Povratak na vrh

Rasprave po točkama dnevnog reda

Saziv: X, sjednica: 21

PDF

20

  • Konačni prijedlog zakona o kibernetičkoj sigurnosti, drugo čitanje, P.Z.E. br. 561
25.01.2024.
Sada idemo na sljedeću točku, a to je a evo u ime kluba Socijaldemokrata stanku je zatražila poštovana zastupnica Posavec-Krivec.
Poštovani potpredsjedniče Hrvatskog sabora, poštovane kolegice i kolege …
E pardon, pardon. Moram pročitati prvo točku, pa onda ćete vi tražiti stanku.
…/Upadica Posavec-Krivec: Čak ne morate, čak ne morate ali dobro./…

Dakle, sljedeći zakon će biti

- Konačni prijedlog zakona o kibernetičkoj sigurnosti, drugo čitanje, P.Z.E. br. 561.

Predlagatelj je Vlada Republike Hrvatske.
Temeljem članka 85. Ustava RH i članka 172. a u svezi sa člankom 190. Poslovnika Hrvatskog sabora.
Prigodom rasprave o ovoj točki dnevnog reda primjenjuju se odredbe Poslovnika koje se odnose na drugo čitanje zakona.
Amandmani se mogu podnijet do kraja rasprave.
Raspravu su proveli Odbor za zakonodavstvo, te Odbor za unutarnju politiku i nacionalnu sigurnost.
Stanku je u ime kluba Socijaldemokrata zatražila poštovana zastupnica Ivana Posavec-Krivec.
Izvolite.
Zahvaljujem poštovani potpredsjedniče Hrvatskoga sabora.
Ovu stanku ću iskoristiti temeljem Poslovnika članka 248. koji definira stanku i koji kaže da tijekom sjednica Sabora predstavnik kluba zastupnika jednom tijekom dana može zatražiti stanku za sastanak kluba zastupnika. Predstavnik kluba zastupnika dužan je iznijeti razloge zbog kojih traži stanku. Dakle, temeljem Poslovnika stanka nije vezana uz točku dnevnoga reda pa ću ja ovdje sada se kao predsjednica Kluba Socijaldemokrata u Hrvatskome saboru, očitovati o situaciji koja se dogodila na prethodnoj točki dnevnoga reda gdje sam ja i kolegice i kolege, izgubili pravo govora. Stoga pozivam sada svoje zastupnike u klub na sastanak na kojem ćemo se dogovoriti, ali pozivam i ostale kolegice i kolege koji su zakinuti, koji su zakinuti odlukom potpredsjednika Hrvatskoga sabora, koji je povrijedio čl. 249.a Poslovnika koji kaže da i odnosi se na iznošenje stajališta kluba zastupnika i koji kaže da prvi dan u tjednu rada sjednica sabora, predstavnik kluba zastupnika može zatražiti da iznesene stajalište kluba zastupnika o bilo kojoj temi u vremenu između 9 i 30 i 10 i 45 sati, a ostale dane u vremenu između 13 i 14 i 15 sati, a petkom nakon glasanja. Ovdje izrijekom Poslovnik Hrvatskoga sabora kaže da je vrijeme za iznošenje stajališta u ime kluba između 13 i 14 i 15 sati. Danas ste nastavili raspravu o točki dnevnoga reda prije 14 sati i 15 minuta i zapravo na taj način mnogi od nas izgubili su pravo govora o Zakonu o hrvatskom jeziku. Ja vas molim potpredsjedniče Hrvatskoga sabora, mi ćemo ovo razmotriti na našem klubu i vidjet ćemo temeljem Poslovnika da li imamo uporište da tražimo tumačenje Odbora za Poslovnik, Ustav i politički sustav Hrvatskoga sabora, ali pozivam i ostale kolegice i kolege da učine isto kako nam se ovakvi presedani ne bi događali do kraja mandata ili do izglasavanja novoga Poslovnika. Zahvaljujem.
Hvala lijepa.
Naravno da ovaj, ću ja odobriti stanku, ovaj. Moram vas malo ispraviti doduše čl. 3 kaže da je stanka vrijeme određeno Poslovnikom radi sastanka i konzultacija kluba zastupnika o točki utvrđenog dnevnog reda sjednice sabora, dakle ne o bilo čemu nego o toj točki. Tako da sam ja morao započeti sa točkom i onda vam naravno, sam dao riječ i to. Evo, a ovaj, a što se ovoga drugoga tiče, jasno ja sam svoj stav jasno rekao i striktno sam se držao Poslovnika, a ovaj vi možete naravno o tome raspraviti, jel.
Evo ga, ovaj dakle onda 10 minuta stanka, jel.
Naravno, naravno, kako ne.
Napravit ćemo onda jasno stanku do, sad je 15,25 do 15,35.

STANKA U 15,25 SATI.
NASTAVAK NAKON STANKE U 15,35 SATI.

Poštovane kolegice i kolege, evo stanka nam je istekla pa moram pitati, želi li predsjednik predlagatelja dati dodatno obrazloženje? Da.
Poštovani državni tajnik Darko Nekić, izvolite.
Zahvaljujem gospodine predsjedavajući.
Poštovane zastupnice i zastupnici, sve vas pozdravljam i evo danas je pred vama nacrt Konačnog prijedloga Zakona o kibernetičkoj sigurnosti. 23. studenoga smo imali prvo čitanje, a 30. studenoga je bilo glasovanje nakon kojeg smo analizirali sve ono što je bilo izrečeno u raspravi, sve prijedloge, sve iznesene misli zastupnica i zastupnika. Ono što mi je izuzetno drago da je u tom prvom čitanju, onaj prijedlog bio podržan sa 101. glasom za i samo 13 suzdržanih bez glasova protiv ovoga zakona, što pokazuje da su svi zastupnici prepoznali važnost što bržeg donošenja ovoga zakona pa vam i na tome još jednom zahvaljujem. Kratko ću samo u ovom izlaganju podsjetit na samu bit donošenja ovoga Zakona o kibernetičkoj sigurnosti kojim će se prenijet u nacionalno zakonodavstvo EU direktiva 2022/2550 Europskog parlamenta i vijeća od 14. prosinca 2022. Direktiva je stupila na snagu 16. siječnja 2023. godine te su sve države članice EU obvezne preuzeti navedenu NIS2 direktivu kako je skraćeno zovemo u svoje zakonodavstvo do 17. listopada 2024. godine, odnosno u roku od 21 mjesec od stupanja na snagu ove NIS2 direktive. Preuzimanje NIS2 direktive u RH provodi se predloženim zakonom i njegovim podzakonskim aktima koji će se donijeti u postavljenom roku dakle do 17. listopada 2024., a podrazumijeva i punu funkcionalnost svih nadležnih tijela koja se do tada trebaju uspostaviti ili prilagoditi na nove nadležnosti. U prvom čitanju sam opširno obrazlagao samu strukturu i tekst zakona, danas ću se pokušat fokusirat samo na ono što smo ubacili novo, odnosno na one prijedloge koji su bili dani u raspravi prilikom prvog čitanja. Ono što mislim da je važno spomenut na početku je da smo prihvatili gotovo sve nomotehničke primjedbe Odbora za zakonodavstvo i Odbora za unutarnju politiku i nacionalnu sigurnost. Opširno je to prikazano u onom poglavlju 4 i 5 koji ste dobili u obrazloženju zajedno sa zakonom. Druga važna stvar koju mislim da trebamo naglasit, to je bilo no pitanje promjene opsega zakona koje su pojedini saborski zastupnici tražili u prvom čitanju, a odnosi se prije svega na reguliranje pitanje etičkog aspekta u kibernetičkom prostoru na pitanje umjetne inteligencije i slična pitanja koja su bila postavljena znači u prvo čitanju. Naime ovaj zakon je strogo usmjeren NIS2 direktivom na sigurnosnu infrastrukturu dakle koja temelj za rješavanje svih ostalih pitanja, a koja će vjerojatno u budućnosti također doći pred ovaj dom u nekoj budućoj fazi. Naime, na europskoj razini je upravo u tijeku donošenje EU akta odnosno Uredbe o digitalnim uslugama, EU Uredbe o digitalnom tržištu i EU uredbe o umjetnoj inteligenciji koja će regulirat sva ova pitanja koja su se u prvom čitanju kroz raspravu provlačila, a bila su postavljena od pojedinih zastupnika. Zato smo mi, ja sam to rekao i kod prvog čitanja, a evo ponavljam i danas, znači mi smo ovdje limitirani na infrastrukturu i na donošenje ovog akta koji u biti predstavlja temelj na kojem će se ova, ovaj ostali dio nadograditi.
Drugo pitanje koje je bilo apostrofirano kroz cijelo prvo čitanje, pa i poslije toga je bilo pitanje Nacionalnog centra za kibernetičku sigurnost odnosno kroz pitanja koja ste vi postavili dalo se naslutit dakle ono glavno pitanje zašto se odmah ne osniva posebna agencija znači koja bi bila taj Nacionalni centar za kibernetičku sigurnost. Mislim da smo i to temeljito obrazložili, znači uz ovaj zakon koji ste dobili uz ovaj Nacrt konačnog prijedloga zakona. To smo obrazložili onim primjerom mita, ali i u kojem ste vidjeli da su i Talijani iskoristili svoju SOA-u koja je bila na neki način most do osnivanja samostalne agencija koja evo upravo u ovih zadnjih godinu dana je riješeno kod Talijana i to pitanje.
Otprilike intencija predlagača ovog zakona i radne skupine ide upravo tim putem, a to znači da bi SOA bila neka vrsta mosta koja će upravljat Nacionalnim centrom za kibernetičku sigurnost do osnivanja te buduće neke agencije koja će se dogodit u vremenskom razdoblju vjerojatno od 3, 3 do 5.g.. Uostalom, kao što sam i govorio u prethodnom čitanju, znači nama će za implementaciju u potpunosti ovoga zakona bit potrebno vremensko razdoblje od 5 do 7.g..
Četvrto važno pitanje koje je promijenjeno u odnosu na prvo čitanje, to je pitanje uvođenja pojma „revizija kibernetičke sigurnosti“ umjesto ranije korištenog pojma, dakle u prvom čitanju i ranije „ocjena sukladnosti“. Naime, zašto smo to mijenjali postavit ćete vjerojatno pitanje između dva čitanja? Zato što je u međuvremenu došlo do promjene u EU regulativi u tzv. cyber security aktu u koji je unesen ovaj pojam „revizija kibernetičke sigurnosti“ i zbog tog smo odlučili da ćemo taj pojam prenijet i u ovaj konačni prijedlog odnosno Nacrt konačnog prijedloga zakona, kako bi izbjegli bilo kakve izmjene u budućnosti u skorom vremenu upravo zbog ovakve formulacije.
I ono što bi možda još na kraju spomenuo prije nego što vi krenete sa svojim pitanjima, komunicirali smo zadnji put kad smo razgovarali o prijedlogu i nacrtu zakona u prvom čitanju, o broju kibernetičkih napada. Imamo sada i najnovije podatke za 2023.g. i kad to usporedite, iz tih podataka je vidljivo da je, govorimo ovdje o onim državno sponzoriranim kibernetičkim napadima, da je taj broj u 2023. znatno narastao u odnosu na prethodne godine, dakle 2021. imali smo 14 takvih napada, 2022. 19, u trenutku prvog čitanja imali smo 29 takvih napada, a do kraja dakle do 31.12.2023. imali smo ukupno 31 državno sponzorirani kibernetički napad.
Dakle kao što vidite taj broj se nastavio povećavati upravo uslijed promjena koje su kibernetičkim napadačima omogućile masovna digitalizacija i sve bolja suradnja između različitih vrsta kibernetičkih napadača, ali i pod utjecajem i to se jasno može povezat sa ratom u Ukrajini, znači nekako otprilike sa početkom tog rata u Ukrajini i njegovim trajanjem počinje i povećanje državno sponzoriranih kibernetičkih napada. Rezultat svih ovih promjena je da današnji kibernetički napadi imaju dalje snažno rastući udio tih državno sponzoriranih napada, da postaju sve složeniji i učestaliji, a štete koje uzrokuju su sve veće. Ovakvi napadi imaju za cilj ne samo krađu podataka, nekakvu državnu i industrijsku špijunažu, već i stvaranje štete na kritičnoj infrastrukturi, kao i financijske iznude i krađe, što je sve uveliko olakšano mogućnostima prikrivanja napadača i geografskoj raspršenosti napadačke infrastrukture i u kibernetičkom prostoru.
RH je posebice kao članica NATO-a i EU i u ovoj 200…, u ovoj prošloj 2023.g. bila meta tih napada koje sam u svom izlaganju i spominjao i zato je izuzetno bitno da ovaj zakon što prije usvojimo, ne samo da bi donijeli zakon, nego da bi dobili mogućnost donošenja i podzakonskih akata, ali i dakle realizacije svih onih mehanizama koji će omogućit što bolju obranu od kibernetičkih napada.
