NACRT ZAKONA O INFORMACIONOJ BEZBEDNOSTI - Tekst propisa nakon javne rasprave
I. OSNOVNE ODREDBE
Predmet uređivanja
Član 1.
Ovim zakonom se uređuju mere zaštite od bezbednosnih rizika u informaciono- komunikacionim sistemima, odgovornosti subjekata prilikom upravljanja i korišćenja informaciono-komunikacionih sistema, postupci i mere za postizanje visokog opšteg nivoa informacione bezbednosti i određuju se nadležni organi za sprovođenje mera zaštite, koordinaciju između činilaca zaštite, praćenje pravilne primene propisanih mera zaštite, kao i nadležnosti subjekata za nadzor nad sprovođenjem ovog zakona.
Značenje pojedinih termina
Član 2.
Pojedini termini u smislu ovog zakona imaju sledeće značenje:
1) informaciono-komunikacioni sistem (IKT sistem) je tehnološko- organizaciona celina koja obuhvata:
(1) elektronske komunikacione mreže i usluge u smislu zakona koji uređuje elektronske komunikacije;
(2) uređaje ili grupe međusobno povezanih uređaja, takvih da se u okviru uređaja, odnosno u okviru barem jednog iz grupe uređaja, vrši automatska obrada podataka korišćenjem računarskog programa;
(3) podatke koji se vode, čuvaju, obrađuju, pretražuju ili prenose pomoću sredstava iz podtač. (1) i (2) ove tačke, a u svrhu njihovog rada, upotrebe, zaštite ili održavanja;
(4) organizacionu strukturu putem koje se upravlja IKT sistemom;
(5) sve tipove sistemskog i aplikativnog softvera i softverske razvojne alate.
2) operator IKT sistema je fizičko lice u svojstvu registrovanog subjekta, pravno lice, organ ili organizaciona jedinica organa koji koristi IKT sistem u okviru obavljanja svoje delatnosti, odnosno poslova iz svoje nadležnosti;
3) informaciona bezbednost predstavlja sposobnost informaciono- komunikacionih sistema i mreža da se odupru i/ili ublaže, uz određeni stepen pouzdanosti, svaki događaj koji bi mogao da ugrozi raspoloživost, integritet, autentičnost, neporecivost i poverljivost podataka koji se obrađuju, odnosno usluga koje se pružaju ili su dostupne putem tog IKT sistema;
4) integritet je svojstvo koje osigurava da podaci ili informacije nisu promenjeni ili uništeni na neovlašćeni način od kada su kreirani, preneti ili uskladišteni;
5) raspoloživost je svojstvo kojim se osigurava dostupnost i upotrebljivost IKT sistema na zahtev ovlašćenog subjekta ili procesa onda kada im je potreban;
6) autentičnost je svojstvo kojim se osigurava mogućnost da se proveri i potvrdi da je informaciju stvorio ili poslao onaj za koga se tvrdi da je tu radnju izvršio;
7) poverljivost je svojstvo kojim se osigurava da su informacije i funkcije IKT sistema dostupne samo ovlašćenim licima;
8) neporecivost predstavlja sposobnost dokazivanja da se dogodila određena radnja ili da je nastupio određeni događaj, tako da ga naknadno nije moguće poreći;
9) rizik predstavlja predstavlja postojanje uslova za narušavanje nivoa informacione bezbednosti, odnosno ispravnog funkcionisanja IKT sistema, čiji se nivo određuje procenom verovatnoće da se desi određena posledica po nivo informacione bezbednosti i procenom obima te posledice;
10) ranjivost predstavlja slabost ili nedostatak u IKT proizvodima ili uslugama koji se mogu iskoristiti za realizaciju jedne ili više pretnji;
