Republika Srpska je odlučila prvo definirati KI i normirati način njene zaštite. To je bio osnovni razlog za donošenje Zakona 2019. godine. Zakon još nije u potpunosti implementiran, definirani su rokovi kad bi se koja faza trebala raditi
Iako na razini Bosne i Hercegovine ne postoji zakon o KI, Republika Srpska je sredinom 2019. dobila Zakon o bezbjednosti kritičnih infrastruktura u Republici Srpskoj. Što je bio glavni razlog donošenja ovog Zakona i kako on funkcionira u praksi, razgovaramo sa Slavenom Rosićem, koji je na čelu Odjela za europske integracije Ministarstva unutrašnjih poslova Republike Srpske. Kaže da je Republika Srpska svjesna važnosti zaštite kritičnih infrastruktura, a poštujući svoje ustavne ovlasti i nadležnosti, odlučila ući u proceduru pravnog reguliranja i uređenja ovog pitanja.
“Napominjem da Ustav BiH određuje nadležnosti institucija BiH, dok su sve ostale nadležnosti u izvornoj nadležnosti entiteta. Djelatnost sigurnosti, a samim time i zaštite KI, je u nadležnosti entiteta. Samo je provođenje krivičnih zakona na međunarodnom planu i između entiteta u nadležnosti institucija BiH”, dodaje Rosić.
Segment zaštite kritičnih infrastruktura se sporadično pojavljuje u Strategiji za prevenciju i suzbijanje terorizma BiH, ali bez konkretnih razrada. Cijeneći važnost uređenja ove oblasti, Republika Srpska je odlučila prvo definirati KI i normirati način njene zaštite. To je bio osnovni razlog za donošenje Zakona 2019. godine. Zakon još nije u potpunosti implementiran, definirani su rokovi kad bi se koja faza trebala raditi, do kada se treba izraditi Metodologija, potom odrediti koordinatore po sektorima, pristupiti identificiranju KI i procjeni rizika, potvrđivanju KI i na kraju samoj zaštiti KI.
S obzirom na specifičnosti Bosne i Hercegovine u kojoj se zakoni donose i na državnoj razini i na razini entiteta i kantona, a znamo da rizici po kritičnu infrastrukturu često ne poznaju granice, kako zaštita KI doista funkcionira u praksi?
Trenutno je jedino Republika Srpska ušla u proceduru zaštite KI. Ne znamo kako i kada će to biti učinjeno u Federaciji BiH, hoće li se zaštita KI definirati na razini Federacije ili kantona, što je također moguće, ali mislim da će biti ispoštovani minimalni standardi koje EU regulativa traži. U svakom slučaju, ne mogu se ovi sistemi zaštite, kada budu uspostavljeni, promatrati kao otoci koji nemaju poveznicu, već se treba uspostaviti efikasan i funkcionalan mehanizam suradnje. Republika Srpska je uvijek opredijeljena za suradnju, svjesna da je to jedini način da se suprotstavimo svim izazovima i rizicima.
Iz kojih je sve sektora kod vas određena KI i tko je zadužen za njenu zaštitu?
Zakon o bezbjednosti KI u Republici Srpskoj definira 12 sektora iz kojih će biti određene KI:
- 1) industrija, energetika i rudarstvo (proizvodnja, uključujući ulazne resurse, objekte, sisteme za prijenos, skladištenje, transport proizvoda, energenata i energije, sisteme za distribuciju),
- 2) informacijsko-komunikacijska infrastruktura,
- 3) promet,
- 4) zdravstvo (zdravstvena zaštita, proizvodnja, transport i nadzor nad lijekovima),
- 5) komunalne djelatnosti (objekti komunalne infrastrukture, a naročito u djelatnosti proizvodnje i isporuke vode, pročišćavanja i odvođenja otpadnih voda, proizvodnje i isporuke toplinske energije, zbrinjavanja otpada iz stambenih i poslovnih prostora i sl.),
- 6) vodoprivreda (regulacijski i zaštitni vodni objekti),
- 7) hrana i piće (proizvodnja i opskrba hranom i pićem, sistem sigurnosti hrane i pića, robne zalihe),
- 8) financije,
- 9) proizvodnja, skladištenje i prijevoz opasnih materija,
- 10) javne službe,
- 11) odgoj i obrazovanje,
- 12) kulturna i prirodna dobra.
