Zastava Bosne i Hercegovine

NACRT ZAKONA O INFORMACIONOJ BEZBEDNOSTI - Tekst propisa


NACRT ZAKONA O INFORMACIONOJ BEZBEDNOSTI

I. OSNOVNE ODREDBE

Predmet uređivanja

Član 1.

Ovim zakonom se uređuju mere zaštite od bezbednosnih rizika u informaciono-komunikacionim sistemima, odgovornosti pravnih lica prilikom upravljanja i korišćenja informaciono-komunikacionih sistema, postupci i mere za postizanje visokog opšteg nivoa informacione bezbednosti i određuju se nadležni organi za sprovođenje mera zaštite, koordinaciju između činilaca zaštite i praćenje pravilne primene propisanih mera zaštite.

Značenje pojedinih termina

Član 2.

Pojedini termini u smislu ovog zakona imaju sledeće značenje:

1) informaciono-komunikacioni sistem (IKT sistem) je tehnološko-organizaciona celina koja obuhvata:

(1) elektronske komunikacione mreže i usluge u smislu zakona koji uređuje elektronske komunikacije;

(2) uređaje ili grupe međusobno povezanih uređaja, takvih da se u okviru uređaja, odnosno u okviru barem jednog iz grupe uređaja, vrši automatska obrada podataka korišćenjem računarskog programa;

(3) podatke koji se vode, čuvaju, obrađuju, pretražuju ili prenose pomoću sredstava iz podtač. (1) i (2) ove tačke, a u svrhu njihovog rada, upotrebe, zaštite ili održavanja;

(4) organizacionu strukturu putem koje se upravlja IKT sistemom;

(5) sve tipove sistemskog i aplikativnog softvera i softverske razvojne alate.

2) operator IKT sistema je fizičko lice u svojstvu registrovanog subjekta, pravno lice, organ ili organizaciona jedinica organa koji koristi IKT sistem u okviru obavljanja svoje delatnosti, odnosno poslova iz svoje nadležnosti;

3) informaciona bezbednost predstavlja sposobnost informaciono- komunikacionih sistema i mreža da se odupru i/ili ublaže, uz određeni stepen pouzdanosti, svaki događaj koji bi mogao da ugrozi raspoloživost, integritet, autentičnost i poverljivost podataka koji se obrađuju, odnosno usluga koje se pružaju ili su dostupne putem tog IKT sistema;

4) tajnost je svojstvo koje znači da podatak nije dostupan neovlašćenim licima;

5) integritet je svojstvo koje osigurava da podaci ili informacije nisu promenjeni ili uništeni na neovlašćeni način od kada su kreirani, preneti ili uskladišteni;;

6) raspoloživost je svojstvo kojim se osigurava dostupnost i upotrebljivost IKT sistema na zahtev ovlašćenog subjekta ili procesa onda kada im je potreban;

7) autentičnost je svojstvo kojim se osigurava mogućnost da se proveri i potvrdi da je informaciju stvorio ili poslao onaj za koga se tvrdi da je tu radnju izvršio;

8) poverljivost je svojstvo kojim se osigurava da su informacije i funkcije IKT sistema dostupne samo ovlašćenim licima;

9) neporecivost predstavlja sposobnost dokazivanja da se dogodila određena radnja ili da je nastupio određeni događaj, tako da ga naknadno nije moguće poreći;

10) rizik predstavlja predstavlja postojanje uslova za narušavanje nivoa informacione bezbednosti, odnosno ispravnog funkcionisanja IKT sistema, čiji se nivo određuje procenom verovatnoće da se desi određena posledica po nivo informacione bezbednosti i procenom obima te posledice;

11) ranjivost predstavlja slabost u IKT sistemu ili aktivnostima koje se preduzimaju u IKT sistemu koji se mogu iskoristiti za realizaciju jedne ili više pretnji;;

12) upravljanje rizikom je skup sistematičnih aktivnosti procene i kontrole rizika koji omogućava planiranje, organizovanje i usmeravanje mera zaštite kako bi se obezbedilo da rizici ostanu u propisanim i prihvatljivim okvirima;;

13) izbegnuti incident predstavlja svaki rizičan događaj koji je mogao ugroziti raspoloživost, autentičnost, integritet ili poverljivost podataka koji se čuvaju, prenose ili obrađuju u IKT sistemu ili usluga koje se pružaju putem IKT sistema ili kojima se omogućava pristup IKT sistemu, ali je uspešno sprečen ili se nije ostvario;

14) pretnja predstavlja svaku okolnost, događaj ili radnju koja može da ugrozi, poremeti ili na drugi način štetno utiče na IKT sistem, korisnike sistema i druga lica;

15) ozbiljna pretnja predstavlja pretnju po informacionu bezbednost za koju se, s obzirom na njena tehnička svojstva, može pretpostaviti da ima potencijal da izazove značajne negativne posledice po IKT sistem, njegovog operatora ili korisnike usluga tog operatora uzrokujući značajnu materijalnu ili nematerijalnu štetu;

16) incident je svaki događaj koji ugrožava raspoloživost, autentičnost, integritet ili poverljivost podataka koji se čuvaju, prenose ili obrađuju ili usluge koje se pružaju, odnosno koje su dostupne putem IKT sistema;

17) jedinstveni sistem za prijem obaveštenja o incidentima je informacioni sistem u koji se unose podaci o incidentima i izbegnutim incidentima u IKT sistemima od posebnog značaja koji mogu da imaju značajan uticaj na narušavanje informacione bezbednosti;

18) upravljanje incidentom podrazumeva preduzimanje svih radnji i postupaka čiji je cilj sprečavanje, otkrivanje, analiza i prekid incidenta, kao i preduzimanje drugih mera radi odgovora na incident i otklanjanja njegovih posledica;

19) kriza informacione bezbednosti je događaj ili stanje koje ugrožava, ometa rad ili onemogućuje rad IKT sistema od posebnog značaja i pri tom izaziva rizike, pretnje ili posledice po stanovništvo, materijalna dobra ili životnu sredinu izuzetno velikog obima i intenziteta koje nije moguće sprečiti ili otkloniti redovnim delovanjem nadležnih organa i službi, a odgovor na takav događaj ili stanje zahteva učešće više nadležnih organa, kao i primenu odgovarajućih mera;

20) mere zaštite IKT sistema su tehničke, organizacione, administrativne i fizičke mere za upravljanje bezbednosnim rizicima IKT sistema;

21) tajni podatak je podatak koji je, u skladu sa propisima o tajnosti podataka, određen i označen određenim stepenom tajnosti;

22) IKT sistem za rad sa tajnim podacima je IKT sistem koji je u skladu sa zakonom određen za rad sa tajnim podacima;

23) organ je državni organ, organ autonomne pokrajine, jedinica lokalne samouprave, organizacija i drugo pravno ili fizičko lice kome je povereno vršenje javnih ovlašćenja;

24) služba bezbednosti je služba bezbednosti u smislu zakona kojim se uređuju osnove bezbednosno-obaveštajnog sistema Republike Srbije;

25) samostalni operatori IKT sistema su ministarstvo nadležno za poslove odbrane, ministarstvo nadležno za unutrašnje poslove, ministarstvo nadležno za spoljne poslove, službe bezbednosti i Narodna banka Srbije;

26) CERT je telo zaduženo prevenciju i zaštitu od incidenata.

27) kompromitujuće elektromagnetno zračenje (KEMZ) predstavlja nenamerne elektromagnetne emisije prilikom prenosa, obrade ili čuvanja podataka, čijim prijemom i analizom se može otkriti sadržaj tih podataka;

28) kriptobezbednost je komponenta informacione bezbednosti koja obuhvata kriptozaštitu, upravljanje kriptomaterijalima i razvoj metoda kriptozaštite;

29) kriptozaštita je primena metoda, mera i postupaka radi transformisanja podataka u oblik koji ih za određeno vreme ili trajno čini nedostupnim neovlašćenim licima;

30) kriptografski proizvod je softver ili uređaj putem koga se vrši kriptozaštita;

31) kriptomaterijali su kriptografski proizvodi, podaci, tehnička dokumentacija kriptografskih proizvoda, kao i odgovarajući kriptografski ključevi;

32) bezbednosna zona je prostor ili prostorija u kojoj se, u skladu sa propisima o tajnosti podataka, obrađuju i čuvaju tajni podaci;

33) informaciona dobra obuhvataju informacije koje se obrađuju u skladu sa funkcijom i namenom IKT sistema; elektronske zapise o konfiguraciji uređaja i elektronske komunikacione mreže; elektronske zapise o interakcijama u IKT sistemima, pristupu i upotrebi IKT sistema (tzv. log zapise); programski kôd; tehničku i korisničku dokumentaciju; elektronske zapise o interakcijama u elektronskoj komunikacionoj mreži (tzv. mrežni saobraćaj); informacije kojima se regulišu namena i korišćenje IKT sistema, procesi, mere zaštite i sl.

34) usluga informacionog društva je usluga u smislu zakona kojim se uređuje elektronska trgovina;

35) pružalac usluge informacionog društva je pravno lice koje je pružalac usluge u smislu zakona kojim se uređuje elektronska trgovina.

36) tačka za razmenu internet saobraćaja (engl. internet exchange point) je mrežna struktura koja pruža mogućnost povezivanja dve ili više nezavisnih mreža (autonomnih sistema) prvenstveno u svrhu olakšavanja razmene internet saobraćaja, i koja omogućuje međupovezivanje autonomnih sistema, u kom slučaju nije potrebno da internet saobraćaj između autonomih sistema prođe kroz treći autonomni sistem, te koja takav saobraćaj ne menja i ne utiče na njega na drugi način.

37) sistem naziva domena (DNS) je je distribuirani, hijerarhijski organizovan sistem koji povezuje nazive domena sa odgovarajućim IP adresama koje se koriste za usmeravanje i povezivanje korisničkih uređaja sa uslugama i resursima na internetu;

38) pružalac usluge DNS-a je subjekat koji pruža usluge razrešavanja DNS upita korisnicima interneta ili pruža uslugu autoritativnih servera imena za nazive domena koje koriste treća lica, sa izuzetkom korenskih (engl. root) servera imena;

39) usluga od poverenja je usluga u smislu zakona kojim se uređuje elektronski dokument, elektronska identifikacija i usluge od poverenja u elektronskom poslovanju;

40) pružalac usluge od poverenja je pružalac u smislu zakona kojim se uređuje elektronski dokument, elektronska identifikacija i usluge od poverenja u elektronskom poslovanju;

41) kvalifikovana usluga od poverenja je usluga u smislu zakona kojim se uređuje elektronski dokument, elektronska identifikacija i usluge od poverenja u elektronskom poslovanju;

42) pružalac kvalifikovane usluge od poverenja je pružalac u smislu zakona kojim se uređuje elektronski dokument, elektronska identifikacija i usluge od poverenja u elektronskom poslovanju;

43) usluge računarstva u klaudu (engl. “cloud computing service”) su digitalne usluge koje omogućavaju upravljanje na zahtev i široki daljinski pristup nadogradivom i elastičnom skupu deljivih računarskih resursa, uključujući i situacije kada su takvi resursi raspoređeni na nekoliko lokacija;

44) usluga centra za upravljanje i čuvanje podataka je usluga koja se pruža u okviru infrastrukture namenjene za centralizovano smeštanje, međupovezivanje i funkcionisanje računarske i mrežne opreme radi čuvanja, obrade i prenosa podataka (data centar), uključujući sve objekte i infrastrukturu za distribuciju električne energije i kontrolu uticaja na životnu sredinu;

45) naučnoistraživačka organizacija je organizacija u smislu zakona kojim se uređuju nauka i istraživanje.

46) javna elektronska komunikaciona mreža je elektronska komunikaciona mreža u smislu zakona kojim se uređuju elektronske komunikacije;

47) elektronska komunikaciona usluga je usluga u smislu zakona kojim se uređuju elektronske komunikacije;

48) pružalac upravljanih usluga je subjekt koji pruža usluge u vezi sa postavljanjem, upravljanjem, radom i održavanjem IKT proizvoda, mreža, infrastrukture, aplikacija ili druge mreže i informacionog sistema putem pružanja pomoći ili aktivnog upravljanja koje se sprovodi u prostorijama korisnika usluge ili na daljinu;

49) pružalac upravljanih bezbednosnih usluga je pružalac upravljanih usluga koji sprovodi ili pruža pomoć u sprovođenju aktivnosti u vezi sa upravljanjem rizikom u oblasti bezbednosti.

