. ili
– da se zahtjev odnosi na informacije ili uključuje aktivnosti
Očevidnici o obavljenim stručnim nadzorima koje bi, u slučaju da se otkriju ili provedu, bile protivne interesima
nacionalne sigurnosti, javne sigurnosti ili obrane.
Članak 92.
(4) Nadležno tijelo za provedbu zahtjeva kibernetičke sigurnosti
(1) Nadležna tijela za provedbu zahtjeva kibernetičke sigurnosti
dužno je prije odbijanja zahtjeva iz stavka 3. ovoga članka savjetovati
dužna su voditi očevidnike o obavljenim stručnim nadzorima.
se s nadležnim tijelima države članice koja je podnijela zahtjev.
(2) Očevidnici iz stavka 1. ovoga članka vode se sukladno
(5) U slučaju iz stavka 4. ovoga članka, na zahtjev uključene
smjernicama središnjeg državnog tijela za kibernetičku sigurnost.
države članice, nadležno tijelo za provedbu zahtjeva kibernetičke
sigurnosti dužno je savjetovati se i s Europskom komisijom i ENI-
Stručni nadzor nad pružateljima javnih elektroničkih SA-om.
komunikacijskih mreža i pružateljima javno dostupnih
elektroničkih komunikacijskih usluga (6) Odredbe ovoga članka primjenjuju se i u slučaju zaprima-
nja zahtjeva za uzajamnu pomoć u provedbi stručnog nadzora nad
Članak 93. subjektima iz članka 14. stavka 3. ovoga Zakona koji pružaju usluge
Poslove stručnog nadzora nad primjenom odredaba ovoga Za- ili imaju mrežne i informacijske sustave na državnom području Re-
kona i uredbe iz članka 24. ovoga Zakona koji se odnose na stručni publike Hrvatske.
nadzor nad pružateljima javnih elektroničkih komunikacijskih mre-
ža i pružateljima javno dostupnih elektroničkih komunikacijskih Zajednička provedba nadzornih mjera
usluga obavljaju inspektori elektroničkih komunikacija u skladu s Članak 96.
ovim Zakonom i zakonom kojim je uređeno područje elektroničkih
komunikacija. Nadležno tijelo za provedbu zahtjeva kibernetičke sigurnosti
može s nadležnim tijelima drugih država članica zajednički provo-
diti nadzorne mjere iz ovoga Zakona.
POGLAVLJE V.
UZAJAMNA POMOĆ U PROVEDBI STRUČNIH NADZORA POGLAVLJE VI.
S NADLEŽNIM TIJELIMA DRUGIH DRŽAVA ČLANICA KONTROLA USKLAĐENOSTI S POSEBNIM ZAHTJEVIMA
ZA UPRAVLJANJE PODACIMA O REGISTRACIJI NAZIVA
Provedba nadzora s prekograničnim elementima
DOMENA
Članak 94.
Način provedbe kontrola, obavijesti o provedbi kontrola i
Nadležno tijelo za provedbu zahtjeva kibernetičke sigurnosti obveze subjekata nad kojima se provodi kontrola
može stručni nadzor ključnog ili važnog subjekta koji pruža usluge
u više od jednoj državi članici ili pruža usluge u jednoj ili više država Članak 97.
članica, a njegovi se mrežni i informacijski sustavi nalaze u drugoj (1) Kontrola usklađenosti iz članka 49. ovoga Zakona (u dalj-
državi članici ili u više njih, provoditi uz međusobnu uzajamnu po- njem tekstu: kontrola usklađenosti) provodi se u svakom subjektu
moć i u suradnji s nadležnim tijelima tih država članica. kontrole najmanje jednom godišnje.
(2) Tijelo državne uprave nadležno za znanost i obrazovanje DIO DEVETI

