Zastava Bosne i Hercegovine
Email Print

PREDLOG ZAKONA O IZMENAMA I DOPUNAMA ZAKONA O INFORMACIONOJ BEZBEDNOSTI - Tekst propisa


Član 1.

U Zakonu o informacionoj bezbednosti ("Službeni glasnik RS", br. 6/16 i 94/17), u članu 2. stav 1. tačka 1) podtačka (3) reč: "pohranjujeˮ zamenjuje se rečima: "vode, čuvajuˮ.

Posle podtačke (4) dodaje se podtačka (5), koja glasi:

"(5)      sve tipove sistemskog i aplikativnog softvera i softverske razvojne alate.ˮ.

U tački 2) reči: "organ javne vlasti ili organizaciona jedinica organa javne vlastiˮ zamenjuju se rečima: "organ vlasti ili organizaciona jedinica organa vlastiˮ.

Tačka 11) menja se i glasi:

"11)      incident je svaki događaj koji ima stvaran negativan uticaj na bezbednost mrežnih i informacionih sistema;ˮ

Posle tačke 11) dodaje se tačka 11a), koja glasi:

"11a)    jedinstveni sistem za prijem obaveštenja o incidentima je informacioni sistem u koji se unose podaci o incidentima u IKT sistemima od posebnog značaja koji mogu da imaju značajan uticaj na narušavanje informacione bezbednosti;ˮ.

Tačka 15) menja se i glasi:

"15)      organ vlasti je državni organ, organ autonomne pokrajine, organ jedinice lokalne samouprave, organizacija i drugo pravno ili fizičko lice kome je povereno vršenje javnih ovlašćenja;ˮ

Tačka 24) menja se i glasi:

"24)      informaciona dobra obuhvataju podatke u datotekama i bazama podataka, programski kôd, konfiguraciju hardverskih komponenata, tehničku i korisničku dokumentaciju, zapise o korišćenju hardverskih komponenti, podataka iz datoteka i baza podataka i sprovođenju procedura ako se isti vode, unutrašnje opšte akte, procedure i slično;ˮ

Posle tačke 24) dodaju se tač. 25) i 26), koje glase:

"25)      usluga informacionog društva je usluga u smislu zakona kojim se uređuje elektronska trgovina;

26)       pružalac usluge informacionog društva je pravno lice koje je pružalac usluge u smislu zakona kojim se uređuje elektronska trgovinaˮ.

Član 2.

Posle člana 3. dodaje se član 3a, koji glasi:

"Obrada podataka o ličnosti

Član 3a

U slučaju obrade podataka o ličnosti prilikom vršenja nadležnosti i ispunjenja obaveza iz ovog zakona postupa se u skladu sa propisima koji uređuju zaštitu podataka o ličnosti.ˮ

Član 3.

U članu 5. stav 1. posle reči: "Generalnog sekretarijata Vladeˮ dodaju se reči: "Narodne banke Srbije", a reči: "CERT-a republičkih organa i Nacionalnog CERT-aˮ zamenjuju se rečima: "Centra za bezbednost IKT sistema u organima vlasti i Nacionalnog centra za prevenciju bezbednosnih rizika u IKT sistemima.ˮ

U stavu 2. reči: "organa javne vlastiˮ zamenjuju se rečima: "organa vlastiˮ.

Član 4.

Član 6. menja se i glasi:

"IKT sistemi od posebnog značaja

Član 6.

IKT sistemi od posebnog značaja su sistemi koji se koriste:

1)         u obavljanju poslova u organima vlasti;

2)         za obradu posebnih vrsta podataka o ličnosti, u smislu zakona koji uređuje zaštitu podataka o ličnosti;

3)         u obavljanju delatnosti od opšteg interesa i drugim delatnostima i to u sledećim oblastima:

(1)        energetika:

-           proizvodnja, prenos i distribucija električne energije;

-           proizvodnja i prerada uglja;

-           istraživanje, proizvodnja, prerada, transport i distribucija nafte i promet nafte i naftnih derivata;

-           istraživanje, proizvodnja, prerada, transport i distribucija prirodnog i tečnog gasa.

(2)        saobraćaj:

-           železnički, poštanski, vodni i vazdušni saobraćaj;

(3)        zdravstvo:

-           zdravstvena zaštita;

(4)        bankarstvo i finansijska tržišta:

-           poslovi finansijskih institucija;

-           poslovi vođenja registra podataka o obavezama fizičkih i pravnih lica prema finansijskim institucijama;

-           poslovi upravljanja, odnosno obavljanja delatnosti u vezi sa funkcionisanjem regulisanog tržišta;

(5)        digitalna infrastruktura:

-           razmena internet saobraćaja;

-           upravljanje registrom nacionalnog internet domena i sistemom za imenovanje na mreži (DNS sistemi)

(6)        dobra od opšteg interesa:

-           korišćenje, upravljanje, zaštita i unapređivanje dobara od opšteg interesa (vode, putevi, mineralne sirovine, šume, plovne reke, jezera, obale, banje, divljač, zaštićena područja);

(7)        usluge informacionog društva:

-           usluge informacionog društva u smislu člana 2. tačka 25) ovog zakona;

(8)        ostale oblasti:

-           elektronske komunikacije;

-           izdavanje službenog glasila Republike Srbije;

-           upravljanje nuklearnim objektima;

-           proizvodnja, promet i prevoz naoružanja i vojne opreme;

-           upravljanje otpadom;

-           komunalne delatnosti;

-           proizvodnja i snabdevanje hemikalijama;

4)         u pravnim licima i ustanovama koje osniva Republika Srbija, autonomna pokrajina ili jedinica lokalne samouprave za obavljanje delatnosti iz tačke 3) ovog stava.

Vlada, na predlog ministarstva nadležnog za poslove informacione bezbednosti, utvrđuje listu delatnosti iz stava 1. tačka 3) ovog člana.ˮ

Član 5.

Posle člana 6. dodaju se čl. 6a i 6b, koji glase:

"Obaveze operatora IKT sistema od posebnog značaja

Član 6a

Operator IKT sistema od posebnog značaja u skladu sa ovim zakonom u obavezi je da:

1)         upiše IKT sistem od posebnog značaja kojim upravlja u evidenciju operatora IKT sistema od posebnog značaja;

2)         preduzme mere zaštite IKT sistema od posebnog značaja;

3)         donese akt o bezbednosti IKT sistema;

4)         vrši proveru usklađenosti primenjenih mera zaštite IKT sistema sa aktom o bezbednosti IKT sistema i to najmanje jednom godišnje;

5)         uredi odnos sa trećim licima na način koji obezbeđuje preduzimanje mera zaštite tog IKT sistema u skladu sa zakonom, ukoliko poverava aktivnosti u vezi sa IKT sistemom od posebnog značaja trećim licima;

6)         dostavlja obaveštenja o incidentima koji značajno ugrožavaju informacionu bezbednost IKT sistema;

7)         dostavi statističke podatke o incidentima u IKT sistemu.

Evidencija operatora IKT sistema od posebnog značaja

Član 6b

Nadležni organ uspostavlja i vodi evidenciju IKT sistema od posebnog značaja (u daljem tekstu: Evidencija) koja sadrži:

1)         naziv i sedište operatora IKT sistema od posebnog značaja;

2)         ime i prezime, službena adresa za prijem elektronske pošte i službeni kontakt telefon administratora IKT sistema od posebnog značaja;

3)         ime i prezime, službena adresa za prijem elektronske pošte i službeni kontakt telefon odgovornog lica IKT sistema od posebnog značaja;

4)         podatak o vrsti IKT sistema od posebnog značaja, u skladu sa članom 6. ovog zakona.

Pored podataka iz stava 1. ovog člana, evidencija može da sadrži i druge dopunske podatke o IKT sistemu od posebnog značaja koje propisuje Nadležni organ.

Operator IKT sistema od posebnog značaja dužan je da IKT sistem od posebnog značaja kojim upravlja upiše u evidenciju iz stava 1. ovog člana.

Operator IKT sistema od posebnog značaja dužan je da nadležnom organu dostavi podatke iz stava 1. ovog člana najkasnije 90 dana od dana usvajanja propisa iz stava 2. ovog člana, odnosno 90 dana od dana uspostavljanja IKT sistema od posebnog značaja.

Nadležni organ stavlja na raspolaganje Nacionalnom centru za prevenciju bezbednosnih rizika u IKT sistemima (u daljem tekstu: nacionalni CERT) ažurnu evidenciju iz stava 1. ovog člana.ˮ

Član 6.