Po potrebi, Vlada Republike Srpske, može odrediti i druge sektore. Zakonom je predviđeno da republički organi uprave, dakle resorna ministarstva, u suradnji s Ministarstvom unutrašnjih poslova Republike Srpske, identificiraju postoje li u navedenim sektorima (svaki organ za sektor iz svoje nadležnosti) objekti KI te da identificiraju konkretne KI. Kada se identificiraju i potvrde objekti KI, isti imaju zakonsku obvezu da imenuju sigurnosnog koordinatora koji će biti zadužen za provođenje sigurnosnog plana zaštite kritične infrastrukture, kao i za komunikaciju između objekata kritične infrastrukture s jedne strane i Ministarstva unutrašnjih poslova Republike Srpske i nadležnih organa iz pojedinih sektora kritične infrastrukture s druge strane. U praksi to znači da će na zaštiti zajedno raditi vlasnici/upravnici objekata, Ministarstvo unutrašnjih poslova Republike Srpske i republički organ uprave iz čijeg sektora je KI.
Iako niste članica EU, je li navedeni Zakon usklađen s propisima EU, u kojoj ste se mjeri u izradi ovog Zakona oslanjali na dobre prakse iz drugih zemalja?
Zakon je djelomično usklađen s propisima EU. To u praksi znači da je usklađen u mjeri koliko može biti uzimajući u obzir činjenicu da BiH nije članica EU. Zakon se nije dotaknuo europske kritične infrastrukture i to je jedini segment koji nije usklađen. Kao država koja teži članstvu u EU uveliko smo se oslanjali na dobre prakse iz EU. U izradi Zakona najviše smo se oslanjali na iskustva Republike Hrvatske, posebno imajući u vidu da su nam pravni sistemi vrlo slični. Tijekom priprema za izradu Zakona, koristeći instrumente predpristupne pomoći EU upoznati smo i s drugim sistemima, imali smo eksperte iz Grčke i Ujedinjenog Kraljevstva koji su nam prenijeli njihova iskutva, ali nam se ipak model Hrvatske, kao susjedne države, učinio kao najbliži i najprihvatljiviji.
Provedba procjene rizika važan je dio zaštite KI. Što su potencijalno najveći rizici u Republici Srpskoj u tom segmentu?
Kako proces procjene rizika nije još završen, nisam u mogućnosti odgovoriti na ovo pitanje. Činjenica je da nas je pandemija znatno usporila u implementaciji Zakona, ali ipak poduzimamo potrebne korake. Svakako se mora imati u vidu da je jedan od rizika ljudsko djelovanje, na kraju krajeva koncept zaštite KI u EU je u početku bio fokusiran na zaštitu od prijetnje terorizma. Ne smijemo zanemariti činjenicu da je u BiH počinjeno nekoliko terorističkih napada, tako da je to sigurno jedan od rizika koji zaslužuje posebnu pažnju. S druge strane svjedoci smo strašnih elementarnih nepogoda koje su u bliskoj prošlosti potresle regiju, poplave 2010. pa 2014. godine, strašni potresi koji su prošle godine u više navrata potresli Republiku Hrvatsku i sjeverozapadni dio Republike Srpske, što nas upozorava da posebnu pažnju posvetimo i zaštiti od prirodnih nepogoda.
Na koji se način pristupa smanjenju rizika od potencijalno štetnih događaja, a u koje je uključena KI?