provodi kontrole usklađenosti: PREKRŠAJNE ODREDBE
– na način da se u registru naziva vršne nacionalne internetske
domene i registrarima obavlja neposredan uvid u podatke, doku- Novčane kazne za ključne subjekte
mentaciju, uvjete i načine provedbe posebnih zahtjeva za upravljanje Članak 101.
podacima o registraciji naziva domena iz članaka 45. do 48. ovoga
Zakona ili (1) Novčanom kaznom u iznosu od 10.000,00 eura do
10.000.000,00 eura ili u iznosu od 0,5 % do najviše 2 % ukupnog
– uvidom u zatražene i dostavljene podatke i dokumentaciju godišnjeg prometa dotičnog subjekta na svjetskoj razini ostvarenog
kontroliranog subjekta.
u prethodnoj financijskoj godini, ovisno o tome koji je iznos veći,
(3) Tijelo državne uprave nadležno za znanost i obrazovanje kaznit će se za prekršaj prekršajno odgovoran ključan subjekt:
dužno je o provedbi kontrola iz stavka 2. podstavka 1. ovoga članka
obavijestiti subjekt nad kojim provodi kontrolu najkasnije u roku od – koji ne poduzima, djelomično poduzima ili ne poduzima u
pet dana prije dana početka kontrole. roku propisane mjere upravljanja kibernetičkim sigurnosnim rizici-
(4) Iznimno od stavka 2. ovoga članka, kontrola usklađenosti ma (članak 26. ovoga Zakona)
može biti provedena bez prethodne obavijesti u slučaju postojanja – koji se prilikom provedbe mjera upravljanja kibernetičkim
opravdanih razloga za hitno postupanje. sigurnosnim rizicima ne koristi certificiranim IKT proizvodima, IKT
(5) Registar naziva vršne nacionalne internetske domene i uslugama i IKT procesima, ako je takva obveza propisana za subjek-
registrari dužni su omogućiti provedbu kontrola usklađenosti te ta (članak 28. ovoga Zakona)
osigurati sve uvjete za njihovo neometano provođenje, što posebno – čije osobe odgovorne za upravljanje mjerama ne odobrava-
uključuje obvezu: ju mjere upravljanja kibernetičkim sigurnosnim rizicima i/ili ne
– omogućavanja nesmetanog pristupa i korištenja prostori- kontroliraju njihovu provedbu odnosno ne osiguravaju provedbu
ma, opremom, sustavima i drugom infrastrukturom ili tehničkim odgovarajućih osposobljavanja u svrhu stjecanja znanja i vještina u
sredstvima registra naziva vršne nacionalne internetske domene i pitanjima upravljanja kibernetičkim sigurnosnim rizicima i njihova
registrara učinka na usluge koje subjekt pruža odnosno djelatnost koju obavlja
– omogućavanja uvida i korištenja, uključujući izradu preslika, (članak 29. ovoga Zakona)
svih potrebnih podataka i dokumentacije – koji ne obavještava o svakom značajnom incidentu ili ne do-
– omogućavanje razgovora s nadležnim i odgovornim osobama stavlja u roku obavijesti o značajnim incidentima (članak 37. ovoga
registra naziva vršne nacionalne internetske domene i registrara. Zakona)
– koji ne obavještava ili ne obavještava u roku primatelje usluga
Izricanje korektivnih mjera o značajnim incidentima i ozbiljnim kibernetičkim prijetnjama te o
Članak 98. svim mjerama ili pravnim sredstvima koje ti primatelji mogu podu-
(1) Tijelo državne uprave nadležno za znanost i obrazovanje, zeti kao odgovor na prijetnju (članak 38. ovoga Zakona)
ovisno o rezultatima provedene kontrole usklađenosti, registru nazi- – koji ne provede reviziju kibernetičke sigurnosti najmanje jed-
va vršne nacionalne internetske domene i registrarima može: nom u dvije godine (članak 34. ovoga Zakona)
– izdati upozorenja o povredama ovoga Zakona – koji ne dostavi u propisanom roku izvješće o provedenoj re-
– izdati obvezujuće upute ili naloge kojima se zahtijeva da ot- viziji kibernetičke sigurnosti nadležnom tijelu za provedbu zahtjeva
klone utvrđene nedostatke ili povrede ovoga Zakona, uz navođenje kibernetičke sigurnosti (članak 34. ovoga Zakona)
mjera koje subjekt treba provesti radi otklanjanja tih nedostataka
ili povreda. – koji onemogućava, ometa ili otežava provedbu revizije kiber-
(2) Upute i nalozi iz stavka 1. ovoga članka moraju sadržavati netičke sigurnosti ili ne snosi troškove provedbe revizije kibernetič-
rok za provedbu naloženih mjera i rok za obavještavanje o njihovoj ke sigurnosti (članak 34. ovoga Zakona)
provedbi. – koji ne surađuje s nadležnim CSIRT-om i s njim ne razmje-
njuje potrebne informacije u postupku rješavanja incidenata (članak
Privremene suspenzije ovlaštenja izdanih za pružanje usluga 68. ovoga Zakona)
registracije domena – koji ne surađuje s nadležnim tijelom pri obavljanju nadzora
Članak 99. ili mu ne dostavlja tražene podatke ili dokumentaciju (članci 77. i
(1) Ako registrari ne postupe u skladu s upozorenjima, uputa- 79. ovoga Zakona)
ma ili nalozima iz članka 98. ovoga Zakona, tijelo državne uprave – koji nadležnim tijelima tijekom stručnog nadzora ne omogući
nadležno za znanost i obrazovanje zatražit će CARNET da privre- nesmetani pristup prostorima, opremi, sustavima i dokumentaciji
meno suspendira ovlaštenje izdano subjektu za pružanje usluga re- nužnima za provođenje nadzora (članak 78. ovoga Zakona)
gistracija domena. – koji ne postupi ili djelomično postupi ili ne postupi u za to
(2) Mjera iz stavka 1. ovoga članka primjenjuje se samo dok ostavljenom roku po korektivnim mjerama izrečenim u stručnom
subjekt ne postupi sukladno upozorenjima, uputama ili nalozima iz nadzoru (članci 82. i 83. ovoga Zakona).
članka 98. ovoga Zakona. (2) Za prekršaj iz stavka 1. ovoga članka kaznit će se i fizič-
ke osobe koje su sukladno članku 29. ovoga Zakona odgovorne za
Zapisnici o provedenim kontrolama i sudska zaštita upravljanje mjerama prekršajno odgovornog ključnog subjekta, nov-
Članak 100. čanom kaznom u iznosu od 1000,00 do 6000,00 eura.
Prilikom provedbe kontrola usklađenosti na odgovarajući se (3) Pri odlučivanju o izricanju kazne sukladno stavcima 1. i 2.
način primjenjuju članci 87. do 90. te članak 92. stavak 1. ovoga ovoga članka i njezinoj visini uzimaju se u obzir okolnosti iz članka
Zakona. 85. ovoga Zakona.
Novčane kazne za važne subjekte Novčane kazne za nepoštivanje obveze dostave podataka
(1) Novčanom kaznom u iznosu od 5000,00 eura do 7.000.000,00 (1) Novčanom kaznom u iznosu od 2000,00 eura do 20.000,00
eura ili u iznosu od 0,2 % do najviše 1,4 % ukupnog godišnjeg pro- eura kaznit će se za prekršaj prekršajno odgovorni subjekti:
meta dotičnog subjekta na svjetskoj razini ostvarenog u prethodnoj – iz Priloga I. i Priloga II. ovoga Zakona ako ne dostave ili ne
financijskoj godini, ovisno o tome koji je iznos veći, kaznit će se za dostave u roku podatke potrebne za provedbu kategorizacije subje-
prekršaj prekršajno odgovorni važni subjekt: kata odnosno vođenje popisa ključnih i važnih subjekata ili pravo-
– koji ne poduzima, djelomično poduzima ili ne poduzima u dobno ne obavještavaju o promjenama podataka (članak 20. ovoga
roku propisane mjere upravljanja kibernetičkim sigurnosnim rizici- Zakona)
ma (članak 26. ovoga Zakona) – iz članka 22. ovoga Zakona ako ne dostave ili ne dostave u
– koji se prilikom provedbe mjera upravljanja kibernetičkim roku podatke potrebne za vođenje posebnog registra subjekata ili
sigurnosnim rizicima ne koristi certificiranim IKT proizvodima, IKT pravodobno ne obavještavaju o promjenama podataka (članak 23.
uslugama i IKT procesima, ako je takva obveza propisana za subjek- ovoga Zakona).
ta (članak 28. ovoga Zakona) (2) Za prekršaj iz stavka 1. ovoga članka kaznit će se i odgo-
– čije osobe odgovorne za upravljanje mjerama ne odobrava- vorna osoba subjekta iz stavka 1. ovoga članka novčanom kaznom
ju mjere upravljanja kibernetičkim sigurnosnim rizicima i/ili ne u iznosu od 200,00 do 1000,00 eura.
kontroliraju njihovu provedbu odnosno ne osiguravaju provedbu
odgovarajućih osposobljavanja u svrhu stjecanja znanja i vještina u Ovlašteni tužitelj
pitanjima upravljanja kibernetičkim sigurnosnim rizicima i njihova Članak 104.
učinka na usluge koje subjekt pruža odnosno djelatnost koju obavlja (1) U slučaju postojanja sumnje da je počinjen prekršaj, nad-
(članak 29. ovoga Zakona) ležno tijelo za provedbu zahtjeva kibernetičke sigurnosti podnosi
– koji ne obavještava o svakom značajnom incidentu ili ne do- prijavu ovlaštenom tužitelju.
stavlja u roku obavijesti o značajnim incidentima (članak 37. ovoga (2) Ovlašteni tužitelj u smislu ovoga Zakona nadležni je državni
Zakona) odvjetnik koji podnosi optužni prijedlog.
– koji ne obavještava ili ne obavještava u roku primatelje usluga (3) Iznimno od stavka 2. ovoga članka, ovlašteni tužitelj za pre-
o značajnim incidentima i ozbiljnim kibernetičkim prijetnjama te o kršaje koje počine pružatelji javnih elektroničkih komunikacijskih