Evo za uvod toliko, hvala lijepa na pažnji.
Imamo više replika, prva je poštovane zastupnice Marić.
Hvala lijepa.
Poštovani državni tajniče, prošli puta sam imala repliku vezanu uz zdravstvo, evo nešto smo raspravili, komentirali ste koji sustav podržava scout itd., međutim sigurno je da je zdravstvo sektor visoke kritičnosti, tu nam nisu samo bitni podaci pacijenata nego i same institucije. I sad ja malo gledam Pravilnik o informacijskoj sigurnosti, pretpostavljam da proizlazi iz Zakona o informacijskoj sigurnosti. Ne bi li svaka ustanova, pa između ostaloga i zdravstvena, trebala imati taj pravilnik? Gledam evo po bolnicama, KBC-ovi, moja bolnica, niko nema taj Pravilnik o informacijskoj sigurnosti, ali recimo imaju Hrvatska liječnička komora, MORH, HZMO, grad Čakovec, ali ti pravilnici nisu uniformni, jedan ima 45 članaka, drugi 48, u trećoj ustanovi 33. Ne bi li to trebalo biti barem u nekakvoj osnovi uniformno? Naravno da u pravilniku piše Grad Čakovec, piše komora to se razlikuje, ali velim taj broj članaka je potpuno različit, dakle to sve skupa nije uniformno. I velim trebali li svaka zdravstvena ustanova težiti tom pravilniku da ga ima?
Hvala.
Poštovani državni tajnik.
Dakle, pa upravo donošenjem ovog zakona i svih podzakonskih akata stvara se jedna situacija da se uniformiraju kako vi kažete svi ovi pravilnici i svi ostali akti koji su važni za kibernetičku sigurnost.
Ono što sam ja i u prvom čitanju govorio, mi pozivamo sve državne institucije da se priključe ovom centru sada za kibernetičku sigurnost koji će prerast prijedlogom ovog zakona u nacionalni centar za kibernetičku sigurnost, ovoga trenutka u sustavu SKAUT imamo negdje oko 70 tijela. Znači mi pozivamo sva tijela, pa i ona koja su ovih dana bili izloženi takvoj vrsti napada da se što prije priključe u sustav SKAUT kako bi se stvorilo jedno sigurnosno okruženje za funkcioniranje, jedna vrsta kišobrana je taj SKAUT kojeg ovdje forsiramo.
Poštovani zastupnik Pavić.
Poštovani tajniče, u zakonu između ostalog piše da i oni koji nisu obveznici tog zakona se mogu zapravo pridržavati tog zakona i provesti sve ono što je potrebno da bi imali veću sigurnost informacijsku sigurnost.
No moje je pitanje vezano za te institucije koje će zapravo biti obveznici ovog zakona i koji su već do sada bili obveznici zakona. Naime, jedan dio subjekata do sada nije bio obveznik, sada će biti obveznik zbog toga što je NIS 2 direktiva puno šira nego što je bila NIS 1 kao prvo i osnovno, a drugo jedan dio subjekata će promijeniti svoj status i bit će veoma važni korisnici, prema tome odnosno vaši subjekti i imat će drugačije obveze prema tom zakonu.
Molim vas informaciju, jeste li kontaktirali sve te subjekte koji će preći zapravo u obvezu da budu obvezni tog zakona i ove koji će promijeniti status da ih obavijestite i informirate o tome da će imati više posla i drugačije poslove u odnosu na ovo što su bili do sada?
Poštovani državni tajnik.
… mi računamo da će bit negdje između 600 i 700 obveznika kad se ovaj zakon usvoji i kad budu usvojeni svi akti. Znači bila je provedena jedna široka javna rasprava i radna skupina je bila popunjena znači jednim širokim krugom tih institucija tako da ja vjerujem da svi obveznici odnosno svi koji će postat temeljem ovog zakona obveznici su dobro upoznati sa ovom problematikom, već i zbog toga što smo preko HUP-a i preko još nekih institucija osigurali jednu široku javnu raspravu na kojoj su svi bili upoznati sa prijedlogom ovog zakona i imali su mogućnost davat svoje prijedloge koji su velikim dijelom bili uvršteni i u prijedlog ovoga zakona.
Poštovana zastupnica Pocrnić Radošević.
Hvala.
Poštovani državni tajniče.
Evo rekli ste već da se Zakonom o kibernetičkoj sigurnosti prenosi u nacionalno zakonodavstvo europska NIS 2 direktiva. Prijedlog zakona o kojem danas govorimo izradila je međuresorna radna skupina nacionalnog vijeća za kibernetičku sigurnost, a predlagatelj zakona je Ministarstvo hrvatskih branitelja. E sad taj zakon bi uskoro trebao stupiti na snagu, e sad kako se nakon toga planira osigurati potpuno provođenje direktive da se počne raditi po onome što ta direktiva predviđa, a mislim na funkcioniranje, međusobno funkcioniranje nadležnih tijela? Da li će Ministarstvo hrvatskih branitelja i dalje ostati jedno od tijela u čijoj nadležnosti je ovaj zakon i sve to mislim u onoj što ste rekli u međuprostoru do osnivanja nacionalnog centra za kibernetičku sigurnost?
Hvala.
Poštovani državni tajnik.
Zahvaljujem.
Dakle, ja sam rekao i u uvodnom izlaganju, mi smo dužni do 17. listopada riješit ove, ne samo ovaj zakon nego i podzakonske akte koji izviru iz zakona i koji reguliraju ovu problematiku. Međutim, samo provođenje odnosno kompletno zaokruživanje cijelog procesa će trajati negdje od pet do sedam godina, znači to nije nešto što može završit do 17. listopada, do 17. listopada imamo jasno propisane obveze koje moramo završit, to je bilo donošenje zakona i podzakonskih akata. A sva ona tijela koja su sudjelovala u radnoj skupini, evo kolege su tu sa mnom iz radne skupine, znači mi smo bili, kad govorim mi mislim na Ministarstvo hrvatskih branitelja ustvari jedna tehnička potpora za donošenje ovog zakona u smislu prezentacije ovog zakona u ovom visokom domu, a radna skupina je bila ta koja je kreirala cijeli zakon i koja će se brinut o daljnjem provođenju.
Poštovana zastupnica Grba Bujević.
Zahvaljujem potpredsjedniče.
Poštovani državni tajniče.
Meni je zaista što svi nisu imali priliku slušati i vidjeti uvod u ovo znači na Odboru za unutarnju politiku i nacionalnu sigurnost te su zaista se radna skupina potrudila da nas potpuno uvede u ovaj, pa možda nekima ostane malo nerazumno. No to je bilo izvrsno pripremljeno kao što je i zakon koji nam nudite na usvajanje zaista dobar. Možda zbog toga što svi to ne znaju, a sad transformira se Centar za kibernetičku sigurnost SOA-e u nacionali centar za kibernetičku sigurnost, to je tragom primjera svi dobre prakse koje su uvele druge zemlje, ne znam Njemačka, Španjolska, Italija i tako, možete li ipak malo pojasniti za one koji ne znaju kako će sad taj nacionalni centar funkcionirati? Od čeg se on sad sastoji i što je to preteča ukupnog nekakvog budućeg rada tog centra?
Poštovani državni tajnik.
Zahvaljujem.
Pa evo vi ste sami u uvodu rekli da je jedna opširna prezentacija bila napravljena i oni koji su članovi odbora imali su priliku pogledat prezentaciju koju su kolete napravile. Mislim da je na veoma jasan način prezentirano tada kako će u budućnosti radit cijeli sustav.
Što se nacionalnog centra tiče on postoji i danas, samo se ne zove nacionalni centar za kibernetičku sigurnost nego se zove Centar za kibernetičku sigurnost i on će donošenjem ovog zakona prerast u nacionalni centar.
To će omogućit dakako kolegama jedan viši organizacijski oblik i provođenje u cijelosti ovoga zakona jer nemojte zaboravit da osim SOA-e koja je dobila neke zadaće i koja će dobiti neke zadaće ovim zakonom tu su i druga neovisna tijela i tijela državne uprave koja također svako u svom segmentu dobivaju neke zadaće.
Hvala.
Poštovani zastupnik Karlić.
Hvala potpredsjedniče, poštovani državni tajniče, poštovani suradnici.
Evo, u vrijeme novog ubrzanog razvoja novih tehnologija i digitalizacije društva, područje kibernetičke sigurnosti ima sve veći značaj, bilježi jedan snažan rast jer se društvo oslanja na umrežavanje, na korištenje informacijskih sustava i zapravo svi mi ponešto znamo o tom informacijskom sustavu i o zaštiti, ali jako malo ljudi zna dovoljno ili zna sve o tome.
Da li imamo dovoljno stručnjaka, koji mogu, evo, voditi ovaj sustav, ovaj centar odnosno u Hrvatskoj da se možemo dobro zaštititi? Hvala.
Poštovani državni tajnik.
Zahvaljujem. Evo, prije nego što sam se počeo baviti ovim Zakonom, sticajem okolnosti dakle nisam ni ja puno znao o tome, ali surađujući sa kolegama iz agencije i sa ljudima koji su radili na ovom Zakonu, ja mislim da imamo sasvim dovoljno stručnjaka da provedemo sve ove planirane aktivnosti koje su zakonom planirane i naravno, podzakonskim aktima.
Razgovarajući s ljudima, gledajući tu prezentaciju, osobno sam imao priliku uvjerit se u način kako sada funkcionira centar. Ovo, ovo zakonsko rješenje omogućit će, ne samo centru, nego i svim sastavnicama te buduće kibernetičke sigurnosti jedan puno viši organizacijski oblik i puno bolji način funkcioniranja, a mislim, to je moja ovako skromna procjena, da stručnih ljudi imamo dovoljno.
Poštovana zastupnica Puljak.
Pa evo, poštovani, nastavno na ovo pitanje, kažete da imate stručnih ljudi dovoljno, međutim, znamo danas da u tom sektoru je zapravo jaka konkurencija i sa privatnim sektorom. Plaće su puno veće u privatnom sektoru, kako zapravo te stručnjake zadržati na tim pozicijama, obzirom na plaće i uvjete rada, a i jedno pitanje o umjetnoj inteligenciji, s obzirom da UI je ključna u detekciji isto tako, kibernetičkih incidenata, ima li taj centar, zapravo, slijedi li, je li, najnovije tehnologije i znate li koristi li najnovije tehnologije upravo u detekciji incidenata? Hvala.
Poštovani državni tajnik.
Zahvaljujem.
Dakle što se tiče ovog drugog pitanja, teško ću vam ja odgovoriti na pitanje, ja doista baš ni ne razumijemo dobro tu problematiku, ali surađujući sa kolegama, dakle vidio sam da ima jako puno mladih ljudi u tom sustavu, koji imaju profesionalni izazov, znači nije im toliko bitna plaća, razgovarao sam sa nekoliko tih mladih ljudi koji rade na toj problematici, njima je puno bitniji taj izazov poslovni, mogućnost da spoznaju nešto o tim novim tehnologijama i oni, vjerujte mi, bar ovi s kojima sam ja razgovarao, nisu tamo zato što je, ne znam, plaća bolje nego što je to u privatnom sektoru.
A taj profesionalni izazov je nekada dovoljan da i zainteresira sve te mlade ljude da oni ostanu na tim radnim mjestima, imao sam priliku, dakle i danas i ovih prošlih dana vidjeti, susresti se s tim ljudima, razgovarati s njima i veoma je jasno da oni tu ne ostaju zbog plaće.
Poštovana zastupnica Orešković.
Osvrnut ću se na dio koji govori o prekršajnim odredbama. Ovlašteni tužitelj za prekršaje na temelju ovog zakona je glavni državni odvjetnik, vidimo danas po napisima u medijima, da je po volji, po izboru Andreja Plenkovića to Ivan Turudić. E ono što mene brine, brine me to što su velikim dijelom ovog Zakona tijela javne vlasti, a propisane prekršajne sankcije se kreću i do 10 milijuna eura, s time da je krug obveznika i puno širi.
Smatrate li da će biti dovoljno vremena da vi sve obveznike zakona dovoljno uputite u to što se od njih zapravo očekuje i kako ovako propisane kazne ne bi bile jedna mjera neprimjeren represije?
Poštovani državni tajnik.
Zahvaljujem.
Meni je promaklo da je Ivan Turudić, ovaj, imenovan glavnim državnim odvjetnikom, ja to nisam vidio, je li? Ali, što se tiče znači samoga zakona, ovaj, ja ne vidim tu nikakvi problem, još ću jednom ponoviti, znači ukupni vremenski tijek provođenja zakona, ne samo zakona nego implementacije svih mjera računamo na 5 do 7 godina. Znači nije ovaj Zakon smišljen da bi se nekoga kažnjavalo nego da bi se osigurala kibernetička sigurnost cijelog sustava.
A 5 do 7 godina je sasvim dovoljan vremenski period da ovaj, se ove sve mjere implementiraju i da svi poslovni subjekti budu upoznati sa svojim pravima, ali naravno, i sa svojim obvezama. Hvala.