50) registar naziva domena najvišeg nivoa (engl. TLD name registry) je subjekt koji je odgovoran za upravljanje nazivom domena najvišeg nivoa (TLD) koji mu je dodeljen i koji donosi politike i pravila za domen, upravlja bazom registra, generiše datoteku zone i održava tehničku infrastrukturu servera imena za dodeljeni domen najvišeg nivoa.;

51) pružalac usluge registracije naziva domena je registrator naziva domena ili drugi subjekt koji deluje u ime registratora.

52) IKT proizvod je element ili grupa elemenata u okviru informaciono-komunikacionog sistema;

53) IKT usluga je usluga koja se u potpunosti ili u većoj meri sastoji iz prenosa, čuvanja, preuzimanja ili obrade podataka korišćenjem IKT sistema;

54) IKT proces je skup aktivnosti koji se obavlja u cilju izrade, razvoja, korišćenja i održavanja IKT proizvoda ili IKT usluge.

Načela

Član 3.

Prilikom planiranja i primene mera zaštite IKT sistema treba se rukovoditi načelima:

1) načelo upravljanja rizikom - izbor i nivo primene mera se zasniva na proceni rizika, potrebi za prevencijom rizika i otklanjanja posledica rizika koji se ostvario, uključujući sve vrste vanrednih okolnosti;

2) načelo sveobuhvatne zaštite - mere se primenjuju na svim organizacionim, fizičkim i tehničko-tehnološkim nivoima, kao i tokom celokupnog životnog ciklusa IKT sistema;

3) načelo stručnosti i dobre prakse - mere se primenjuju u skladu sa stručnim i naučnim saznanjima i iskustvima u oblasti informacione bezbednosti;

4) načelo svesti i osposobljenosti - sva lica koja svojim postupcima efektivno ili potencijalno utiču na informacionu bezbednost treba da budu svesna rizika i poseduju odgovarajuća znanja i veštine.

Obrada podataka o ličnosti

Član 4.

U slučaju obrade podataka o ličnosti prilikom vršenja nadležnosti i ispunjenja obaveza iz ovog zakona postupa se u skladu sa načelima zaštite podataka o ličnosti koji su definisani propisima koji uređuju zaštitu podataka o ličnosti.

II. BEZBEDNOST IKT SISTEMA OD POSEBNOG ZNAČAJA

Operatori prioritetnih IKT sistema od posebnog značaja

Član 5.

Operatori prioritetnih IKT sistema od posebnog značaja su sistemi od ključnog značaja za održavanje kritičnih društvenih i ekonomskih aktivnosti čiji bi prekid ili poremećaj u pružanju usluga imao značajan uticaj na javnu bezbednost, javno zdravlje, funkcionisanje drugih sektora ili bi stvorio značajan sistemski rizik.

Operatori prioritetnih IKT sistema od posebnog značaja su:

1) pravna lica i fizička lica u svojstvu registrovanog subjekta, koja obavljaju poslove i delatnosti u sledećim oblastima:

 (1) Energetika

-           proizvodnja električne energije;

-           kombinovana proizvodnja električne i toplotne energije;

-           snabdevanje električnom energijom;

-           prenos i upravljanje prenosnim sistemom električne energije;

-           distribucija, upravljanje distributivnim sistemom i upravljanje zatvorenim distributivnim sistemom električne energije;

-           skladištenje električne energije;

-           upravljanje organizovanim tržištem električne energije;

-           proizvodnja, distribucija i snabdevanje toplotnom energijom;

-           transport nafte naftovodima, transport derivata nafte produktovodima i transport nafte i derivata nafte drugim oblicima transporta;

-           istraživanje, proizvodnja i prerada nafte i naftnih derivata;

-           skladištenje nafte i derivata nafte;

-           transport i upravljanje transportnim sistemom za prirodni gas i tečni naftni gas;

-           skladištenje i upravljanje skladištem prirodnog gasa i tečnog naftnog gasa;

-           distribucija i upravljanje distributivnim sistemom za prirodni gas i tečni naftni gas;

-           snabdevanje i javno snabdevanje prirodnim gasom i tečnim naftnim gasom;

-           istraživanje i prerada gasa i tečnog naftnog gasa;

-           upravljanje sistemom tečnog naftnog gasa;

-           proizvodnja, skladištenje i prenos vodonika.

(2) Saobraćaj

         obavljanje javnog avio- prevoza uz važeću operativnu dozvolu;

-           upravljanje aerodromom;

-           usluge kontrole letenja;

-           upravljanje javnom železničkom infrastrukturom;

-           poslovi železničkih preduzeća;

-           obavljanje prevoza putnika i tereta unutrašnjim vodama;

-           upravljanje lukama;

-           upravljanje brodskim saobraćajem (VTS);

-           upravljanje putnom infrastrukturom;

-           upravljanje inteligentnim transportnim sistemima (ITS).

(3) Bankarstvo i finansijska tržišta

-           poslovi finansijskih institucija, koje su pod nadzorom Narodne banke Srbije ili Komisije za hartije od vrednosti;

-           poslovi vođenja registra podataka o obavezama fizičkih i pravnih lica prema finansijskim institucijama;

-           poslovi upravljanja, odnosno obavljanja delatnosti u vezi sa funkcionisanjem regulisanog tržišta;

-           poslovi kliringa finansijskih instrumenata, u smislu zakona kojim se uređuje tržište kapitala;

-           poslovi pružalaca usluga povezanih s digitalnom imovinom, u smislu zakona kojima se uređuje digitalna imovina.

(4) Zdravstvo

-           pružanje zdravstvene zaštite;

-           rad nacionalnih referentnih laboratorija;

-           istraživanje i razvoj lekova;

-           proizvodnja osnovnih farmaceutskih proizvoda i preparata;

-           proizvodnja medicinskih proizvoda koji se smatraju kritičnim tokom vanrednog stanja u oblasti javnog zdravlja.

(5) Voda za piće

-           snabdevanje i distribucija vode namenjene za ljudsku potrošnju. izuzev distributera kojima navedeni poslovi nisu pretežni deo njihove delatnosti.

(6) Otpadne vode

-           sakupljanje, odvođenje ili prečišćavanje komunalnih otpadnih voda, otpadnih voda naselja i privrede, izuzev privrednih subjekata kojima navedeni poslovi nisu pretežni deo njihove delatnosti.

(7) Digitalna infrastruktura

-           pružanje usluga računarstva u klaudu;

-           pružanje usluge centra za čuvanje i skladištenje podataka.

 (8) Upravljanje IKT uslugama koje se pružaju operatorima prioritetnih IKT sistema od posebnog značaja;

-           pružanje upravljanih usluga;

-           pružanje upravljanih bezbednosnih usluga;

(9) Ostale oblasti

-           upravljanje nuklearnim objektima;

-           pružanje kvalifikovanih usluga od poverenja, pružanje usluga DNS-a,, i upravljanje registrom domena najvišeg nivoa, sa izuzetkom operatora korenskih servera imena;

-           obavaljanje delatnosti elektronskih komunikacija;

-           tačka za razmenu internet saobraćaja;

-           oblasti u kojoj u Republici Srbiji postoji samo jedan pružalac usluge i koja je neophodna za obavljanje kritičnih društvenih i privrednih delatnosti.

2) organi;

3) subjekti koji su određeni kao operatori kritične infrastrukture u skladu sa propisima kojima se uređuje kritična infrastruktura

4) pravna lica koja su definisana kao operatori IKT sistema od posebnog značaja u skladu sa Zakonom o informacionoj bezbednosti (“Službeni glasnik RS”, br. 6/16, 94/17 i 77/19) i obavljaju poslove i delatnosti iz tačke 1) ovog stava

Operatori važnih IKT sistema od posebnog značaja

Član 6

Operatori važnih IKT sistema od posebnog značaja su:

1) pravna lica i fizička lica u svojstvu registrovanog subjekta, koja obavljaju poslove i delatnosti u sledećim oblastima:

-           poštanske usluge u smislu zakona kojim se uređuje oblast poštanskih usluga;

-           upravljanje otpadom, u smislu zakona kojim se uređuje upravljanje otpadom, izuzev privrednih subjekata kojima navedeni posao nije pretežni deo njihove delatnosti;

-           proizvodnja i snabdevanje hemikalijama, u skladu sa zakonom kojim se uređuju hemikalije;

-           proizvodnja, obrada i distribucija hrane u segmentu veleprodaje i industrijske proizvodnje i prerade;

-           proizvodnja računara, elektronskih i optičkih proizvoda;

-           proizvodnja električne opreme;

-           proizvodnja mašina i uređaja;

-           proizvodnja motornih vozila, prikolica i poluprikolica i proizvodnja ostale opreme za prevoz;

-           proizvodnja medicinskih uređaja i proizvodnja in vitro dijagnostičkih medicinskih sredstava

-           usluge informacionog društva u smislu zakona o elektronskoj trgovini;

-           izdavanje službenog glasnika Republike Srbije;

-           proizvodnja, promet i prevoz naoružanja i vojne opreme.

2) naučnoistraživačke institucije;

3) pravna i fizička lica u svojstvu registrovanog subjekta i organi iz člana 5. ovog zakona, a koji ne spadaju u operatore prioritetnih IKT sistema od posebnog značaja prema kriterijumima za određivanje operatora.;

4) pravna lica koja su definisana kao operatori IKT sistema od posebnog značaja u skladu sa Zakonom o informacionoj bezbednosti (“Službeni glasnik RS”, br. 6/16, 94/17 i 77/19) i obavljaju poslove i delatnosti iz tačke 1) ovog stava.

Vlada, na predlog ministarstva nadležnog za poslove informacione bezbednosti, bliže uređuje uslove, opšte i sektorske kriterijume i podsektorske pragove za određivanje operatora iz čl. 5. i 6. ovog zakona, kao i proceduru identifikovanja i određivanja operatora IKT sistema od posebnog značaja.

Obaveze operatora IKT sistema od posebnog značaja

Član 7.

Operator prioritetnog IKT sistema od posebnog značaja, shodno ovom zakonu, u obavezi je da:

1) se upiše u evidenciju IKT sistema od posebnog značaja;

2) preduzme odgovarajuće tehničke, operativne,organizacione i fizičke mere zaštite IKT sistema od posebnog značaja, upravljanje rizicima i prevenciju i smanjenje štetnih posledica incidenata;

3) izvrši procenu rizika i donese akt o proceni rizika;

4) donese akt o bezbednosti IKT sistema od posebnog značaja;

5) vrši proveru usklađenosti mera zaštite IKT sistema koje se primenjuju sa aktom o bezbednosti IKT sistema i to najmanje dva puta godišnje;

6) uredi odnos sa trećim licima na način koji obezbeđuje preduzimanje mera zaštite tog IKT sistema u skladu sa zakonom, ukoliko poverava aktivnosti u vezi sa IKT sistemom od posebnog značaja sa trećim licima;

7) dostavlja obaveštenja, bez odlaganja, o svakom incidentu koji je značajno ugrozio bezbednost IKT sistem od posebnog značaja;

8) dostavlja obaveštenja o ozbiljnim pretnjama za IKT sistem od posebnog značaja;

9) dostavi statističke podatke o incidentima i izbegnutim incidentima u IKT sistemima.

Odredbe stava 1. ovog člana shodno se primenjuju i na važne operatore IKT sistema od posebnog značaja sa izuzetkom obaveze iz stava 1. tačka 5), gde se provera usklađenosti mera zaštite IKT sistema koje se primenjuju sa aktom o bezbednosti IKT sistema vrši najmanje jednom godišnje.

Obaveze samostalnih operatora

Član 8.