svim mjerama ili pravnim sredstvima koje ti primatelji mogu podu- mreža i pružatelji javno dostupnih elektroničkih komunikacijskih
zeti kao odgovor na prijetnju (članak 38. ovoga Zakona) usluga regulatorno je tijelo za mrežne djelatnosti.
– koji ne provede samoprocjenu kibernetičke sigurnosti najma- (4) Iznimno od stavka 2. ovoga članka, ovlašteni tužitelj za
nje jednom u dvije godine (članak 35. ovoga Zakona) prekršaje koje počine pružatelji usluga povjerenja tijelo je državne
– koji ne dostavi u propisanom roku izjavu o sukladnosti ili uprave nadležno za razvoj digitalnog društva.
plan daljnjeg postupanja nadležnom tijelu za provedbu zahtjeva ki-
bernetičke sigurnosti (članak 35. ovoga Zakona) DIO DESETI
– koji onemogućava, ometa ili otežava provedbu ciljane revizije PRIJELAZNE I ZAVRŠNE ODREDBE
kibernetičke sigurnosti ili ne snosi troškove provedbe revizije kiber-
netičke sigurnosti (članak 34. ovoga Zakona) Obveze operatora ključnih usluga i davatelja digitalnih
usluga u prijelaznom razdoblju
– koji ne surađuje s nadležnim CSIRT-om i s njim ne razmje-
njuje potrebne informacije u postupku rješavanja incidenta (članak Članak 105.
68. ovoga Zakona) Operatori ključnih usluga i davatelji digitalnih usluga koji su
– koji ne surađuje s nadležnim tijelom pri obavljanju nadzora do stupanja na snagu ovoga Zakona provodili mjere za postizanje
ili mu ne dostavlja tražene podatke ili dokumentaciju (članci 77. i visoke razine kibernetičke sigurnosti prema odredbama Zakona o
79. ovoga Zakona) kibernetičkoj sigurnosti operatora ključnih usluga i davatelja digital-
nih usluga (»Narodne novine«, br. 64/18.) i Uredbe o kibernetičkoj
– koji nadležnim tijelima tijekom stručnog nadzora ne omogući sigurnosti operatora ključnih usluga i davatelja digitalnih usluga
nesmetani pristup prostorima, opremi, sustavima i dokumentaciji (»Narodne novine«, br. 68/18.) nastavljaju s provedbom mjera na
nužnima za provođenje nadzora (članak 78. ovoga Zakona) temelju tih propisa do dostave obavijesti o provedenoj kategorizaciji
– koji ne postupi ili djelomično postupi ili ne postupi u za to subjekta iz članka 19. stavaka 1. i 3. ovoga Zakona.
ostavljenom roku po korektivnim mjerama izrečenim u stručnom
nadzoru (članak 82. ovoga Zakona). Obveze pružatelja javnih elektroničkih komunikacijskih
(2) Za prekršaj iz stavka 1. ovoga članka kaznit će se i fizič- mreža, pružatelja javno dostupnih elektroničkih
ke osobe koje su sukladno članku 29. ovoga Zakona odgovorne za komunikacijskih usluga i pružatelja usluga povjerenja u
upravljanje mjerama prekršajno odgovornog važnog subjekta, nov- prijelaznom razdoblju
čanom kaznom u iznosu od 500,00 do 3000,00 eura. Članak 106.
(3) Pri odlučivanju o izricanju kazne sukladno stavcima 1. i 2. (1) Pružatelji javnih elektroničkih komunikacijskih mreža i
ovoga članka i njezinoj visini uzimaju se u obzir okolnosti iz članka pružatelji javno dostupnih elektroničkih komunikacijskih usluga
85. ovoga Zakona. koji su do stupanja na snagu ovoga Zakona provodili sigurnosne za-
htjeve u svrhu zaštite sigurnosti elektroničkih komunikacijskih mre- kona provest će prvu kategorizaciju subjekata i dostavu obavijesti o
ža i elektroničkih komunikacijskih usluga prema odredbama članka provedenoj kategorizaciji subjekata u roku od godinu dana od dana
41. Zakona o elektroničkim komunikacijama (»Narodne novine«, br. stupanja na snagu ovoga Zakona.
76/22.) nastavljaju s provedbom zahtjeva na temelju članka 41. toga (2) Postupak kategorizacije subjekata i dostava obavijesti o
Zakona do dostave obavijesti o provedenoj kategorizaciji subjekta iz provedenoj kategorizaciji subjekata provest će se u roku iz stavka
članka 19. stavka 1. ovoga Zakona. 1. ovoga članka za sve operatore ključnih usluga s popisa iz članka
(2) Pružatelji usluga povjerenja koji su do stupanja na snagu 12. Zakona o kibernetičkoj sigurnosti operatora ključnih usluga i
ovoga Zakona provodili sigurnosne zahtjeve u svrhu zaštite sigurno- davatelja digitalnih usluga (»Narodne novine«, br. 64/18.).
sti usluga povjerenja prema odredbama Uredbe (EU) br. 910/2014 (3) Postupak prve kategorizacije informacijskih posrednika u
o elektroničkoj identifikaciji i uslugama povjerenja za elektroničke razmjeni elektroničkog računa među poduzetnicima i dostava oba-
transakcije na unutarnjem tržištu i stavljanju izvan snage Direk- vijesti o provedenoj kategorizaciji sukladno ovom Zakonu provest
tive 1999/93/EZ i Zakona o provedbi Uredbe (EU) br. 910/2014 će se u roku od tri mjeseca od stupanja na snagu zakona kojim se
Europskog parlamenta i Vijeća od 23. srpnja 2014. o elektroničkoj
uređuje razmjena elektroničkog računa između poduzetnika.
identifikaciji i uslugama povjerenja za elektroničke transakcije na
unutarnjem tržištu i stavljanju izvan snage Direktive 1999/93/EZ
(»Narodne novine«, br. 62/17.) nastavljaju s provedbom zahtjeva na Rok za uspostavu posebnog registra subjekata
temelju tih propisa do dostave obavijesti o provedenoj kategorizaciji Članak 111.
subjekta iz članka 19. stavka 1. ovoga Zakona.
Središnje državno tijelo za kibernetičku sigurnost uspostavit će
poseban registar subjekata iz članka 22. ovoga Zakona u roku od
Prijelazna odredba o sklopljenim sporazumima o pristupanju
godinu dana od dana stupanja na snagu ovoga Zakona.
nacionalnom sustavu
Članak 107.
Početak roka za provedbu revizija sigurnosti i stručnih
Sporazumi o pristupanju nacionalnom sustavu koji su skloplje-
ni na temelju Odluke o mjerama i aktivnostima za podizanje naci-
nadzora
onalnih sposobnosti pravovremenog otkrivanja i zaštite od državno Članak 112.
sponzoriranih kibernetičkih napada, Advanced Persistent Threat Rokovi za provedbu revizija kibernetičke sigurnosti iz članka
(ATP) kampanja te drugih kibernetičkih ugroza, klasa: 022-03/21- 34. stavka 1. ovoga Zakona i stručnog nadzora nad provedbom za-
04/91, urbroj: 50301-29/09-21-2, od 1. travnja 2021., ostaju na snazi htjeva kibernetičke sigurnosti iz članka 75. stavka 1. ovoga Zakona
do njihova isteka. počinju teći prvog sljedećeg radnog dana nakon isteka roka iz članka
26. stavka 5. ovoga Zakona.
Rok za usklađivanje sa zahtjevima koji se odnose na
upravljanje podacima o registraciji naziva domena i
Donošenje provedbenih propisa
provođenje provjera za postojeće korisnike domena
Članak 113.
Članak 108.
(1) Vlada će uredbu iz članka 24. ovoga Zakona donijeti u roku
Registar naziva vršne nacionalne internetske domene i registra-
od devet mjeseci od dana stupanja na snagu ovoga Zakona.
ri dužni su uskladiti se sa zahtjevima iz ovoga Zakona koji se odno-
se na upravljanje podacima o registraciji naziva domena i provesti (2) Vlada će srednjoročni akt strateškog planiranja iz članka
provjere iz članka 47. stavka 2. ovoga Zakona za postojeće korisnike 55. ovoga Zakona donijeti u roku od 24 mjeseca od dana stupanja
domena u roku od godine dana od dana stupanja na snagu ovoga na snagu ovoga Zakona.
Zakona. (3) Vlada će nacionalni program upravljanja kibernetičkim kri-
zama iz članka 56. ovoga Zakona donijeti u roku od tri mjeseca od
Započeti postupci dana stupanja na snagu ovoga Zakona.
Članak 109. (4) Vlada će Plan provedbe vježbi kibernetičke sigurnosti iz
(1) Postupci započeti prema odredbama Zakona o kibernetič- članka 58. ovoga Zakona donijeti u roku od 12 mjeseci od dana
koj sigurnosti operatora ključnih usluga i davatelja digitalnih usluga stupanja na snagu ovoga Zakona.
(»Narodne novine«, br. 64/18.) dovršit će se prema odredbama toga (5) Zavod za sigurnost informacijskih sustava će pravila iz član-
Zakona i propisa donesenih na temelju toga Zakona. ka 33. stavka 1. ovoga Zakona donijeti u roku od devet mjeseci od
(2) Postupci započeti prema odredbama članka 41. Zakona o dana stupanja na snagu uredbe iz stavka 1. ovoga članka.
elektroničkim komunikacijama (»Narodne novine«, br. 76/22.) do-
vršit će se prema odredbama toga Zakona i propisa donesenih na Donošenje propisa o unutarnjem ustrojstvu i unutarnjem
temelju toga Zakona. redu
Članak 114.
Rok za provedbu prve kategorizacije subjekata
(1) Vlada će, na prijedlog predstojnika Ureda Vijeća za naci-
Članak 110. onalnu sigurnost, uz prethodnu suglasnost predsjednika Republike
(1) Nadležna tijela za provedbu zahtjeva kibernetičke sigurnosti Hrvatske, uskladiti Uredbu o unutarnjem ustrojstvu Ureda Vijeća za
iz članka 4. stavka 1. točke 28. ovoga Zakona i nadležna tijela za nacionalnu sigurnost s odredbama ovoga Zakona u roku od 30 dana
provedbu posebnih zakona iz članka 4. stavka 1. točke 27. ovoga Za- od dana stupanja na snagu ovoga Zakona.
(2) Predstojnik Ureda Vijeća za nacionalnu sigurnost uskladit PRILOG I.