U članu 7. stav 2. reč: "minimizacijaˮ zamenjuje se rečju: "smanjenjeˮ.

U stavu 3. tačka 11) reč: "odnosnoˮ zamenjuje se rečju: "iˮ.

U tački 23) reči: "pitanja informacione bezbednostiˮ zamenjuju se rečima: "ispunjenje zahteva za informacionu bezbednostˮ.

Član 7.

Član 11. menja se i glasi:

"Obaveštavanje o incidentima

Član 11.

Operatori IKT sistema od posebnog značaja obaveštavanje o incidentima u IKT sistemima koji mogu da imaju značajan uticaj na narušavanje informacione bezbednosti vrše preko veb stranice Nadležnog organa ili Nacionalnog CERT-a u jedinstveni sistem za prijem obaveštenja o incidentima kojeg održava Nadležni organ.

Ukoliko organi iz stava 1. ovog člana budu obavešteni o incidentu na drugi način, podatke o incidentu unose u sistem iz stava 1. ovog člana.

Izuzetno od stava 1. ovog člana, obaveštenje o incidentima se upućuje:

1)         Narodnoj banci Srbije, u slučaju incidenata u IKT sistemima iz člana 6. stav 1. tačka 3) podtačka (4) alineje prva i druga ovog zakona;

2)         regulatornom telu za elektronske komunikacije u slučaju incidenata u IKT sistemima iz člana 6. stav 1. tačka 3) podtačka 8) alineja prva ovog zakona.

Narodna banka Srbije i regulatorno telo za elektronske komunikacije obaveštenja iz stava 3. ovog člana dostavljaju u jedinstveni sistem za prijem obaveštenja o incidentima na način iz stava 1. ovog člana.

Nakon prijave incidenta, ukoliko je incident i dalje u toku, operatori IKT sistema od posebnog značaja dostavljaju obaveštenja o bitnim događajima u vezi sa incidentom i aktivnostima koje preduzimaju do prestanka incidenta organu kome su u skladu sa ovim zakonom prijavili incident.

Operatori IKT sistema od posebnog značaja dostavljaju završni izveštaj o incidentu organu koga su u skladu sa ovim zakonom obaveštavali o incidentu u roku od 15 dana od dana prestanka incidenta, a koji obavezno sadrži vrstu i opis incidenta, vreme i trajanje incidenta, posledice koje je incident izazvao, preduzete aktivnosti radi otklanjanja posledica incidenta i, po potrebi, druge relevantne informacije.

U slučaju incidenata u IKT sistemima za rad sa tajnim podacima operatori tih IKT sistema postupaju u skladu sa propisima kojima se uređuje oblast zaštite tajnih podataka.

Odredbe st. 1. i 7. ovog člana ne odnose se na samostalne operatore IKT sistema.

Vlada, na predlog Nadležnog organa, uređuje postupak obaveštavanja o incidentima, listu, vrste i značaj incidenata prema nivou opasnosti, postupanje i razmenu informacija o incidentima između organa iz člana 5. ovog zakona.

Ako je incident od interesa za javnost, Nadležni organ, odnosno organ iz stava 3. ovog člana kome se upućuju obaveštenja o incidentima, može objaviti informaciju o incidentu, nakon savetovanja sa operatorom IKT sistema od posebnog značaja u kome se incident dogodio.

Ako je incident vezan za izvršenje krivičnih dela koja se gone po službenoj dužnosti, organ kome je upućeno obaveštenje o incidentu, obaveštava nadležno javno tužilaštvo, odnosno ministarstvo nadležno za unutrašnje poslove.

Ako je incident povezan sa značajnim narušavanjem informacione bezbednosti, koje ima ili može imati za posledicu ugrožavanje odbrane Republike Srbije, organ kome je upućeno obaveštenje o incidentu obaveštava Vojnobezbednosnu agenciju.

Ako je incident povezan sa značajnim narušavanjem informacione bezbednosti, koje ima ili može imati za posledicu ugrožavanje nacionalne bezbednosti, organ kome je upućeno obaveštenje o incidentu obaveštava Bezbednosno-informativnu agenciju.

U slučaju nastupanja okolnosti ugrožavanja, ometanja rada ili uništenja IKT sistema od posebnog značaja rukovođenje i koordinaciju sprovođenja mera i zadataka u navedenim okolnostima preduzima Republički štab za vanredne situacije, u skladu sa zakonom.ˮ

Član 8.

Posle člana 11. dodaju se čl. 11a i 11b, koji glase:

"Incidenti u IKT sistemima od posebnog značaja koji mogu da imaju značajan uticaj na narušavanje informacione bezbednosti

Član 11a

Operator IKT sistema od posebnog značaja dužan je da prijavi sledeće incidente koji mogu da imaju značajan uticaj na narušavanje informacione bezbednosti:

1)         incidente koji dovode do prekida kontinuiteta vršenja poslova i pružanja usluga, odnosno znatnih teškoća u vršenju poslova i pružanju usluga;

2)         incidente koji utiču na veliki broj korisnika usluga, ili traju duži vremenski period;

3)         incidente koji dovode do prekida kontinuiteta, odnosno teškoća u vršenju poslova i pružanja usluga, koji utiču na obavljanje poslova i vršenje usluga drugih operatora IKT sistema od posebnog značaja ili utiču na javnu bezbednost;

4)         incidente koji dovode do prekida kontinuiteta, odnosno teškoće u vršenju poslova i pružanju usluga i imaju uticaj na veći deo teritorije Republike Srbije;

5)         incidente koji dovode do neovlašćenog pristupa zaštićenim podacima čije otkrivanje može ugroziti prava i interese onih na koje se podaci odnose;

6)         incidente koji su nastali kao posledica incidenta u IKT sistemu iz člana 6. stav 1. tačka 3) podtačka (7) ovog zakona, kada IKT sistem od posebnog značaja u svom poslovanju koristi informacione usluge IKT sistema iz člana 6. stav 1. tačka 3) podtačka (7) ovog zakona.

Operator IKT sistema od posebnog značaja dužan je da prijavi i incidente koji su doveli do značajnog povećanja rizika od nastupanja posledica iz stava 1. ovog člana.

Dostavljanje statističkih podataka o incidentima

Član 11b

Operator IKT sistema od posebnog značaja dužan je da, pored obaveštavanja o incidentima iz člana 11. ovog zakona, dostavi Nacionalnom CERT-u statističke podatke o svim incidentima u IKT sistemu u prethodnoj godini najkasnije do 28. februara tekuće godine.

Nacionalni CERT objedinjene statističke podatke iz stava 1. ovog člana dostavlja Nadležnom organu i objavljuje ih na veb stranici Nacionalnog CERT-a.

Vrstu, formu i način dostavljanja statističkih podataka iz stava 1. ovog člana utvrđuje Nacionalni CERT.".

Član 9.

U članu 12. stav 1. tačka 1) reči: "visoki riziciˮ zamenjuju se rečju: "visokorizičniˮ.

Član 10.

Iznad člana 13. dodaje se naziv člana, koji glasi: "Samostalni operatori IKT sistemaˮ.

Član 11.

Posle člana 13. dodaje se član 13a, koji glasi:

"Shodna primena odredaba o samostalnim operatorima IKT sistema

Član 13a

Na Narodnu banku Srbije kao operatora IKT sistema shodno se primenjuju odredbe čl. 13, 15, 15a, 19, 22, 26, 27. i 28. ovog zakona koje se odnose na samostalne operatore IKT sistema.

Na Narodnu banku Srbije kao operatora IKT sistema shodno se primenjuju i odredbe čl. 11. i 11a ovog zakona koje se odnose na operatore IKT sistema od posebnog značaja.ˮ

Član 12.

U nazivu člana 14. i u stavu 1. reči: "Nacionalni centar za prevenciju bezbednosnih rizika u IKT sistemima (u daljem tekstu: Nacionalni CERT)ˮ zamenjuju se rečima: "Nacionalni CERTˮ.

Član 13.

Član 15. menja se i glasi:

"Delokrug Nacionalnog CERT-a

Član 15.