Samostalni operator dužan je da:

1) se upiše u evidenciju IKT sistema od posebnog značaja;

2) preduzme odgovarajuće tehničke, operativne, organizacione i fizičke mere zaštite IKT sistema od posebnog značaja, upravljanje rizicima i prevenciju i smanjenje štetnih posledica incidenata;

3) donese akt o bezbednosti IKT sistema;

4) vrši proveru usklađenosti mera zaštite IKT sistema koje se primenjuju sa aktom o bezbednosti IKT sistema i to najmanje dva puta godišnje;

5) uredi odnos sa trećim licima na način koji obezbeđuje preduzimanje mera zaštite tog IKT sistema u skladu sa zakonom, ukoliko poverava aktivnosti u vezi sa IKT sistemom od posebnog značaja sa trećim licima.

Samostalni operatori mogu da međusobno razmenjuju informacije o incidentima sa Kancelarijom za informacionu bezbednost, a po potrebi i sa drugim organizacijama.

Na samostalne operatore ne primenjuju se odredbe ovog zakona o prijavljivanju incidenata koji značajno ugrožavaju informacionu bezbednost i odredbe o dostavljanju statističkih podataka o incidentima.

Samostalni operatori IKT sistema odrediće posebna lica, odnosno organizacione jedinice za internu kontrolu sopstvenih IKT sistema.

Lica za internu kontrolu samostalnih operatora IKT sistema izveštaj o izvršenoj internoj kontroli podnose rukovodiocu samostalnog operatora IKT sistema.

Evidencija operatora IKT sistema od posebnog značaja

Član 9.

Ministarstvo nadležno za poslove informacione bezbednosti uspostavlja i vodi evidenciju prioritetnih i važnih IKT sistema od posebnog značaja (u daljem tekstu: Evidencija) koja sadrži:

1) naziv, matični broj i sedište operatora IKT sistema od posebnog značaja;

2) ime i prezime, službena adresa za prijem elektronske pošte i službeni kontakt telefon administratora IKT sistema od posebnog značaja;

3) ime i prezime, službena adresa za prijem elektronske pošte i službeni kontakt telefon odgovornog lica IKT sistema od posebnog značaja;

4) podatak o vrsti IKT sistema od posebnog značaja, odnosno da li IKT sistem od posebnog značaja potpada pod prioritetan ili važan;

5) podatak o delatnosti operatora IKT sistema od posebnog značaja;

6) adresni opseg internet protokola (engl. “ip address range”) koji pripadaju IKT sistemu od posebnog značaja;

7) veb stranica operatora IKT sistema od posebnog značaja;

8) broj lokacija na kojima se IKT sistem od posebnog značaja nalazi.

Pored podataka iz stava 1. ovog člana, evidencija može da sadrži i druge dopunske podatke o IKT sistemu od posebnog značaja koje propisuje ministarstvo nadležno za poslove informacione bezbednosti.

Samostalni operatori IKT sistema izuzeti su od obaveze dostavljanja podataka iz tač.4), 5), 6) i 8) stav 1. ovog člana.

Podzakonski akt kojim se bliže uređuje izgled i struktura evidencije, kao i način podnošenja zahteva za unos i promenu podataka u Evidenciji donosi ministarstvo nadležno za poslove informacione bezbednosti.

Operator IKT sistema od posebnog značaja dužan je da ministarstvu nadležnom za poslove informacione bezbednosti dostavi podatke iz stava 1. ovog člana najkasnije 90 dana od dana usvajanja propisa iz stava 4. ovog člana, odnosno 90 dana od dana uspostavljanja IKT sistema od posebnog značaja..Operator IKT sistema od posebnog značaja dužan je da u slučaju promene podataka iz stava 1. ovog člana o tome obavesti ministarstvo nadležno za poslove informacione bezbednosti u roku od 15 dana od dana nastanka promene.

Podaci iz stava 1. tačka 2) i 3) obrađuju se u svrhu izvršenja odredbi ovog zakona u pogledu dostavljanja obaveštenja i upozorenja značajnih za bezbednost IKT sistema od posebnog značaja, kao i radi uspostavljanja komunikacije i ostvarivanja saradnje u cilju otklanjanja štetnih posledica incidenata i preventivnog delovanja.

Podaci iz stava 1. tačka 2) i 3) obrađuju se u skladu sa načelima obrade podataka o ličnosti i shodnim odredbama zakona kojim se uređuje zaštita podataka o ličnosti, a čuvaju se do trenutka prestanka svrhe obrade ili do izvršene promene podataka u skladu sa stavom 5. ovog člana.

Evidencija predstavlja tajni podatak u smislu zakona kojim se uređuje tajnost podataka.

Mere zaštite IKT sistema od posebnog značaja

Član 10.

Operator IKT sistema od posebnog značaja odgovara za bezbednost IKT sistema i preduzimanje mera zaštite IKT sistema.

Merama zaštite IKT sistema se obezbeđuje prevencija od nastanka incidenata, odnosno prevencija i smanjenje štete od incidenata koji ugrožavaju vršenje nadležnosti i obavljanje delatnosti, a posebno u okviru pružanja usluga drugim licima.

Mere zaštite IKT sistema se odnose na:

1) uspostavljanje organizacione strukture, sa utvrđenim poslovima i odgovornostima zaposlenih, kojom se ostvaruje upravljanje informacionom bezbednošću u okviru operatora IKT sistema;

2) prikupljanje podataka o pretnjama po informacionu bezbednost IKT sistema;

3) postizanje bezbednosti rada na daljinu i upotrebe mobilnih uređaja;

4) obezbeđivanje da lica koja koriste IKT sistem odnosno upravljaju IKT sistemom budu osposobljena za posao koji rade i razumeju svoju odgovornost;

5) zaštitu od rizika koji nastaju pri promenama poslova ili prestanka radnog angažovanja lica zaposlenih kod operatora IKT sistema;

6) identifikovanje informacionih dobara i određivanje odgovornosti za njihovu zaštitu;

7) klasifikovanje podataka tako da nivo njihove zaštite odgovara značaju podataka u skladu sa načelom upravljanja rizikom iz člana 3. ovog zakona;

8) zaštitu nosača podataka;

9) ograničenje pristupa podacima i sredstvima za obradu podataka;

10) odobravanje ovlašćenog pristupa i sprečavanje neovlašćenog pristupa IKT sistemu i uslugama koje IKT sistem pruža;

11) utvrđivanje odgovornosti korisnika za zaštitu sopstvenih sredstava za autentikaciju;

12) predviđanje upotrebe kriptografskih kontrola i drugih tehnika za sakrivanje podataka radi zaštite poverljivosti, autentičnosti i integriteta podataka;

13) primena mera zaštite radi sprečavanja neovlašćenog prikupljanja podataka;

14) fizičku zaštitu objekata, prostora, prostorija odnosno zona u kojima se nalaze sredstva i dokumenti IKT sistema i obrađuju podaci u IKT sistemu;

15) zaštitu od gubitka, oštećenja, krađe ili drugog oblika ugrožavanja bezbednosti sredstava koja čine IKT sistem;

16) obezbeđivanje ispravnog i bezbednog funkcionisanja sredstava za obradu podataka;

17) primenu odgovarajućih procedura i mera zaštite prilikom korišćenja usluge računarstva u klaudu;

18) praćenje mrežnih sistema u cilju otkrivanja ranjivosti i pretnji

19) ograničenje pristupa internet stranicama koje mogu potencijalno da naruše bezbednost IKT sistema;

20) zaštitu podataka i sredstva za obradu podataka od zlonamernog softvera;

21) zaštitu od gubitka podataka;

22) čuvanje podataka o događajima koji mogu biti od značaja za bezbednost IKT sistema;

23) obezbeđivanje integriteta softvera i operativnih sistema;

24) zaštitu od zloupotrebe tehničkih bezbednosnih slabosti IKT sistema;

25) obezbeđivanje da aktivnosti na reviziji IKT sistema imaju što manji uticaj na funkcionisanje sistema;

26) zaštitu podataka u komunikacionim mrežama uključujući uređaje i vodove;

27) bezbednost podataka koji se prenose unutar operatora IKT sistema, kao i između operatora IKT sistema i lica van operatora IKT sistema;

28) ispunjenje zahteva za informacionu bezbednost u okviru upravljanja svim fazama životnog ciklusa IKT sistema odnosno delova sistema;

29) zaštitu podataka koji se koriste za potrebe testiranja IKT sistema odnosno delova sistema;

30) procedure za čuvanje i brisanje informacija u IKT sistemima, u skladu sa propisima;

31) zaštitu sredstava operatora IKT sistema koja su dostupna pružaocima usluga;

32) održavanje ugovorenog nivoa informacione bezbednosti i pruženih usluga u skladu sa uslovima koji su ugovoreni sa pružaocem usluga;

33) prevenciju i reagovanje na bezbednosne incidente, što podrazumeva adekvatnu razmenu informacija o bezbednosnim slabostima IKT sistema, incidentima i pretnjama;

34) mere koje obezbeđuju kontinuitet obavljanja posla u vanrednim okolnostima koje su definišu Planom kontinuiteta obavljanja posla.

Vlada, na predlog ministarstva nadležnog za poslove informacione bezbednosti, bliže uređuje mere zaštite IKT sistema uvažavajući načela iz člana 3. ovog zakona, nacionalne i međunarodne standarde i standarde koji se primenjuju u odgovarajućim oblastima rada.

Akt o proceni rizika IKT sistema od posebnog značaja

Član 11.

Operator IKT sistema od posebnog značaja dužan je da donese akt o proceni rizika za IKT sisteme kojima upravlja.

Aktom iz stava 1. ovog člana vrši se procena rizika za IKT sistem od posebnog značaja s obzirom na stepen izloženosti riziku, veličinu operatora i izvesnost pojave incidenta i njegove ozbiljnosti, kao i njegov potencijalni društveni i ekonomski uticaj.

Akt iz stava 1. ovog člana revidira se najmanje jednom godišnje.

Akt iz stava 1. izrađuje se u skladu sa opštom metodologijom za procenu rizika u IKT sistemima od posebnog značaja koju donosi Kancelarija za informacionu bezbednost.

Akt o bezbednosti IKT sistema od posebnog značaja

Član 12.

Operator IKT sistema od posebnog značaja dužan je da donese akt o bezbednosti IKT sistema.

Aktom iz stava 1. ovog člana određuju se mere zaštite, a naročito principi, način i procedure postizanja i održavanja adekvatnog nivoa bezbednosti sistema, kao i ovlašćenja i odgovornosti u vezi sa bezbednošću i resursima IKT sistema od posebnog značaja.

Akt iz stava 1. ovog člana mora da bude usklađen s promenama u okruženju i u samom IKT sistemu.

Operator prioritetnog IKT sistema od posebnog značaja dužan je da, samostalno ili uz angažovanje spoljnih eksperata, vrši proveru usklađenosti primenjenih mera IKT sistema sa aktom iz stava 1. ovog člana i to najmanje dva puta godišnje i da o tome sačini izveštaj.

Operator važnog IKT sistema od posebnog značaja dužan je da, samostalno ili uz angažovanje spoljnih eksperata, vrši proveru iz prethodnog stava najmanje jednom godišnje i da o tome sačini izveštaj.

Bliži sadržaj akta iz stava 1. ovog člana, način provere IKT sistema od posebnog značaja i sadržaj izveštaja o proveri uređuje Vlada na predlog ministarstva nadležnog za poslove informacione bezbednosti.

Obaveštavanje o incidentima

Član 13.

