Obveze kandidata za posao u javnoj nabavi

Certifikat poslovne sigurnosti, zakonski reguliran prije dvije godine, potreban je tvrtkama u sklapanju klasificiranih ugovora o javnoj nabavi, pri čemu razmjenjuju podatke označene određenim stupnjem tajnosti, tj. od sigurnosnog su interesa za Republiku Hrvatsku. Tajnost podataka ovisi o stupnju ugroze zaštićenih vrijednosti na području obrane i sigurnosno-obavještajnog sustava, vanjskih poslova, javne sigurnosti, kaznenog postupka te znanosti, tehnologije, javnih financija i gospodarstva. Takve klasificirane ugovore tvrtke mogu sklapati s državnim tijelom iz Republike Hrvatske ili državama članicama EU ili NATO-a ili se pak uključuju u Registar poslovnih subjekata NATO-a koji imaju interes za rad na poslovima te vojne organizacije.

U prvom slučaju, objašnjava nam Petar Mišević, predstojnik Ureda Vijeća za nacionalnu sigurnost, tijela koje izdaje certifikat, zahtjev UVNS-u podnosi državno tijelo iz Hrvatske ili mjerodavno sigurnosno tijelo članice NATO-a ili Europske unije, a u drugom slučaju pravna osoba iskazuje interes Ministarstvu gospodarstva koje podnosi zahtjev za izdavanje certifikata UVNS-u.

Taj certifikat, kaže Teja Kolar iz Uprave za sustav javne nabave u Ministarstvu gospodarstva, rada i poduzetništva, nije uvjet za sudjelovanje ni razlog za isključenje ponuditelja iz postupaka javne nabave u skladu sa Zakonom o javnoj nabavi.

• Međutim, u veljači 2010. stupila je na snagu Uredba o javnoj nabavi za potrebe obrane i sigurnosti. Njezin su predmet, među ostalim, postupci nabave koji se provode radi sklapanja ugovora o javnoj nabavi koji su na osnovi propisa određeni kao klasificirani, kao i ugovora čije izvršenje na osnovi zakona ili drugih propisa zahtijeva primjenu mjera informacijske sigurnosti – kaže Kolar.

Pitanje pojma klasificiranih i neklasificiranih podataka, stupnjeva tajnosti, postupka klasifikacije i deklasifikacije, pristupa klasificiranim i neklasificiranim podacima, njihove zaštite i drugog riješeno je Obveze kandidata za posao u javnoj nabavi.

• Ograničeno: umjesto certifikata poslovne sigurnosti mora sadržavati klauzulu o uzajamnoj zaštiti klasificiranih podataka, a zapošlenici ponuditelja na natječaju za javnu nabavu koji će imati pristup klasificiranim podacima moraju biti sigurnosno informirani i potpisati izjavu o postupanju s klasificiranim podacima.

• Vrlo tajno, tajno, povjerljivo: ponuditelj je obvezan prije sklapanja klasificiranog ugovora ta tri stupnja tajnosti imati certifikat poslovne sigurnosti, a njegovi zaposlenici koji će imati pristup klasificiranim podacima moraju posjedovati odgovarajući certifikat i mogu pristupiti samo onim klasificiranim podacima koji su predmet ugovora i nužni su im u njihovu djelokrugu rada.

U sklopu postupka nabave u kojem se razmjenjuju klasificirani podaci naručitelj sastavlja dokumentaciju za nadmetanje tako da sadrži neklasificirane podatke ili podatke određenog stupnja tajnosti.

• Ako naručitelj tijekom postupka nabave natjecateljima stavi na raspolaganje dokumentaciju koja sadrži podatke stupnja tajnosti ‘ograničeno’, obvezan je s tim natjecateljima potpisati izjavu o zaštiti klasificiranih podataka iz dokumentacije. A za dokumentaciju koja sadrži podatke stupnja tajnosti ‘vrlo tajno’, ‘tajno’ ili ‘povjerljivo’ ti su natjecatelji obvezni imati potvrdu o sigurnosnoj provjeri pravne osobe, odnosno certifikat poslovne sigurnosti – objašnjava Kolar.

Isto je tako odabrani ponuditelj obvezan prije sklapanja klasificiranog ugovora stupnja tajnosti ‘vrlo tajno’, ‘tajno’ ili ‘povjerljivo’ imati certifikat poslovne sigurnosti, a njegovi zaposlenici koji će imati pristup klasificiranim podacima, i to samo onima koji su predmet ugovora i koji su im nužni u njihovu djelokrugu rada, moraju posjedovati odgovarajući certifikat. S druge strane klasificirani ugovor stupnja tajnosti ‘ograničeno umjesto certifikata poslovne sigurnosti mora sadržavati klauzulu o uzajamnoj zaštiti klasificiranih podataka, a zaposlenici ponuditelja koji će imati pristup klasificiranim podacima moraju biti sigurnosno informirani i potpisati izjavu o postupanju s klasificiranim podacima.

Iako je Zakon izglasovan prije dvije godine, postupak certificiranja u UVNS-u je, kaže njegov predstojnik Mišević, počela u proljeće 2009. Prvi ugovori o certificiranju pravnih osoba potpisani su u jesen 2009., a prvi su se certifikati, sukladno zakonskim rokovima od najduže šestomjesečnog postupka, počeli izdavati u ožujku 2010.

