Dana 15. veljače 2024. godine na snagu je stupio Zakon o kibernetičkoj sigurnosti („Narodne novine“, br. 14/24.) kojim se u nacionalno zakonodavstvo prenosi EU NIS2 direktiva (Direktiva (EU) 2022/2555 o mjerama za visoku zajedničku razinu kibernetičke sigurnosti širom Unije). Zakonom o kibernetičkoj sigurnosti uveden je novi, sveobuhvatniji okvir za upravljanje kibernetičkom sigurnošću u Republici Hrvatskoj.
Zakonom se propisuju postupci kategorizacije ključnih i važnih subjekata, uređuju obveze ključnih i važnih subjekata u provedbi zahtjeva kibernetičke sigurnosti, definira okvir za provođenje revizija i samoprocjena kibernetičke sigurnosti, reguliraju sva pitanja bitna za provođenje stručnog nadzora nad provedbom zahtjeva kibernetičke sigurnosti te u konačnici propisuju i sankcije za slučaj nepoštivanja propisanih obveza.
Zakon uspostavlja novi sustav upravljanja kibernetičkom sigurnošću, definira tko su nadležna tijela u području kibernetičke sigurnosti i koje su njihove zadaće i ovlasti, pri čemu se uvodi i nova funkcionalnost u području kibernetičke sigurnosti - središnje državno tijelo za kibernetičku sigurnost. Zadaće središnjeg državnog tijela za kibernetičku sigurnost obavljat će Nacionalni centar za kibernetičku sigurnost (NCSC-HR) ustrojen u okviru Sigurnosno-obavještajne agencije (SOA).
Zakonom se uvode i razrađuju dobrovoljni mehanizmi kibernetičke zaštite namijenjeni široj primjeni, odnosno i subjektima koji nisu kategorizirani kao ključni i važni subjekti. Jedan od dobrovoljnih mehanizama kibernetičke zaštite je i nacionalni sustav za otkrivanje kibernetičkih prijetnji i zaštitu kibernetičkog prostora. Cilj nacionalnog sustava je podizanje ukupne sposobnosti i otpornosti u području kibernetičke sigurnosti. Isto tako, Zakon daje okvir za koordinirano otkrivanje ranjivosti, gdje svaka fizička i pravna osoba može anonimno prijaviti ranjivost CSIRT koordinatoru za otkrivanje ranjivosti.
Također, Zakonom o kibernetičkoj sigurnosti uspostavlja se okvir strateškog planiranja i odlučivanja u području kibernetičke sigurnosti te utvrđuju nacionalni okviri upravljanja kibernetičkim incidentima velikih razmjera i kibernetičkim krizama.