Poštovana zastupnica Maksimčuk.
Hvala lijepo potpredsjedniče, uvaženi državni tajniče sa suradnicima. Kibernetička sigurnost se odnosi na zaštitu sustava, obuhvaća skup procesa i mjera kojima se jamči određena razina pouzdanosti u korištenju proizvoda i usluga u kibernetičkom prostoru. Mogli smo iščitati iz zakona, a i vi ste u vašoj raspravi rekli da se u nacionalno zakonodavstvo prenosi EU direktive NIS2 čime je naravno osiguravamo i pravne alate za lakšu provedbu iste.
Svjesni da su kibernetičke prijetnje u sve većem porastu, a i vi ste u uvoznom izlaganju rekli, u zadnje 3 godine, koliko ih je bilo kod nas, koliko će ovaj Zakon pomoći doprinijeti većoj sigurnosti svih sugrađana?
Poštovani državni tajnik.
Dakle što se tiče samog zakona, već sam, mislim, dovoljno objasnio, sve činjenice vezano uz zakon. Naravno, svaki zakon ostaje mrtvo slovo na papiru ako se ne provodi. Provođenje zakona ovisi o sustavu koji će bit stvoren da bi se taj Zakon proveo. Evo, ovih dana ste imali priliku vidjeti, čini mi se, prije 2 dana je objavljena jedna vijest u medijima elektroničkim i tiskanim, da je u tijeku bio jedan kibernetički napad na jednu instituciju, znači jednu izuzetno važnu državnu instituciju, znači koliko se te institucije i svi subjekti koji sudjeluju u provođenju zakona budu držali zakona i budu sudjelovali u provođenju svih ovih mjera, toliko će biti i uspješan sustav kibernetičke sigurnosti, odnosno obrane, prije svega, od ovih državno sponzoriranih kibernetičkih napada, ali i od onih drugih, niže razine.
Hvala.
Poštovana zastupnica Juričev-Martinčev.
Hvala lijepo poštovani potpredsjedniče.
Poštovani državni tajniče, ovaj prijedlog zakona regulira opsežnu materiju i zato je jako dobro da je tu u dva čitanja. Sadrži 116 članaka, kao što vidimo i 4 priloga, međutim oni su i 30 dana bili na javnom savjetovanju, pristiglo je nešto manje od 120 komentara, neki su predmet nerazumijevanja, međutim gotovo 65% primjedbi je prihvaćeno. Uz to trebalo je sakupit i mišljenje čak 23 tijela i oni su izašli sa preko 80 komentara. Treba reći da je i gotovo 60% tih primjedbi i prijedloga prihvaćeno.
Možete li istaći neku primjedbu, prijedlog koji nije bilo moguće prihvatiti ovim zakonom, al će ono biti prihvaćeno kroz neki podzakonski prijedlog, neki, neko mišljenje i komentar koji se ponavljao tijekom i javnog savjetovanja, a i prikupljanja mišljenja ovih tijela?
Poštovani državni tajnik.
Dakle, vi ste jako dobro primijetili i citirali sve ovo što je bilo provedeno prije nego što je zakon došao uopće u proceduru. Znači mi smo odnosno članovi radne skupine su odradili doista veliki posao, a ja sam rekao znači nije bila samo javna rasprava, bili su tu organizirani susreti sa stručnom javnošću, znači preko Hrvatske udruge poslodavaca, preko Instituta za kibernetičku sigurnost, znači puno, puno više pitanja je bilo otvorenih u trenutku kad se pojavila informacija da će taj zakon krenut u proceduru nego što je to bilo kad je taj, ta procedura zatvorena. Zato što je jedan veliki dio pitanja riješen ustvari u konzultaciji sa stručnom javnošću i sa svima ostalima koji su u tome sudjelovali.
Što se tiče ovog vašeg drugog pitanja, dakle tu mogu spomenut upravo nerazumijevanje vezano za ovaj centar koje smo najavili kako bi se trebao dalje razvijat jel. Nedostaje mi nažalost vremena za dalje, hvala.
Hvala vam lijepa.
Žele li izvjestitelji odbora uzeti riječ? Ne.
Onda idemo na, otvaram raspravu i prva će u ime Kluba zastupnika SDP-a govoriti poštovana zastupnica Andreja Marić, izvolite.
Hvala lijepa poštovani potpredsjedniče sabora.
Poštovani državni tajniče sa suradnicima, kolegice i kolege, dakle pred nama se nalazi Konačni prijedlog Zakona o kibernetičkoj sigurnosti kojim se u hrvatski pravni sustav transponira NIS2 Direktiva koja je donesena s ciljem otklanjanja problema uočenih u višegodišnjoj primjeni NIS1 Direktive, što je bilo i u uvodu i u replikama rečeno.
NIS2 Direktiva stupila je na snagu 16. siječnja 2023. i stavlja van snage prethodnu Direktivu iz 2016.g. s učinkom od 18. listopada 2024., te zahtijeva usklađivanje svih država članica koje transpoziciju NIS2 Direktive moraju provesti do 17. listopada ove godine odnosno u roku od 21 mjesec od stupanja na snagu NIS2 Direktive.
Klub zastupnika SDP-a se u prvom čitanju iscrpno osvrnuo na zakonski prijedlog i uz iznošenje više primjedbi i prijedloga taj smo zakon u konačnici i podržali.
Svakako bi trebalo istaknuti da smo svjesni da se nalazimo u vlaku iz kojeg ne možemo iskočiti i slažemo se da je za učinkovito funkcioniranje društva i gospodarstva u ovom svijetu ubrzane tehnološke i digitalne aktivnosti potrebno učiniti sve što je god moguće kako bi se zaštitili od mogućih ugroza koje bi onemogućile način života i povezanost kojom raspolažemo, a posebice sigurnost države u cjelini. Da bi društvo učinkovito funkcioniralo u aktualnom digitalnom 10-ljeću koje donosi čitav niz distruktivnih tehnologija poput umjetne inteligencije ili kvantnog računarstva, ali isto tako da bi se podigla spremnost krize odnosno na krize kojima je evo izložena i EU, kao što je bila covid-19 kriza ili ruska agresija na Ukrajinu i njihove refleksije na kibernetički prostor, bitno su se u odnosu na NIS1 Direktivu proširili NIS2 zahtjevi kibernetičke sigurnosti.
Slijedom toga u ovoj NIS2 Direktivi je višestruko povećan broj sektora, podsektora i vrsta subjekata obveznika kibernetičke sigurnosti koji sada obuhvaćaju sve ključne segmente društva, te je došlo do promjene dosadašnjeg uskog pristupa zahtjevima kibernetičke sigurnosti iz NIS1 Direktive koji su se primjenjivali samo na ključne usluge operatora i uvođenje sveobuhvatnog pristupa NIS2 Direktive koji postavlja kibernetičke sigurnosne zahtjeve prema cjelokupnom poslovanju svakog od subjekata koji su NIS2 obveznici.
Spominjali smo već nešto i tijekom prvog čitanja, predlagatelj je i sam naveo odnosno i svjesni ste jel da je vrijeme uvođenja NIS2 Direktive kritično jer EU već kasni u regulaciji kibernetičke sigurnosti u odnosu na brzi razvoj tehnologije. Stalno ističemo u svakom sektoru, pa evo između ostaloga i u zdravstvu da je potrebna snažnija digitalizacija i informatizacija itd.. S time u vezi i uz ovako brzi razvoj tehnologije sigurno se generira i nedostatak stručnjaka u području kibernetičke sigurnosti, što je problem svugdje u svijetu, pa tako i u RH. To isto tako traži učinkovitu i odgovarajuću organizacijsku centralizaciju, ali i paralelni razvoj i poticanje obrazovnih programa, što mi kao Klub zastupnika SDP-a naravno podržavamo.
Izrazili smo i bojazan da će sve tvrtke, od najvećih, pa do mikro poduzetnika koji koriste informacijsku i komunikacijsku tehnologiju pri implementaciji mjera iz NIS2 Direktive opteretiti dodatni troškovi, a koji će kod mnogih od njih vjerojatno još dodatno otežati njihovo ionako prenategnuto poslovanje.
Vi ste kao predlagatelj nas uvjeravali da će one pravne osobe koje će dobrovoljno primjenjivati pojedine NIS2 mjere kibernetičke sigurnosti dobiti mogućnost da svoja postojeća ulaganja u informacijsku i komunikacijsku tehnologiju sustavno i postupno usmjeravaju s ciljem povećanja učinkovitosti i međusobne sukladnosti subjekata obveznika i drugih pravnih osoba, ali i kako će isto u konačnici smanjiti rizike i troškove prekida poslovanja i gubitaka podataka uzrokovanih kibernetičkim incidentima, čije ste brojke zapravo i naveli kroz ove godine.
Ujedno navodi se da je predviđen i postotni proces tranzicije za sve subjekte koji bi trajao četri godine od stupanja na snagu zakona, a koji bi omogućio subjektima dovoljno vremena za kategorizaciju i postupak verifikacije.
Tijekom prvog čitanja dosta su se ajmo reć lomila koplja oko pitanja organizacijske centralizacija na razini RH. Vi ste kao predlagatelj iznijeli različite pristupe država članica po pitanju centralizacije kibernetičke sigurnosti koje su ponajviše rezultat različitog nacionalnog razvoja kibernetičkih resursa u pojedinim državama članicama. Veliki broj država članica koristio je svoj sigurnosno obavještajni sustav za proces centralizacije s obzirom na to da je područje kibernetičke sigurnosti integralni i vrlo važan dio nacionalne sigurnosti, a čak polovica država članica je centralizaciju kibernetičke sigurnosti započela upravo kroz nacionalne sigurnosno obavještajne sustave, npr. Danska, Grčka, Španjolska, Francuska, Njemačka, Italija.
Neke od tih država poput Italije i Njemačke su kasnije svoje nacionalne centre izdvojile u zasebne agencije, ali su oni godinama uredno i uspješno funkcionirali unutar sigurnosno obavještajnih sustava.
Vi ste ovim zakonom i predvidjeli transformaciju postojećeg Centra za kibernetičku sigurnost SOA-e kao najkomplektnijeg i najrazvijenijeg nacionalnog resursa kibernetičke sigurnosti u RH u novi nacionalni centar za kibernetičku sigurnost ukazujući na razvijene tehničke, organizacijske i stručne sposobnosti i kapacitete koje je SOA izgradila u području kibernetičke sigurnosti.
Svakako treba podsjetiti da je tijekom rasprave u prvom čitanju Klub zastupnika SDP-a naglasio kako bi se trebali razmotriti prijedlozi da se nacionalni centar za kibernetičku sigurnost ustroji unutar nekoga drugog tijela, npr. Zavoda za sigurnost informacijskih sustava koji se između ostalog bavi kibernetičkom sigurnosnom certifikacijom ili bi se možda moglo pristupiti ustrojavanju potpuno novog nacionalnog centra izvan postojećih tijela sigurnosno obavještajnog sustava.
Također smo sugerirali da se u slučaju da predlagatelj ostane pri svome prijedlogu nakon nekoliko godina po uzoru na već spomenute Italiju i Njemačku, nacionalni centar izdvoji iz SOA-e i ustroji kao zasebna agencija. U svome obrazloženju konačnog prijedloga zakona predlagatelj vezan za ovu primjedbu Kluba zastupnika SDP-a navodi primjer Italije koja se krajem 2022.g. odlučila za takav način reorganizacije s obzirom na činjenicu da je Italija svoj nacionalni centar za kibernetičku sigurnost više godina gradila unutar sigurnosno obavještajnog sustava.
Kroz nacionalne propise u razdoblju od 2017.-2022. osnažilo je ne samo svoj nacionalni centar za kibernetičku sigurnost koji je tada bio sigurnosno obavještajnog sustava već je i nacionalno uredila čitav niz elemenata kibernetičke sigurnosti kakvi su danas obuhvaćeni zahtjevima NIS 2 direktive na čitavoj razini EU.
Sada je pokrenula daljnju fazu prilagodbe svoje kibernetičke organizacije i dobro uređeni i organizirani nacionalni centar unutar sigurnosno obavještajnog sustava pripremila za osamostaljivanje koje je planirano postupno u razdoblju između 2022. i 2027.g..
Predlagatelj također navodi da se Hrvatska donošenjem i provedbom Zakona o kibernetičkoj sigurnosti nalazi u fazi u kojoj je Italija bila u razdoblju prije 2022.g. te da se o daljnjoj reorganizaciji i evoluciji nacionalnog centra tijelo u RH može razmišljati tek nakon prve uspostave nacionalnog centra za kibernetičku sigurnost u okviru SOA-e i učinkovite provedbe Zakona o kibernetičkoj sigurnosti u narednim godinama.
E pa sad se mi nadamo da će implementacija ovog zakona biti uspješna i da će se RH za nekoliko godina naći u situaciji da osamostali svoj nacionalni centar za kibernetičku sigurnost i isti izdvoji iz SOA-e.