će Pravilnik o unutarnjem redu Ureda Vijeća za nacionalnu sigur-
nost s Uredbom iz stavka 1. ovoga članka, uz prethodnu suglasnost SEKTORI VISOKE KRITIČNOSTI
Vijeća za nacionalnu sigurnost, u roku od 30 dana od dana stupanja
na snagu Uredbe.
(3) Vlada će, na prijedlog ravnatelja Sigurnosno-obavještajne
agencije, uz prethodnu suglasnost predsjednika Republike Hrvatske,
uskladiti Uredbu o unutarnjem ustrojstvu Sigurnosno-obavještajne
agencije s odredbama ovoga Zakona u roku od 30 dana od dana
stupanja na snagu ovoga Zakona.
(4) Ravnatelj Sigurnosno-obavještajne agencije uskladit će Pra-
vilnik o unutarnjem redu Sigurnosno-obavještajne agencije s Ured-
bom iz stavka 3. ovoga članka, uz prethodnu suglasnost predstojnika
Ureda Vijeća za nacionalnu sigurnost, u roku od 30 dana od dana
stupanja na snagu Uredbe.
(5) Vlada će, na prijedlog ravnatelja Zavoda za sigurnost infor-
macijskih sustava, uz prethodnu suglasnost Savjeta za koordinaciju
sigurnosno-obavještajnih agencija, uskladiti Uredbu o unutarnjem
ustrojstvu Zavoda za sigurnost informacijskih sustava s odredbama
ovoga Zakona u roku od 30 dana od dana stupanja na snagu ovoga
Zakona.
(6) Ravnatelj Zavoda za sigurnost informacijskih sustava uskla-
dit će Pravilnik o unutarnjem redu Zavoda za sigurnost informa-
cijskih sustava s Uredbom iz stavka 5. ovoga članka, uz prethodnu
suglasnost Vlade, u roku od 30 dana od dana stupanja na snagu
Uredbe.
Prestanak važenja propisa