Nacionalni CERT prikuplja i razmenjuje informacije o rizicima za bezbednost IKT sistema, kao i događajima koji ugrožavaju bezbednost IKT sistema i u vezi toga obaveštava, pruža podršku, upozorava i savetuje lica koja upravljaju IKT sistemima u Republici Srbiji, kao i javnost, a posebno:

1)         prati stanje o incidentima na nacionalnom nivou,

2)         pruža rana upozorenja, uzbune i najave i informiše relevantna lica o rizicima i incidentima,

3)         reaguje po prijavljenim ili na drugi način otkrivenim incidentima u IKT sistemima od posebnog značaja, kao i po prijavama fizičkih i pravnih lica, tako što pruža savete i preporuke na osnovu raspoloživih informacija o incidentima i preduzima druge potrebne mere iz svoje nadležnosti na osnovu dobijenih saznanja,

4)         kontinuirano izrađuje analize rizika i incidenata,

5)         podiže svest kod građana, privrednih subjekata i organa vlasti o značaju informacione bezbednosti, o rizicima i merama zaštite, uključujući sprovođenje kampanja u cilju podizanja te svesti,

6)         vodi evidenciju Posebnih CERT-ova,

7)         izveštava Nadležni organ na kvartalnom nivou o preduzetim aktivnostima.

Nacionalni CERT je ovlašćen da vrši obradu podataka o licu koje se obrati Nacionalnom CERT-u u skladu sa zakonom koji uređuje zaštitu podataka o ličnosti i drugim propisima.

Obrada podataka o licu iz stava 1. tačka 3) ovog člana obuhvata ime, prezime i broj telefona i/ili adresu elektronske pošte i vrši se u svrhu evidentiranja podnetih prijava, informisanja podnosioca prijave o statusu predmeta i, u slučaju potrebe, upućivanja prijave nadležnim organima radi daljeg postupanja, u skladu sa zakonom.

Nacionalni CERT obezbeđuje neprekidnu dostupnost svojih usluga putem različitih sredstava komunikacije.

Prostorije i informacioni sistemi Nacionalnog CERT-a moraju da se nalaze na bezbednim lokacijama.

U cilju obezbeđivanja kontinuiteta rada, Nacionalni CERT treba da:

1)         bude opremljen sa odgovarajućim sistemima za obavljanje poslova iz svog delokruga;

2)         ima dovoljno zaposlenih kako bi se osigurala dostupnost u svako doba;

3)         obezbedi infrastrukturu čiji je kontinuitet osiguran, odnosno da obezbedi redundantne sisteme i rezervni radni prostor.

Nacionalni CERT neposredno sarađuje sa Nadležnim organom, Posebnim CERT-ovima u Republici Srbiji, sličnim organizacijama u drugim zemljama, sa javnim i privrednim subjektima, CERT-ovima samostalnih operatora IKT sistema, kao i sa CERT-om organa vlasti.

Nacionalni CERT promoviše usvajanje i korišćenje propisanih i standardizovanih procedura za:

1)         upravljanje i saniranje rizika i incidenata;

2)         klasifikaciju informacija o rizicima i incidentima, odnosno klasifikaciju prema nivou incidenata i rizika.ˮ

Član 14.

Posle člana 15. dodaje se član 15a, koji glasi:

"Saradnja CERT-ova u Republici Srbiji

Član 15a

Nacionalni CERT, CERT organa vlasti i CERT-ovi samostalnih operatora IKT sistema održavaju kontinuiranu saradnju.

CERT-ovi iz stava 1. ovog člana održavaju međusobne sastanke u organizaciji Nacionalnog CERT-a najmanje tri puta godišnje, kao i po potrebi u slučaju incidenata koji značajno ugrožavaju informacionu bezbednost u Republici Srbiji.

Sastancima CERT-ova iz stava 1. ovog člana prisustvuju i predstavnici Nadležnog organa.

Sastancima CERT-ova iz stava 1. ovog člana mogu, po pozivu, da prisustvuju i predstavnici posebnih CERT-ova, kao i druga lica.ˮ

Član 15.

Iznad člana 16. dodaje se naziv člana koji glasi: "Nadzor nad radom Nacionalnog CERT-aˮ.

Član 16.

U članu 17. stav 2. posle reči: "pravnog licaˮ dodaju se reči: "sa sedištem na teritoriji Republike Srbijeˮ.

U stavu 4. posle reči: "pošteˮ dodaje se zapeta i reči: "a u svrhu angažovanja posebnih CERT-ova u slučaju bezbednosnih rizika i incidenata u IKT sistemima.ˮ.

Stav 5. menja se i glasi:

"Nacionalni CERT propisuje sadržaj, način upisa i vođenja evidencije iz stava 3. ovog člana.ˮ

Član 17.

Član 18. menja se i glasi:

"Centar za bezbednost IKT sistema u organima vlasti (CERT organa vlasti)

"Član 18.

CERT organa vlasti obavlja poslove koji se odnose na zaštitu od incidenata u IKT sistemima organa vlasti, izuzev IKT sistema samostalnih operatora.

Poslove CERT-a organa vlasti obavlja organ nadležan za projektovanje, razvoj, izgradnju, održavanje i unapređenje računarske mreže republičkih organa.

Poslovi CERT-a organa vlasti obuhvataju:

1)         zaštitu Jedinstvene informaciono-komunikacione mreže elektronske uprave;

2)         koordinaciju i saradnju sa operatorima IKT sistema koje povezuje jedinstvena mreža iz tačke 1) ovog stava u prevenciji incidenata, otkrivanju incidenata, prikupljanju informacija o incidentima i otklanjanju posledica incidenata;

3)         izdavanje stručnih preporuka za zaštitu IKT sistema organa vlasti, osim IKT sistema za rad sa tajnim podacima.ˮ

Član 18.

Iznad člana 19. dodaje se naziv člana koji glasi: "CERT samostalnog operatora IKT sistemaˮ.

U stavu 2. reči: "republičkih organaˮ zamenjuju se rečima: "organa vlastiˮ.

Član 19.

Posle člana 19. dodaje se član 19a, koji glasi:

"Zaštita dece pri korišćenju informaciono-komunikacionih tehnologija

Član 19a

Nadležni organ preduzima preventivne mere za bezbednost i zaštitu dece na internetu, kao aktivnosti od javnog interesa, putem edukacije i informisanja dece, roditelja i nastavnika o prednostima, rizicima i načinima bezbednog korišćenja interneta, kao i putem jedinstvenog mesta za pružanje saveta i prijem prijava u vezi bezbednosti dece na internetu, i upućuje prijave nadležnim organima radi daljeg postupanja.

Operator elektronskih komunikacija koji pruža javno dostupne telefonske usluge dužan je da omogući svim pretplatnicima uslugu besplatnog poziva prema jedinstvenom mestu za pružanje saveta i prijem prijava u vezi bezbednosti dece na internetu.

U slučaju da navodi iz prijave upućuju na postojanje krivičnog dela, na povredu prava, zdravstvenog statusa, dobrobiti i/ili opšteg integriteta deteta, na rizik stvaranja zavisnosti od korišćenja interneta, prijava se prosleđuje nadležnom organu vlasti radi postupanja u skladu sa utvrđenim nadležnostima.

Nadležni organ je ovlašćen da vrši obradu podataka o licu koje se obrati Nadležnom organu u skladu sa zakonom koji uređuje zaštitu podataka o ličnosti i drugim propisima.

Obrada podataka o licu iz stava 4. ovog člana obuhvata ime, prezime i broj telefona i/ili adresu elektronske pošte i vrši se u svrhu evidentiranja podnetih prijava, informisanja podnosioca prijave o statusu predmeta i, u slučaju potrebe, upućivanja prijave nadležnim organima radi daljeg postupanja, u skladu sa zakonom.

Podaci o ličnosti iz stava 5. ovog člana čuvaju se u rokovima predviđenim propisima koji uređuju kancelarijsko poslovanje.

U cilju obezbeđivanja kontinuiteta rada jedinstvenog mesta za pružanje saveta i prijem prijava u vezi bezbednosti dece na internetu, Nadležni organ treba da:

1)         bude opremljen sa odgovarajućim sistemima za prijem prijava;

2)         ima dovoljno zaposlenih kako bi se osigurala dostupnost u radu;

3)         obezbedi infrastrukturu čiji je kontinuitet osiguran.

Vlada bliže uređuje način sprovođenja mera za bezbednost i zaštitu dece na internetu iz st. 1. i 3. ovog člana.ˮ

Član 20.

Člana 30. menja se i glasi:

"Član 30.