11) upravljanje rizikom je skup sistematičnih aktivnosti procene i kontrole rizika koji omogućava planiranje, organizovanje i usmeravanje mera zaštite kako bi se obezbedilo da rizici ostanu u propisanim i prihvatljivim okvirima;
12) izbegnuti incident predstavlja svaki rizičan događaj koji je mogao ugroziti raspoloživost, autentičnost, integritet ili poverljivost podataka koji se čuvaju, prenose ili obrađuju u IKT sistemu ili usluga koje se pružaju putem IKT sistema ili kojima se omogućava pristup IKT sistemu, ali je uspešno sprečen ili se nije ostvario;
13) pretnja predstavlja svaku okolnost, događaj ili radnju koja može da ugrozi, poremeti ili na drugi način štetno utiče na IKT sistem, korisnike sistema i druga lica;
14) ozbiljna pretnja predstavlja pretnju po informacionu bezbednost za koju se, s obzirom na njena tehnička svojstva, može pretpostaviti da ima potencijal da izazove značajne negativne posledice po IKT sistem, njegovog operatora ili korisnike usluga tog operatora uzrokujući značajnu materijalnu ili nematerijalnu štetu;
15) incident je svaki događaj koji ugrožava raspoloživost, autentičnost, integritet, neporecivost ili poverljivost podataka koji se čuvaju, prenose ili obrađuju ili usluge koje se pružaju, odnosno koje su dostupne putem IKT sistema;
16) jedinstveni sistem za prijem obaveštenja o incidentima je informacioni sistem u koji se unose podaci o incidentima i izbegnutim incidentima u IKT sistemima od posebnog značaja koji mogu da imaju značajan uticaj na narušavanje informacione bezbednosti;
17) upravljanje incidentom podrazumeva preduzimanje svih radnji i postupaka čiji je cilj sprečavanje, otkrivanje, analiza i prekid incidenta, kao i preduzimanje drugih mera radi odgovora na incident i otklanjanja njegovih posledica;
18) kriza informacione bezbednosti je događaj ili stanje koje ugrožava, ometa rad ili onemogućuje rad IKT sistema od posebnog značaja i pri tom izaziva rizike, pretnje ili posledice po stanovništvo, materijalna dobra ili životnu sredinu izuzetno velikog obima i intenziteta koje nije moguće sprečiti ili otkloniti redovnim delovanjem nadležnih organa i službi, a odgovor na takav događaj ili stanje zahteva učešće više nadležnih organa, kao i primenu odgovarajućih mera;
19) mere zaštite IKT sistema su tehničke, organizacione, administrativne i fizičke mere za upravljanje bezbednosnim rizicima IKT sistema;
20) tajni podatak je podatak koji je, u skladu sa propisima o tajnosti podataka, određen i označen određenim stepenom tajnosti;
21) IKT sistem za rad sa tajnim podacima je IKT sistem koji je u skladu sa zakonom određen za rad sa tajnim podacima;
22) organ je državni organ, organ autonomne pokrajine, jedinica lokalne samouprave, organizacija i drugo pravno ili fizičko lice kome je povereno vršenje javnih ovlašćenja;
23) služba bezbednosti je služba bezbednosti u smislu zakona kojim se uređuju osnove bezbednosno-obaveštajnog sistema Republike Srbije;
24) samostalni operatori IKT sistema su ministarstvo nadležno za poslove odbrane, ministarstvo nadležno za unutrašnje poslove, ministarstvo nadležno za spoljne poslove, službe bezbednosti i Narodna banka Srbije;
25) Centar za preveznciju bezbednosnih rizika u IKT sistemima (u daljem tekstu: CERT) je organizaciona jedinica u okviru organa ili pravnog lica zadužena za prevenciju i zaštitu od incidenata.