Članak 115.
(1) Danom stupanja na snagu ovoga Zakona prestaju važiti:
– Zakon o kibernetičkoj sigurnosti operatora ključnih usluga i
davatelja digitalnih usluga (»Narodne novine«, br. 64/18.)
– članak 17. stavak 2. podstavak 4. i članak 21. Zakona o infor-
macijskoj sigurnosti (»Narodne novine«, br. 79/07.)
– članak 41. Zakona o elektroničkim komunikacijama (»Narod-
ne novine«, br. 76/22.)
– Uredba o kibernetičkoj sigurnosti operatora ključnih usluga i
davatelja digitalnih usluga (»Narodne novine«, br. 68/18.) i
– Odluka o osnivanju Nacionalnog vijeća za kibernetičku sigur-
nost i Operativno-tehničke koordinacije za kibernetičku sigurnost
(»Narodne novine«, br. 61/16., 28/18., 110/18., 79/19. i 136/20.).
(2) Odluka o mjerama i aktivnostima za podizanje nacionalnih
sposobnosti pravovremenog otkrivanja i zaštite od državno spon-
zoriranih kibernetičkih napada, Advanced Persistent Threat (ATP)
kampanja te drugih kibernetičkih ugroza, klasa: 022-03/21-04/91,
urbroj: 50301-29/09-21-2, od 1. travnja 2021., ostaje na snazi do
stupanja na snagu uredbe iz članka 113. stavka 1. ovoga Zakona.
Stupanje na snagu Zakona