Trenutno nismo još došli do ove faze u implementaciji, ali već sada analiziramo nama dostupna rješenja i najbolje prakse iz država EU. Pravilnik o metodologiji za identifikaciju kritičnih infrastruktura i izradu analize rizika za kritične infrastrukture je detaljno razradio analizu rizika i smatram da predstavlja dobru osnovu za uspostavljanje sistema kojim će rizici biti maksimalno smanjeni. Posebno se zahvaljujem ekspertima iz Republike Hrvatske koji su nam pružili pomoć u izradi Pravilnika kroz aktivnost organiziranu uz podršku TAIEX instrumenta, a koja je bila namijenjena upravo implementaciji Zakona.
Objekti kritične infrastrukture, s obzirom na rizik, zahtijevaju rješenja zaštite koja često nisu standardna pri čemu je od velike važnosti ne samo kvalitetno projektiranje, već i oprema s visokim stupnjem zaštite i certifikatima. U kojoj su mjeri takvi zahtjevi ispunjeni kod vas?
To je apsolutno točno. Ovom pitanju planiramo posvetiti posebnu pažnju u narednom periodu. Kao što sam već naveo, još smo u ranoj fazi implementacije Zakona, ali to nas ne spriječava da razmišljamo i o tehničkim rješenjima. Imali smo priliku pratiti nekoliko prezentacija koje su se odnosile na tehnička rješenja. Moram posebno istaknuti podršku koju nam je pružio ekspert iz Republike Hrvatske angažiran kroz navedeni TAIEX događaj, profesor Robert Mikac, koji je pored zaista korisnih savjeta i uputa, omogućio nam kontakt s nekim od europskih tijela zaduženih za zaštitu KI. Oprema koja će se koristiti u zaštiti objekata KI morat će zadovoljiti potrebne tehničke standarde.
U BIH su zakoni vezani uz zaštitu i spašavanje u slučaju katastrofa raznoliki. Kako se odvija suradnja među entitetima? Koji bi bio sustav upravljanja u slučaju potencijalne katastrofe koja bi mogla utjecati na cijelu državu?
Znam da nekome tko promatra izvana, sistem u BiH izgleda kaotično, ali u praksi situacija je znatno bolja. U suštini, svaki nivo vlasti u BiH ima svoje nadležnosti, sistem je prilično harmoniziran i do sada nije bilo problema u pružanju usluga građanima. Uzmimo samo primjer katastrofalnih poplava 2014. godine. Posebno treba istaknuti da postojeći zakonski okvir ne sprječava izvršitelje na terenu da surađuju, a što je svakako neophodno kako u svakodnevnom radu, tako još više kada se dogodi neki nemili događaj.
Cyber prijetnje KI su prepoznate kao jedna od najozbiljnijih prijetnji. Koliko se važnosti pridaje cyber zaštiti KI u Republici Srpskoj i surađujete li na razini cijele BIH po tom pitanju, kao i s drugim zemljama?
Prateći iskustva EU, i u Republici Srpskoj smo prepoznali značaj cyber zaštite KI. Prilikom formiranja Radne grupe za implementaciju Zakona u rad iste su uključeni i predstavnici Ministarstva za naučnotehnološki razvoj, visoko obrazovanje i informaciono društvo Republike Srpske, u čijem sastavu je i CERT Republike Srpske. Također, iz MUP-a RS su u rad RG uključeni predstavnici Uprave za informaciono-komunikacione tehnologije i Odjeljenja za visokotehnološki kriminalitet (cyber kriminal). Republika Srpska je usvojila Strategiju za borbu protiv cyber kriminala, a u tijeku je i izrada Strategije cyber sigurnosti Republike Srpske. Suradnja u segmentu zaštite od cyber prijetnji postoji, kako unutar BiH tako i s drugim državama. MUP Republike Srpske ima značajno iskustvo u borbi protiv cyber kriminala, koji uključuje i cyber napade. Jedan od najboljih pokazatelja uspješne međunarodne suradnje je i zahvalnica FBI-ja MUP-u Republike Srpske za uspješno realizirane zajedničke istrage cyber kriminala tijekom 2016. godine.
Nataša Gajski Kovačić