I još bi se samo kratko osvrnula na izmjene zakonskog teksta i mi bismo prihvatili i pozdravili zapravo prihvaćanje većine primjedbi Odbora za zakonodavstvo, unošenje izmjene u zakonski tekst koji su rezultat donošenja povezanih EU akata koji se zrcale na ovaj zakon odnosno materiju koju on uređuje, kao i ispravljanje uočenih nedorečenosti pojedinih odredbi ovog zakona od strane samog predlagatelja.
I svakako ono što sam i u replici govorila obzirom da postoji Zakon o informacijskoj sigurnosti, postoji Pravilnik o informacijskoj sigurnosti težimo pretpostavljam da se da bi zapravo svaki obveznik imao svoja institucija imala svoj pravilnik o informacijskoj sigurnosti što za sada nije slučaj. Razlike su u izgledu tog pravilnika o informacijskoj sigurnosti od institucije do institucije, pa onda kako ste mi i odgovorili vjerujemo jel da će onda iz ovog zakona prema kojem broj subjekata odnosno obveznika zakona raste, prošli put ste rekli oko stotinjak, mislim da ste sad sedamdesetak spomenuli, ali 600 do 700 obveznika će tog zakona biti pa evo onda očekujemo punu implementaciju ovog zakona odnosno i primjenu pravilnika o informacijskoj sigurnosti i zapravo podržavamo da svaka institucija ima i dovoljno stručnjaka koji bi barem završili nekakve tečajeve osnove kibernetičke sigurnosti odnosno da se svaka institucija može nositi sa izazovima koje nosi suvremeno doba.
I zaključno bi svakako istaknula da će Klub zastupnika SDP-a podržati donošenje Zakona o kibernetičkoj sigurnosti.
Hvala.
Gospodin Bojan Glavašević Klub zastupnika Možemo!
Izvolite.
Hvala.
Poštovani g. potpredsjedniče HS-a, poštovani g. državni tajniče sa suradnicima.
Dakle, nekoliko stvari, mislim ovaj zakon kao što je nekoliko puta rečeno je transponiranje europskih direktiva, rokovi su tu jasni i u tom smislu ispunjavamo svoje obaveze.
Prva stvar na koju bih se osvrnuo zapravo iz što iz izlaganja državnog tajnika, a što iz stvari koje su izrečene u replikama, meni se čini da su neki rokovi na koje se računa, znači ako je nekakav rok za prilagodbu četiri, pet, sedam godina da je to ustvari dosta dugačko vrijeme za to u smislu gledajte ono znate i sami da umjetna inteligencija napreduje strahovitom brzinom dok se, možda ćemo morati nove neke direktive, možda će se stvari mijenjati. Dakle, ja bih razmislio da se ipak rokovi skraćuju malo jer pitanje koliko, ono znate za 4 godine netko tko se prilagođava na ovo što mi sad izglasamo već je ono debelo zakasnio zapravo da se prilagodi. U tom smislu mislim da možda treba razmisliti o tome na koji način se može pomoći obveznicima u implementaciji i ispunjavanju ovih obaveza. I s druge strane mislim da bi možda bilo ipak mudro propisivati, ono ozbiljno razmisliti da se propišu kraći rokovi, pa da se onda u perspektivi zapravo ide prema korisnicima, odnosno obveznicima da im se pomogne.
Druga stvar koju bih rekao je nešto što je zapravo i kolegica malo prije se osvrnula na to. Činjenica je da smo dosta raspravljali o tome koliko je opravdano i koliko zapravo je problematična ili neproblematična činjenica da se ovaj centar osniva pri sigurnosno-obavještajnoj agenciji naravno uzevši u obzir da za to postoje presedani. U nekakvim drugim zemljama članicama EU nije, dakle nije to smak svijeta. Međutim, ja bih isto tako podsjetio da za razliku od većine drugih zemalja članica EU u Hrvatskoj ipak imamo kao mlada demokracija imamo jednu Sigurnosno-obavještajnu agenciju i jednu i drugu i vojnu i ovu civilnu u kojima na žalost imamo jako puno slučajeva koji su, kako da to diplomatski kažem? Jako puno slučajeva u kojima su građani izgubili povjerenje u te agencije.
Evo i ako hoćete bio je značajan broj skandala od prisluškivanja novinara u ranim dvije tisućitim godinama do slučajeva pronevjere koji su mnogo recentniji u Vojnoj sigurnosno-obavještajnog agenciji. Dakle, to su i dalje dvije organizacije koje imaju za pojmove mog kluba zastupnika i ne samo mog kluba zastupnika, nego ja bih rekao više klubova u ovome u Saboru iz njihovih izlaganja prenisku razinu nadzora. I ova primjedba zapravo ide u smjeru toga da biste trebali onda ako se doista razmišlja o izdvajanju, da bi se trebalo ići u smjeru što prije i što ranijeg izdvajanja tog centra zapravo i distanciranja od sigurnosno-obavještajne agencije i generalno od obavještajnog sustava Republike Hrvatske naprosto ako ni iz kojeg drugog razloga zato što time ipak smanjujemo prostor za nepovjerenje građana i smanjujemo prostor na kraju krajeva za to da netko od djelatnika obavještajne, unutar našeg obavještajnog sustava može na bilo koji način zloupotrijebiti resurse koji su mu na raspolaganju i uvide i informacije koje može steći na ovakav način.
Druga stvar je da, dakle Sigurnosno-obavještajna agencija će moći predložiti koji će subjekti biti priključeni na popis obveznika. I sad gledajte, to ne moraju bit samo tijela javne vlasti, to mogu biti i firme, tvrtke, ustanove. Mislim to je potencijalno, dakle to je s jedne strane razumljivo imali smo slučaj Agrokor, imamo, jasno je da, išlo se i sa mjerama ograničavanja, dakle sa sankcijama na ograničavanje utjecaja ruskog kapitala.
Sve to jeste razumljivo, ali hajmo biti svjesni da sve to također može negativno utjecati i na ako hoćete poslovnu klimu i na obaveze koje se u privatnom sektoru mogu stvoriti potencijalno za potencijalne obveznike. Dakle, samo moramo biti svjesni toga i ono što bih ja volio zapravo u nekoj perspektivi čuti kada je ovo u pitanju kakve odgovore se tu nudi.
Dakle, meni recimo na pamet pada Agrokor odmah i mislim da nisam jedini tako da evo ovo stavljam na stol kao nešto za raspravu i za razmišljanje. Treći problem koji vidim ovdje je zapravo potencijalni utjecaj na zviždače. Dakle, uvid na ovaj način sustavi koji će se ovdje koristiti omogućavaju uvid u recimo to s kojeg računala se moglo pristupit nekim podacima unutar mreže.
Dakle, gledajte. Tu potencijalno možemo također imati problem. Mi imamo Zakon o zviždačima, ali mislim da ovakvi zakoni također mogu obeshrabriti zviždače i zapravo bismo trebali razmisliti. Ovo je više napomena za nas ovdje u Saboru i danas sutra možda za neku drugu izvršnu vlast ili ovu istu kako god. O tome ako se zaista želi zaštititi zviždače da evo recimo ovakvi zakoni mogu imati potencijalno negativan utjecaj na to.
Bilo je komentara u široj javnoj raspravi, u javnom prostoru o tome kako ovo može primjerice utjecati na neke kompanije, dakle na poslovnu klimu i na neke kompanije koje žele poslovati u Hrvatskoj. Primjerice ako je neka velika međunarodna kompanija želi imati servere u Hrvatskoj, a onda ti serveri mogu biti pod nadzorom, pa će onda oni te servere seliti i tako.
Mislim u tome vjerojatno ima nešto istine, pa bi onda i te stvari trebalo uzeti u obzir. Eto u najkraćim crtama to bi bili nekakvi komentari našega kluba. I također još jedna stvar. Mislim htio bih povezati vrlo kratko. Ovo nije najuže vezano za zakon o kojemu danas razgovaramo, ali ovo više ulazi u rubriku kao napomena o zviždačima. Dakle, mi danas prije neposredno ove točke smo razgovarali o Zakonu o hrvatskom jeziku gdje se nameće obaveza zapošljavanja lektora.
Gledajte ja kada bih želio primjerice napisati špijunski roman i kada bih htio imati neke elemente činjeničnosti u tome i kada bi htio dobar zaplet, recimo nekakvu krticu u firmi, lektor koji je zaposlen negdje unutar sigurnosno-obavještajnog sustava neke zemlje bi mi vjerojatno bio jedan od jedno od boljih ideja za lik, takav lik. Dakle, mislim da moramo paziti na koji način razno razni drugi zakoni koje donosimo utječu jedni na druge kao što ovaj zakon može utjecati na neki način na, na zviždače tako isto i ovaj zakon o kojemu smo raspravljali malo prije može imati implikacije i za sigurnosno obavještajni sustav pa tako i potencijalno i za kibernetičku sigurnost jer ako je to osoba koja treba potencijalno provjeravati sve akte o kojima se piše, gledajte, a zapravo nije predmet nikakve dublje kontrole to je potencijalni problem u nastajanju, potencijalni, ne kažem da je nužno problem ali potencijalni bi mogao biti tako da eto imajte na umu kad budete radili vaše centre i kad ih budete smještali unutar SOA-e da kad se donese Zakon o hrvatskom jeziku, da lektorima koje zapošljavate uvedete obvezu sigurnosne provjere najvišeg stupnja. Hvala lijepa.
Hvala vama.
Gospodin Pavić, Klub zastupnika Socijaldemokrata.
Izvolite.
Zahvaljujem poštovani predsjedavajući.
Poštovani tajniče sa suradnicima, kolegice i kolege.
Evo, prvo osjećam neku potrebu da kažem da ovaj razvoj internetizacije i informatizacije, brzog pristupa internetu optike i u Hrvatskoj i u cijeloj Europi je zapravo jedan od razloga zbog čega evo smo danas ovdje, zbog čega donosimo ovaj zakon jer zapravo sve više usluga ide preko interneta i sve više usluga se pruža preko udaljenih lokacija i nakon toga naravno da se događaju i razno razni napadi koji mogu prouzročiti veće ili manje štete, a nama je cilj da se te štete ne događaju pogotovo ne na državnoj infrastrukturi i posebice ne u poduzećima odnosno institucijama odnosno gdje su oni subjekti koji su od posebnog važenja odnosno važnosti u RH. Smisao ovog zakona nije špijunaža nego je smisao ovog zakona odnosno ovog tijela koji se treba osnovati je zapravo da to tijelo radi kontrolu provedbe kibernetičke sigurnosti u pojedinim institucijama. Znači to tijelo neće kontrolirati što se sve radi u toj instituciji nego će kontrolirati dokumente koji su nastali, a vezani su za kibernetičku sigurnost i koji se non stope prate, kao što će se pratiti i provođenje tehničke osnove vezano za tu kibernetičku sigurnosti u tim institucijama, što je zapravo i razumljivo. Netko mora napraviti reviziju odnosno netko mora napraviti uvid, netko mora napraviti certifikaciju tih tijela da bi ta tijela mogla normalno funkcionirati i da bi smo mogli reći ta su tijela sigurna. Ne možemo si dozvoliti da bilo koje od tih tijela koje su navedene tamo u onom popisu iz onih skupina da bude podložno cyber napadima bez ikakve obrane i da se o tome ništa ne zna i da možda čak i da to samo tijelo potencijalno možda danima nema pojma da je napadnuto i da zapravo se događa unutar tog tijela ono što se ne bi smjelo događati, jer računalo sasvim drugačije rade, programi drugačije rade, sistemi su zapravo uništeni, a da o tome nitko nema pojma. Prema tome, to je razumljiv pristup i s te strane je jasno da se to treba provesti od strane stručnjaka koji su kompetentni i naravno koji već imaju takva iskustva. Zato sam ja prošli put rekao da ne zamjeramo kao klub Socijaldemokrata, da se to tijelo pardon formira u sklopu obavještajne agencije, jer tamo postoje ljudi koji to znaju, postoji ekipa koja je to radila slične poslove do sada i smatramo da je to odlična osnova za proširenje te ekipe i da takva institucija će se vjerojatno razvijati i u konačnici ćemo imati neki model kao što je u Italiji ili Sloveniji pretpostavljam za par godina. Činjenica je da su pred nama veliki poslovi, činjenica je da nas čeka dugotrajan posao i ono što je netko od kolega ovdje rekao, pitanje je jesu li ovi rokovi stvarno dovoljno, ne dugački nego dovoljno kratki, da bismo zadovoljili sve sigurnosne zahtjeve koje bismo trebali postići s obzirom da razvoj informatike, umjetne inteligencije i svih ostalih tehnologija koje su vezane, vezane za ovakve napade je jako brz i moramo na takve napade odgovoriti. Pretpostavljam da će se za nekoliko godina pojaviti NIS3 direktiva koja će nam naložiti da radimo nešto drugo odnosno možda nešto strože sa nekim alatima ili možda nekim sustavima koji su uspostavljeni na nivou Europe koji su prepoznati kao sustavi koji će braniti od cyber napada, ali o tome ćemo kasnije jer, odnosno za nekoliko godina kada ćemo vidjeti u kojem će smjeru zapravo ti svi napadi ići. Postoje ovdje razni, razne informacije o broju napada. Recimo ovo što je rekao gospodin tajnik bih 30 napada to su oni ozbiljni napadi koji su zapravo bili sponzorirani od strane država, što znači da su zapravo tajne službe unajmile ili angažirale razno razne hakere, krakere i ostale napadače, da pokušaju napraviti neku štetu u na informacijskoj infrastrukturi odnosno informatičkoj infrastrukturi u pojedinoj državi i onda se to miješa sa napadima koji su recimo u Sloveniji, bilo je nekih natpisa u novinama. Bilo je prošle godine otprilike nekih 4 tisuće i nešto informatičkih napada. Nije to isto. Znači to što netko nekoga napadne preko njegove mail adrese, to što netko nekome pošalje neku poruku, neki spam ili ne znam, neki hvaks to nije isto kao što su i ovi napadi čiji je zapravo direktan cilj da prouzroči štetu. To je bitno za napomenuti da je cilj takvih napada da prouzroče štetu na informacijskoj infrastrukturi i zapravo da naštete samoj toj državi u kojoj radi subjekat odnosno institucija koja je napadnuta. S obzirom na sve to mislim da ćemo se složiti da nam je izuzetno važno da to tijelo koje treba vršiti nadzor i koje bi trebalo biti tijelo za konzalting, u prvoj fazi s obzirom da će se mnogi morati priviknuti uopće na cyber sigurnost i na pravilnike koje će napisati s obzirom da neki od njih i pravilnike i nemaju, to smo već i danas čuli, mislim da ćemo imati i jedan dio novih školovanja, novih obuka za ljude koji će se baviti sigurnošću baš u tim institucijama jer će jednostavno biti prisiljeni da se otvaraju nova radna mjesta da bi se moglo promptno reagirati i promptno tražiti zapravo pomoć od institucije koja će ih nadzirati i eventualno pružati pomoć kao što je to recimo CERT da se obavijesti ili institucija koja će nastati, da bi se moglo poduzeti sve što je potrebno da bi se zaštitili informacijski sustavi.