Članak 116.
Ovaj Zakon stupa na snagu osmoga dana od dana objave u
»Narodnim novinama«.
Klasa: 022-02/23-01/94
Zagreb, 26. siječnja 2024.
HRVATSKI SABOR
Predsjednik
Hrvatskoga sabora
Gordan Jandroković, v. r.
PRILOG II.
DRUGI KRITIČNI SEKTORI
PRILOG III.
POPIS NADLEŽNOSTI U PODRUČJU KIBERNETIČKE SIGURNOSTI
Nadležno tijelo za pro- Nadležno tijelo za

R. br. Sektor Podsektor Vrsta subjekta vedbu zahtjeva kiberne- provedbu posebnih Nadležni CSIRT
tičke sigurnosti zakona
Nacionalni centar
Središnje državno tijelo za
1. Energetika Svi Svi – za kibernetičku
kibernetičku sigurnost
sigurnost
Nacionalni centar
Hrvatska agencija za
2. Promet Zračni promet Svi – za kibernetičku
civilno zrakoplovstvo
sigurnost
Željeznički Nacionalni centar
3. Promet Vodeni Svi – za kibernetičku
Cestovni sigurnost
Hrvatska narodna
4. Bankarstvo – Svi – Nacionalni CERT
banka
Infrastruktura Hrvatska agencija za
5. financijskog – Svi – nadzor financijskih Nacionalni CERT
tržišta usluga
Nacionalni centar
6. Zdravstvo – Svi – za kibernetičku
sigurnost
Nacionalni centar
Voda za ljudsku Središnje državno tijelo za
7. – Svi – za kibernetičku
potrošnju kibernetičku sigurnost
sigurnost
Nacionalni centar
8. Otpadne vode – Svi – za kibernetičku
sigurnost
Tijelo državne uprave Nacionalni centar
Digitalna infra- Pružatelji usluga povje-
9. – nadležno za razvoj digital- – za kibernetičku
struktura renja
nog društva sigurnost
Pružatelji javnih elektro-
ničkih komunikacijskih
mreža Hrvatska regulatorna Nacionalni centar
Digitalna infra-
10. – agencija za mrežne dje- – za kibernetičku
struktura Pružatelji javno do- latnosti sigurnost
stupnih elektroničkih
komunikacijskih usluga
Pružatelji središta za
razmjenu internetskog
prometa
Pružatelji usluga DNS-a,
osim operatora korijen-
skih poslužitelja naziva Nacionalni centar
Digitalna infra- Središnje državno tijelo za
11. – – za kibernetičku
struktura Pružatelji usluga raču- kibernetičku sigurnost
sigurnost
nalstva u oblaku
Pružatelji usluga podat-
kovnog centra
Pružatelji mreže za
isporuku sadržaja
Registar naziva vršne Tijelo državne uprave
Digitalna infra-
12. – nacionalne internetske nadležno za znanost i – Nacionalni CERT
struktura
domene obrazovanje
Upravljanje Nacionalni centar