• UVNS ne objavljuje listu certificiranih tvrtki jer se posjedovanje tog certifikata ne može iskoristiti kao prednost u dobivanju poslova, nego je uvjet prilikom sklapanja klasificiranih ugovora – kaže Mišević.

UVNS se preustrojem provedenim polovinom 2009. potpuno pripremio, tvrdi, za sve zadaće iz segmenta informacijske sigurnosti i poslove središnjeg državnog tijela za informacijsku sigurnost National Security Authority (NSA), kao i za poslove Designated Security Authority (DSA), koji u zemljama članicama NATO-a i EU koordiniraju sigurnosne poslove u privatnom sektoru.

Nadzorom NATO-ova Ureda za sigurnost u studenom 2009. potvrđena je spremnost UVNS-a i regulativna sukladnost Hrvatske i NATO-a, pa je Republika Hrvatska s UVNS-om kao NSA-ovim tijelom 1. siječnja 2010. u NATO-ovu sigurnosnom segmentu dobila punu samostalnost kao i svaka druga zemlja članica NATO-a.

Tako je certifikacija pravnih osoba u svrhu NATO-ove primjene dobila je smisao tek nakon uključenju Hrvatske u taj savez. Procedura je u UVNS-u počela u zakonskim rokovima, u proljeće 2009., no zbog složenosti postupka prvi ugovori o certificiranju pravnih osoba bili su usklađeni s državnim tijelom – podnositeljem zahtjeva i s pravnom osobom koja sklapa klasificirani ugovor – tek u jesen 2009. Izrađeni su svi potrebni regulativni akti na području informacijske sigurnosti i nacionalnog certificiranja pravnih osoba. UVNS sada usklađuje kriterije klasificiranja podataka u različitim državnim tijelima.

Osim toga daje mišljenje na pravilnike koje državna tijela donose, svakodnevno koordinira različita tijela u sklopu edukacije, savjetuje ili prima zahtjeve tijela i provodi neposredni nadzor državnih tijela na području informacijske sigurnosti.

• U međunarodnom području poslovne sigurnosti UVNS-ov je prioritet projekt hrvatske Vlade ‘Hrvatsko gospodarstvo i NATO’ u sklopu kojeg UVNS blisko surađuje s Ministarstvom gospodarstva i Hrvatskom gospodarskom komorom na pripremi hrvatskih poslovnih subjekata za sudjelovanje na NATO-ovim natječajima – kaže Mišević.

Kad su pak u pitanju primjene mjera i standarda informacijske sigurnosti u državnim tijelima, rokov za to propisani su u Uredbi o mjerama i standardima informacijske sigurnosti. Sve veći prelazak s papirnatih tehnologija na digitalne samo po sebi zahtijeva uvođenje reda na područje upravljanja digitalnim podacima. U tom smislu svrha je tog zakona uvođenje suvremenog sustava informacijske sigurnosti koji propisuje mjere informacijske sigurnosti usklađene s mjerama koje već godinama provode članice asocijacije čija je i Hrvatska članica (NATO) ili će to postati (EU).

Prema Zakonu nadzor nad informacijskom sigurnošću provode savjetnici za informacijsku sigurnost. No čini se da taj dio posla dosta sporo teče zbog nedostatka kadra, što potvrđuju i u Zavodu za sigurnost informacijskih sustava.

• Rokovi za punu provedbu mjera i standarda informacijske sigurnosti postavljeni Zakonom i pripadaču Uredbom o mjerama informacijske sigurnosti u ovom trenutku možda se čine preoptimističnim jer treba uložiti velik organizacijski i financijski napor u provedbu. Ipak, može se primijetiti napredak na tom području, posebice u prihvaćanju potrebe provođenja tih mjera i povećanju svijesti da je njihova provedba neizbježna, već i zbog harmonizacije sa sigurnosnom politikom NATO-a, čija smo članica, i EU, čija ćemo članica uskoro postati – kažu u Zavodu.

U dvije i pol godine postojanja Zavod se uspio stručno ekipirati i dovoljno tehnički opremiti, što su prepoznali i u NATO-u, koji je u svoje radne timove uključio i zaposlenike Zavoda. To tijelo već pruža usluge tijelima državne uprave, akreditiraju se informacijski sustavi, obavljaju se CERT-ove zadaće za tijela državne uprave – primjerice testiranje ranjivosti web-poslužitelja ili prosjeđivanje informacija o novim ranjivim dijelovima, obavlja se TEMPEST (Transmitted Electro-Magnetic Pulse/Energy Standards & Testing)… Svako državno tijelo mora imati savjetnika za informacijsku sigurnost i svaka tvrtka mora imati certifikat kao preduvjet za sklapanje klasificiranih ugovora.

Certifikacijom pravna osoba potvrđuje primjenu mjera i standarda informacijske sigurnosti. – Kao i u svim drugim zemljama članicama NATO-a i EU može se očekivati i da se dio hrvatskoga gospodarstva specijalizira za usluge ili proizvodnju u području obrane ili nacionalne sigurnosti, i to ne samo u Hrvatskoj nego i u sklopu NATO-a, odnosno EU ili zemalja članica. Procedura certificiranja potpuno je usklađena s NATO-ovim i pristupom EU na području sigurnosti poslovne suradnje – zaključuje Mišević.