Isto tako nemojmo zaboraviti, ako je napadnuta jedna institucija, a institucija je otvorena prema nekoj drugoj, trećoj ili petoj instituciji, da možemo očekivati da će i one sve koje su povezane direktno u mreži da će moći biti napadnute s obzirom da su putevi otvoreni, dal će biti napadi teži ili lakši, to sve ovisi o namjeri napadača, o posljedicama opet ovisi o namjeri napadača, a naravno da ovisi puno o spretnosti onih koji će radit u tim institucijama, znači o spretnosti i spremnosti da odgovore na te napade i da mogu spriječiti eventualne štete koje su, bi eventualno bile prouzročene ukoliko bi napad u cijelosti uspio. Prema tome, pred vama je veliki izazov, najveći izazov je pred organizacijom koja nastaje odnosno pred institucijom koja nastaje.
I ono što moram reći da mi je žao što niste odgovorili na one moje prijedloge odnosno što ih niste uopće spomenuli u, u obrazloženju zakona, a danas smo evo vidjeli i čuli smo danas replike g. tajniku. Radi se o tome da sam predložio da se napravi jedinstvena informacijska platforma za RIS Management sustav, a dodat ću tu da predlažem da se i izradi jedinstvena informacijska platforma za Document Management Sustav i da se odmah tu napravi i baza znanja za sve one koji trenutno nemaju iskustva odnosno za sve one kojima je potrebna pomoć da imaju pomoć odmah pri ruci kada rade novu dokumentaciju odnosno kada rade nove pravilnike ili bilo što drugo. Činjenica je da neće svi pravilnici biti isti. Prvo zbog toga što nemaju sve institucije istu informacijsku infrastrukturu, drugo, to govorim znači kadrovsku infrastrukturu, drugo nemaju istu softversku infrastrukturu i nemaju potrebu da se isto ponašaju prema pojedinim podsustavima, pa zavisno od toga kako će se ponašati prema pojedinom podsustavu odnosno kako će biti propisano u pravilniku da se ponašaju prema pojedinom sustavu ili pojedinom podsustavu, tako će se to kasnije i prepisati u tim pravilnicima.
Prema tome, puno je opcija pred nama, svi oni koji dosada se time nisu bavili morat će se baviti ukoliko su obveznici ovog zakona, a u zakonu između ostaloga piše da i oni koji nisu obveznici bilo bi dobro da se prihvate tog posla jer vrlo je vjerojatno da će uskoro biti obveznici tog zakona i na kraju krajeva bit će sigurniji, a oni koji koriste njihove sustave i koji koriste njihove, pardon, hardverske i softverske sustave će biti sigurno sigurniji ukoliko će njihovi podaci biti sigurni i ukoliko će procedure koje se tamo provode biti 100% provjerene i znat ćemo da nitko sa strane nije utjecao na rezultat tih postupaka odnosno procedura odnosno procesa koji se rade, provode u tim informacijskim sustavima. Dakle to sam predložio iz jednostavnog razloga što sam radio godinama na informatizaciji državnih institucija i pokazalo se da je svako centralizirano rješenje puno, puno efikasnije i puno bolje i puno jeftinije i na kraju krajeva za državu, a ono što bi ovdje bio još dodatni benefit je taj što bi zapravo institucija koja nastaje, koja će radit kontrolu mogla bi zapravo direktno kontrolirat dokumentaciju koja je nastala u tom sustavu bez da se ide na alokaciju sve do momenta dok se ne uoče problemi koji bi eventualno mogli nastati na alokaciji. Zbog toga sam predlagao taj jedinstveni sustav koji može biti ili u državnom cloudu, da budemo sigurni da je to 100% sigurno ili na nekom drugom zaštićenom računalu koji su sad trenutno, trenutno kod vas u, u službi jer računala iz službe nisu u cloudu nego su kod vas u vašim sistem salama. Prema tome, apsolutno je svejedno, ali imate direktno kontrole nad tim svime skupa bez obzira što neki misle da će tu biti nekakve špijunaže, znači ne radi se o špijunaži nego se radi o tome da se kontroliraju dokumenti koji su nastali i da ti dokumenti budu u skladu sa propisima koji zapravo se moraju poštivati, opet napominjem sa ciljem da budemo sigurni da ćemo moći normalno živjeti i da ćemo moći normalno raditi i da oni subjekti koji ne bi smjeli biti napadnuti neće biti napadnuti, prema tome taj dio posla je svima razumljiv.
Ovaj dio oko Document Management Sustava koji bi trebao biti isto tako centraliziran mislim da je to također dobar prijedlog jer ukoliko će u tom sustavu biti i baza znanja koja će upućivati korisnike odmah direktno da mogu, koje radnje mogu napraviti i na koji način mogu napraviti, ako im daju neke šprance za pojedine dokumente, ako im daju nekakve uvide u potencijalne dokumente bez imena, prezimena i naziva te firme, da se vidi kako to u pojedinom poduzeću funkcionira, ako im se da nekakav predložak za, šprance ili predložak, ako im se da neki predložak za dio informacijske sigurnosti vezan za pojedini podsustav koji već negdje radi, koji funkcionira, koji je dobro osiguran, mislim da će biti puno lakše raditi takve sustave odnosno takve, takve dokumente.
Evo to je bio moj razlog da to predložim jer smatram da bi bilo jako dobro da je to sve skupa na jednom mjestu da znamo što je, kako je i gdje je, a onda naravno ono što ostaje vama kao stručnjacima i ljudima koji će biti zaposleni, da odu na teren kad je to potrebno kad uoče nekakve nedostatke, ukoliko smatraju da treba nešto provjeriti i da treba nešto još dodatno prekontrolirati ili naravno ono što je bitnije da treba nekome nešto sugerirati prije nego što treba provjeravati, to je izuzetno važno da se onda izlazi na teren i da se u tom momentu zapravo ljudima pomogne da naprave ono što nisu napravili zbog toga što su trebali napraviti u zakonu, ali eto dese im se propusti i postoji mogućnost da budu napadnuti i da nastane šteta na toj infrastrukturi. Prema tome, ako ćemo to napraviti uštedit ćemo velik novac i državi, a uštedit ćemo ono što je najvažnije vrijeme za koje smo konstatirali da ga nemamo, nemamo ga dovoljno. Prema tome, svi ti subjekti koji će biti obveznici zakona mogli bi sve te informacije naći na jednom mjestu, svi ti dokumenti i informacije bili bi zapravo jedinstveni što je izuzetno važno, što bi nam zapravo pomoglo i da onda nakon toga svi ti subjekti imaju isto tako približno iste dokumente i da bude kvaliteta tih dokumenata približno ista.
Neću govoriti o samoj informacijskoj sigurnosti unutar tih subjekata, to nije predmet ove rasprave, ali napomenut ću samo da smo imali ovdje namjeru da govorimo još nešto u svezi zaštite podataka. To je jedan dio koji se spominje, ukoliko podaci nastaju tijekom procesa onda ako su to osobni podaci pa ukoliko se nešto tu generira da su onda predmet tog izvida odnosno kontrole. Ali htjela je kolegica govoriti, nažalost bolesna je pa nije došla ovdje, htjela je govoriti o zaštiti osobnih podataka odnosno o zaštiti podataka djece što nam je tako izuzetno važno i bit će sigurno predmet rasprave odnosno razmatranja u pojedinim subjektima koji će morati te podatke štititi i paziti na te podatke, a naravno da ćete vi onda reći što sad treba napravit da to bude sigurno 100% i u okvirima onoga što zapravo zakon predviđa, a isto tako i u okvirima onoga što bi trebalo biti sigurno za naše sugrađane odnosno za njihovu djecu.
Nadalje, što se tiče ove kategorizacije to sam pitao već državnog tajnika, s obzirom da ćemo imati nekih otprilike 700 do 800 subjekata u ovom sustavu, a vjerujte imat ćemo ih i više jer sada kada će vidjeti subjekti da je netko njihov sličan ušao u taj sustav, a oni nisu trenutno obveznici, mislim da će se zabrinuti jer će svatiti da moraju poduzeti radnje određene, bez obzira na to što će imat troškove. Ja pretpostavljam da će država dozvoliti dodatna zapošljavanja, pogotovo u tom sektoru informatike kod pojedinih subjekata da se mogu zaposliti stručnjaci koji će onda voditi brigu o sigurnosti i pretpostavljam da će onda i svi ti security officeri u tim poduzećima pretpostavljam da će imati isti koeficijent, istu plaću tako da neće biti onda prelazaka iz institucije u institucije kao što se to do sada dešavalo u državnim službama da su pojedine tajnice odlazile iz ministarstva u ministarstvo zbog toga što je tamo bila veća plaća, tako da očekujem da će to biti nekakva …/Upadica Radin: Hvala./… unifikacija i da će to biti jedinstveno rješenje na nivou države.
Hvala.
Hvala lijepa.
Gospodin Mladen Karlić Klub zastupnika HDZ-a.
Izvolite.
Hvala potpredsjedniče.
Poštovani državni tajniče, poštovani suradnici, uvaženi kolegice i kolege.
Pred nama je Konačni prijedlog Zakona o kibernetičkoj sigurnosti. U vremenu urbanog razvoja, ubrzanog razvoja novih tehnologija, digitalizacije društva područje kibernetičke sigurnosti ima sve veći značaj i bilježi snažan globalni rast zbog permanentnog oslanjanja društva u cjelini na umrežavanje i korištenje informacijskih sustava.
Kibernetičke prijetnje bilježe kontinuirani porast na globalnoj razini, a različite vrste napada u kibernetičkom prostoru postaju sve sofisticiranije i složenije i utječu na naš svakodnevni život i poslovanje. Kibernetički prostor uz sve prednosti koje donosi predstavlja i sigurnosni izazov. Sigurnosne prijetnje u kibernetičkom prostoru su kibernetički kriminal, špijunaža, terorizam i ratovanje sve te prijetnje imaju cilj naštetiti kritičnoj infrastrukturi, financijama, prometu, komunikacijama i svim sferama života.
Svjedoci smo sve češćim naslovnicama u medijima i na portalima o različitim malicioznim programima, računalnim prijevarama, zlouporabama osobnih i financijskih podataka te zlouporabama na društvenim mrežama. Upravo iz tih razloga vrlo je bitna svijest o mogućim kibernetičkim ugrozama i kako se od njih zaštititi.
Globalne kibernetičke prijetnje u stalnom su porastu uz sve veći broj sofisticiranih kibernetičkih napada te ako uzmemo u obzir rastuću ovisnost suvremenog društva o kibernetičkoj tehnologiji traže se novi pristupiti kibernetičkoj sigurnosti. Kako je EU donijela Direktivu 22/2555 o mjerama za visoku zajedničku razinu cyber sigurnosti u EU tzv. NIS 2 direktiva, države članice se moraju uskladiti s njom te u e-Savjetovanju od 17.7.'23. do 16.8. se nalazio Nacrt prijedloga Zakona o kibernetičkoj sigurnosti na koji je pristiglo i oko sto komentara.