13. uslugama IKT-a – Svi – za kibernetičku
(B2B) sigurnost
Nacionalni centar
14. Javni sektor – Svi – za kibernetičku
informacijsku sigurnost
sigurnost
Nacionalni centar
15. Svemir – Svi – za kibernetičku
sigurnost
Nacionalni centar
Poštanske i Središnje državno tijelo za
kurirske usluge kibernetičku sigurnost
sigurnost
Nacionalni centar
Gospodarenje Središnje državno tijelo za
otpadom kibernetičku sigurnost
sigurnost
Izrada,
Nacionalni centar
proizvodnja Središnje državno tijelo za
i distribucija kibernetičku sigurnost
sigurnost
kemikalija
Proizvodnja, Nacionalni centar
19. prerada i distri- – Svi – za kibernetičku
bucija hrane sigurnost
Proizvodnja
medicinskih
proizvoda i in
vitro dijagno-
stičkih medicin-
skih proizvoda
Proizvodnja
računala te
elektroničkih i
optičkih proi-
zvoda
Proizvodnja Nacionalni centar
20. Proizvodnja električne Svi – za kibernetičku
opreme sigurnost
Proizvodnja
strojeva i uređa-
ja, d. n.
Proizvodnja
motornih vozila,
prikolica i polu-
prikolica
Proizvodnja
ostale opreme
za prijevoz
Nacionalni centar
Pružatelji digi- Središnje državno tijelo za
talnih usluga kibernetičku sigurnost
sigurnost
Tijelo državne uprave
22. Istraživanje – Svi nadležno za znanost i – Nacionalni CERT
obrazovanje
Tijelo državne uprave
Sustav obrazo-
23. – Svi nadležno za znanost i – Nacionalni CERT
vanja
obrazovanje
PRILOG IV. – za promicanje razvoja, integracije i upotrebe relevantnih napred-