U slučaju incidenta koji mogu da imaju značajan uticaj na narušavanje informacione bezbednosti operatori IKT sistema od posebnog značaja dužni su da:

1) prijave incident bez odlaganja, a najkasnije u roku od 24 sata od kada su saznali za incident, i dostave sledeće informacije:

(1)        podatke o podnosiocu prijave,

(2)        vrstu i opis incidenta i procenu da li je incident posledica krivičnog dela,

(3)        datum i vreme početka incidenta i trajanje incidenta,

(4)        posledice koje je incident izazvao,

(5)        preduzete aktivnosti radi ublažavanja posledica incidenta,

(6)        inicijalnu procenu ozbiljnosti i uticaja incidenta na IKT sistem od posebnog značaja, kao i indikatore kompromitacije,

(7)        informaciju o eventualnom prekograničnom dejstvu incidenta,

(8)        druge relevantne informacije, po potrebi;

2) prijavu izvrše putem jedinstvenog sistema za prijem obaveštenja o incidentima koji održava Nacionalni CERT;

3) obaveste o incidentu korisnike kojima pružaju usluge, bez odlaganja, u slučaju incidenta koji može da izazove ili izaziva štetan uticaj na pružanje i korišćenje usluga, kao i o merama koje korisnici mogu da preduzmu i upotrebe u cilju umanjenja ili eliminacije štetnih posledica incidenta;

4) tokom incidenta dostavljaju obaveštenja i dodatne izveštaje o bitnim događajima u vezi sa incidentom i aktivnostima koje preduzimaju, na zahtev Nacionalnog CERT-a ili organa iz stava 2. ovog stava;

5) u roku od 15 dana od dana prestanka incidenta dostave završni izveštaj o incidentu koji sadrži sledeće podatke:

(1)        vrstu i opis incidenta,

(2)        vreme i trajanje incidenta,

(3)        posledice koje je incident izazvao,

(4)        informaciju o eventualnom prekograničnom dejstvu incidenta,

(5)        preduzete aktivnosti radi otklanjanja posledica incidenta i, po potrebi, druge informacije od značaja za evidentiranje incidenta i statističku obradu.

Izuzetno od stava 1. tačka 2) ovog člana, operatori IKT sistema iz člana 5. stav 2. tačka 1) podtačka (3) alineja prva, druga i peta ovog zakona dužni su da obaveštenje o incidentu dostave Narodnoj banci Srbije, a operatori IKT sistema iz člana 5. stav 2. tačka 1) podtačka (9) alineja treća obaveštenje o incidentu dostavljaju regulatornom telu za elektronske komunikacije i poštanske usluge.

Narodna banka Srbije i regulatorno telo za elektronske komunikacije i poštanske uslge koji to obaveštenje, ako ispunjava uslove iz ovog člana, prosleđuju u u jedinstveni sistem za prijem obaveštenja o incidentima.

Odredbe stava 1. tačka 3) ne primenjuju se na Narodnu banku Srbije i operatore IKT sistema iz člana 5. stav 2. tačka 1) podtačka (3) alineja prva, druga i peta ovog zakona, kao i na operatore IKT sistema iz člana 5. stav 2. tačka 1) podtačka (9) alineja treća ovog zakona, a pitanja obaveštavanja korisnika ovih operatora u slučaju incidenta uređuju se posebnim propisima.

U slučaju incidenata u IKT sistemima za rad sa tajnim podacima operatori tih IKT sistema postupaju u skladu sa propisima kojima se uređuje oblast zaštite tajnih podataka.

Kada je neophodno da javnost bude upoznata sa incidentom ili kada je incident takav da je od interesa za javnost, Nacionalni CERT može objaviti informaciju o incidentu, nakon savetovanja sa operatorom IKT sistema od posebnog značaja u kome se incident dogodio.

Ako je incident vezan za izvršenje krivičnih dela koja se gone po službenoj dužnosti, organ kome je upućeno obaveštenje o incidentu, obaveštava nadležno javno tužilaštvo, odnosno ministarstvo nadležno za unutrašnje poslove.

Ako je incident povezan sa značajnim narušavanjem informacione bezbednosti, koje ima ili može imati za posledicu ugrožavanje odbrane ili nacionalne bezbednosti Republike Srbije, organ kome je upućeno obaveštenje o incidentu obaveštava organe koji su nadležni za poslove odbrane i nacionalne bezbednosti.

Organ kome je u skladu sa ovim zakonom upućeno obaveštenje o incidentu, ukoliko je reč o IKT sistemu od posebnog značaja koji je određen kao kritična infrastruktura, to obaveštenje prosleđuje Ministarstvu unutrašnjih poslova i ministarstvima nadležnim za sektore kritične infrastrukture u skladu sa zakonom koji uređuje kritičnu infrastrukturu.

Prilikom prijema obaveštenja o incidentu Nacionalni CERT, Narodna banka Srbije i regulatorno telo za elektronske komunikacije označavaju obaveštenje o incidentu u skladu sa propisima i TLP (eng.”traffic light protocol”) protokolom.

Vlada, na predlog ministarstva nadležnog za poslove informacione bezbednosti, donosi plan za reagovanje na incidente koji značajno ugrožavaju informacionu bezbednost, uređuje postupak obaveštavanja o incidentima, obrasce za obaveštavanje, listu, vrste i značaj incidenata prema nivou opasnosti, postupanje i razmenu informacija o incidentima između organa iz člana 13. ovog zakona.

Incidenti u IKT sistemima od posebnog značaja koji mogu da imaju značajan uticaj na narušavanje informacione bezbednosti operatora IKT sistema od posebnog značaja

Član 14.

Operator IKT sistema od posebnog značaja dužan je da prijavi sledeće incidente koji mogu da imaju značajan uticaj na narušavanje informacione bezbednosti:

1) incidente koji dovode do prekida kontinuiteta vršenja poslova i pružanja usluga, odnosno znatnih teškoća u vršenju poslova i pružanju usluga;

2) incidente koji utiču na veliki broj korisnika usluga, ili traju duži vremenski period;

3) incidente koji dovode do prekida kontinuiteta, odnosno teškoća u vršenju poslova i pružanja usluga, koji utiču na obavljanje poslova i vršenje usluga drugih operatora IKT sistema od posebnog značaja ili utiču na javnu bezbednost;

4) incidente koji dovode do prekida kontinuiteta, odnosno teškoće u vršenju poslova i pružanju usluga i imaju uticaj na veći deo teritorije Republike Srbije;

5) incidente koji dovode do neovlašćenog pristupa zaštićenim podacima čije otkrivanje može ugroziti prava i interese onih na koje se podaci odnose;

6) incidente koji su nastali kao posledica incidenta u IKT sistemu iz člana 5. stav 2. tačka 1) podtačka (7) ovog zakona, kada IKT sistem od posebnog značaja u svom poslovanju koristi informacione usluge IKT sistema iz člana 5. stav 2. tačka 1) podtačka (7) ovog zakona.

7) incidente koji izazivaju ili mogu da izazovu znatnu materijalnu ili nematerijalnu štetu operatoru IKT sistema od posebnog značaja i drugim fizičkim i pravnim licima.

Operator IKT sistema od posebnog značaja dužan je da prijavi i incidente koji predstavljaju ozbiljnu pretnju i koji bi doveli do značajnog povećanja rizika od nastupanja posledica iz stava 1. ovog člana.

Značaj incidenata prema nivou opasnosti

Član 15.

Incidenti u IKT sistemima od posebnog značaja koji mogu da imaju značajan uticaj na narušavanje informacione bezbednosti svrstavaju se prema nivou opasnosti, imajući u vidu posledice incidenta.

Incidenti u IKT sistemima od posebnog značaja mogu se svrstati u sledeće nivoe opasnosti:

1) veoma visok;

2) visok;

3) srednji;

4) nizak.

Incident veoma visokog nivoa predstavlja krizu informacione bezbednosti i u tom slučaju rukovođenje i koordinaciju sprovođenja mera i zadataka preduzima Vlada, koja na predlog ministarstva nadležnog za poslove informacione bezbednosti, a po pribavljenom mišljenju Kancelarije za informacionu bezbednost, donosi odluku o proglašenju krize informacione bezbednosti i zadužuje organe da postupaju prema predloženim merama u skladu sa svojim nadležnostima.

Upravljanje incidentima visokog, srednjeg i niskog nivoa vodi Kancelarija za informacionu bezbednost u saradnji sa operatorima IKT sistema od posebnog značaja, ministarstvom nadležnim za poslove informacione bezbednosti, Telom za koordinaciju informacione bezbednosti i drugim nadležnim organima po potrebi.

Dostavljanje statističkih podataka o incidentima

Član 16.

Operator IKT sistema od posebnog značaja dužan je da, pored obaveštavanja o incidentima iz člana 13. ovog zakona, dostavi Nacionalnom CERT-u statističke podatke o svim incidentima u IKT sistemu, uključujući i izbegnute incidente, u prethodnoj godini najkasnije do 28. februara tekuće godine.

Nacionalni CERT izveštaje o statističkim podacima dostavlja ministarstvu nadležnom za poslove informacione bezbednosti.

Vrstu, formu i način dostavljanja statističkih podataka iz stava 1. ovog člana utvrđuje Nacionalni CERT.

III. ORGANI NADLEŽNI ZA PREVENCIJU I ZAŠTITU OD BEZBEDNOSNIH RIZIKA U IKT SISTEMIMA U REPUBLICI SRBIJI

Nadležni organ

Član 17.

Organ državne uprave nadležan za informacionu bezbednost je ministarstvo nadležno za poslove informacione bezbednosti (u daljem tekstu: Ministarstvo).

U okviru svojih nadležnosti Ministarstvo:

1)         priprema i predlaže propise i planska dokumenata iz oblasti informacione bezbednosti u skladu sa ovim zakonom;

2)         vodi evidenciju operatora IKT sistema od posebnog značaja;

3) vrši nadzor nad radom Kancelarije za informacionu bezbednost;

4) vrši inspekcijski nadzor nad radom operatora IKT sistema od posebnog značaja;

5) ostvaruje međunarodnu saradnju u okviru svojih nadležnosti.

Telo za koordinaciju poslova informacione bezbednosti

Član 18.

U cilju ostvarivanja saradnje i usklađenog obavljanja poslova u funkciji unapređenja informacione bezbednosti, kao i iniciranja i praćenja preventivnih i drugih aktivnosti u oblasti informacione bezbednosti Vlada osniva Telo za koordinaciju poslova informacione bezbednosti (u daljem tekstu: Telo za koordinaciju), kao koordinaciono telo Vlade, u čiji sastav ulaze predstavnici ministarstava nadležnih za poslove informacione bezbednosti, odbrane, unutrašnjih poslova, spoljnih poslova, pravde, predstavnici službi bezbednosti, Kancelarije za informacionu bezbednost, Kancelarije Saveta za nacionalnu bezbednost i zaštitu tajnih podataka, organa nadležnog za projektovanje, usklađivanje, razvoj i funkcionisanje sistema elektronske uprave, Generalnog sekretarijata Vlade, Narodne banke Srbije i regulatornog tela za elektronske komunikacije i poštanske usluge.

U funkciji unapređenja pojedinih oblasti informacione bezbednosti formiraju se stručne radne grupe Tela za koordinaciju u koje se uključuju i predstavnici drugih organa, privrede, akademske zajednice i nevladinog sektora.

Odlukom kojom osniva Telo za koordinaciju Vlada određuje i njegov sastav, zadatke, rok u kome ono podnosi izveštaje Vladi i druga pitanja koja su vezana za njegov rad.

Kancelarija za informacionu bezbednost

Član 19.

Radi obavljanja poslova prevencije i zaštite od bezbednosnih rizika i incidenata u IKT sistemima u Republici Srbiji osniva se Kancelarija za informacionu bezbednost (u daljem tekstu: Kancelarija), kao posebna organizacija u smislu zakona kojim se uređuje položaj državne uprave.

Kancelarija ima svojstvo pravnog lica.

Radom Kancelarije rukovodi direktor koga imenuje Vlada, a koji mora biti lice odgovarajuće stručnosti koje ima najmanje 5 godina iskustva na poslovima rukovođenja.

Kancelarija ima zamenika direktora, koji se imenuje i ima ovlašćenja u skladu sa propisima o državnoj upravi.

Nadzor nad radom Kancelarije

Član 20.

Nadzor nad radom Kancelarije u vršenju poslova sprovodiMinistarstvo, koje periodično, a najmanje jednom godišnje, proverava da li Kancelarija raspolaže odgovarajućim resursima i vrši poslove u skladu sa ovim zakonom.

Nadležnosti Kancelarije

Član 21.