Ova direktiva zahtijeva usklađivanje svih država članica s direktivom i to do 17. listopada 2024.g., ova direktiva ima bitno proširene zahtjeve u odnosu na prethodnu zbog čega bi se Zakon o kibernetičkoj sigurnosti operatera ključnih usluga i davatelja digitalnih usluga iz 2018.g. trebao staviti van snage te bi se trebao donijeti novi Zakon o kibernetičkoj sigurnosti.
Glavni cilj novih zahtjeva o kibernetičkoj sigurnosti je osiguravanje uvjeta za funkcioniranje društva i gospodarstva u digitalnom desetljeću koje donosi novosti kao što su primjerice umjetna inteligencija. Najvažnije promjene koje nosi Direktiva NIS2 vezane su za povećan broj sektora, podsektora i vrsta subjekata obveznika kibernetičke sigurnosti te promjena pristupa NIS2 direktive koja predstavlja kibernetičke sigurnosne zahtjeve prema cjelokupnom poslovanju svakog od subjekata koji su NIS2 obveznici. Ovom direktivom želi se postići učinkovito upravljanje organizacijama i sigurnosnim procesima u kibernetičkom prostoru EU i država članica.
U nacrtu prijedloga zakona se predlaže transformacija Centra za kibernetičku sigurnost SOA-e koji je osnovan 2019.g. kao najkompletnijeg nacionalnog resursa kibernetičke sigurnosti koji bi se centralizirao i stvorio bi se novi nacionalni centar za kibernetičku sigurnost. SOA je u suradnji sa Zavodom za sigurnost informacijskih sustava već je izgradila sustav SKAUT koji predstavlja središnji sustav za otkrivanje, rano upozorenje i zaštitu od državno sponzoriranih kibernetičkih napada i drugih prijetnji koji se sastoji od distribuirane mreže senzora u ključnim državnim tijelima i pravnim osobama.
U suvremenom društvu tvrtke koriste informacijsku i komunikacijsku tehnologiju u svom poslovanju te veliki dio poslovnih procesa zasnivaju na informacijskim i komunikacijskim tehnologijama zbog čega je bilo nužno povećanje broja sektora i podsektora i vrsta usluga koje zahvaća NIS2 direktiva.
Tvrtke diljem EU već ulažu u sustave kibernetičke zaštite u sklopu svog poslovanja neovisno i direktivi EU. Cilj NIS2 direktive nije uvesti dodatan trošak za informacijsko edukacijsku tehnologiju unutar jednog sektora i poslovne zajednice već postupno provesti tranziciju u smjeru bolje regulacije, organizacije i standardizacije kibernetičke sigurnosti kako bi se u konačnici smanjili rizici, troškovi prekida poslovanja i gubitka podataka uzrokovanih kibernetičkim incidentima.
Upravo zato se u Nacrtu prijedloga ovog zakona predviđa kategorizacija subjekata u kategorije jedan ključnih i dva važnih subjekata što bi se provelo u roku od godine dana od stupanja na snagu zakona, te bi se nakon toga svake godine utvrđeni popis ključnih i važnih subjekata ažurirao.
Nakon obavijesti o kategorizaciji započeo bi rok od jedne godine za usklađivanje subjekata sa zahtjevima kibernetičke sigurnosti, a sukladno se mora verificirati u postupku neovisne ocjene sukladnosti ili samo ocjene ovisi o kategoriji subjekta kroz razdoblje od najduže dodatne dvije godine. Tako bi potpuni proces tranzicije trajao četiri godine nakon stupanja na snagu Zakona o kibernetičkoj sigurnosti.
U Nacrtu prijedloga zakona razlikuju se tri grupe nadležnih tijela za kibernetičku sigurnost. Prva grupa su nadležna tijela za provedbu posebnih zakona koji uključuju autonomne sektore u kojima je kibernetička sigurnost propisana sektorskim propisima na EU. Radi se o tri sektora – bankarstvo i Hrvatska narodna banka kao nadležno tijelo, infrastrukture financijskog tržišta i Hrvatska agencija za nadzor financijskih usluga HANFA kao nadležno tijelo, te zračni promet i Hrvatska agencija za civilno zrakoplovstvo kao nadležno tijelo.
Druga grupa uključuje tri polu autonomna sektora – javni sektor i Ured Vijeća za nacionalnu sigurnost kao nadležno tijelo, Sektor elektroničkih komunikacija i Hrvatska regulatorna agencija za mrežne djelatnosti HAKOM kao nadležno tijelo, te pružatelji usluga povjerenja i Središnji državni ured za razvoj digitalnog društva kao nadležno tijelo.
Treća grupa nadležnih tijela obuhvaća Ministarstvo znanosti i obrazovanja, Sigurno-obavještajnu agenciju, te nadležna tijela za prevenciju i zaštitu od kibernetičkih incidenata u koje spada Nacionalni centar za kibernetičku sigurnost koju ustrojava SOA te Nacionalni centar ustroj u CARNET-u. Zakonom bi se uveli i okviri za provedbu dobrovoljnih mehanizama kibernetičke zaštite a koji omogućavaju subjektima koji nisu utvrđeni kao ključni ili važni subjekti da poduzimaju aktivnosti u cilju podizanja razine kibernetičke sigurnosti, svojih mrežnih informacijskih sustava uz pružanje stručne pomoći nadležnih tijela iz ovog zakona prvenstveno od strane nadležnih ovih …/Govornik se ne razumije./… odnosno nadležnih tijela za prevenciju i zaštitu kibernetičkih incidenata.
Vjerujem da ovi, da neće biti preskupi, zapravo da bi se vjerujem mnoge institucije i tvrtke dobrovoljno prijavile u sam mehanizam kibernetičke zaštite. U prilogu 1. Nacrta prijedloga zakona kao Sektor visoke kritičnosti …/Govornik se ne razumije./… energetika, promet, bankarstvo, infrastruktura financijskog tržišta, zdravstvo, voda za ljudsku potrošnju, otpadne vode, digitalna infrastruktura, upravljanje uslugama, …/Govornik se ne razumije./… javni sektor i svemir.
U prijedlogu 2. kao drugi kritični sektori navedeni su poštanske, kurirske usluge, gospodarenje otpadom, izrada proizvoda, proizvodnja i distribucija kemikalija, proizvodnja, prerada i distribucija hrane, proizvodnja medicinskih proizvoda i slino.
U prijedlogu 3. Nacrta prijedloga zakona je popis nadležnosti tijela u području kibernetičke sigurnosti uz podjelu nadležnosti po sektorima, po sektorima i vrstama subjekata iz ovog priloga 1. i 2.
Zakonom je predviđeno donošenje podzakonskih akata Uredbe Vlade Republike Hrvatske kojom se detaljnije uređuju područja iz ovog zakona, te Nacionalnog plana za upravljanje kibernetičkim krizama kao i Nacionalnog plana razvoja kibernetičke sigurnosti sa akcijskim planom za njegovu provedbu. Pri tome je osigurati funkcionalnost svih nadležnih tijela osobito Nacionalnog centra za kibernetičku sigurnost koji se prvi ustrojava u Republici Hrvatskoj.
Klub Hrvatske demokratske zajednice podržat će ovaj prijedlog, Konačni prijedlog zakona.
Hvala.
Hvala.
Gospođa Marijana Puljak, Klub zastupnika CENTRA, GLASA i Stranke sa imenom i prezimenom.
Izvolite.
Poštovane zastupnice i zastupnici, kolege Zakon o kibernetičkoj sigurnosti koji je predmet današnje rasprave usmjerava se na usklađivanje hrvatskog zakonodavstva sa EU standardima u području kibernetičke sigurnosti. Predstavlja ne samo obavezu usklađivanja sa EU standardima već evo može postati i prilika da Hrvatska postane i pionir u primjeni nekih naprednih tehnoloških rješenja.
Čuli smo tako dakle upravo je u EU donošenje Uredbe o umjetnoj inteligenciji i nizu drugih akata vezanih uz digitalnu tehnologiju. Kao liberalna stranka CENTAR ja vam mogu reći i osobno kao netko tko je radio, koja je radila 25 godina u IT-u a posljednjih godina primarno u odjelu koji se bavi osiguravanjem IT sustava financijskog sektora osiguravanjem da svi IT sustavi rade 24/7 i njihovom zaštitom upravo od kibernetičkih napada zagovaramo politike koje ne smiju biti ograničene strahom od novog i nepoznatog već trebaju biti vođenje razumijevanjem i prihvaćanjem tehnološkog napretka kao neizbježnog dijela našeg društvenog i gospodarskog razvoja.
Danas evo raspravljamo o ovom zakonu koji bi trebao biti ključni element u zaštiti naše digitalne infrastrukture i nacionalne sigurnosti. Pritom ne smijemo zaboraviti kontekst u kojem se nalazimo rat je upravo na tlu Europe kao i globalni sukobi koji sve više koriste napredne tehnologije poput dronova i sofisticiranih kibernetičkih napada.
Suočavamo se sa novim oblicima ratovanja gdje su kibernetički napadi i širenje dezinformacija ili poznati kao facke news oružja koja mogu imati razarajuće posljedice. Ova realnost naglašava važnost kibernetičke sigurnosti ne samo za zaštitu naše digitalne infrastrukture već i kao ključnog elementa nacionalne sigurnosti. Moramo se dakle usmjeriti ka stvaranju sigurne, napredne digitalne infrastrukture ali i prepoznavanju prilika koje nam pruža umjetna inteligencija.
Dakle umjetna inteligencija, ono kako smatramo ili često, kad se spominje UI, govori se prije svega, primarno o nekakvom strahu od UI, međutim, smatramo da predstavlja neizmjernu priliku za napredak u brojnim sektorima. Točno je, nosi sa sobom i određene rizike, ali pravilno regulirana, može biti ključna u detekciji i prevenciji kibernetičkih napada, poboljšanju sigurnosnih protokola i automatizaciji procesa zaštite podataka.
No, isto tako, nekontrolirana upotreba UI može zaista dovesti do novih vrsta kibernetičkih prijetnji i zloupotrebe podataka. Kroz ovaj Zakon moramo osigurati da se UI koristi na način koji podržava sigurnost i privatnost građana te da istovremeno potičemo i inovacije i tehnološki napredak. To zahtijeva i stalan nadzor, prilagodbu i ažuriranje zakonodavnog okvira kako bi ostali ukorak s brzim razvojem tehnologije, pa u tom smislu, evo, nešto je i kolega o tome govorio, kad smo čuli, je li, da za, da su rokovi nekakvi za primjenu alata koje ovaj Zakon predviđa, dakle za primjenu tih alata u tijelima javne uprave su negdi od 5 do 7 godina.
Evo, ja ću se isto pridružiti onima koji pozivaju da se ti rokovi zaista skrate, u 5 do 7 godina ovaj današnji razvoj tehnologije može zaista ići u neslućenim pravcima. Evo, da podsjetim, prije 7 godina nismo imali ni OpenAI ni ChatGPT ni tu tehnologiju, kažem, tko zna što će biti za 7 godina, ako tek za 7 godina primjenjujemo onu razinu zaštite koja nam danas treba, to će biti zastarjelo.
Zato sam evo, i u replici pitala, s obzirom na ključnu ulogu UI, je li ovaj, je li osigurano da ovaj budući Nacionalni centar za kibernetičku sigurnost bude opremljen najnovijim AI tehnologijama i ne manje važno, je li, kako se planira konkurirati privatnom sektoru u smislu plaća i uvjeta rada, je li, kako bi se privuklo i zadržalo visokokvalificirane stručnjake u ovom izuzetno važnom sektoru.
Danas, IT junior, mogu slobodno reći, evo, nakon fakulteta u 6 mjeseci može doći već i u Hrvatskoj do plaća koje su daleko veće i od saborskih zastupnika i izuzetno je, ja bih rekla, prava je umjetnost zadržati stručnjake u javnom sektoru, tako da, to je isto jedan od izazova s kojima se treba suočiti. Dakle odgovor je bio da su zaposleni mladi ljudi kojima je ovo izazov i ja vjerujem da im je ovo izazov suočiti se sa svim ovim problemima, naučiti, je li, kako rješavati te incidente, koji alati se koriste, na koji način, međutim, ja bih rekla, to ono bude i kratkog vijeka kad nauče sve te stvari, steknu neka znanja, umjetnost je zaista, ta znanja i zadržati u javnom sektoru odnosno u sustavu.
Zakon predviđa, zaista evo, stvaranje jednog robusnog okvira za kibernetičku sigurnost, uključujući postupke identifikacije reagiranja na incidente i obavezu kontinuirane edukacije i osvještavanja javnosti o važnosti kibernetičke sigurnosti i naglašava, evo i važnost suradnje između privatnog i javnog sektora.
