Robert Mikac
Prijedlog Zakona o kritičnoj infrastrukturi, koji se nalazi na platformi e-Savjetovanje (postavljen 12. studenog, a javno savjetovanje traje do 12. prosinca 2024.), ima za cilj uskladiti nacionalno zakonodavstvo s Direktivom (EU) 2022/2557 Europskog parlamenta i Vijeća o otpornosti kritičnih subjekata te o stavljanju izvan snage Direktive Vijeća 2008/114/EZ (u daljnjem tekstu: CER direktiva, sukladno engleskoj skraćenici i uvriježenom načinu navođenja u cijeloj Europi) i unaprijediti pojedine dijelove postojećeg nacionalnog okvira zaštite kritične infrastrukture od nacionalnog interesa.
Transpozicija CER direktive trebala je biti napravljena do 17. listopada 2024., što nije učinjeno. Međutim, koliko je transpozicija zahtjevan posao, svjedoči podatak da je tek nekoliko država članica Europske unije uspjelo ju transponirati do predviđenog roka. Hrvatska je blizu transpozicije i, u najboljem slučaju, kasnit će nekoliko mjeseci za rokom. Navedeno je potrebno istaknuti jer CER direktiva predviđa dodatne rokove, stoga svako kašnjenje u transpoziciji potencijalno može dovesti do kašnjenja i u dostizanju drugih rokova iz direktive.
Na početku ovog osvrta potrebno je pohvaliti stručnjake koji su radili na transpoziciji CER direktive i izradi prijedloga Zakona o kritičnoj infrastrukturi. Pred njima nije bio jednostavan zadatak, stoga treba istaknuti njihov trud i rad.
Ovaj osvrt ima za cilj ukazati na osobno shvaćanje različitih mogućnosti da prijedlog Zakona bude dodatno kvalitetniji u obuhvatu, izričaju, fokusu i dugoročnim posljedicama. Osvrt se sastoji od ukupno šest zapažanja.
Ideja CER Direktive nije u potpunosti prenesena u prijedlog Zakona o kritičnoj infrastrukturi
Prvo zapažanje ide u smjeru da ideja (smisao, duh) CER direktive nije u potpunosti prenesena u prijedlog Zakona o kritičnoj infrastrukturi. Navedeno je vidljivo od samog naziva prijedloga Zakona. Dok CER direktiva nosi naziv 'Direktiva (EU) 2022/2557 Europskog parlamenta i Vijeća o otpornosti kritičnih subjekata', prijedlog Zakona se odnosi na kritične infrastrukture. Dalje, to je vidljivo iz toga da je u člancima CER direktive otpornost glavna poluga u operacionalizaciji direktive i spominje se u svim mogućim kontekstima, dok se zaštita skoro uopće ne spominje. Navedeno ukazuje na to da se CER direktivom nastojalo napraviti promjenu koncepta od zaštite prema otpornosti, gdje otpornost uključuje i zaštitu. Dok u prijedlogu Zakona to nije tako i uglavnom se radi o paralelnom korištenju oba koncepta, ponekad jasno razgraničenih, ponekad nedovoljno jasno korištenih. Ovo ukazuje na to da u ovom dijelu postoji prostor za unapređenje prijedloga Zakona i potpunije uvođenje koncepta otpornosti. Kao primjer može poslužiti javno dostupan zakon koji je Italija donijela kao prva zemlja u EU koja je transponirala CER direktivu, a koji je od naslova do sadržaja prvenstveno koristio otpornost, a ne zaštitu.