Kancelarija u okviru svoje nadležnosti obavlja sledeće poslove i to:

1)         obavlja poslove Nacionalnog CERT-a;

2)         obavlja poslove CERT-a Jedinstvene informaciono-komunikacione mreže elektronske uprave

3) saradnju na nacionalnom nivou u oblasti informacione bezbednosti

4) poslove jedinstvene tačke kontakta;

5) poslove standardizacije i sertifikacije IKT sistema, IKT proizvoda, IKT procesa i IKT usluga;

6) propisuje minimalne mere zaštite IKT sistema organa, uvažavajući načela iz člana 3. ovog zakona, mere zaštite iz člana 9. ovog zakona, nacionalne i međunarodne standarde i standarde koji se primenjuju u odgovarajućim oblastima rada

7) u saradnji sa nadležnim organima učestvuje u razvoju i sprovođenju programa obuka i stručnog usavršavanja lica koja rade na poslovima informacione bezbednosti u organima;

8) izveštava Ministarstvo na kvartalnom nivou o preduzetim aktivnostima

9) druge poslove u skladu sa ovim zakonom.

Poslovi Nacionalnog CERT-a

Član 22.

U okviru poslova prevencije i zaštite od bezbednosnih rizika i incidenata Kancelarija vrši poslove Nacionalnog CERT-a i to:

1) prikuplja i razmenjuje informacije o rizicima za bezbednost IKT sistema, kao i događajima koji ugrožavaju bezbednost IKT sistema i u vezi toga obaveštava, pruža podršku, upozorava i savetuje lica koja upravljaju IKT sistemima u Republici Srbiji, kao i javnost;

2) prati stanje o incidentima u Republici Srbiji;

3) pruža rana upozorenja, uzbune i najave i informiše relevantna lica o rizicima i incidentima;

4) reaguje bez odlaganja po prijavljenim ili na drugi način otkrivenim incidentima u IKT sistemima od posebnog značaja, kao i po prijavama fizičkih i pravnih lica, tako što pruža savete i preporuke na osnovu raspoloživih informacija o incidentima i preduzima druge potrebne mere iz svoje nadležnosti na osnovu dobijenih saznanja;

5) na zahtev operatora IKT sistema od posebnog značaja, pruža pomoć u praćenju stanja bezbednosti IKT sistema u realnom vremenu ili približno realnom vremenu;

6) na zahtev operatora IKT sistema od posebnog značaja, vrši proaktivno skeniranje IKT sistema u cilju utvrđivanja ranjivosti koje mogu da potencijalno znatno naruše bezbednost IKT sistema, pri čemu takvo skeniranje ne sme imati štetan uticaj na poslove i delatnosti operatora;

7) postupa kao koordinator za potrebe koordiniranog otkrivanja ranjivosti, u skladu sa ovim zakonom;

8) učestvuje u razvoju i korišćenju tehnoloških alata za razmenu informacija sa operatorima IKT sistema od posebnog značaja i drugih subjekata sa kojima sarađuje;

9) kontinuirano izrađuje analize rizika i incidenata, na osnovu prikupljenih informacija;

10) podiže svest kod građana, privrednih subjekata i organa o značaju informacione bezbednosti, o rizicima i merama zaštite, uključujući sprovođenje kampanja u cilju podizanja te svesti;

11) izveštava Ministarstvo na kvartalnom nivou o preduzetim aktivnostima.

Nacionalni CERT promoviše usvajanje i korišćenje propisanih i standardizovanih procedura za:

1) upravljanje i saniranje rizika i incidenata;

2) klasifikaciju informacija o rizicima i incidentima, odnosno klasifikaciju prema nivou incidenata i rizika;

3) upravljanje kriznim situacijama;

4) koordinirano otkrivanje ranjivosti.

Nacionalni CERT je ovlašćen da vrši obradu podataka o licu koje prijavi incident, pri čemu obrada podataka o licu obuhvata ime, prezime i broj telefona i/ili adresu elektronske pošte i vrši se u svrhu evidentiranja podnetih prijava, informisanja podnosioca prijave o statusu predmeta i, u slučaju potrebe, upućivanja prijave nadležnim organima radi daljeg postupanja, u skladu sa zakonom.

Nacionalni CERT obezbeđuje neprekidnu dostupnost svojih usluga putem različitih sredstava komunikacije.

Poslovi CERT-a Jedinstvene informaciono-komunikacione mreže elektronske uprave

Član 23.

U okviru poslova CERT-a Jedinstvene informaciono-komunikacione mreže elektronske uprave (u daljem tekstu: mreža eUprave) Kancelarija obavlja sledeće poslove:

1) vrši zaštitu mreže eUprave;

2) obavlja koordinaciju i saradnju sa operatorima IKT sistema koje povezuje mreža eUprave u prevenciji incidenata,

3) aktivno učestvuje u otkrivanju incidenata, prikupljanju informacija o incidentima i otklanjanju posledica incidenata,;

4) vrši proaktivno skeniranje mreže operatora IKT sistema od posebnog značaja koji su korisnici mreže, pri čemu takvo skeniranje ne sme imati štetan uticaj na poslove i delatnosti operatora;

5) u slučaju otkrivene ranjivosti:

(1) obavesti operatore IKT sistema koji su korisnici mreže eUprave o tome,

(2) nalaže operatorima IKT sistema od posebnog značaja koji su korisnici mreže da preduzmu adekvatne mere zaštite u cilju sprečavanja, smanjenja i otklanjanja posledica indicenta;

6) izdaje stručne preporuke za zaštitu IKT sistema organa, osim IKT sistema za rad sa tajnim podacima;

7) propisuje procedure za postupanje operatora IKT sistema od posebnog značaja koji koriste mreže u slučaju incidenta;

8) u saradnji sa nadležnim organima vrši procenu potrebe za stručnim usavršavanjem zaposlenih u operatorima IKT sistema od posebnog značaja koji koriste mrežu;

9) planira i organizuje proceduralne i praktične vežbe u oblasti informacione bezbednosti za zaposlene u operatorima IKT sistema od posebnog značaja koji koriste mrežu;

10) izrađuje predloge za unapređenje bezbednosnih karakteristika mreže eUprave;

11) izrađuje analize rizika i incidenata u okviru mreže eUprave;

12) obavlja druge poslove u skladu sa zakonom u cilju unapređenja informacione bezbednosti mreže eUprave.

Saradnja na nacionalnom nivou

Član 24.

Nacionalni CERT neposredno sarađuje sa Ministarstvom, CERT-om mreže eUprave, Posebnim CERT-ovima u Republici Srbiji, sa javnim i privrednim subjektima i CERT-ovima samostalnih operatora IKT sistema.

Nacionalni CERT, CERT mreže eUprave i CERT-ovi samostalnih operatora IKT sistema održavaju međusobne sastanke u organizaciji Kancelarije najmanje tri puta godišnje, kao i po potrebi u slučaju incidenata koji značajno ugrožavaju informacionu bezbednost u Republici Srbiji.

Sastancima iz stava 2. ovog člana prisustvuju i predstavnici Ministarstva, a po pozivu mogu da prisustvuju i predstavnici posebnih CERT-ova, kao i druga lica.

Prilikom saradnje sa subjektima iz stava 1. ovog člana Nacionalni CERT je dužan da obezbedi efektivnu, efikasnu i bezbednu razmenu informacija uz primenu adekvatnih procedura, uključujući “traffic light protocol” (TLP), i poštujući propise o zaštiti podataka o ličnosti.

Međunarodna saradnja i poslovi jedinstvene tačke kontakta

Član 25.

Nacionalni CERT ostvaruje međunarodnu saradnju u oblasti bezbednosti IKT sistema, a naročito pruža upozorenja o rizicima i incidentima koji ispunjavaju najmanje jedan od sledećih uslova:

1) brzo rastu ili imaju tendenciju da postanu visokorizični;

2) prevazilaze ili mogu da prevaziđu nacionalne kapacitete;

3) mogu da imaju negativan uticaj na više od jedne države.

Prilikom razmene podataka iz stava 2. ovog člana, Nacionalni CERT je dužan da postupa tako da se ne ugrozi poverljivost podataka, kao i da takva razmena podataka ne utiče na potencijalno narušavanje bezbednosti IKT sistema.

Ukoliko je incident u vezi sa izvršenjem krivičnog dela, po dobijanju obaveštenja od Nacionalnog CERT-a, ministarstvo nadležno za unutrašnje poslove će u zvaničnoj proceduri proslediti prijavu u skladu sa potvrđenim međunarodnim ugovorima.

Nacionalni CERT obavlja poslove jedinstvene tačke kontakta za informacionu bezbednost u slučaju prekograničnih bezbednosnih pretnji i incidenata i sarađuje sa jedinstvenim tačkama kontakta drugih država.

Posebni centri za prevenciju bezbednosnih rizika u IKT sistemima

Član 26.

Poseban centar za prevenciju bezbednosnih rizika u IKT sistemima (u daljem tekstu: Poseban CERT) obavlja poslove prevencije i zaštite od bezbednosnih rizika u IKT sistemima u okviru određenog pravnog lica, grupe pravnih lica, oblasti poslovanja i slično.

Poseban CERT je pravno lice ili organizaciona jedinica u okviru pravnog lica sa sedištem na teritoriji Republike Srbije, koje je upisano u evidenciju posebnih CERT-ova koju vodi Nacionalni CERT.

Upis u evidenciju posebnih CERT-ova, koju vodi Nacionalni CERT, vrši se na osnovu prijave pravnog lica u okviru koga se nalazi poseban CERT.

Evidencija posebnih CERT-ova od podataka o ličnosti sadrži podatke o odgovornim licima, i to: ime, prezime, funkciju i kontakt podatke kao što su adresa, broj telefona i adresa elektronske pošte, a u svrhu angažovanja posebnih CERT-ova u slučaju bezbednosnih rizika i incidenata u IKT sistemima.

Nacionalni CERT propisuje sadržaj, način upisa i vođenja evidencije iz stava 3. ovog člana.

Baza ranjivosti

Član 27.

Nacionalni CERT uspostavlja i održava bazu ranjivosti IKT proizvoda i IKT usluga u Republici Srbiji i omogućava fizičkim i pravnim licima, kao i proizvođačima, dobavljačima i pružaocima usluge u IKT sistemu, da na dobrovoljnoj bazi prijave ranjivosti u IKT proizvodima ili IKT uslugama, a koje se mogu prijaviti anonimno.

Baza ranjivosti IKT proizvoda i IKT usluga sadrži:

1) podatke o ranjivosti;

2) podatke o IKT proizvodima ili IKT uslugama na koje ranjivost utiče.

Nacionalni CERT propisuje sadržaj, procedure verifikacije ranjivosti, način upisa i vođenja registra.

Zaštita dece pri korišćenju informaciono-komunikacionih tehnologija

Član 28.

Ministarstvo preduzima preventivne mere za bezbednost i zaštitu dece na internetu, kao aktivnosti od javnog interesa, putem edukacije i informisanja dece, roditelja i nastavnika o prednostima, rizicima i načinima bezbednog korišćenja interneta, kao i putem jedinstvenog mesta za pružanje saveta i prijem prijava u vezi bezbednosti dece na internetu, i upućuje prijave nadležnim organima radi daljeg postupanja.

Operator elektronskih komunikacija koji pruža javno dostupne telefonske usluge dužan je da omogući svim pretplatnicima uslugu besplatnog poziva prema jedinstvenom mestu za pružanje saveta i prijem prijava u vezi bezbednosti dece na internetu.

U slučaju da navodi iz prijave upućuju na postojanje krivičnog dela, na povredu prava, zdravstvenog statusa, dobrobiti i/ili opšteg integriteta deteta, na rizik stvaranja zavisnosti od korišćenja interneta, prijava se prosleđuje nadležnom organu radi postupanja u skladu sa utvrđenim nadležnostima.

Ministarstvo je ovlašćeno da vrši obradu podataka o licu koje se obrati Nadležnom organu u skladu sa zakonom koji uređuje zaštitu podataka o ličnosti i drugim propisima.