Novčanom kaznom u iznosu od 50.000,00 do 2.000.000,00 dinara kazniće se za prekršaj operator IKT sistema od posebnog značaja ako:

1)         ne izvrši upis u evidenciju u roku iz člana 6b stav 4. ovog zakona;

2)         ne donese Akt o bezbednosti IKT sistema iz člana 8. stav 1. ovog zakona;

3)         ne primeni mere zaštite određene Aktom o bezbednosti IKT sistema iz člana 8. stav 2. ovog zakona;

4)         ne izvrši proveru usklađenosti primenjenih mera iz člana 8. stav 4. ovog zakona;

5)         ne dostavi statističke podatke iz člana 11b stav 1. ovog zakona;

6)         ne postupi po nalogu inspektora za informacionu bezbednost u ostavljenom roku iz člana 29. stav 1. tačka 1. ovog zakona.

Za prekršaj iz stava 1. ovog člana kazniće se i odgovorno lice u operatoru IKT sistema od posebnog značaja novčanom kaznom u iznosu od 5.000,00 do 50.000,00 dinara.ˮ

Član 21.

Član 31. menja se i glasi:

"Član 31.

Novčanom kaznom u iznosu od 50.000,00 do 500.000,00 dinara kazniće se za prekršaj operator IKT sistema od posebnog značaja ako:

1)         o incidentima u IKT sistemu ne obavesti organe iz člana 11. st. 1, 3. i 7. ovog zakona;

2)         ne dostavlja obaveštenja o bitnim događajima u vezi sa incidentom i aktivnostima iz člana 11. stav 5. ovog zakona;

3)         ne dostavi završni izveštaj u roku iz člana 11. stav 6. ovog zakona.

Za prekršaje iz stava 1. ovog člana kazniće se i odgovorno lice u operatoru IKT sistema od posebnog značaja novčanom kaznom u iznosu od 5.000,00 do 50.000,00 dinara.

Izuzetno od st. 1. i 2. ovog člana, ako finansijska institucija ne obavesti Narodnu banku Srbije o incidentima u IKT sistemu od posebnog značaja, Narodna banka Srbije izriče toj finansijskoj instituciji mere i kazne u skladu sa zakonom kojim se uređuje njeno poslovanje."

Član 22.

Podzakonski akti iz čl. 4, 7. i 19. ovog zakona doneće se u roku od šest meseci od dana stupanja na snagu ovog zakona.

Podzakonski akti iz čl. 5. i 8. ovog zakona doneće se u roku od tri meseca od dana stupanja na snagu ovog zakona.

Član 23.

Ovaj zakon stupa na snagu osmog dana od dana objavljivanja u "Službenom glasniku Republike Srbije".

IZ OBRAZLOŽENJA

II. RAZLOZI ZA DONOŠENjE ZAKONA

            Zakon o informacionoj bezbednosti ("Službeni glasnik RS", br. 6/16 i 94/17) donet je u januaru 2016. godine i uredio je mere zaštite od bezbednosnih rizika u informaciono-komunikacionim sistemima, odgovornosti pravnih lica prilikom upravljanja i korišćenja informaciono-komunikacionih sistema i nadležne organe za sprovođenje mera zaštite, koordinaciju između činilaca zaštite i praćenje pravilne primene propisanih mera zaštite. Ovaj zakon donet je u periodu pre usvajanja Direktive EU o merama za visok nivo bezbednosti mrežnih i informacionih sistema u Evropskoj uniji broj 2016/1148 (NIS direktiva), koja je usvojena u julu 2016. godine. Iako je bio donet pre usvajanja ove direktive, Zakon je u velikoj meri usklađen sa ovom direktivom, budući da sadrži rešenja koja odgovaraju odredbama navedene direktive. Izradi izmena i dopuna Zakona o informacionoj bezbednosti pristupilo se prvenstveno iz dva razloga: prvi je preostalo usklađivanje sa odredbama NIS direktive radi postizanja potpune usaglašenosti, a drugi je unapređenje postojećih zakonodavnih rešenja na bazi potreba utvrđenih na osnovu dosadašnje primene zakona.

            Radi preostalih usklađivanja sa NIS direktivom, u Predlogu zakona izvršene su sledeće izmene i dopune:

-           dopuna oblasti u kojima se koriste IKT sistemi od posebnog značaja, i to oblast digitalne infrastrukture i usluga informacionog društva (član 6.);

-           određeno je da se pre javnog objavljivanja obaveštenja o incidentu od strane nadležnog organa izvrše prethodne konsultacije sa operatorom IKT sistema od posebnog značaja koji je dostavio obaveštenje o incidentu (član 11.);

-           predviđena je dopuna odredaba o Nacionalnom CERT-u koje se odnose na njegovu nadležnost i potrebne kapacitete (član 15.).

Tokom primene zakona utvrđena je potreba za izmenom i dopunom određenih normi, u cilju efikasnijeg sprovođenja zakona u praksi. Shodno tome, Predlogom zakona predviđeno je sledeće:

-           uključivanje Narodne banke Srbije u rad Tela za koordinaciju poslova informacione bezbednosti (član 5.);

-           dopuna oblasti u kojima se koriste IKT sistemi od posebnog značaja (proizvodnja i snabdevanje hemikalijama, član 6.);

-           taksativno su nabrojane obaveze IKT sistema od posebnog značaja (član 6a);

-           uspostavljanje Evidencije operatora IKT sistema od posebnog značaja (član 6b);

-           definisan je način obaveštavanja o incidentima koji značajno ugrožavaju informacionu bezbednost preko portala Nadležnog organa ili Nacionalnog CERT-a u jedinstveni sistem za prijem obaveštenja o incidentima (član 11.);

-           obaveza Narodne banke Srbije i RATEL-a da dobijena obaveštenja o incidentu proslede Nadležnom organu (član 11.);

-           dostavljanje obaveštenja o incidentu koji je povezan sa značajnim narušavanjem informacione bezbednosti, koje ima ili može imati za posledicu ugrožavanje nacionalne bezbednosti, Bezbednosno-informativnoj agenciji (član 11.);

-           definisani su incidenti koji treba da se prijave, a koji mogu da imaju značajan uticaj na narušavanje informacione bezbednosti (član 11a);

-           određena je obaveza IKT sistema od posebnog značaja da dostavljaju statističke podatke o incidentima koji mogu da imaju značajan uticaj na narušavanje informacione bezbednosti (član 11b);

-           definisana je saradnja CERT-ova u Republici Srbiji (član 15a);

-           dodate su odredbe o zaštiti pri korišćenju informaciono-komunikacionih tehnologija (član 19a).

Navedene izmene zakona doprineće boljoj povezanosti svih relevantnih aktera u oblasti informacione bezbednosti, budući da se Predlogom zakona predviđa uspostavljanje evidencije IKT sistema od posebnog značaja. Na taj način Nadležni organ i Nacionalni CERT imaće mogućnost intenzivnije saradnje sa svim operatorima IKT sistema od posebnog značaja, naročito u slučaju kada se dešava incident, ali u smislu pružanja podrške, preporuke i saveta za zaštitu IKT sistema od posebnog značaja.

Značajno unapređenje leži i u činjenici da je Nadležni organ uspostavio Jedinstveni sistem za prijem obaveštenja o incidentima, tako da ih IKT sistemi od posebnog značaja obaveštenja mogu prosleđivati preko portala Nadležnog organa i Nacionalnog CERT-a. Ovo rešenje doprinosi efikasnosti prijavljivanja incidenata, kao i potpunoj informisanosti svih relevantnih učesnika (Nadležni organ, Nacionalni CERT) koji potom mogu da učestvuju u otklanjanju incidenta.

Takođe, Predlog zakona predviđa odredbe o Nacionalnom CERT-u koje se odnose na jačanje kapaciteta Nacionalnog CERT-a, kako bi se uspostavilo blagovremena i efikasna podrška u slučaju incidenta, a za takvu vrstu podrške neophodno je stručno osoblje, odgovarajuća infrastruktura u smislu opreme i prostorija za rad, čije obezbeđivanje je predviđeno Predlogom zakona. Kako Nacionalni CERT ima i ulogu prevencije u oblasti informacione bezbednosti, predviđeno je dostavljanje statističkih podataka od strane IKT sistema od posebnog značaja na bazi kojih će Nacionalni CERT imati mogućnost izrade adekvatnih analiza u oblasti informacione bezbednosti i na osnovu čega će pripremati preporuke i savete za mere zaštite u ovoj oblasti.

S obzirom da je prepoznata potreba za kontinuiranom saradnjom CERT-ova u Republici Srbiji, predviđene su odredbe kojima se definiše ova saradnja kroz organizaciju redovnih zajedničkih sastanaka, a posebno u slučaju incidenata koji značajno ugrožavaju informacionu bezbednost u Republici Srbiji.