Sustav jačanja otpornosti kritičnih subjekata
Drugo zapažanje odnosi se na sustav jačanja otpornosti kritičnih subjekata i zaštite kritičnih infrastruktura koje omogućuju ključne usluge. Pojam 'sustav' spominje se ukupno 119 puta u prijedlogu Zakona, i to u dijelu Ocjena stanja i osnovna pitanja koja se trebaju urediti Zakonom, te u člancima prijedloga Zakona, kao i u Obrazloženju odredbi predloženog Zakona. Od tog broja, pojam se često koristi u definiciji kritične infrastrukture koja predstavlja „imovinu, objekt, opremu, mrežu ili sustav, odnosno dio imovine, objekta, opreme, mreže ili sustava koji je potreban za pružanje ključne usluge“. U sljedećem kontekstu, sustav se spominje kao dio računalnih sustava, sustav tehničke zaštite, informacijskog sustava i ostalog. Ovaj dio nije bitan za raspravu. Rasprava je potrebna u kontekstu spominjanja sustava kao organizacijske strukture nadležnih aktera koji sudjeluju u svim fazama jačanja otpornosti ključnih subjekata, te zaštite kritičnih infrastruktura i ključnih usluga. Sustav se navodi u prijedlogu Zakona kao samostojeća imenica za koju nije jasno na što se točno odnosi.
Nakon toga, navodi se kao sustav identificiranja i zaštite nacionalnih kritičnih infrastruktura te infrastrukture od europskog značaja, zatim kao sustav zaštite kritične infrastrukture, a potom kao sustav zaštite kritične infrastrukture i jačanja otpornosti kritičnih subjekata. Nužno je istaknuti da je potrebno doraditi prijedlog Zakona i opisati što je to sustav jačanja otpornosti kritičnih subjekata, koji su ključni akteri i njihove međusobne relacije. Hrvatska ima iskustva u takvom pristupu (primjer su Zakon o sustavu domovinske sigurnosti, Zakon o sustavu civilne zaštite, Zakon o sustavu strateškog planiranja i upravljanja razvojem Republike Hrvatske) gdje je opisano što sustav znači u svakom konkretnom području. Navođenje mogućnosti da će 'sustav' biti naknadno razrađen pronalazimo u dijelu III. Nacionalni okvir za otpornost kritičnih subjekata, u članku 11. gdje je napisano da će biti izrađen Akt strateškog planiranja za otpornost kritičnih subjekata u kojem će biti opisan upravljački okvir za postizanje posebnih ciljeva i prioriteta, uključujući opis uloga i odgovornosti nadležnih tijela, kritičnih subjekata i drugih strana uključenih u provedbu akta. Navedeno svakako može značiti da će u navedenom okviru biti opisan sustav, no isto tako može se dogoditi da do navedenog neće doći. Stoga smatram nužno potrebnim pitanje sustava obraditi u samom Zakonu i time sustavu dati veću snagu i mogućnosti.
Uvođenje javno-privatnog partnerstva
Treće zapažanje odnosi se na uvođenje javno-privatnog partnerstva za obavljanje poslova privatne zaštite kritične infrastrukture u prijedlogu Zakona. Ovo je potrebno pohvaliti jer predstavlja kodifikaciju postojeće desetljetne prakse u kojoj tvrtke iz industrije privatne zaštite štite kritičnu infrastrukturu. Važno je istaknuti da je više od 80 posto nacionalne kritične infrastrukture na zapadu u privatnom vlasništvu. Stoga je ključno uključiti privatni sektor u sve procese jačanja otpornosti i zaštite na svim razinama, a ne samo u pružanju neposredne zaštite. Tako da ovaj dio prijedloga Zakona zahtijeva doradu. Između ostaloga, potrebno je propisati uvjete pod kojima privatne kompanije mogu sudjelovati u jačanju otpornosti kritičnih subjekata. Navedeno uključuje, i nije ograničeno samo na, mogućnosti ugovaranja poslova izrade procjene i sigurnosnog plana kritičnog subjekta, kao i definiranje tko i na kojim osnovama može izrađivati navedene dokumente. Ovaj dio zahtjeva i utvrđivanje mehanizama koji će omogućiti obostranu suradnju javnih i privatnih subjekata u svim segmentima jačanja otpornosti i zaštite, a ne samo u ugovaranju privatne zaštite ključnih subjekata.