nih i inovativnih tehnologija radi provedbe najsuvremenijih mjera
OBVEZNI SADRŽAJ NACIONALNOG AKTA STRATEŠKOG upravljanja kibernetičkim sigurnosnim rizicima
PLANIRANJA IZ PODRUČJA KIBERNETIČKE – za promicanje i razvoj obrazovanja i osposobljavanja u području
SIGURNOSTI kibernetičke sigurnosti, vještina u području kibernetičke sigurnosti,
I. informiranja te istraživačkih i razvojnih inicijativa u području ki-
bernetičke sigurnosti, kao i smjernica o dobroj praksi i kontrolama
Nacionalnim aktom strateškog planiranja iz članka 55. ovoga Zako- kibernetičke higijene namijenjenih građanima, kao i javnim i pri-
na utvrđuju se: vatnim subjektima
– ciljevi i prioriteti jačanja kibernetičke sigurnosti koji posebno obu- – za potporu akademskim i istraživačkim institucijama u istraživa-
hvaćaju sektore i podsektore iz Priloga I. i Priloga II. ovoga Zakona, nju, razvoju, unapređivanju i poticanju uvođenja alata za kiberne-
kao i nadležna tijela iz Priloga III. ovoga Zakona tičku sigurnost i sigurne informacijske i komunikacijske infrastruk-
– upravljački okvir za postizanje ciljeva i prioriteta iz podstavka 1. ture, sustava i aplikacija
ovoga stavka, za razvoj i provedbu politika iz točke II. ovoga Priloga, – koje uključuju relevantne postupke i odgovarajuće alate za raz-
za razvoj i jačanje suradnje i koordinacije na nacionalnoj razini iz- mjenu informacija radi poticanja i osiguranja dobrovoljne razmjene
među nadležnih tijela za provedbu zahtjeva kibernetičke sigurnosti, informacija o kibernetičkoj sigurnosti u skladu s propisima kojima
jedinstvene kontaktne točke i nadležnih CSIRT-ova, kao i suradnje se uređuju pravila pristupa i postupanja s određenom vrstom in-
i koordinacije između tih tijela i nadležnih tijela za provedbu po- formacija
sebnih zakona, s objašnjenjima uloga i odgovornosti svih tijela rele- – za jačanje kibernetičke otpornosti i osnovne razine kibernetič-
vantnih za provedbu politika kibernetičke sigurnosti na nacionalnoj ke higijene malih i srednjih poduzeća, osobito onih na koje se ne
razini primjenjuje ovaj Zakon, osiguravanjem lako dostupnih smjernica i
– okviri politika za bolju koordinaciju između nadležnih tijela iz pomoći za njihove specifične potrebe i
ovoga Zakona i nadležnih tijela iz zakona kojim se uređuje područje – za promicanje aktivne kibernetičke zaštite kao dijela šireg pristupa
kritičnih infrastruktura, u svrhu razmjene informacija o rizicima, nacionalnoj kibernetičkoj sigurnosti.
kibernetičkim prijetnjama i incidentima te o rizicima, prijetnjama
i incidentima izvan kibernetičkog prostora i izvršavanja nadzornih
zadaća 255
– mehanizam za utvrđivanje relevantne imovine i procjenu kiber- Na temelju članka 89. Ustava Republike Hrvatske, donosim
netičkih rizika
– mjere za osiguravanje pripravnosti i sposobnosti reagiranja na ODLUKU
kibernetičke incidente i oporavka od kibernetičkih incidenata, uk- O PROGLAŠENJU ZAKONA O IZMJENAMA I
ljučujući suradnju javnog i privatnog sektora
DOPUNAMA ZAKONA O MORSKOM RIBARSTVU
– plan povećanja opće razine osviještenosti o kibernetičkoj sigurno-
Proglašavam Zakon o izmjenama i dopunama Zakona o mor-
sti među građanima i potrebne mjere
skom ribarstvu, koji je Hrvatski sabor donio na sjednici 26. siječnja
– plan razvoja nacionalnih sposobnosti u području kibernetičke si- 2024.
gurnosti i potrebne mjere Klasa: 011-02/24-02/04
– popis nadležnih tijela, drugih javnih subjekata te svih ostalih su- Urbroj: 71-10-01/1-24-2
bjekata koji su uključeni u provedbu nacionalnog akta strateškog Zagreb, 1. veljače 2024.
planiranja u području kibernetičke sigurnosti. Predsjednik
Republike Hrvatske
II.
Zoran Milanović, v. r.
Nacionalnim aktom strateškog planiranja iz članka 55. ovoga Zako-
na razrađuju se politike:
– za rješavanje kibernetičkih sigurnosnih pitanja u lancu opskrbe
ZAKON
za IKT proizvode i IKT usluge kojima se za pružanje svojih uslu- O IZMJENAMA I DOPUNAMA ZAKONA O
ga odnosno obavljanje svojih djelatnosti koriste subjekti na koje se MORSKOM RIBARSTVU
primjenjuje ovaj Zakon Članak 1.
– za uključivanje i definiranje kibernetičkih sigurnosnih zahtjeva za U Zakonu o morskom ribarstvu (»Narodne novine«, br. 62/17.,
IKT proizvode i IKT usluge u području javne nabave, uključujući, u 14/19. i 30/23.) članak 2. mijenja se i glasi:
odnosu na kibernetičku sigurnosnu certifikaciju, kriptiranje i upo-
»Ovim Zakonom uređuje se provedba sljedećih akata:
trebu kibernetičkih sigurnosnih proizvoda otvorenog koda
1. Uredbe (EU) br. 1380/2013 Europskog parlamenta i Vijeća
– za upravljanje kibernetičkim ranjivostima, uključujući promica- od 11. prosinca 2013. o zajedničkoj ribarstvenoj politici, izmjeni
nje i olakšavanje koordiniranog otkrivanja kibernetičkih ranjivosti uredaba Vijeća (EZ) br. 1954/2003 i (EZ) br. 1224/2009 i stavljanju
u skladu s člankom 54. ovoga Zakona izvan snage uredaba (EZ) br. 2371/2002 i (EZ) br. 639/2004 i Odluke
– koje se odnose na održavanje opće dostupnosti, cjelovitosti i po- Vijeća 2004/585/EZ (SL L 354, 28. 12. 2013.), kako je posljednji put
vjerljivosti javne jezgre otvorenog interneta te, ako je to potrebno, izmijenjena Uredbom (EU) 2015/812 Europskog parlamenta i Vije-
kibernetičke sigurnosti podmorskih komunikacijskih kabela ća od 20. svibnja 2015. o izmjeni uredaba Vijeća (EZ) br. 850/98,

NN - 2024 - 14 - 254

Uploaded by

Copyright:

Available Formats

You might also like

NN - 2024 - 14 - 254

Uploaded by

Document Information

Copyright

Available Formats

Share this document

Share or Embed Document

Sharing Options

Did you find this document useful?

Is this content inappropriate?

Copyright:

Available Formats

NN - 2024 - 14 - 254

Uploaded by

Copyright:

Available Formats

SRIJEDA, 7. VELJAČE 2024.

Obavještavanje primatelja usluga Nacionalna platforma za prikupljanje, analizu i razmjenu

DIO ČETVRTI cijskih sustava subjekta, kao i primijenjene relevantne europske i

– zatražiti podatke i dokumentaciju potrebnu za ocjenjivanje POGLAVLJE III.

Sudska zaštita Okviri pružanja uzajamne pomoći

(2) Tijelo državne uprave nadležno za znanost i obrazovanje DIO DEVETI

(2) Predstojnik Ureda Vijeća za nacionalnu sigurnost uskladit PRILOG I.

Prestanak važenja propisa

Stupanje na snagu Zakona

POPIS NADLEŽNOSTI U PODRUČJU KIBERNETIČKE SIGURNOSTI

Nadležno tijelo za pro- Nadležno tijelo za

Upravljanje Nacionalni centar

PRILOG IV. – za promicanje razvoja, integracije i upotrebe relevantnih napred-

You might also like