Imajući u vidu važnost pitanja bezbednosti na internetu, Predlogom zakona definisane su odredbe kojima se predviđaju mere za bezbednost i zaštitu na internetu, kao i generalno prilikom korišćenja informaciono-komunikacionih tehnologija.

III. OBJAŠNjENjE OSNOVNIH PRAVNIH INSTITUTA I POJEDINAČNIH REŠENjA

U članu 1. vrše se izmene i dopune pojmova u Zakonu.

Članom 2. dodaje se novi član 3a koji se odnosi na obradu podataka o ličnosti prilikom vršenja nadležnosti i ispunjenja obaveza iz ovog zakona.

Članom 3. dopunjuje se član 5. Zakona tako što se predviđa uključenje Narodne banke Srbije u rad Tela za koordinaciju poslova informacione bezbednosti.

U članu 4. menja se član 6. Zakona koji se odnosi na određivanje IKT sistema od posebnog značaja u Republici Srbiji.

Članom 5. dodaju se novi čl. 6a i 6b koji se odnose na definisanje obaveza IKT sistema od posebnog značaja i na Evidenciju operatora IKT sistema od posebnog značaja.

Članom 6. vrše se preciziranja pojedinih termina koji se odnose na mere zaštite IKT sistema od posebnog značaja.

U članu 7. menja se član 11. Zakona kojim se uređuje obaveštavanje o incidentima koji mogu da imaju značaj na narušavanje informacione bezbednosti.

U članu 8. dodaju se novi čl. 11a i 11b, koji uređuju značajne incidente koje treba prijaviti, kao i dostavljanje statističkih podataka o incidentima Nacionalnom CERT-u.

U članu 9. vrši se jezičko prilagođavanje u članu 12. Zakona.

Članom 10. dodaje se naziv člana 13. koji glasi: "Samostalni operatori IKT sistema".

Članom 11. predviđa se shodna primena odredaba o samostalnim operatorima IKT sistema na Narodnu banku Srbije.

Članom 12. se menja član 14. iz pravnotehničkih razloga, budući da se pun naziv Nacionalnog centra za prevenciju bezbednosnih rizika u IKT sistemima i skraćenje njegovog naziva već pojavljuju u članu 6b Zakona.

Članom 13. menja se član 15. koji uređuje nadležnosti Nacionalnog CERT-a.

Članom 14. dodaje se član 15a kojim se uređuje saradnja CERT-ova u Republici Srbiji.

Članom 15. se dodaje se naziv člana 16. "Nadzor nad radom Nacionalnog CERT-a".

Članom 16. vrši se promena člana 17. tako da određuje da Nacionalni CERT donosi Pravilnik o bližim uslovima za upis u Evidenciju Posebnih centara za prevenciju bezbednosnih rizika u IKT sistemima.

Članom 17. vrši se izmena u članu 18. koji se odnosi na promenu naziva dosadašnjeg CERT-a republičkih organa.

Članom 18. dopunjuje se član 19. Zakona tako što se dodaje naziv koji glasi: "CERT samostalnog operatora IKT sistema".

Članom 19. dodaje se novi član 19a koji reguliše zaštitu pri korišćenju informaciono-komunikacionih tehnologija.

Čl. 20. i 21. menjaju se i dopunjuju prekršajne odredbe Zakona.

Članom 22. utvrđuju se rokovi za donošenje podzakonskih akata.

Članom 23. utvrđuje se stupanje na snagu ovog zakona.

VI. ANALIZA EFEKATA ZAKONA O IZMENAMA I DOPUNAMA ZAKONA O INFORMACIONOJ BEZBEDNOSTI

1) Koji pokazatelji se prate u oblasti, koji su razlozi zbog kojih se ovi pokazatelji prate i koje su njihove vrednosti?

U oblasti informacione bezbednosti pokazatelji koji se prate odnose se na:

-           primenu mera od bezbednosnih rizika u informaciono-komunikacionim sistemima i

-           incidente koji značajno ugrožavaju informacionu bezbednost, a kojima su izloženi IKT sisteme pod posebnog značaja.

Naime, Zakonom i informacionoj bezbednosti ("Službeni glasnik RS", br. 6/16 i 94/17) (u daljem tekstu: Zakon) definisani su operatori IKT sistema od posebnog značaja, kao i mere zaštite, odnosno tehničke i organizacione mere koje su operatori IKT sistemi od posebnog značaja u obavezi da primenjuju, a u cilju održavanja adekvatnog nivoa bezbednosti sistema.

Shodno tome, operatori IKT sistema od posebnog značaja dužni su da donesu akt o bezbednosti IKT sistema i definišu mere zaštite, a naročito principe, način i procedure postizanja i održavanja adekvatnog nivoa bezbednosti sistema, kao i ovlašćenja i odgovornosti u vezi sa bezbednošću i resursima IKT sistema od posebnog značaja.

Inspekcijskim nadzorom nad radom operatora IKT sistema od posebnog značaja utvrđuje se da li su operatori doneli akt o bezbednosti i primenili mere zaštite, odnosno da li je uspostavljen adekvatan nivo bezbednosti sistema. Inspekcijski nadzor do sada nije vršen, budući da je prvi inspektor u novoformiranoj inspekciji za informacionu bezbednost zaposlen u drugoj polovini 2018. godine i, shodno tome, inspekcijski nadzor se sprovodi od 2019. godine.

Operatori IKT sistema od posebnog značaja u skladu sa Zakonom obavezni su da obaveste Nadležni organ, odnosno Ministarstvo trgovine, turizma i telekomunikacija o incidentima u IKT sistemima koji mogu da imaju značajan uticaj na narušavanje informacione bezbednosti.

Na osnovu prijavljenih incidenata Nacionalni centar za prevenciju bezbednosnih rizika u IKT sistemima (u daljem tekstu: Nacionalni CERT) reaguje po prijavljenim ili na drugi način otkrivenim incidentima, tako što pruža savete na osnovu raspoloživih informacija licima koja su pogođena incidentom i preduzima druge potrebne mere iz svoje nadležnosti na osnovu dobijenih saznanja. Nacionalni CERT na osnovu prijavljenih incidenata prati trendove u ovoj oblasti i kontinuirano izrađuje analize rizika i incidenata. Prema izveštajima Nacionalnog CERT-a u 2017. godini prijavljeno je 17 incidenata koji značajno ugrožavaju informacionu bezbednost, a u 2018. godini ukupno 31 incident.

2) Da li se u predmetnoj oblasti sprovodi ili se sprovodio dokument javne politike ili propis? Predstaviti rezultate sprovođenja tog dokumenta javne politike ili propisa i obrazložiti zbog čega dobijeni rezultati nisu u skladu sa planiranim vrednostima.

U predmetnoj oblasti na snazi je Strategija razvoja informacione bezbednosti u Republici Srbiji za period od 2017. do 2020. godine ("Službeni glasnik RS", broj 53/17), kao i akcioni plan za 2018. i 2019. godinu kojim se bliže definišu aktivnosti predviđene ovom strategijom. U skladu sa navedenim dokumentima, u prethodnom periodu sprovedene su sledeće aktivnosti u okviru strateških prioriteta:

1) Bezbednost informaciono-komunikacionih sistema, što se odnosi na rizike narušavanja funkcionisanja organa vlasti, privrede i organizacija kao posledica incidenata u informaciono-komunikacionim sistemima:

-           uspostavljeno je Vladino Telo za koordinaciju poslova informacione bezbednosti u Republici Srbiji, koje čine predstavnici organa čiji su poslovi od značaja za informacionu bezbednost;

-           uspostavljen je Nacionalni CERT u okviru RATEL-a;

-           uspostavljen je CERT republičkih organa, kao i CERT-ovi samostalnih operatora IKT sistema;

-           registrovano je 6 posebnih CERT-ova;

-           uspostavljen je jedinstveni sistem za prijem obaveštenja o incidentima u IKT sistemima od posebnog značaja;

-           formirana je inspekcija za informacionu bezbednost u Ministarstvu trgovine, turizma i telekomunikacija;

-           Nacionalni CERT i CERT MUP akreditovani su na "Trusted Introducer" listi.