Obavještavanje u slučaju incidenta
Četvrto zapažanje odnosi se na obavještavanje u slučaju incidenta. Ovaj dio treba značajno doraditi kako bi se jasnije precizirale obveze kritičnih subjekata u dostavljanju obavijesti tijekom trajanja incidenta. Trenutno je samo navedeno da su kritični subjekti obvezni dostaviti prvu obavijest najkasnije u roku od 24 sata od saznanja o incidentu. Nakon toga, istaknuto je da su obvezni dostaviti detaljno izvješće nadležnom tijelu najkasnije u roku od mjesec dana od dostave obavijesti o incidentu. Fale dijelovi koji se odnose na dodatne obavijesti između prve obavijesti na početku saznanja o incidentu i dostave detaljnog izvješća.
Nije uzeto u obzir da incident može trajati duže vrijeme, a izvješće treba vezati uz period kad je incident riješen. Stoga je potrebno razraditi komunikaciju i obavještavanje tijekom trajanja incidenta. Također, nedostaje navođenje obrasca za dostavu obavijesti i izvješća (što sve treba sadržavati), način dostave obavijesti i izvješća, te točno kome se ona dostavljaju. Dodatno, u potpunosti je izostavljen dio koji se odnosi na propisivanje načina rješavanja incidenta, stupnjevanja incidenta i potencijalne krize ako incident eskalira. Ovim izmjenama tekst postaje jasniji i precizniji, što će olakšati razumijevanje obveza kritičnih subjekata, ali i drugih aktera.
Potreba dorade prijedloga Zakona
Peto zapažanje odnosi se na potrebu dorade prijedloga Zakona u dijelu koji se odnosi na: prvo, koncept kritičnosti; drugo, princip alternativnosti; i, u konačnici, model prioritizacije utvrđenih kritičnih subjekata, ključnih usluga i kritičnih infrastruktura. Koncept kritičnosti odnosi se na dio procesa utvrđivanja kritičnih subjekata, ključnih usluga i kritičnih infrastruktura prema njihovoj važnosti i značaju određenih elemenata unutar šireg konteksta. Princip alternativnosti koristi se u razmatranju postoji li alternativa ili ne postoji za ključne usluge koje su od značaja za vitalne vrijednosti našeg društva i države. Model prioritizacije važan je kako bi se odredile prioritetnije ključne usluge u odnosu na druge, posebno u pitanjima od posebnog interesa za nacionalnu sigurnost, funkcioniranje vlasti i zdravlje većeg broja građana.
Za inspiraciju u uređivanju ovog dijela mogu poslužiti iskustva iz Španjolske i SAD-a. U pogledu prioritizacije (nakon provedenog razmatranja kritičnosti i alternativnosti), u Španjolskoj su se odlučili za identifikaciju i određivanje kritičnih i vitalnih infrastruktura (u prvoj skupini ih maju oko 4000, a u drugoj oko 400). U primjeru SAD-a vidimo prioritizaciju u području sektora u kojima se utvrđuju i potvrđuju kritične infrastrukture. Od 16 sektora, odredili su četiri 'životna sektora' koji su važniji od ostalih. Ovaj dio moguće je detaljnije razraditi kroz Akt strateškog planiranja za otpornost kritičnih subjekata, koji se navodi u članku 11. Međutim, kako bi navedeno bilo razrađeno u Aktu, potrebno je istaknuti da će biti razrađeno pri izradi tog dokumenta.
Tehnički dijelovi
Šesto zapažanje odnosi se na potrebnu doradu prijedloga Zakona u mnogim tehničkim dijelovima koji nisu suštinske prirode, no potrebno ih je poboljšati za jasno i nedvosmisleno razumijevanje i implementaciju budućeg Zakona.
U konačnici, potrebno je ponovno istaknuti pohvalu stručnjacima koji su radili na prenošenju CER direktive u nacionalno zakonodavstvo jer su odradili kvalitetan posao. Ovaj osvrt može im pomoći da dovrše aktivnost na kojoj rade.