26) kompromitujuće elektromagnetno zračenje (KEMZ) predstavlja nenamerne elektromagnetne emisije prilikom prenosa, obrade ili čuvanja podataka, čijim prijemom i analizom se može otkriti sadržaj tih podataka;
27) kriptobezbednost je komponenta informacione bezbednosti koja obuhvata kriptozaštitu, upravljanje kriptomaterijalima i razvoj metoda kriptozaštite;
28) kriptozaštita je primena metoda, mera i postupaka radi transformisanja podataka u oblik koji ih za određeno vreme ili trajno čini nedostupnim neovlašćenim licima;
29) kriptografski proizvod je softver ili uređaj putem koga se vrši kriptozaštita;
30) kriptomaterijali su kriptografski proizvodi, podaci, tehnička dokumentacija kriptografskih proizvoda, kao i odgovarajući kriptografski ključevi;
31) bezbednosna zona je prostor ili prostorija u kojoj se, u skladu sa propisima o tajnosti podataka, obrađuju i čuvaju tajni podaci;
32) informaciona dobra obuhvataju informacije koje se obrađuju u skladu sa funkcijom i namenom IKT sistema; elektronske zapise o konfiguraciji uređaja i elektronske komunikacione mreže; elektronske zapise o interakcijama u IKT sistemima, pristupu i upotrebi IKT sistema (tzv. log zapise); programski kôd; tehničku i korisničku dokumentaciju; elektronske zapise o interakcijama u elektronskoj komunikacionoj mreži (tzv. mrežni saobraćaj); informacije kojima se regulišu namena i korišćenje IKT sistema, procesi, mere zaštite i sl.
33) usluga informacionog društva je usluga u smislu zakona kojim se uređuje elektronska trgovina;
34) pružalac usluge informacionog društva je pravno lice koje je pružalac usluge u smislu zakona kojim se uređuje elektronska trgovina;
35) tačka za razmenu internet saobraćaja (engl. internet exchange point) je mrežna struktura koja pruža mogućnost povezivanja dve ili više nezavisnih mreža (autonomnih sistema) prvenstveno u svrhu olakšavanja razmene internet saobraćaja, i koja omogućuje međupovezivanje autonomnih sistema, u kom slučaju nije potrebno da internet saobraćaj između autonomih sistema prođe kroz treći autonomni sistem, te koja takav saobraćaj ne menja i ne utiče na njega na drugi način;
36) sistem naziva domena (DNS) je je distribuirani, hijerarhijski organizovan sistem koji povezuje nazive domena sa odgovarajućim IP adresama koje se koriste za usmeravanje i povezivanje korisničkih uređaja sa uslugama i resursima na internetu;
37) pružalac usluge DNS-a je subjekat koji pruža usluge razrešavanja DNS upita korisnicima interneta ili pruža uslugu autoritativnih servera imena za nazive domena koje koriste treća lica, sa izuzetkom korenskih (engl. root) servera imena;
38) usluga od poverenja je usluga u smislu zakona kojim se uređuje elektronski dokument, elektronska identifikacija i usluge od poverenja u elektronskom poslovanju;
39) pružalac usluge od poverenja je pružalac u smislu zakona kojim se uređuje elektronski dokument, elektronska identifikacija i usluge od poverenja u elektronskom poslovanju;
40) kvalifikovana usluga od poverenja je usluga u smislu zakona kojim se uređuje elektronski dokument, elektronska identifikacija i usluge od poverenja u elektronskom poslovanju;
41) pružalac kvalifikovane usluge od poverenja je pružalac u smislu zakona kojim se uređuje elektronski dokument, elektronska identifikacija i usluge od poverenja u elektronskom poslovanju;
42) usluge računarstva u klaudu (engl. “cloud computing service”) su digitalne usluge koje omogućavaju upravljanje na zahtev i široki daljinski pristup nadogradivom i elastičnom skupu deljivih računarskih resursa, uključujući i situacije kada su takvi resursi raspoređeni na nekoliko lokacija;