2) informaciona bezbednost građana, što se odnosi na rizike narušavanja bezbednosti građana zloupotrebom informaciono-komunikacionih tehnologija:

-           U februaru 2017. godine Ministarstvo trgovine, turizma i telekomunikacija je osnovalo Nacionalni kontakt centar za bezbednost dece na internetu. Putem Nacionalnog kontakt centra za bezbednost dece na internetu, pored savetovanja, omogućava se i prijem prijava štetnog, neprimerenog i nelegalnog sadržaja i ponašanja na internetu, odnosno ugroženosti interesa i prava dece, telefonskim putem i putem elektronskog obrasca na veb sajtu. Počev od osnivanja, ukupna komunikacija registrovana u Nacionalnom kontakt centru za bezbednost dece na internetu ostvarena putem telefonskih poziva, mejlova, prijava putem sajta i društvenih mreža od osnivanja iznosi 7.965.

-           Radi unapređenja saradnje i razmene ideja, operateri/edukatori Nacionalnog kontakt centra za bezbednost dece na internetu održali su do danas prezentacije na temu bezbednosti dece na internetu i to:

•           Za 150 zaposlenih u domovima zdravlja (direktorima, pedijatrima školskih dispanzera i psiholozima) i

•           Za 12.405 dece i 4.335 roditelja u 112 osnovnih škola

-           Od 2016. godine Ministarstvo trgovine, turizma i telekomunikacija svake godine sprovodi "IT karavan", edukativnu kampanju za promociju korisne, kreativne i bezbedne upotrebe informacionih tehnologija. i uključuje edukaciju o bezbednosti dece na internetu (predstave za decu, interaktivni razgovori sa decom kroz ilustrativne primere, takmičarski kviz i sl.). IT karavan, održana je četvrtu godinu za redom u 2019. godini. Do sada je ovom kampanjom obuhvaćeno ukupno 58 osnovnih škola, više od 11.000 đaka, a direktan prenos prezentacije, koji je prethodne godine organizovan iz Niša i Novog Pazara, pratilo je putem interneta još oko 800 škola.

3) borba protiv visokotehnološkog kriminala, što se odnosi na prevenciju i sankcionisanje krivičnih dela koja se zasnivaju na zloupotrebi informaciono-komunikacionih tehnologija;

-           Republika Srbija je potpisnica Konvencije o visokotehnološkom kriminalu, Dodatnog protokola uz Konvenciju o visokotehnološkom kriminalu koji se odnosi na inkriminaciju dela rasističke i ksenofobične prirode izvršenih preko računarskih sistema, kao i Konvencija Saveta Evrope o zaštiti dece od seksualnog iskorišćavanja i seksualnog zlostavljanja.

-           Republika Srbija je učestvovala u projektu "Saradnja u borbi protiv kriminala u sajber prostoru: ciljanje imovine stečene kriminalom na internetu u Jugoistočnoj Evropi i Turskoj"; naučno-istraživačkom projektu "Advanced Tools for fighting online illegal trafficking - ANITA (787061)" u sklopu Horizon 2020; projektu Evropske unije i Saveta Evrope iPROCEEDS@IPA koji ima za cilj osposobljavanje i jačanje kapaciteta državnih organa nadležnih za borbu protiv visokotehnološkog kriminala u Republici Srbiji i zemljama u regionu u postupcima oduzimanja imovine u predmetima visokotehnološkog kriminala.

-           Prema podacima Posebnog odeljenja za borbu protiv visokotehnološkog kriminala u proteklih pet godina na teritoriji Republike Srbije (period 2013-2017. godina) stopa kriminala je u porastu.

4) informaciona bezbednost Republike Srbije, što se odnosi na rizike narušavanja nacionalne bezbednosti putem informaciono-komunikacionih sistema;

-           Od 2016. godine u Republici Srbiji organizuju se na godišnjem nivou sajber vežbe "Sajber Tesla" u saradnji Vojske Srbije i Nacionalne garde Ohaja.

-           U cilju podizanja kapaciteta zaposlenih u CERT-ovima u Republici Srbiji, uključujući i CERT-ove samostalnih operatora, u okviru projekta "Unapređenje informacione bezbednosti" na Zapadnom Balkanu organizovane su treninzi i obuke.

5) međunarodna saradnja, što podrazumeva saradnju sa stranim državnim organima, međunarodnim organizacijama i drugim partnerima u oblasti informacione bezbednosti.

-           Republika Srbija postala član Globalnog foruma za sajber ekspertizu u 2018. godini;

-           Republika Srbija aktivno učestvuje u radu neformalne radne grupe OEBS za definisanje mera poverenja u sajber prostoru;

-           Republika Srbija učestvovala u radu Grupe UN za informacionu bezbednost u 2017. godini.

3) Da li su uočeni problemi u oblasti i na koga se oni odnose? Predstaviti uzroke i posledice problema.

Članom 6. Zakona definisani su IKT sistemi od posebnog značaja i podeljeni su u tri grupe i to:

1) IKT sistemi koji se koriste u obavljanju poslova u organima javne vlasti;

2) IKT sistemi koji se koriste za obradu podataka koji se, u skladu sa zakonom koji uređuje zaštitu podataka o ličnosti, smatraju naročito osetljivim podacima o ličnosti;

3) IKT sistemi koji se koriste u obavljanju delatnosti od opšteg interesa.

Međutim, tokom implementacije Zakona utvrđeno je da navedenom definicijom obuhvaćen veliki broj organa javne vlasti, čiji sistemi po svom značaju ne spadaju u IKT sisteme od posebnog značaja. Budući da primena mera zaštite podrazumeva primenu tehničkih i organizacionih mera, za čiju primenu su potrebna finansijska ulaganja, ovi sistemi su bili u obavezi da svoje sisteme unaprede, odnosno primene mere zaštite, međutim, predloženom izmenom Zakona, predviđeno je smanjenje broja IKT sisteme koji se koriste u organima javne vlasti, jer je utvrđeno da ti sistemi nisu od posebnog značaja za informacionu bezbednost u Republici Srbiji.

Tokom implementacije Zakona utvrđeno je da IKT sistemi od posebnog značaja ne dostavljaju informacije o incidentima koji značajno ugrožavaju informacionu bezbednost, iako su obavezni da to čine. Usled toga Nacionalni CERT nije u mogućnosti da prati trendove u ovoj oblasti, niti da izrađuje analize rizika i incidenata na osnovu kojih bi se pružali saveti i predlagale mere za otklanjanja potencijalnih incidenata.

U skladu sa Zakonom predviđeno je osnivanje Nacionalnog CERT, međutim, iako je Nacionalni CERT osnovan, potrebno je i dalje ulagati u njegove kapacitete u smislu tehničkih, organizacionih i ljudskih kapaciteta. Naime, kako bi Nacionalni CERT bio u mogućnosti da pruža adekvatnu podršku IKT sistemima od posebnog značaja u slučaju incidenata koji značajno ugrožavaju informacionu bezbednost postojeći resursi nisu dovoljni, jer pored opreme, neophodno je da se Nacionalni CERT osnaži i zaposli stručnjake u ovoj oblasti. U suprotnom, može se nastaviti trend neprijavljivanja incidenata u IKT sistemima od posebnog značaja, usled čega nije moguće pratiti kretanja u ovoj oblasti, niti predlagati mere za njeno unapređenje.

Kako je u skladu sa Zakonom predviđen rad kako Nacionalnog CERT, tako i CERTa republičkih organa i CERTova samostalnih operatora IKT sistema, u prethodnom periodu je konstatovano da ne postoji zakonski osnov za njihovu sistemsku saradnju koja bi omogućavala razmenu informacija i međusobno pružanje podrške u slučaju incidenata koji značajno ugrožavaju informacionu bezbednost.

4) Koja promena se predlaže i da li je promena zaista neophodna i u kom obimu?

Izmene Zakona su inicirane iz razloga što je Zakon stupio na snagu pre usvajanja Direktive EU o merama za visok nivo bezbednosti mrežnih i informacionih sistema u Evropskoj uniji broj 2016/1148 (u daljem tekstu: NIS direktiva), koja je usvojena u julu 2016. godine. Iako je bio donet pre usvajanja NIS direktive, Zakon je u velikoj meri usklađen sa ovom direktivom, budući da sadrži rešenja koja odgovaraju odredbama navedene direktive.

Međutim, izradi Predloga zakona o izmenama i dopunama Zakona o informacionoj bezbednosti (u daljem tekstu: Predlog zakona) pristupilo se prvenstveno iz dva razloga: prvi je preostalo usklađivanje sa odredbama NIS direktive radi postizanja potpune usaglašenosti Zakona, a drugi je unapređenje postojećih zakonodavnih rešenja na bazi potreba utvrđenih na osnovu dosadašnje primene.