Obrada podataka o licu iz stava 4. ovog člana obuhvata ime, prezime i broj telefona i/ili adresu elektronske pošte i vrši se u svrhu evidentiranja podnetih prijava, informisanja podnosioca prijave o statusu predmeta i, u slučaju potrebe, upućivanja prijave nadležnim organima radi daljeg postupanja, u skladu sa zakonom.

Podaci o ličnosti iz stava 5. ovog člana čuvaju se u rokovima predviđenim propisima koji uređuju kancelarijsko poslovanje.

U cilju obezbeđivanja kontinuiteta rada jedinstvenog mesta za pružanje saveta i prijem prijava u vezi bezbednosti dece na internetu, Ministarstvo treba da:

1) bude opremljen sa odgovarajućim sistemima za prijem prijava;

2) ima dovoljno zaposlenih kako bi se osigurala dostupnost u radu;

3) obezbedi infrastrukturu čiji je kontinuitet osiguran.

Vlada bliže uređuje način sprovođenja mera za bezbednost i zaštitu dece na internetu iz st. 1. i 3. ovog člana.

IV. KRIPTOBEZBEDNOST I ZAŠTITA OD KOMPROMITUJUĆEG ELEKTROMAGNETNOG ZRAČENjA

Nadležnost

Član 29.

Ministarstvo nadležno za poslove odbrane je nadležno za poslove informacione bezbednosti koji se odnose na odobravanje kriptografskih proizvoda, distribuciju kriptomaterijala i zaštitu od kompromitujućeg elektromagnetnog zračenja i poslove i zadatke u skladu sa zakonom i propisima donetim na osnovu zakona.

Poslovi i zadaci

Član 30.

U skladu sa ovim zakonom, ministarstvo nadležno za poslove odbrane:

1) organizuje i realizuje naučnoistraživački rad u oblasti kriptografske bezbednosti i zaštite od KEMZ;

2) razvija, implementira, verifikuje i klasifikuje kriptografske algoritme;

3) istražuje, razvija, verifikuje i klasifikuje sopstvene kriptografske proizvode i rešenja zaštite od KEMZ;

4) verifikuje i klasifikuje domaće i strane kriptografske proizvode i rešenja zaštite od KEMZ;

5) definiše procedure i kriterijume za evaluaciju kriptografskih bezbednosnih rešenja;

6) vrši funkciju nacionalnog organa za odobrenja kriptografskih proizvoda i obezbeđuje da ti proizvodi budu odobreni u skladu sa odgovarajućim propisima;

7) vrši funkciju nacionalnog organa za zaštitu od KEMZ;

8) vrši proveru IKT sistema sa aspekta kriptobezbednosti i zaštite od KEMZ;

9) vrši funkciju nacionalnog organa za distribuciju kriptomaterijala i definiše upravljanje, rukovanje, čuvanje, distribuciju i evidenciju kriptomaterijala u skladu sa propisima;

10) planira i koordinira izradu kriptoparametara (parametara kriptografskog algoritma), distribuciju kriptomaterijala i zaštite od kompromitujućeg elektromagnetnog zračenja u saradnji sa samostalnim operatorima IKT sistema;

11) formira i vodi centralni registar verifikovanog i distribuiranog kriptomaterijala;

12) formira i vodi registar izdatih odobrenja za kriptografske proizvode;

13) izrađuje elektronske sertifikate za kriptografske sisteme zasnovane na infrastrukturi javnih ključeva (Public Key Infrastructure - PKI);

14) predlaže donošenje propisa iz oblasti kriptobezbednosti i zaštite od KEMZ na osnovu ovog zakona;

15) vrši poslove stručnog nadzora u vezi kriptobezbednosti i zaštite od KEMZ;

16) pruža stručnu pomoć nosiocu inspekcijskog nadzora informacione bezbednosti u oblasti kriptobezbednosti i zaštite od KEMZ;

17) pruža usluge uz naknadu pravnim i fizičkim licima, izvan sistema javne vlasti, u oblasti kriptobezbednosti i zaštite od KEMZ prema propisu Vlade na predlog ministra odbrane;

18) sarađuje sa domaćim i međunarodnim organima i organizacijama u okviru nadležnosti uređenih ovim zakonom.

Sredstva ostvarena od naknade za pružanje usluga iz stava 1. tačka 17) ovog člana su prihod budžeta Republike Srbije.

Kompromitujuće elektromagnetno zračenje

Član 31.

Mere zaštite od KEMZ u IKT sistemima za rukovanje sa tajnim podacima primenjuju se u skladu sa propisima kojima se uređuje zaštita tajnih podataka.

Mere zaštite od KEMZ mogu primenjivati na sopstvenu inicijativu i operatori IKT sistema kojima to nije zakonska obaveza.

Za sve tehničke komponente sistema (uređaje, komunikacione kanale i prostore) kod kojih postoji rizik od KEMZ, a što bi moglo dovesti do narušavanja informacione bezbednosti iz stava 1. ovog člana, vrši se provera zaštićenosti od KEMZ i procena rizika od neovlašćenog pristupa tajnim podacima putem KEMZ.

Proveru zaštićenosti od KEMZ vrši ministarstvo nadležno za poslove odbrane.

Samostalni operatori IKT sistema mogu vršiti proveru KEMZ za sopstvene potrebe.

Bliže uslove za proveru KEMZ i način procene rizika od oticanja podataka putem KEMZ uređuje Vlada, na predlog ministarstva nadležnog za poslove odbrane.

Mere kriptozaštite

Član 32.

Mere kriptozaštite za rukovanje sa tajnim podacima u IKT sistemima primenjuju se u skladu sa propisima kojima se uređuje zaštita tajnih podataka.

Mere kriptozaštite se mogu primeniti i prilikom prenosa i čuvanja podataka koji nisu označeni kao tajni u skladu sa zakonom koji uređuje tajnost podataka, kada je na osnovu zakona ili drugog pravnog akta potrebno primeniti tehničke mere ograničenja pristupa podacima i radi zaštite integriteta, autentičnosti i neporecivosti podataka.

Vlada, na predlog ministarstva nadležnog za poslove odbrane uređuje tehničke uslove za kriptografske algoritme, parametre, protokole i informaciona dobra u oblasti kriptozaštite koji se u Republici Srbiji koriste u kriptografskim proizvodima radi zaštite tajnosti, integriteta, autentičnosti, odnosno neporecivosti podataka.

Odobrenje za kriptografski proizvod

Član 33.

Kriptografski proizvodi koji se koriste za zaštitu prenosa i čuvanja podataka koji su određeni kao tajni, u skladu sa zakonom, moraju biti verifikovani i odobreni za korišćenje.

Vlada, na predlog ministarstva nadležnog za poslove odbrane, bliže uređuje uslove koje moraju da ispunjavaju kriptografski proizvodi iz stava 1. ovog člana.

Izdavanje odobrenja za kriptografski proizvod

Član 34.

Odobrenje za kriptografski proizvod izdaje ministarstvo nadležno za poslove odbrane, na zahtev operatora IKT sistema, proizvođača kriptografskog proizvoda ili drugog zainteresovanog lica.

Odobrenje za kriptografski proizvod se može odnositi na pojedinačni primerak kriptografskog proizvoda ili na određeni model kriptografskog proizvoda koji se serijski proizvodi.

Odobrenje za kriptografski proizvod može imati rok važenja.

Ministarstvo nadležno za poslove odbrane rešava po zahtevu za izdavanje odobrenja za kriptografski proizvod u roku od 45 dana od dana podnošenja urednog zahteva, koji se može produžiti u slučaju posebne složenosti provere najviše za još 60 dana.

Protiv rešenja iz stava 4. ovog člana žalba nije dopuštena, ali može da se pokrene upravni spor.

Ministarstvo nadležno za poslove odbrane vodi registar izdatih odobrenja za kriptografski proizvod.

Registar iz stava 6. ovog člana od podataka o ličnosti sadrži podatke o odgovornim licima, i to: ime, prezime, funkcija i kontakt podatke kao što su adresa, broj telefona i adresa elektronske pošte.

Ministarstvo nadležno za poslove odbrane objavljuje javnu listu odobrenih modela kriptografskih proizvoda za sve modele kriptografskih proizvoda za koje je u zahtevu za izdavanje odobrenja naglašeno da model kriptografskog proizvoda treba da bude na javnoj listi i ako je zahtev podneo proizvođač ili lice ovlašćeno od strane proizvođača predmetnog kriptografskog proizvoda.

Ministarstvo nadležno za poslove odbrane prethodno izdato odobrenje za kriptografski proizvod može povući ili promeniti uslove iz st. 2. i 3. ovog člana iz razloga novih saznanja vezanih za tehnička rešenja primenjena u proizvodu, a koja utiču na ocenu stepena zaštite koji pruža proizvod.

Vlada, na predlog ministarstva nadležnog za poslove odbrane, bliže uređuje sadržaj zahteva za izdavanje odobrenja za kriptografski proizvod, uslove za izdavanje odobrenja za kriptografski proizvod, način izdavanja odobrenja i sadržaj registra izdatih odobrenja za kriptografski proizvod.

Opšte odobrenje za korišćenje kriptografskih proizvoda

Član 35.

Samostalni operatori IKT sistema imaju opšte odobrenje za korišćenje kriptografskih proizvoda.

Operator IKT sistema iz stava 1. ovog člana samostalno ocenjuje stepen zaštite koji pruža svaki pojedinačni kriptografski proizvod koji koristi, a u skladu sa propisanim uslovima.

Stavovi 1. i 2. ne odnose se na Narodnu banku Srbije.

Registri u kriptozaštiti

Član 36.

Samostalni operatori IKT sistema koji imaju opšte odobrenje za korišćenje kriptografskih proizvoda ustrojavaju i vode registre kriptografskih proizvoda, kriptomaterijala, pravila i propisa i lica koja obavljaju poslove kriptozaštite.

Registar lica koja obavljaju poslove kriptozaštite od podataka o ličnosti sadrži sledeće podatke o licima koja obavljaju poslove kriptozaštite: prezime, ime oca i ime, datum i mesto rođenja, matični broj, telefon, adresu elektronske pošte, školsku spremu, podatke o završenom stručnom osposobljavanju za poslove kriptozaštite, naziv radnog mesta, datum početka i završetka rada na poslovima kriptozaštite.

Registar kriptomaterijala za rukovanje sa stranim tajnim podacima vodi Kancelarija Saveta za nacionalnu bezbednost i zaštitu tajnih podataka, u skladu sa ratifikovanim međunarodnim sporazumima.

Vlada, na predlog ministarstva nadležnog za poslove odbrane, bliže uređuje vođenje registara iz stava 1. ovog člana.

VI. NADLEŽNOSTI I ODGOVORNOSTI SUBJEKATA ZA NADZOR NAD SPROVOĐENjEM OVOG ZAKONA

Inspekcija za informacionu bezbednost

Član 37.

Inspekcija za informacionu bezbednost vrši inspekcijski nadzor nad primenom ovog zakona i radom operatora IKT sistema od posebnog značaja, osim samostalnih operatora IKT sistema i IKT sistema za rad sa tajnim podacima, a u skladu sa zakonom kojim se uređuje inspekcijski nadzor.

Poslove inspekcije za informacionu bezbednost obavlja ministarstvo nadležno za poslove informacione bezbednosti preko inspektora za informacionu bezbednost.

U okviru inspekcijskog nadzora rada operatora IKT sistema, inspektor za informacionu bezbednost utvrđuje da li su ispunjeni uslovi propisani ovim zakonom i propisima donetim na osnovu ovog zakona.

Član 38.

Ovlašćenja inspektora za informacionu bezbednost

Inspektor za informacionu bezbednost je ovlašćen da u postupku sprovođenja nadzora, pored nalaganja mera za koje je ovlašćen inspektor u postupku vršenja inspekcijskog nadzora utvrđenih zakonom:

1) naloži otklanjanje utvrđenih nepravilnosti i za to utvrdi razuman rok;

2) zabrani korišćenje postupaka i tehničkih sredstava kojima se ugrožava ili narušava informaciona bezbednost i za to ostavi rok;

3) zahteva od operatora IKT sistema od posebnog značaja da izvrši skeniranje mreže u cilju utvrđivanja eventualnih bezbednosnih ranjivosti, a u skladu sa procenom rizika;

4) naloži da nadzirani subjekt učini dostupnim javnosti informacije koje se tiču nepoštovanja odredbi ovog zakona, a za koje postoji opravdan interes javnosti na utvrđeni način;

5) naloži da nadzirani subjekt odredi lice sa tačno utvrđenim ovlašćenjima koje će u utvrđenom vremenskom periodu nadzirati i pratiti usaglašenost sa odredbama ovog zakona i naloženim merama.