43) usluga centra za upravljanje i čuvanje podataka je usluga koja se pruža u okviru infrastrukture namenjene za centralizovano smeštanje, međupovezivanje i funkcionisanje računarske i mrežne opreme radi čuvanja, obrade i prenosa podataka (data centar), uključujući sve objekte i infrastrukturu za distribuciju električne energije i kontrolu uticaja na životnu sredinu;
44) naučnoistraživačka organizacija je organizacija u smislu zakona kojim se uređuju nauka i istraživanje;
45) javna elektronska komunikaciona mreža je elektronska komunikaciona mreža u smislu zakona kojim se uređuju elektronske komunikacije;
46) elektronska komunikaciona usluga je usluga u smislu zakona kojim se uređuju elektronske komunikacije;
47) pružalac upravljanih usluga je subjekt koji pruža usluge u vezi sa postavljanjem, upravljanjem, radom i održavanjem IKT proizvoda, mreža, infrastrukture, aplikacija ili druge mreže i informacionog sistema putem pružanja pomoći ili aktivnog upravljanja koje se sprovodi u prostorijama korisnika usluge ili na daljinu;
48) pružalac upravljanih bezbednosnih usluga je pružalac upravljanih usluga koji sprovodi ili pruža pomoć u sprovođenju aktivnosti u vezi sa upravljanjem rizikom u oblasti bezbednosti;
49) registar naziva domena najvišeg nivoa (engl. TLD name registry) je subjekt koji je odgovoran za upravljanje nazivom domena najvišeg nivoa (TLD) koji mu je dodeljen i koji donosi politike i pravila za domen, upravlja bazom registra, generiše datoteku zone i održava tehničku infrastrukturu servera imena za dodeljeni domen najvišeg nivoa.;
50) pružalac usluge registracije naziva domena je registrator naziva domena ili drugi subjekt koji deluje u ime registratora;
51) IKT proizvod je element ili grupa elemenata u okviru informaciono- komunikacionog sistema;
52) IKT usluga je usluga koja se u potpunosti ili u većoj meri sastoji iz prenosa, čuvanja, preuzimanja ili obrade podataka korišćenjem IKT sistema;
53) IKT proces je skup aktivnosti koji se obavlja u cilju izrade, razvoja, korišćenja i održavanja IKT proizvoda ili IKT usluge.
Termini koji se koriste u ovom zakonu i propisima koji se donose na osnovu njega, a koji imaju rodno značenje, izraženi u gramatičkom muškom rodu, podrazumevaju prirodni ženski i muški pol lica na koja se odnose.
Načela informacione bezbednosti
Član 3.
Prilikom planiranja i primene mera zaštite IKT sistema treba se rukovoditi načelima:
1) načelo upravljanja rizikom - izbor i nivo primene mera se zasniva na proceni rizika, potrebi za prevencijom rizika i otklanjanja posledica rizika koji se ostvario, uključujući sve vrste vanrednih okolnosti;
2) načelo sveobuhvatne zaštite - mere se primenjuju na svim organizacionim, fizičkim i tehničko-tehnološkim nivoima, kao i tokom celokupnog životnog ciklusa IKT sistema;
3) načelo stručnosti i dobre prakse - mere se primenjuju u skladu sa stručnim i naučnim saznanjima i iskustvima u oblasti informacione bezbednosti;
4) načelo svesti i osposobljenosti - sva lica koja svojim postupcima efektivno ili potencijalno utiču na informacionu bezbednost treba da budu svesna rizika i poseduju odgovarajuća znanja i veštine.
Obrada podataka o ličnosti
Član 4.
U slučaju obrade podataka o ličnosti prilikom vršenja nadležnosti i ispunjenja obaveza iz ovog zakona postupa se u skladu sa načelima zaštite podataka o ličnosti koji su definisani propisima koji uređuju zaštitu podataka o ličnosti.
II. BEZBEDNOST IKT SISTEMA OD POSEBNOG ZNAČAJA Operatori prioritetnih IKT sistema od posebnog značaja
Član 5.
Operatori prioritetnih IKT sistema od posebnog značaja su operatori IKT sistema od ključnog značaja za održavanje kritičnih društvenih i ekonomskih aktivnosti čiji bi prekid ili poremećaj u pružanju usluga imao značajan uticaj na javnu bezbednost, javno zdravlje, funkcionisanje drugih sektora ili bi stvorio značajan sistemski rizik.