Radi preostalih usklađivanja sa NIS direktivom, u Predlogu zakona izvršene su sledeće izmene i dopune:

-           dopuna oblasti u kojima se koriste IKT sistemi od posebnog značaja, i to oblast digitalne infrastrukture i usluga informacionog društva (član 6.);

-           određeno je da se pre javnog objavljivanja obaveštenja o incidentu od strane nadležnog organa izvrše prethodne konsultacije sa operatorom IKT sistema od posebnog značaja koji je dostavio obaveštenje o incidentu (član 11.);

-           predviđena je dopuna odredaba o Nacionalnom CERT-u koje se odnose na njegovu nadležnost i potrebne kapacitete (član 15.).

Tokom primene zakona utvrđena je potreba za izmenom i dopunom određenih normi, u cilju efikasnijeg sprovođenja zakona u praksi. Shodno tome, Predlogom zakona predviđeno je sledeće:

-           uključivanje Narodne banke Srbije u rad Tela za koordinaciju poslova informacione bezbednosti (član 5.);

-           dopuna oblasti u kojima se koriste IKT sistemi od posebnog značaja (proizvodnja i snabdevanje hemikalijama, član 6.);

-           taksativno su nabrojane obaveze IKT sistema od posebnog značaja (član 6a);

-           uspostavljanje Evidencije operatora IKT sistema od posebnog značaja (član 6b);

-           definisan je način obaveštavanja o incidentima koji značajno ugrožavaju informacionu bezbednost preko portala Nadležnog organa ili Nacionalnog CERT-a u jedinstveni sistem za prijem obaveštenja o incidentima (član 11.);

-           obaveza Narodne banke Srbije i RATEL-a da dobijena obaveštenja o incidentu proslede Nadležnom organu (član 11.);

-           dostavljanje obaveštenja o incidentu koji je povezan sa značajnim narušavanjem informacione bezbednosti, koje ima ili može imati za posledicu ugrožavanje nacionalne bezbednosti, Bezbednosno-informativnoj agenciji (član 11.);

-           definisani su incidenti koji treba da se prijave, a koji mogu da imaju značajan uticaj na narušavanje informacione bezbednosti (član 11a);

-           određena je obaveza IKT sistema od posebnog značaja da dostavljaju statističke podatke o incidentima koji mogu da imaju značajan uticaj na narušavanje informacione bezbednosti (član 11b);

-           definisana je saradnja CERT-ova u Republici Srbiji (član 15a);

-           dodate su odredbe o zaštiti pri korišćenju informaciono-komunikacionih tehnologija (član 19a).

Navedene izmene zakona doprineće boljoj povezanosti svih relevantnih aktera u oblasti informacione bezbednosti, budući da se Predlogom zakona predviđa uspostavljanje evidencije IKT sistema od posebnog značaja. Na taj način Nadležni organ i Nacionalni CERT imaće mogućnost intenzivnije saradnje sa svim operatorima IKT sistema od posebnog značaja, naročito u slučaju kada se dešava incident, ali u smislu pružanja podrške, preporuke i saveta za zaštitu IKT sistema od posebnog značaja.

Značajno unapređenje leži i u činjenici da je Nadležni organ uspostavio Jedinstveni sistem za prijem obaveštenja o incidentima, tako da ih IKT sistemi od posebnog značaja obaveštenja mogu prosleđivati preko portala Nadležnog organa i Nacionalnog CERT-a. Ovo rešenje doprinosi efikasnosti prijavljivanja incidenata, kao i potpunoj informisanosti svih relevantnih učesnika (Nadležni organ, Nacionalni CERT) koji potom mogu da učestvuju u otklanjanju incidenta.

Takođe, Predlog zakona predviđa odredbe o Nacionalnom CERT-u koje se odnose na jačanje kapaciteta Nacionalnog CERT-a, kako bi se uspostavilo blagovremena i efikasna podrška u slučaju incidenta, a za takvu vrstu podrške neophodno je stručno osoblje, odgovarajuća infrastruktura u smislu opreme i prostorija za rad, čije obezbeđivanje je predviđeno Predlogom zakona. Kako Nacionalni CERT ima i ulogu prevencije u oblasti informacione bezbednosti, predviđeno je dostavljanje statističkih podataka od strane IKT sistema od posebnog značaja na bazi kojih će Nacionalni CERT imati mogućnost izrade adekvatnih analiza u oblasti informacione bezbednosti i na osnovu čega će pripremati preporuke i savete za mere zaštite u ovoj oblasti.

S obzirom da je prepoznata potreba za kontinuiranom saradnjom CERT-ova u Republici Srbiji, predviđene su odredbe kojima se definiše ova saradnja kroz organizaciju redovnih zajedničkih sastanaka, a posebno u slučaju incidenata koji značajno ugrožavaju informacionu bezbednost u Republici Srbiji.

Imajući u vidu važnost pitanja bezbednosti na internetu, Predlogom zakona definisane su odredbe kojima se predviđaju mere za bezbednost i zaštitu na internetu, kao i generalno prilikom korišćenja informaciono-komunikacionih tehnologija.

5) Na koje ciljne grupe će uticati predložena promena? Utvrditi i predstaviti ciljne grupe na koje će promena imati neposredan odnosno posredan uticaj.

Izmene i dopune Zakona imaće neposredan uticaj na:

-           IKT sisteme od posebnog značaja;

-           Nacionalni CERT;

-           nove IKT sisteme od posebnog značaja u oblast digitalne infrastrukture i usluga informacionog društva

-           CERTove samostalnih operatora IKT sistema.

6) Zbog čega je neophodno postići željenu promenu na nivou društva? (odgovorom na ovo pitanje definiše se opšti cilj).

Izmene i dopune Zakona su neophodne prvenstveno radi potpunog usklađivanja sa NIS direktivom, a potom radi bolje povezanosti svih relevantnih aktera u oblasti informacione bezbednosti, čime se doprinosi adekvatnijem nivou bezbednosti informacionih sistema od posebnog značaja u Republici Srbiji.

7) Šta se predmetnom promenom želi postići? (odgovorom na ovo pitanje definišu se posebni ciljevi, čije postizanje treba da dovode do ostvarenja opšteg cilja. U odnosu na posebne ciljeve, formulišu se mere za njihovo postizanje).

Izmenama i dopunama Zakona postiže se uspostavljanje evidencije o IKT sistemima od posebnog značaja, što će doprineti boljoj komunikaciji između Ministarstva i Nacionalnog CERTa sa jedne strane i IKT sistema od posebnog značaja sa druge strane.

Navedena evidencija biće uspostavljena u Ministarstvu kao nadležnom organu za informacionu bezbednost koje poseduje kapacitete za vođenje ove evidencije, budući da Ministarstvo već vodi različite vrste registara iz oblasti elektronskog poslovanja.

Takođe se predviđa jačanje kapaciteta Nacionalnog CERTa i to tehnoloških, ljudskih i organizacionih kapaciteta, što će Nacionalnom CERTu omogućiti prelazak sa informativne i savetodavne uloge na operativniju ulogu. Pružajući adekvatniju pomoć IKT sistemima od posebnog značaja u slučaju prijavljenih incidenata, pospešiće se međusobna saradnja i stvoriti poverenje što će posledično dovesti do toga da IKT sistemi od posebnog značaja prijavljuju incidente u skladu sa Zakonom.

Obavezivanjem IKT sistema od posebnog značaja da dostavljaju statističke podatke o svim incidentima koji se dešavaju u njihovim sistemima, Nacionalni CERT će biti u mogućnosti da prati trendove u ovoj oblasti i priprema analize rizika i incidenata na osnovu kojih bi se pružali saveti i predlagale mere za otklanjanje potencijalnih incidenata.

Predviđena saradnja između CERTova u Republici Srbiji omogućiće razmenu informacija i međusobno pružanje podrške u slučaju incidenata koji značajno ugrožavaju informacionu bezbednost.

8) Da li su opšti i posebni ciljevi usklađeni sa važećim dokumentima javnih politika i postojećim pravnim okvirom, a pre svega sa prioritetnim ciljevima Vlade?

Strategijom razvoja informacione bezbednosti u Republici Srbiji za period od 2017. do 2020. godine neki od predviđenih prioritetnih oblasti informacione bezbednosti u skladu su sa opštim i posebnim ciljevima koji se postižu izmenama i dopunama Zakona, i to:

-           bezbednost informaciono-komunikacionih sistema, što se odnosi na rizike narušavanja funkcionisanja organa vlasti, privrede i organizacija kao posledica incidenata u informaciono-komunikacionim sistemima i

-           informaciona bezbednost Republike Srbije, što se odnosi na rizike narušavanja nacionalne bezbednosti putem informaciono-komunikacionih sistema.

