U Nar. nov., br. 64/18 od 18.7.2018. objavljen je Zakon o kibernetičkoj sigurnosti operatora ključnih usluga i davatelja digitalnih usluga (u nastavku: Zakon) koji stupa na snagu 26.7.2018.

Zakonom se uređuju postupci i mjere za postizanje visoke zajedničke razine kibernetičke sigurnosti operatora ključnih usluga i davatelja digitalnih usluga, nadležnosti i ovlasti nadležnih sektorskih tijela, jedinstvene nacionalne kontaktne točke, tijela nadležnih za prevenciju i zaštitu od incidenata i tehničkog tijela za ocjenu sukladnosti, nadzor nad operatorima ključnih usluga i davateljima digitalnih usluga u provedbi Zakona i prekršajne odredbe. Cilj je Zakona osigurati provedbu mjera za postizanje visoke zajedničke razine kibernetičke sigurnosti u davanju usluga koje su od posebne važnosti za odvijanje ključnih društvenih i gospodarskih aktivnosti, uključujući funkcioniranje digitalnog tržišta. Sastavni su dio Zakona: a) Prilog I. – Popis ključnih usluga s kriterijima i pragovima za donošenje ocjene o važnosti negativnog učinka incidenta; b) Prilog II. – Popis digitalnih usluga; c) Prilog III. – Popis nadležnih tijela.

Zakon se primjenjuje na operatore ključnih usluga, neovisno o tome jesu li u pitanju javni ili privatni subjekti, neovisno o državi njihova sjedišta, njihovoj veličini, ustroju i vlasništvu. Davatelji digitalnih usluga podliježu nadležnostima i ovlastima propisanim Zakonom ako na teritoriju Republike Hrvatske (RH) imaju sjedište ili svog predstavnika te pod uvjetom da takav davatelj ne predstavlja mikro ili mali subjekt maloga gospodarstva kako su oni definirani zakonom kojim se uređuju osnove za primjenu poticajnih mjera gospodarske politike usmjerenih razvoju, restrukturiranju i tržišnom prilagođavanju maloga gospodarstva.

Ako u provedbi Zakona nastaju ili se koriste klasificirani podaci ili se obrađuju osobni podaci, na takve podatke primjenjuju se posebni propisi o njihovoj zaštiti.

Vlada RH će Uredbu iz čl. 20. st. 1. Zakona donijeti u roku od 30 dana od dana stupanja na snagu ovog Zakona.

Nadležna sektorska tijela dužna su postupak identifikacije operatora ključnih usluga provesti u roku od 90 dana od dana stupanja na snagu Zakona, a također su dužna jedinstvenoj nacionalnoj kontaktnoj točki dostaviti obavijesti iz čl. 12. st. 2. Zakona u roku od 120 dana od dana stupanja na snagu Zakona.

Operatori ključnih usluga dužni su provesti mjere za osiguravanje visoke razine kibernetičke sigurnosti u roku od godine dana od dana dostave obavijesti iz čl. 10. Zakona, a također su dužni započeti s dostavom obavijesti iz čl. 21. Zakona u roku od 30 dana od dana dostave obavijesti iz čl. 10. Zakona.

Davatelji digitalnih usluga dužni su se uskladiti sa zahtjevima Provedbene uredbe Komisije iz čl. 2. st. 2. Zakona u roku propisanom tom Uredbom, a i započeti s dostavom obavijesti iz čl. 21. Zakona u roku od 120 dana od dana stupanja na snagu Zakona.

Natrag