Operatori prioritetnih IKT sistema od posebnog značaja su:
1) pravna lica i fizička lica u svojstvu registrovanog subjekta, koja obavljaju poslove i delatnosti u sledećim oblastima:
(1) Energetika
- proizvodnja električne energije;
- kombinovana proizvodnja električne i toplotne energije;
- snabdevanje električnom energijom;
- prenos i upravljanje prenosnim sistemom električne energije;
- distribucija, upravljanje distributivnim sistemom i upravljanje zatvorenim distributivnim sistemom električne energije;
- skladištenje električne energije;
- upravljanje organizovanim tržištem električne energije;
- proizvodnja, distribucija i snabdevanje toplotnom energijom;
- transport nafte naftovodima, transport derivata nafte produktovodima i transport nafte i derivata nafte drugim oblicima transporta;
- istraživanje, proizvodnja i prerada nafte i naftnih derivata;
- skladištenje nafte i derivata nafte;
- transport i upravljanje transportnim sistemom za prirodni gas i tečni naftni gas;
- skladištenje i upravljanje skladištem prirodnog gasa i tečnog naftnog gasa;
- distribucija i upravljanje distributivnim sistemom za prirodni gas i tečni naftni gas;
- snabdevanje i javno snabdevanje prirodnim gasom i tečnim naftnim gasom;
- istraživanje i prerada gasa i tečnog naftnog gasa;
- upravljanje sistemom tečnog naftnog gasa;
- proizvodnja, skladištenje i prenos vodonika.
(2) Saobraćaj
- obavljanje javnog avio- prevoza uz važeću operativnu dozvolu;
- upravljanje aerodromom;
- usluge kontrole letenja;
- upravljanje javnom železničkom infrastrukturom;
- poslovi železničkih preduzeća;
- obavljanje prevoza putnika i tereta unutrašnjim vodama;
- upravljanje lukama;
- upravljanje brodskim saobraćajem (VTS);
- upravljanje putnom infrastrukturom;
- upravljanje inteligentnim transportnim sistemima (ITS).
(3) Bankarstvo i finansijska tržišta
- poslovi finansijskih institucija, koje su pod nadzorom Narodne banke Srbije ili Komisije za hartije od vrednosti;
- poslovi vođenja registra podataka o obavezama fizičkih i pravnih lica prema finansijskim institucijama;
- poslovi upravljanja, odnosno obavljanja delatnosti u vezi sa funkcionisanjem regulisanog tržišta;
- poslovi kliringa finansijskih instrumenata, u smislu zakona kojim se uređuje tržište kapitala;
- poslovi pružalaca usluga povezanih s digitalnom imovinom, u smislu zakona kojima se uređuje digitalna imovina.
(4) Zdravstvo
- pružanje zdravstvene zaštite;
- rad nacionalnih referentnih laboratorija;
- istraživanje i razvoj lekova;
- proizvodnja osnovnih farmaceutskih proizvoda i preparata;
- proizvodnja medicinskih proizvoda koji se smatraju kritičnim tokom vanrednog stanja u oblasti javnog zdravlja.
(5) Voda za piće
- snabdevanje i distribucija vode namenjene za ljudsku potrošnju. izuzev distributera kojima navedeni poslovi nisu pretežni deo njihove delatnosti.
(6) Otpadne vode
- sakupljanje, odvođenje ili prečišćavanje komunalnih otpadnih voda, otpadnih voda naselja i privrede, izuzev privrednih subjekata kojima navedeni poslovi nisu pretežni deo njihove delatnosti.
(7) Digitalna infrastruktura
- pružanje usluga računarstva u klaudu;
- pružanje usluge centra za čuvanje i skladištenje podataka.
(8) Upravljanje IKT uslugama koje se pružaju operatorima prioritetnih IKT sistema od posebnog značaja
- pružanje upravljanih usluga;
- pružanje upravljanih bezbednosnih usluga;
(9) Ostale oblasti
- upravljanje nuklearnim objektima;
- pružanje kvalifikovanih usluga od poverenja, pružanje usluga DNS-a, i upravljanje registrom domena najvišeg nivoa, sa izuzetkom operatora korenskih servera imena;
- obavaljanje delatnosti elektronskih komunikacija;
- tačka za razmenu internet saobraćaja;
- izdavanje Službenog glasnika Republike Srbije i vođenje Pravno- informacionog sistema Republike Srbije;
- oblasti u kojoj u Republici Srbiji postoji samo jedan pružalac usluge i koja je neophodna za obavljanje kritičnih društvenih i privrednih delatnosti.