9) Na osnovu kojih pokazatelja učinka će biti moguće utvrditi da li je došlo do ostvarivanja opštih odnosno posebnih ciljeva?

Osnovni pokazatelji učinka izmena i dopuna Zakona ogledaju se u sledećem:

-           uspostavljena evidencija IKT sistema od posebnog značaja

-           uspostavljen sistem dostave statističkih podataka od strane IKT sistema od posebnog značaja

-           uspostavljena saradnja između CERTova u Republici Srbiji.

Na osnovu gore navedenih pokazatelja, uspostaviće se Evidencija IKT sistema od posebnog značaja, što će omogućiti koordinaciju sa IKT sistemima od posebnog značaja i dati mogućnost za preispitivanje obuhvata IKT sistema od posebnog značaja i na bazi toga formiranje dodatnih kriterijuma za njihovo utvrđivanje.

Na osnovu dostavljenih statističkih podataka, biće omogućeno ispunjavanje zakonskih odredbi koji se tiču praćenja stanja u oblasti informacione bezbednosti i izrada neophodnih analiza u ovoj oblasti, a cilju unapređenja stanja u IKT sistemima od posebnog značaja.

Uvođenjem mehanizma saradnje između CERT-ova u Republici Srbiji doprinosi se većem stepenu zaštite IKT sistema u svim oblastima u Republici Srbiji i boljoj koordinaciji u slučaju incidenata koji mogu da ugroze informacionu bezbednost, ali i nacionalnu bezbednost Republike Srbije.

10) Da li je finansijske resurse za sprovođenje izabrane opcije potrebno obezbediti u budžetu, ili iz drugih izvora finansiranja i kojih?

Sredstva potrebna za realizaciju obaveza iz Predloga zakona nije potrebno obezbediti u budžetu, budući da će ista biti obezbeđena iz sredstava RATELa, za potrebe podizanja kapaciteta Nacionalnog CERTa.

11) Koliki su procenjeni troškovi uvođenja promena koji proističu iz sprovođenja izabrane opcije (osnivanje novih institucija, restrukturiranje postojećih institucija i obuka državnih službenika) iskazani u kategorijama kapitalnih troškova, tekućih troškova i zarada i da li je moguće finansirati rashode izabrane opcije kroz redistribuciju postojećih sredstava?

Budući da je NIS direktivom predviđeno povećavanje kapaciteta Nacionalnog CERTa u narednom periodu predviđa se povećavanje broja zaposlenih kao i kupovina neophodne opreme. U tom smislu troškovi povećanja kapaciteta Nacionalnog CERTa bi bili sledeći:

-           150.000 evra za nabavku platforme za uvežbavanje sajber napada radi promovisanja informacione bezbednosti;

-           10.000 evra u periodu od tri godine za nabavku forenzičke laboratorije;

-           20.000 evra u periodu od tri godine za nabavku softver za sajber bezbednost i prateće licence;

-           15.000 evra u periodu od tri godine za nabavku hardvera;

-           144.000 evra u periodu od tri godine dana iznos zarade za 5 novozaposlenih (5 x zaposlenih x 800 evra x 3 godine);

-           90.000 evra u periodu od tri godine za obuke za zaposlene (10 zaposlenih x 3.000 evra x 3 godine)

12) Koje troškove i koristi (materijalne i nematerijalne) će izabrana opcija prouzrokovati privredi, pojedinoj grani, odnosno određenoj kategoriji privrednih subjekata?

Novi IKT sistemi od posebnog značaja u oblasti digitalne infrastrukture i usluga informacionog društva koji su predviđeni izmenama i dopunama Zakona su u obavezi da primene mere zaštite, odnosno tehničke i organizacione mere u cilju uspostavljanja adekvatnog nivoa bezbednosti sistema.

Ukoliko su ti privredni subjekti već uspostavili sistem upravljanja informacionom bezbednošću u skladu sa međunarodnim standardima i dobrom praksom u ovoj oblasti, ne očekuje se da primena zakona izazove značajne troškove. Međutim, privredni subjekti koji predstavljaju operatore IKT sistema od posebnog značaja u skladu sa izmenama Zakona, a koji do sada nisu uspostavili odgovarajući sistem upravljanja informacionom bezbednošću imaće određene troškove za ispunjenje zakonskih obaveza koji se ogledaju u eventualnom dodatnom tehnološkom opremanju, obuci zaposlenih, angažovanju novih stručnjaka i slično. Precizni iznosi dodatnih troškova za navedene subjekte variraju u velikom rasponu, budući da isti zavise od više faktora koji mogu da budu veoma različiti u različitim privrednim subjektima. Naime, koliko će finansijskih sredstava za primenu zakona izdvojiti ovi privredni subjekti zavisi od njihove veličine, odnosno broja zaposlenih, tehnološke opremljenosti (posedovanje računarske opreme, informacionog sistema), obučenosti zaposlenih za korišćenje informacionih tehnologija u domenu informacione bezbednosti, i drugih faktora od kojih funkcionisanje informacione bezbednosti zavisi u jednom privrednom subjektu. Shodno navedenom, nije moguće dati ni tačne, ni okvirne iznose po privrednom subjektu.

13) Da li je za sprovođenje izabrane opcije obezbeđena podrška svih ključnih zainteresovanih strana i ciljnih grupa? Da li je sprovođenje izabrane opcije prioritet za donosioce odluka u narednom periodu (Narodnu skupštinu, Vladu, državne organe i slično)?

Ministarstvo trgovine, turizma i telekomunikacija je u 2018. godini formiralo radnu grupu za izradu Nacrta zakona o izmenama i dopunama Zakona o informacionoj bezbednosti koga su činili predstavnici relevantnih ministarstava i institucija.

Ministarstvo trgovine, turizma i telekomunikacija sprovelo je javnu raspravu o Nacrtu zakona o izmenama i dopunama Zakona o informacionoj bezbednosti u periodu od 04. do 25. februara 2019. godine, na osnovu zaključka Odbora za privredu i finansije Vlade 05 Broj: 011-882/2019 od 31. januara 2019. godine. Nacrt zakona je objavljen na sajtu Ministarstva trgovine, turizma i telekomunikacija www.mtt.gov.rs i portalu eUprava www.euprava.gov.rs. U okviru javne rasprave, održan je okrugli sto u Privrednoj komori Srbije 20. februara 2019. godine, koji je bio veoma uspešan i posećen. U javnoj raspravi učestvovali su predstavnici državnih organa, privrednog sektora, akademske zajednice, nevladinih organizacija i eminentni stručnjaci u ovoj oblasti. Ministarstvo je po okončanju javne rasprave putem Ministarstva za evropske integracije uputilo Nacrt zakona Evropskoj komisiji, radi davanja mišljenja.

Donošenje ovog zakona je prioritet imajući u vidu činjenicu da se istim vrši usklađivanje sa evropskom regulativom, odnosno NIS direktivom.

14) Koje dodatne mere treba sprovesti i koliko vremena će biti potrebno da se sprovede izabrana opcija i obezbedi njeno kasnije dosledno sprovođenje, odnosno njena održivost?

Radi realizacije Predloga zakona, predviđeno je donošenje sledećih podzakonskih akata:

-           Uredba o utvrđivanju Liste delatnosti u kojima se koriste IKT sistemi od posebnog značaja;

-           Uredba o postupku obaveštavanja o incidentima, listi, vrstama i značaju incidenata prema nivou opasnosti, postupanje i razmeni informacija o incidentima

-           Pravilnik o evidenciji IKT sistema od posebnog značaja;

-           Pravilnik o statističkim podacima o incidentima u IKT sistemima od posebnog značaja

-           Uredba o načinu sprovođenja mera za bezbednost i zaštitu dece na internetu.

15) Da li su obezbeđena finansijska sredstva za sprovođenje izabrane opcije? Da li je za sprovođenje izabrane opcije obezbeđeno dovoljno vremena za sprovođenje postupka javne nabavke ukoliko je ona potrebna?

Sredstva za realizaciju zakonskih obaveza obezbeđuje RATEL, kao organizacija u čijem se sastavu nalazi Nacionalni CERT. Očekuje se da će u budžetu navedene institucije počev od 2020. godine biti obezbeđena sredstva potrebna za dodatno zapošljavanje kao i za kupovinu neophodne opreme.

Izvor: Vebsajt Narodne skupštine, 06.09.2019.