VII. KAZNENE ODREDBE

Član 39.

Novčanom kaznom u iznosu od 50.000,00 do 2.000.000,00 dinara kazniće se za prekršaj prioritetni operator IKT sistema od posebnog značaja ako:

1)         ne izvrši upis u evidenciju iz člana 9. stav 1. ovog zakona;

2)         ne donese Akt o proceni rizika iz člana 11. stav 1. ovog zakona;

3) ne donese Akt o bezbednosti IKT sistema iz člana 12. stav 1. ovog zakona;

4) ne primeni mere zaštite određene Aktom o bezbednosti IKT sistema iz člana 12. stav 2. ovog zakona;

5) ne izvrši proveru usklađenosti primenjenih mera iz člana 12. stav 4. ovog zakona;

6) ne dostavi statističke podatke iz člana 16. stav 1. ovog zakona;

7) ne postupi po nalogu inspektora za informacionu bezbednost u ostavljenom roku iz člana 38. stav 1. tačka 1) ovog zakona.

Za prekršaj iz stava 1. ovog člana kazniće se i odgovorno lice u operatoru IKT sistema od posebnog značaja novčanom kaznom u iznosu od 5.000,00 do 50.000,00 dinara.

Član 40.

Novčanom kaznom u iznosu od 50.000,00 do 1.000.000,00 dinara kazniće se za prekršaj važni operator IKT sistema od posebnog značaja ako:

1) ne izvrši upis u evidenciju iz člana 9. stav 1. ovog zakona;

2) ne donese Akt o proceni rizika iz člana 11. stav 1. ovog zakona;

3) ne donese Akt o bezbednosti IKT sistema iz člana 12. stav 1. ovog zakona;

4) ne primeni mere zaštite određene Aktom o bezbednosti IKT sistema iz člana 12. stav 2. ovog zakona

5) ne izvrši proveru usklađenosti primenjenih mera iz člana 12. stav 4. ovog zakona;

6) ne dostavi statističke podatke iz člana 16. stav 1. ovog zakona;

7) ne postupi po nalogu inspektora za informacionu bezbednost u ostavljenom roku iz člana 38. stav 1. tačka 1) ovog zakona.

Za prekršaj iz stava 1. ovog člana kazniće se i odgovorno lice u operatoru IKT sistema od posebnog značaja novčanom kaznom u iznosu od 5.000,00 do 50.000,00 dinara.

Član 41.

Novčanom kaznom u iznosu od 50.000,00 do 500.000,00 dinara kazniće se za prekršaj prioritetni operator IKT sistema od posebnog značaja ako:

1) o incidentima u IKT sistemu ne obavesti organe iz člana 13. st. 1. i 2. ovog zakona;

2) ne obavesti korisnike kojima pružaju usluge u slučaju incidenta koji može da izazove ili izaziva štetan uticaj na pružanje i korišćenje usluga iz člana 13. stav 1. tačka 3) ovog zakona;

3) ne dostavlja obaveštenja i izveštaje o bitnim događajima u vezi sa incidentom i aktivnostima iz člana 13. stav 1. tačka 4) ovog zakona;

4) ne dostavi završni izveštaj u roku iz člana 13. stav 1. tačka 5) ovog zakona.

Za prekršaje iz stava 1. ovog člana kazniće se i odgovorno lice u operatoru IKT sistema od posebnog značaja novčanom kaznom u iznosu od 5.000,00 do 50.000,00 dinara.

Izuzetno od st. 1. i 2. ovog člana, ako finansijska institucija ne obavesti Narodnu banku Srbije o incidentima u IKT sistemu od posebnog značaja, Narodna banka Srbije izriče toj finansijskoj instituciji mere i kazne u skladu sa zakonom kojim se uređuje njeno poslovanje.

Član 42.

Novčanom kaznom u iznosu od 50.000,00 do 500.000,00 dinara kazniće se za prekršaj važni operator IKT sistema od posebnog značaja ako:

1) o incidentima u IKT sistemu ne obavesti organe iz člana 13. st. 1. i 2. ovog zakona;

2) ne obavesti korisnike kojima pružaju usluge u slučaju incidenta koji može da izazove ili izaziva štetan uticaj na pružanje i korišćenje usluga iz člana 13. stav 1. tačka 3) ovog zakona;

3) ne dostavlja obaveštenja i izveštaje o bitnim događajima u vezi sa incidentom i aktivnostima iz člana 13. stav 1. tačka 4) ovog zakona;

4) ne dostavi završni izveštaj u roku iz člana 13. stav 1. tačka 5) ovog zakona.

Za prekršaje iz stava 1. ovog člana kazniće se i odgovorno lice u operatoru IKT sistema od posebnog značaja novčanom kaznom u iznosu od 5.000,00 do 50.000,00 dinara.

VIII. PRELAZNE I ZAVRŠNE ODREDBE

Član 43.

Rokovi za donošenje podzakonskih akata

Podzakonska akta predviđena ovim zakonom doneće se u roku od šest meseci od dana stupanja na snagu ovog zakona.

Član 44.

Do donošenja podzakonskog akta iz člana 6. ovog zakona operatori IKT sistema od posebnog značaja koji su određeni Zakonom o informacionoj bezbednosti (“Službeni glasnik RS”, br. 6/16, 94/17 i 77/19) nastavljaju da postupaju u skladu sa obavezama utvrđenim tim zakonom.

Operatori IKT sistema od posebnog značaja koji su bili upisani u Evidenciju operatora IKT sistema od posebnog značaja koja se vodila u skladu sa Zakonom o informacionoj bezbednosti (“Službeni glasnik RS”, br. 6/16, 94/17 i 77/19) dodatne podatke koji su predviđeni ovim zakonom dostavljaju u roku od 90 dana od dana donošenja podzakonskog akta iz člana 9. ovog zakona.

Član 45.

Regulatorno telo za elektronske komunikacije i poštanske usluge obavlja poslove Nacionalnog CERT-a utvrđene ovim zakonom do 1. januara 2026. godine.

Kancelarija preuzima prava, obaveze, zaposlene, predmete, opremu, sredstva za rad i arhivu od Regulatornog tela za elektronske komunikacije i poštanske usluge nastalu u obavljanju poslova Nacionalnog CERT-a 1. januara 2026. godine, potrebne za vršenje stručnih poslova utvrđenih ovim zakonom.

Kancelarija preuzima prava, obaveze, zaposlene, predmete, opremu, sredstva za rad i arhivu nastalu u radu Kancelarije za informacione tehnologije i elektronsku upravu u delokrugu poslova CERT-a organa vlasti u skladu sa Zakonom o informacionoj bezbednosti (“Službeni glasnik RS”, br. 6/16, 94/17 i 77/19), potrebne za vršenje stručnih poslova utvrđenih ovim zakonom.

Član 46.

Prestanak važenja Zakona o informacionoj bezbednosti

Danom stupanja na snagu ovog zakona prestaje da važi Zakon o informacionoj bezbednosti (“Službeni glasnik RS”, br. 6/16, 94/17 i 77/19), izuzev odredbi koje se odnose na obaveze operatora IKT sistema od posebnog značaja koje važe do donošenja podzakonskog akta iz člana 6. ovog zakona.

Podzakonski akti doneti na osnovu Zakona o informacionoj bezbednosti (“Službeni glasnik RS”, br. 6/16, 94/17 i 77/19) primenjivaće se do donošenja podzakonskih akata u skladu sa ovim zakonom.

Član 47.

Stupanje na snagu

Ovaj zakon stupa na snagu osmog dana od dana objavljivanja u “Službenom glasniku Republike Srbije”.

IZ OBRAZLOŽENjA

II. RAZLOZI ZA DONOŠENjE ZAKONA

Kako bi se Republika Srbija uspešno uključila u jedinstveno evropsko digitalno tržište neophodno je obezbediti regulatorne i institucionalne uslove za ubrzan razvoj tržišta elektronskih komunikacija u Republici Srbije, kao i obezbediti da se taj razvoj odvija u sigurnim uslovima kako za svakog pojedinca, tako i za društvo u celini.

U digitalnom okruženju koje se menja, imperativ je da Vlada, poslovni subjekti i organizacije rade zajedno na razvoju regulatornog okvira koji unapređuje IKT sisteme i mreže na način da je omogućeno bezbedno i neometano čuvanje podataka i pružanje usluga, kao i odvijanje drugih procesa. Sa konstantnim porastom upotrebe IKT u svakodnevnom životu, kao i sa porastom broja usluga koje se nude građanima elektronskim putem, neophodno je blagovremeno odgovoriti na razvijne izazove i pratiti dinamičan razvoj sektora uz obavezu stalnog usklađivanja i praćenja propisa Evropske unije iz ove oblasti.

Oblast informacione bezbednosti uređena je Zakonom o informacionoj bezbednosti (“Službeni glasnik RSˮ, br. 6/2016, 94/2017 i 77/2019, u daljem tekstu: ZIB) i podzakonskim aktima donetim na osnovu tog zakona.

ZIB se oslanja na Direktivu EU 2016/1148 Evropskog parlamenta i Saveta od 6. jula 2016. godine koja se tiče mera za visoki zajednički nivo bezbednosti mreža i informacionih sistema (u daljem tekstu: NIS1). U procesu ispunjavanja uslova za punopravno članstvo u Evropskoj uniji, Republika Srbija je dužna da svoje zakonodavstvo uskladi sa pravnim tekovinama Evropske unije u oblasti informacione bezbednosti. U međuvremenu, EU je svoj regulatorni okvir upotpunila i revidirala usvajnjem Akta EU o sajber bezbednosti 2019. godine i u svajanjem nove Direktive (EU) 2022/2055 Evropskog parlamenta i Saveta od dana 14. decembra 2022. godine o merama za visok zajednički nivo sajber bezbednosti (u daljem tekstu NIS2). U tom smislu, prvi razlog donošenja novog zakona leži u potrebi da se regulatorni okvir usaglasi sa okvirom koji je na snazi u EU kako bi se blagovremeno ispratili razvojni trendovi u ovoj oblasti i omogućilo da se upotreba IKT u Republici Srbiji odvija u skladu sa najsavremenijim regulatornim tendencijama.

Direktiva NIS2 sa sobom donosi redefinisan pristup informacionoj bezbednosti, prevashodno u smislu identifikacije operatora IKT sistema od posebnog značaja i razlikovanja istih na prioritetne i važne, uz propratne obaveze i pojačani inspekcijski nadzor i revitiju, kao i strožiju kaznenu politiku. Potom jača ulogu Nacionalnog CERT-a u smislu nadležnosti i reagovanja na incident ili pretnju da može doći do incidenta, omogućava bolju koordinaciju nadležnih organa i detaljnije uređuje pitanje međunarodne saradnje i razmene informacija.

Akt o sajber bezbednosti EU 2019/881, između ostalog, uspostavlja obavezu razvoja nacionalnog okvira sertifikacije, kao i šema sertifikacije IKT proizvoda, procesa i usluga sa ciljem unapređenja ovih sajber proizvoda u pogledu njihovih bezbednosnih aspekata.

Takođe, imajući u vidu opseg ovih propisa i dodatne obaveze na strani državnih organa da omoguće bezbednu upotrebu IKT, stvorila se i potreba za revizijom dosadašnjeg institucionalnog okvira sa ciljem da se nadležni organi pripreme za neophodan razvoj kapaciteta za odgovor na rizike i pretnje prilikom upotrebe IKT sistema i mreža.