Jasno je da moramo bit oprezni, moramo biti proaktivni i ovaj Zakon mora osigurati stroge sigurnosne mjere za sve kritične sustave u infrastrukturi, podići svijest javnosti o kibernetičkim prijetnjama te jačati suradnju, kako na nacionalnoj, tako i na međunarodnoj razini. Moramo se usmjeriti na stvaranje sustava koji može prepoznati i neutralizirati prijetnje prije nego se dogode i postanu štetne.
Dakle evo, kao zagovornici liberaliziranih vrijednosti, tehnološkog napretka, moramo osigurati da kibernetička sigurnost ne bude samo prazna fraza, već stvarna i djelotvorna mjera koja štiti građane i njihove podatke i omogućiti stvaranje sigurnog digitalnog okruženja, gdje građani i poduzeća mogu s pouzdanjem koristiti digitalne usluge.
Evo, smatramo da je ovaj Zakon jedan korak, dobar korak u tom smjeru, a mora biti i poziv na kontinuirano unaprjeđenje i prilagodbu tehnološkim inovacijama i podržat ćemo ovaj Zakon. Hvala.
Hvala. G. Željko Pavić, pojedinačna rasprava.
Zahvaljujem.
Poštovani predsjedavajući, poštovani tajniče sa suradnicima. Evo, samo još nekoliko riječi, ovaj put u moje ime, maloprije sam govorio u ime kluba.
Htio bih samo skrenuti pozornost, ako je krivo shvaćeno što sam rekao, nadam se da nije shvaćeno krivo, to što će se nešto uvoditi u 7 godina, to ne znači da se u to vrijeme neće ništa raditi. Nisam na to mislio, ako je to bilo krivo shvaćeno, ali hoću .../nerazumljivo/... hoću reći zapravo da i ove procedure koje će zapravo, smisao je uvođenja procedura i procesa u sve te institucije, odnosno u sve te subjekte kod svih tih subjekata, koje ste potpisali, odnosno koji su propisani ovim zakonom, da se uvedu u roku od 7 godina, to ne znači da neće postojati ostale procedure i da se neće provoditi sigurnosne mjere za kibernetičku sigurnost.
No, jasno je da problemi postoje, jasno je da ima puno institucija jer ima puno poslova, zato sam, evo, još jedanput .../nerazumljivo/... napominjem i u ime kluba i u svoje ime predložio da budu te jedinstvene platforme koje će omogućiti da se to provede brže. Bit će lakše i novoj, odnosno instituciji koja nastaje, s jedne strane, a bit će puno lakše onim subjektima koji ulaze u taj sustav, koje su obveznice zakona, da donesu sve one moguće dokumente koje trebaju donijeti i da nakon toga po njima postupaju.
Naime, nije problem samo napisati dokument o informacijskoj sigurnosti, nego je problem kasnije to sve skupa približiti ljudima i ljude na neki način prisiliti i privoliti, natjerati da se po tom dokumentu i ponaša. Prema tome, ako u dokumentu o informacijskoj sigurnosti piše da lozinka može imati 4 slova, 2 specijalna znaka i 3 brojke, onda takva mora biti i drugačija ne smije biti i to treba biti svima jasno.
Isto tako, moramo biti svjesni da najveći broj kibernetičkih napada dolazi od samih zaposlenika. I to ne zbog toga što su oni zlonamjerni, ne zbog toga što su oni zločesti, nego jednostavno zbog toga što nisu dovoljno obučeni i zbog toga treba držati, ovoga non stop obuku za te zaposlenike, treba biti kontinuirano skupljanje znanja, treba ih uvijek obučavati o novim operativnim sustavima, o novim informacijskim sustavima, treba ih učiti kako se pojedini sustavi koriste, treba ih naučiti što znači ukoliko neke podatke iz tog sustava prebace u drugi sustav, itd., itd. To bi sve trebalo pisati u pojedinom pravilniku o informacijskoj sigurnosti odnosno u nekim dodatnim aktima koji se vežu za svaki pojedini podsustav kod naših korisnika. S obzirom da vidimo u po kategorizaciji subjekata tko će sve ući i biti obveznik ovog zakona i tko će ući u kategoriju zapravo važnih korisnika, jasno nam je da tamo ima jako puno podataka, jasno je da su tamo i osobni podaci, jasno je da su tamo podaci o našim poduzećima, da su tamo podaci o našim sugrađanima i naravno da je jasno da se moramo pridržavati svih onih pozitivnih zakonskih okvira koji su do sada doneseni u smislu informacijske sigurnosti i ponašanje sa podacima kod pojedinog subjekta. Mislim da to nije sporno i da će se to sigurno provoditi kako se, kako se provodilo i do sada s time da će ukoliko se to unificira i ukoliko se to uspije svesti pod zajedničku, na zajednički nazivnik mislim da će to biti puno kvalitetnije jer će mnogi moći nakon toga pristupiti na drugačiji način provođenju same informacijske sigurnosti u svojim institucijama odnosno svaki, svaki subjekt kod sebe na svoj način moći će napraviti to da to bude izuzetno kvalitetno i na kraju krajeva da bude pod nadzorom institucije koja je za to kvalificirana. Sada trenutno svi oni koji se bave informacijskom sigurnošću, naravno ne svi ali većina njih koristi usluge privatnih poduzeća koje se bave sigurnošću. Prilikom izrade informacijskog sustava morate napraviti nekakva testiranja, penetracijske testova i razne druge testove da biste bili sigurni da vam ne može netko provaliti u vaš informacijski sustav i nakon toga kroz taj sustav doći i do drugih podataka u tom vašem kompjutorskom sustavu. Prema tome poslovi koji očekuju ove institucije su stvarno veliki i vjerujem da će nakon toga sigurnost svih tih institucija odnosno svih tih subjekata, a i sigurnost naših sugrađana biti daleko veća nakon što se ovaj zakon u cijelosti provede. Isto tako nadam se da će sve te institucije te poslove shvatiti ozbiljno. Nadam se da će država shvatiti da je potrebno da sve, svi ti subjekti koji su sad evo, još možda i nisu neki od njih obveznici ovog zakona, da moraju imati securitiy officera, da moraju to provoditi i da moraju jednostavno imati čovjeka koji će im to raditi. Bez toga to ne ide. Moći se vjerojatno koristiti usluge vanjskih tvrtki ali bojim se da to nije dovoljno dobro, da to nije dovoljno ažurno, da to nije dovoljno brzo. Na kraju krajeva, ona osoba koja je non stop u poduzeću, koja je non stop u nekoj instituciji i koja surađuje sa svojim ljudima svakodnevno, vidi i koji se propusti dešavaju. Prema tome pametnije je, bolje je da ta osoba bude u instituciji, da će država dozvoliti da se te osobe zapošljavaju u tim subjektima koji su evo postali ili koji već jesu obveznici ovog zakona ali će prijeći u neku drugu kategoriju jer ukoliko su u višljoj kategoriji imat će i drugačije obveze i morat će se drugačije ponašati, što je zapravo i razumljivo. Što je institucija važnija za funkcioniranje države, što je institucija važnija za život naših sugrađana, naravno da je onda i opasnost od napada veća, a i šteta koja može nastati je daleko veća.
Ovdje bi se još osvrnuo u jednom dijelu na ovaj risk managment sustav, naime ukoliko kod pojedinih subjekata ne postoji osoba koja je radila procjenu rizika, teško će naći osobu u svojoj organizaciji da se prihvati tog posla. Prema tome, opet će morati ili primiti novu osobu ili će morati nekog školovati da se tog posla primi i da to napravi. Naravno, nadam se opet pod nadzorom novo nastale institucije i da će i biti ovoga svesrdna pomoć od vaše strane da se to može što je moguće lakše provesti. Naime, bez procjene rizika nema sigurnosti. Ukoliko nisu procijenili rizike, ne znaju što im prijeti, ne znaju kolike štete mogu biti od pojedinog napada, ne znaju što bi se dogodilo ukoliko se desi neki napad pa se napravi šteta na tom sustavu bez obzira dal se radi o hardveru ili softveru. Prema tome moramo imati osobu koja to može napraviti, koja to zna napraviti i koja je prošla neku obuku, a bilo bi najbolje ako bi to bilo moguće kad bi svi oni koji su obveznici slali svoje djelatnike, zaposlenike na jedinstvene seminare koji bi se održavali pod pokroviteljstvom evo novo nastale, novo nastale institucije, koja evo ima iskustva, ima znanja i koja bi trebala ta znanja što je moguće prije prenijeti u sve naše subjekte koji će biti obveznici ovog zakona. Još jedanput bih napomenuo da smatram da je centralizacija dobra, da je centralizacija kvalitetna, da ukoliko ćemo napraviti centralizirane sustave za kontrolu i nadzor svih tih subjekata, da ćemo sigurno prištedjeti veliki novac. Siguran sam da ćemo to onda i brže provesti, siguran sam da će institucije biti sigurnije, siguran sam da će oni djelatnici koji su zaposleni u tim institucijama lakše i brže savladavati pojedinu tematiku i nadam se da će ovi prijedlozi biti prihvaćeni, ne samo u vezi RMS sustava, nego i u vezi DMS sustava jer je izuzetno važno da tu dokumentaciju možete pročitati, da se može vidjeti na jednom mjestu i da se može urgirati i reagirati ukoliko se vidi nekakve nepravilnosti u dokumentaciji, a posebno posljedično nakon toga i u samom postupanju kod pojedinog subjekta. Hvala lijepa.
Replika, prvo, prva replika gospođa Marić.
Hvala lijepo.
Poštovani kolega, baš ste rekli jednu zanimljivu rečenicu, da najveći broj cyber napada dolazi od strane zaposlenika i zaista koliko god mi sad tu govorili i o primjeni i pravilnika o informacijskoj sigurnosti koji bi zapravo svaka institucija, pogotovo ovi obveznici koji, čiji će se broj povećavati, dakle svaka bi institucija trebala imati, ali ovdje je zaista važan doprinos svakog od nas koji radimo. Tako da recimo kod mene u bolnici svaki od nas zaposlenika je dobio upute da ne donosi svoj vlastiti laptop, USB stick, da ne .../Govornik se ne razumije./... to tamo uz bolničko računalo, itd. Međutim, postoje sigurno i tečajevi osnova kibernetičke sigurnosti, malo sam gledala, neki traju 3 sata, neki 7 sati, neki, recimo, 5 dana, dakle 40 sati, dakle tečaj cyber SEC, kibernetička sigurnost, IBM pruža programe 60 do 80 sati. Je li po vama to dovoljno za one subjekte uz unutar same institucije koje bi trebali raditi i sprječavanje …
.../Upadica: Hvala. Hvala./... i prijavljivanje na vrijeme rizika?
.../Upadica: Hvala lijepa./... Znači da li su ti tečajevi dovoljni?
.../Upadica: Hvala./... Što napraviti u tom smislu?
G. Pavić, odgovor.
Hvala lijepa. Evo, prvo samo da napomenem, to je statistika pokazala da najveći broj napada dolazi od zaposlenika, jednostavno iz razloga što imaju, oni jednostavno prolaze i sustav autentikacije i sustav autorizacije. Da bi netko provalio u sustav, treba proći tu autentikaciju, autorizaciju, prema tome, treba nekako provaliti u sustav, za to mu treba vremena, a ovi su već dobili svoju lozinku, dobili su pristup do pojedinog sustava i nakon toga, kad rade greške zbog toga što su neupućeni, ne zbog toga što su zlonamjerni, nego jednostavno su neupućeni, ne znaju što treba raditi i kako treba raditi, onda se dešavaju greške koje zapravo štete tom sustavu.
Činjenica je da kod nekih ljudi koji su informatički pismeniji će taj broj sati biti dovoljan. Međutim, za one koji kreću ispočetka, to sam pokušao i u svojoj raspravi napomenuti i tajniku i suradnicima, oni koji su nespremniji i koji nisu dovoljno informatički pismeni, bit će to teško savladati i zbog toga treba prolaziti tečajeve koji će biti sigurno dugotrajniji i koji će izazivati puno više od truda od strane samih zaposlenika, a i od strane predavači koji im trebaju prenijeti više znanja.
Gđa Grba-Bujević.
Zahvaljujem potpredsjedniče, poštovani kolega Pavić.
Kako meni ne bi bilo nejasno, vi ste rekli u svojoj raspravi da podržavate centralizaciju ovog sustava. Jesam ja to dovoljno razumjela? Hoćete mi onda samo reći, meni je drago da vi to podržavate, koje vi vidite prednosti te centralizacije, ali da ih nabrojite, znači nekakve 3, 4 prednosti centralizacije i drugo moje pitanje, koje sam isto možda prečula je hoćete li vi podržati ovaj Zakon?
Prvo da krenem od zadnjeg, zakon ćemo podržati. Ovo su bili prijedlozi za centralizaciju tog sustava, znači za centralizaciju sustava DMS-a i RMS-a, znači govorimo o .../Govornik se ne razumije./... sustavu i document management sustavu. Zašto? Zbog toga što imamo državni oblak, kad se tamo stave ti sustavi, neće trebati svaka od institucija, svaki od subjekata kupovati to kod sebe, prema tome, uštedjet će se veliki novac, a svi će imati zapravo jedinstveni pristup preka, preko RKMTDU-a, preko jedinstvene mreže koju kontrolira trenutno FINA.
Prema tome, to je zatvoren sustav i ne može se u njega samo tako provaliti, nije to baš tako jednostavno. .../Govornik se ne razumije./... znaju kako to izgleda i oni to kontroliraju sa svoje strane i mislim da će to biti zapravo velika ušteda samo to podijeliti, znači onu svotu koju ćemo potrošiti, pomnožite sa 600 pa ćemo dobiti ukupan iznos ukoliko bismo išli od institucije do institucije i to davali svakome da .../Govornik se ne razumije./... svoje sustave.
A ako hoćete imati to sustavno riješeno, sistematizirano, onda trebate to imati digitalizirano. Danas nešto na papiru, da vadite iz nekakvih fascikla i tamo dajete na uvid,…
.../Upadica: Hvala./... to je danas već prošlost. Je l' tak?
Hvala. A što ako protugradna obrana nam uništi oblak, a nemamo drugi?
G. Karlić ispred HDZ-a, završno.
Hvala potpredsjedniče. Poštovani državni tajniče, suradnici, poštovani kolegice i kolege.
Evo, za kraj ove rasprave, mislim da je važno ponoviti da motiv i potreba donošenja novog zakona, osim da se uskladi s direktivom EU, leži u tome što u vremenu ubrzanog razvoja novih tehnologija i digitalizacije društva, područje kibernetičke sigurnosti ima sve veći značaj i bilježi snažan globalni rast zbog stalnog poslovnog društva na umrežavanje i na korištenje informatičkih sustava.
Vlada RH još jednom pravovremeno prepoznala aktualnu problematiku, odnosno značaj kibernetičke sigurnosti, generalnu informacijsko komunikacijskih tehnologija te uputila predmetni i konačni prijedlog Zakona o kibernetičkoj sigurnosti koji treba predstavljati temelj za provedbu svih aktivnosti s ciljem zaštite svih korisnika suvremenih elektroničkih usluga, kako u javnom i gospodarskom sektoru, tako u građanstvu u cjelini.
Kibernetičke prijetnje bilježe kontinuirani porast na globalnoj razini, a različite vrste napada u kibernetičkom prostoru postaju sve složenije i opasnije te utječu na naš svakodnevni život i poslovanje. Krajnji cilj je uređen, dostupan, otvoren siguran hrvatski kibernetički prostor i zato će Klub HDZ-a podržati ovaj prijedlog zakona, a uvjeren sam i svi drugi. Hvala.
Hvala i vama. G. Pavić, također, završno, Socijaldemokrati.
Zahvaljujem poštovani predsjedavajući, evo, samo, javio sam se zbog toga da malo pojasnim naše stavove. Naime, informatizaciju koju smo radili davno, tamo 50-ih godina, svodilo se na to da smo imali veliki mainframe, koji je radio u to vrijeme u statistici, znači govorimo o vremenu rata i kad smo trebali informatizirati sva ministarstva i Sabor i Ured predsjednika, onda smo radili informatizacije na način da smo sve aplikacije, sve sustave instalirali dolje u statistiku, znači dolje kod Trga bana Jelačića i nakon toga smo sve, sva ministarstva i Ured predsjednika i Sabor spojili na taj sustave i to je radilo fenomenalno.
Čak smo u jednom momentu krenuli prema centraliziranom obračunu plaća koji je zaživio tek 2013. g., ali krenuli smo prema tome i imali smo jedinstven sustav i mogli smo obračunavati plaće za onda ljude koji su bili zaposleni tamo.
Nemojte zaboraviti, mi smo izradili i centralizirani sustav i za Poreznu upravu i cjelokupni sustav koji nije .../nerazumljivo/... znači Porezna uprava je postojala, uzeli smo sustav od Grada Zagreba jer su onda bile one .../nerazumljivo/... za, to su bile, ovoga, porezne uprave po općinama i gradovima, ne, onda smo uzeli njihov sustav, to smo prebacili na veliku mašinu, to je bilo na malu, to su prebacili na veliku mašinu i pokazalo se kao jako dobro, a kompletno od nule smo izradili carinski sustav.
Znači Hrvatska nije imala ništa od carina, nismo imali ni znanja, uzeli smo carinike sa, sa, gore sa Šentilja i sa njima radili te sustave i to se pokazalo kao dobro i kvalitetno, nakon toga je netko došao na ideju da to sve prebaci na .../nerazumljivo/... na ovoga, decentraliziranu platformu, nakon toga su nastali veliki troškovi, sad se polako vraćamo ponovo prema oblaku, prema centraliziranim platformama jer će troškovi biti daleko manji. Zato i zastupam stav prvenstveno zbog toga da se pomogne tim institucijama da imaju na jednom mjestu sve ono što trebaju imati, da lakše dođu do podataka, da lakše dođu do informacija da imamo tu bazu znanja koja će ih usmjeravati kako i kuda dalje da ne treba to tražit po internetu na sto mjesta i da ne trebaju izlaziti na ne znam koje portale da bi došli do nekakvih informacija. Istovremeno će institucija koja je nastala moći do tih podataka o ustroju pojedine sigurnosne mjere u pojedinoj instituciji moći doći on line. Imat će dokumentaciju koja je propisana to vam je isto kao da ste recimo uveli … 27 tisuća … kad dođete na certifikaciju vidite svu tu dokumentaciju koja je nastala i nakon toga imate puno lakši posao nego da to tražite po nekakvoj dokumentaciji, po nekakvim papirima koji se nalaze tko zna gdje.
Eto to je bila ideja zato sam se ovdje javio za završnu riječ. A evo da ponovim klub Socijaldemokrata će glasati za ovaj zakon.
Hvala.
Hvala.
I sada državni tajnik g. Darko Nekić imat će završnu riječ u ime predlagača.
Izvolite.
Zahvaljujem.
Evo doista ću bit jako kratak, htio bih samo razjasnit neke stvari koje su bile spomenute danas u ovoj raspravi, a odnose se na pitanje obrazloženja ovih pet do sedam godina da ne bi netko pomislio da se neće ništa radit pet godina pa će se od pete do sedme godine radit na ovom sustavu. To nije tako, znači ovdje je predviđen terminski plan točno svih aktivnosti koje će se odvijat kako bi se sustav implementira.
S druge strane pitanje nadzora je bilo više puta spomenuto, dakle u kontekstu pitanja budućeg centra. Ja bi samo spomenuo ovdje da SOA ima višestruki naziv, znači to je saborski odbor, to je stručni nadzor Ureda vijeća za nacionalnu sigurnost i to je civilni nadzor. Dakle, ja mislim da nijedno drugo tijelo u kojem bi taj centar, a bilo je raznoraznih prijedloga da bude u raznoraznim tijelima, nijedno tijelo drugo nema takav nadzor kakav ima SOA kroz sve ove elemente koje sam spominjao.
Treće, sustav SKAUT je sustav za zaštitu, a ne nikakav sustav za špijuniranje, dakle on je predviđen kao dobrovoljni mehanizam u ovom zakonu i nema govora da bi se on koristio za nekakvo špijuniranje.
Što se tiče prijedloga uvaženog zastupnika Pavića, a vezano za jedinstvenu informacijsku platformu, znači nažalost ne možemo sve stavit u ovaj zakon onda bi nam zakon imao 500 članaka, nešto moramo ostaviti za podzakonske akte tako da i ovaj vaš prijedlog i ova vaša inicijativa će biti implementirana i kroz podzakonske akte i kroz cijelu ovu proceduru koja će kasnije trajat.
I ono završno dakle pitanje kadrova da ne bi bilo nesporazuma, entuzijazam dakako traje određeno vrijeme, ali potrebno je kadrove, pogotovo kadrove ovakve vrste pronać module i načine kako se mogu svi ti ljudi platit pa pretpostavljam da će i taj dio bit u fokusu onih koji su pisali ovaj zakon.
Evo na kraju zahvaljujem svima na sudjelovanju u konstruktivnoj raspravi i svima onima koji će dakako podržat ovaj zakon.
Hvala lijepa.
Hvala i vama.
Imamo dvije, imate dvije replike, prvu repliku g. Pavića.
Poštovani tajniče, ovdje je bilo spomenut jedan izraz špijunaža, ja sam se zapravo referirao na nečiju raspravu sad ne znam tko je to spomenuo u svojoj raspravi. Nažalost evo uz SOA-u je naravno vezano i riječ špijunaža što je zapravo i razumljivo. Međutim, moramo biti svjesni odnosno svi bi trebali biti svjesni toga kao što je sve ono što se dogodilo u Las Vegasu ostalo u Las Vegasu, tako i sve ono što se dogodilo na internetu ostaje na internetu negdje zapisano. Prema tome, sve što se digitalno desilo na internetu tamo je i ostalo osim od strane onih hakera koji to znaju obrisati na pojedinim u pojedinim logovima na pojedinim serverima kod njih to ne ostaje. Ali svi ostali koji su se normalno ulogirali na sustav ostavili su svoj trag i prema tome do njihovih podataka o tome što su radili i kako su radili može se doći bez ikakvih problema, bez obzira na to hoćete li vi imati u vid u pojedine institucije ili nećete.
Hvala. Odgovor.
Hvala lijepa.
Citiram, „smisao ovog zakona nije špijunaža“, to ste vi rekli ja sam samo ponovio. Hvala na pomoći.
Osim toga špijunaža ne postoji samo kontra špijunaža, niste znali? …/Upadica se ne razumije./… E dobro.
Gospođa Marić.
Hvala lijepa.
Pa poštovani državni tajniče jasno je iz ove rasprave i danas i prošli puta, a i čista logika kaže da svatko od nas može na neki način pridonijeti kibernetičkoj sigurnosti. S jedne strane tu su mjere ko i u zdravstvu ne, prevencija pa rano otkrivanje liječenja, znači u prvom redu prevencija dakle da svatko od nas bude barem u toj mjeri educiran i da ono što je god moguće napravi odnosno ne napravi da ugrozi zapravo svoju instituciju gdje radi. A druga stvar su naravno na vrijeme obaveze prijava postupanja po nastanku sigurnosnog incidenta.
E sad što se tiče onoga što ste rekli da treba vidjeti koji će biti način i modul i kako će se ljudi platiti glede edukacije. Znači kad malo čovjek pogleda one pravilnike koje sam rekla od ustanove do ustanove nešto se razlikuje, ali u osnovi su one neke osnove su ajmo reći identične, međutim sigurno treba stručnjake poslati na određene tečajeve. I sad vam jedan tečaj od sedam sati košta 130 eura oni napredniji tečajevi puno više, kako ste zamislili …/Upadica Radin: Hvala, hvala./… ko će zaista platiti …/Upadica Radin: Hvala./… pogotovo u javnozdravstvenim ili nekim drugim ustanovama?
Hvala.
Gospodin Nekić izvolite.
Zahvaljujem.
Ako sam dobro shvatio vi ćete podržat zakon pa koristim priliku da vam zahvalim.
Što se tiče samih plaćanja već sad su otvorene mogućnosti da iskoristimo i eu fondove za plaćanje ovakvih tečajeva koje ste vi spominjali tako da očekujem da će se to također iskoristit.
Hvala.
Hvala i vama i time zaključujem raspravu, a glasat ćemo kada se steknu… Molim? …/Upadica se ne razumije./… Povreda poslovnika? …/Upadica Pavić: Da./… Dobro, dobro vi znate.
Poštovani tajniče, nemam drugog mehanizma samo da napomenem, nadam se da niste zaboravili conference videokonferencije i mogućnost učenja na daljinu i zapravo državni tečaj od strane vaših stručnjaka koji mogu biti snimljeni i nakon snimljeni i nakon toga da ih u pojedinim institucijama mogu pogledati bez ovih troškova koji evo na žalost bit će sve veći i veći.
Hvala lijepo.
Ma čujte budući da je dio samo zaboravio još nešto reći nećemo mu dat opomenu.
Zaključujem raspravu i glasat ćemo kada se steknu uvjeti. Hvala vam lijepa.

20

  • Konačni prijedlog zakona o kibernetičkoj sigurnosti, drugo čitanje, P.Z.E. br. 561
26.01.2024.
Konačni prijedlog Zakona o kibernetičkoj sigurnosti, drugo čitanje, P.Z.E. broj 561.
Predlagatelj je Vlada, rasprava je zaključena.
Dajem na glasovanje Konačni prijedlog Zakona o kibernetičkoj sigurnosti.
Glasujmo.
Glasovalo je 129 zastupnica i zastupnika, 116 za, 13 suzdržanih, pa je donesen Zakon o kibernetičkoj sigurnosti.
PDF