Imajući u vidu navedeno, najznačajniji ciljevi koji se donošenjem novog zakona u oblasti informacione bezbednosti imaju postići jesu usklađivanje sa NIS2 i Aktom o sajber bezbednosti sa svrhom da se utvrdi regulatorni okvir koji odgovara savremenim razvojnim tendencijama na tlu Evrope i ispuni obaveza iz Sporazuma o stabilizaciji i pridruživanju i postupka pristupanja Republike Evropskoj uniji, kao i da se unapredi institucionalni okvir sa ciljem da se on osposobi da pravilno primenjuje novouspostavljene obaveze i nadležnosti. Pored toga, ovom izmenom zakonskog okvira potrebno je i unaprediti postojeća rešenja na osnovu iskustav iz dosadašnje orimene, kao i organizaciono i strukturnu unaprediti zakonski tekst.

Predlogom zakona uređuju se sledeće oblasti:

1.         osnovne odredbe, kojima se uređuje predmet zakona kao i značenje pojedinih pojmova koji se koriste u zakonu;

2.         bezbednost IKT sistema od posebnog značaja;

3.         pravni položaj i nadležnosti organa nadležnih za prevenciju i zaštitu od bezbednosnih rizika u IKT sistemima u Republici Srbiji;

4.         kriptobezbednost i zaštita od kompromitujućeg elektromagnetnog zračenja;

5.         nadležnosti i odgovornosti subjekata za nadzor nad sprovođenjem zakona;

6.         kaznene odredbe

7.         pravo službenosti i zajedničko korišćenje;

8.         kaznene odredbe;

9.         prelazne i završne odredbe.

1.         Problemi koje zakon treba da reši

-           unapređenje zakonskih rešenja i otklanjanje nedostataka važećeg zakona koji su uočeni kroz njegovu dosadašnju primenu;

-           sprovođenje aktivnosti koje su usmerene na dalje jačanje kapaciteta i razvojnih mogućnosti organa nadležnih za oblast informacione bezbednosti;

-           unapređenje bezbedne upotrebe IKT sistema i mreža u Republici Srbiji;

-           promovisanje dodatnog jačanja konkurencije na tržištu daljim razvojem načina pružanja usluga elektronskim putem;

-           unapređenje zaštite neometanog pružanja usluga elektronskim putem, kao i bezbednosti čuvanja podataka;

-           stimulisanje domaćih i stranih investicija;

-           uspostavljanje pravnog osnova i nadležnosti za razvoj okvira i šema sertifikacije IKT proizvoda, procesa i usluga;

-           stvaranje optimalnih uslova za bezbedno korišćenje IKT od strane pojedinaca, organizacija, privrednih subjekata i državnih organa i organizacija.

2.         Ciljevi koji se zakonom postižu

Ovom regulatornom izmenom postižu se ciljevi koji se tiču usklađenosti sa važećim regulatornim okvirom EU, ostvaruje se kreiranje regulatornog okvira koji je u stanju da omogući unapređeni i koordinisani zajednički odgovor na informaciono- bezbednosne rizike i pretnje i unapređuju se institucionalni kapaciteti na način koji će omogućiti njihov dalji razvoj i stvaranje sposobnosti da preuzmu proširene nadležnosti i zadatke.

3.         Razmatrane mogućnosti da se problem reši i bez donošenja zakona

Imajući u vidu da je u postupku pridruživanja Evropskoj uniji Republika Srbija preuzela obavezu da uskladi svoje zakonodavstvo sa propisima Evropske unije, potrebno je izvršiti usklađivanje zakonodavstva donošenjem ovog zakona i time ispuniti preuzete obaveze. Kako je pristup informacionoj bezbednosti novim okvirom fundamentalno izmenjen i uvode se pojedine nove tematske oblasti u vezi sa kojima postoji pravna praznina, kao i da značajnije unapređenje institucionalnog okvira može samo zakonom da se uspostavi, ni jedna druga mogućnost osim zakonodavna izmena nije adekvatna za ostvarenje ovih ciljeva.

4.         Zašto je donošenje zakona najbolji način za rešavanje problema

Zakoni, a posebno sistemski, predstavljaju osnov za razvoj oblasti.

Svi navedeni efekti novog zakona treba da omoguće adekvatan odgovor na rizike i pretnje u vezi sa upotrebom IKT u odvijanju svakodnevnih aktivnosti, pružanju usluga i cirkulisanju podataka.

Takođe, izražena je potreba da i zakonska rešenja budu fleksibilna i otvorena za nova tehnološka dostignuća, da se zasnivaju na rešenjima sadržanim u međunarodnim dokumentima, propisima i standardima Evropske unije, a posebno na rešenjima tehnološki razvijenih zemalja.

Donošenje ovog zakona nije samo najbolji, već je, u postojećem normativnom okviru i jedini način za rešavanje problema i dostizanje ciljeva, ali i za potpuno transponovanje evropskog regulatornog okvira.

III. OBJAŠNjENjE POJEDINIH REŠENjA

Čl. 1. Nacrta zakona - Ovim zakonom se uređuju mere zaštite od bezbednosnih rizika u informaciono-komunikacionim sistemima, odgovornosti pravnih lica prilikom upravljanja i korišćenja informaciono-komunikacionih sistema, postupci i mere za postizanje visokog opšteg nivoa informacione bezbednosti i određuju se nadležni organi za sprovođenje mera zaštite, koordinaciju između činilaca zaštite i praćenje pravilne primene propisanih mera zaštite

Čl. 2. Nacrta zakona - ovim članom utvrđuje se značenje pojedinih termina u smislu ovog zakona.

Čl. 3. Nacrta zakona - ovim članom utvrđuju se načela planiranja i primene mera zaštite IKT sistema.

Član 4. Nacrta zakona - propisuje se opšte pravilo u vezi sa obradom podataka o ličnosti.

Član 5. Nacrta zakona - ovim članom utvrđuju se prioritetni operatori IKT sistema od posebnog značaja, odnosno oni operatori IKT sistema od ključnog značaja za održavanje kritičnih društvenih i ekonomskih aktivnosti čiji bi prekid ili poremećaj u pružanju usluga imao značajan uticaj na javnu bezbednost, javno zdravlje, funkcionisanje drugih sektora ili bi stvorio značajan sistemski rizik. Operatori su identifikovani prema delatnostima u sledećim oblastima: energetika, saobraćaj, bankarstvo i finansijska tržišta, zdravstvo, voda za piće, otpadne vode, digitalna infrastruktura, pružanje usluga IKT operatorima IKT sistema od posebnog značaja, upravljanje nukelarnik objektima, pružanje usluga od poverenja, pružanje usluga DNS, delatnost elektronskih komunikacija, tačka za razmenu internet saobraćaja, i ona delatnost gde postoji samo jedan pružalac usluge. Pored ovih subjekata, prioritetnim operatorima IKT sistema smatraju se organi javne vlasti, svi subjekti koji su prepoznati kao operatori kritične infrastrukture i operatori koji su po postojećem zakonu prepoznati kao operatori IKT sistema u navedenim delatnostima.

Član 6. Nacrta zakona - ovim članom uređuju se važni operatori IKT sistema od posebnog značaja koji su takođe prepoznati kao operatori u sledećim delatnnostima: poštanske usluge, upravljanje otpadom, hemikalije, hrana, računari i elektronski i optički proizvodi, električna oprema, mašine i uređaji, usluge informacionog društva, izdavanje službenog glasila, naoružanje i vojna oprema, naučnoistraživački rad, operatori u delatnostima iz člana 5. koji ne prođu sektorski prag za prioritetne operatore IKT sistema. Predviđeno je i donošenje podzakonskog akta kojim će se bliže utvrditi sektorski kriterijumi i pragovi za preciznu identifikaciju operatora prema ovoj klasifikaciji.

Član 7. Nacrta zakona - ovim članom uređuju se obaveze operatora IKT sistema u smislu ovog zakona

Član 8. Nacrta zakona - ovim članom uređuju se obaveze samostalnih operatora IKT sistema u smislu ovog zakona

Član 9. Nacrta zakona - ovim članom uređuju se pitanja vođenja evidencije opeartora IKT sistema od posebnog značaja, izuzeci od obaveze upisa na evidenciju, sadržina i podaci koji se unose u evidenciju, svrha obrade podataka o ličnosti.

Član 10. Nacrta zakona - ovim članom propisuju se mere zaštite IKT sistema koje je svaki opeartor IKT sistema od posebnog značaja dužan da preduzima.

Član 11. Nacrta zakona - ovim članom propisuje obaveza donošenja Akta o proceni rizika IKT sistema od posebnog značaja

Član 12. Nacrta zakona - ovim članom propisuje se obaveza donošenja Akta o bezbednosti IKT sistema od posebnog značaja.

Član 13. Nacrta zakona - ovim članom uređuje pitanje obaveštavanja o incidentima, pitanje prijave incidenta, podataka koji se nalaze u prijavi, rokovi i način prijavljivanja incidenta, izuzeci koji se odnose na Narodnu banku Srbije, regulatorno telo za elektronske komunikacije i samostalne operatore, postupanje po prijavi incidenta, primena protokola TLP u razmeni informacija.

Član 14-15. Nacrta zakona - ovim članovima vrši se identifikacija incidenata prema njihovom značaju i dometu, kao i nivou opasnosti i uređuje mehanizam postupanja prema nivou opasnosti incidenta.

Član 16. Nacrta zakona - ovim članom propisuje obaveza dostavljanja i obrade statističkih podataka o incidentima.

Član 17. Nacrta zakona - ovim članom uređuje se pitanje nadležnosti ministarstva nadležnog za poslove informacione bezbednosti u smislu primene ovog zakona.

Član 18. Nacrta zakona - ovim članom uspostavnja se Telo za koordinaciju poslova informacione bezbednosti.

Čl. 19-21,. Nacrta zakona - ovim članovima osniva se Kancelarija za informacionu bezbednost kao posebna organizacija sa svojstvom pravnog lica, utvrđuje se njen delokrug nadležnosti, kao i nadzor nad njenim radom.

Čl. 22. Nacrta zakona - ovim članom propisuju se poslovi Nacionalnog CERT-a u cilju prevencije i zaštite od bezbednosnih rizika i incidenata.

Čl. 23. Nacrt zakona - ovim članom utvrđuju se poslovi CERT-a Jedinstvene informaciono- komunikacione mreže elektronske uprave..

Čl. 24-25. Nacrta zakona - ovim članovima uređuje se saradnja nadležnih organa na nacionalnom nivou, kao i međunarodna saradnja i poslovi jedinstvene tačke kontakta za razmenu informacija o incidentima.

Čl. 26. Nacrta zakona - ovim članom uređuju se pitanja posebnih centara za prevenciju bezbednosnih rizika u IKT sistemima.

Čl. 27. Nacrta zakona - ovim uređuje se obaveza uspostavljanja i održavanje baze ranjivosti.

Čl. 28. Nacrta zakona - ovim članom uređuje se pitanje zaštite dece pri korišćenju IKT tehnologija.

Čl. 29-36. Nacrta zakona - ovim članovima uređuje se pitanje odobravanja kriptografskih proizvoda, distribucija kriptomaterijala i zaštita od kompromitujućeg elektromagnetnog zračenja.

Čl. 37- 38. Nacrta zakona - ovim članovima uspostavnja se inspekcija za informacinu bezbednost i propisiju ovlašćenja inspektora za informacionu bezbednost.

Čl. 39-42. Nacrta zakona - ovi članovima propisuju se iznosi novčane kazne za prekršaj koji učine pravno lice, odgovorno lice u pravnom licu, kao i preduzetnik i one su podeljene u više raspona zavisno od utvrđenog prekršaja

Čl. 43-47. Nacrta zakona - ovim članovima uređuju se prelazne i završne odredbe i to: rokovi za donošenje podzakonskih akata, primena određenih odredbi Zakona o informacionoj bezbednosti koji je na snazi, rok za prelazak nacionalnog CERT-a iz RATEL-a u Kancelariju za informacionu bezbednost, prestanak važenja Zakona o informacionoj bezbednosti i stupanje na snagu.


Izvor: Vebsajt Ministarstvo informisanja i telekomunikacija, 27.07.2023.