2) organi;
3) subjekti koji su određeni kao operatori kritične infrastrukture u skladu sa propisima kojima se uređuje kritična infrastruktura.
Operatori važnih IKT sistema od posebnog značaja
Član 6.
Operatori važnih IKT sistema od posebnog značaja su operatori IKT sistemi čiji bi prekid ili poremećaj u pružanju usluga mogao da ima značajan uticaj na javni interes, funkcionisanje drugih sektora ili bi stvorio značajan sistemski rizik.
Operatori važnih IKT sistema od posebnog značaja su:
1) pravna lica i fizička lica u svojstvu registrovanog subjekta, koja obavljaju poslove i delatnosti u sledećim oblastima:
- poštanske usluge u smislu zakona kojim se uređuje oblast poštanskih usluga;
- upravljanje otpadom, u smislu zakona kojim se uređuje upravljanje otpadom, izuzev privrednih subjekata kojima navedeni posao nije pretežni deo njihove delatnosti;
- proizvodnja i snabdevanje hemikalijama, u skladu sa zakonom kojim se uređuju hemikalije;
- proizvodnja, obrada i distribucija hrane u segmentu veleprodaje i industrijske proizvodnje i prerade;
- proizvodnja računara, elektronskih i optičkih proizvoda;
- proizvodnja električne opreme;
- proizvodnja mašina i uređaja;
- proizvodnja motornih vozila, prikolica i poluprikolica i proizvodnja ostale opreme za prevoz;
- proizvodnja medicinskih uređaja i proizvodnja in vitro dijagnostičkih medicinskih sredstava;
- usluge informacionog društva u smislu zakona o elektronskoj trgovini;
-
- proizvodnja, promet i prevoz naoružanja i vojne opreme.
2) naučnoistraživačke institucije;
3) pravna i fizička lica u svojstvu registrovanog subjekta i organi iz člana 5. ovog zakona, a koji ne spadaju u operatore prioritetnih IKT sistema od posebnog značaja prema kriterijumima za određivanje operatora.
Podzakonski akt kojim se bliže uređuju uslovi, opšti i sektorski kriterijumi za određivanje operatora prioritetnih i važnih IKT sistema od posebnog značaja donosi Vlada, na predlog ministarstva nadležnog za posleve informacione bezbednosti.
Ministarstva u čijim nadležnostima su oblasti u kojima operatori prioritenih i važanih IKT sistema od posebnog značaja obavljaju delstnosti, dužni su da u postupku izrade podzakonskog akta iz stava 3. ovog člana, dostave ministarstvu nadležnom za poslove informacione bezbednosti predloge sektorskih kriterijuma radi određivanja operatora IKT sistema od posebnog značaja.
Obaveze operatora IKT sistema od posebnog značaja
Član 7.
Operator IKT sistema od posebnog značaja, shodno ovom zakonu, u obavezi je da:
1) se upiše u evidenciju IKT sistema od posebnog značaja;
2) preduzme odgovarajuće tehničke, operativne,organizacione i fizičke mere zaštite IKT sistema od posebnog značaja, upravljanje rizicima i prevenciju i smanjenje štetnih posledica incidenata;
3) izvrši procenu rizika i donese akt o proceni rizika;
4) donese akt o bezbednosti IKT sistema od posebnog značaja;
5) vrši proveru usklađenosti mera zaštite IKT sistema koje se primenjuju sa aktom o bezbednosti IKT sistema i to najmanje:
(1) dva puta godišnje ako je operator prioritetnog IKT sistema od posebnog značaja
(2) jednom godišnje ako je operator važnog IKT sistema od posebnog značaja;
6) uredi odnos sa trećim licima na način koji obezbeđuje preduzimanje mera zaštite tog IKT sistema u skladu sa zakonom, ukoliko poverava aktivnosti u vezi sa IKT sistemom od posebnog značaja sa trećim licima;
7) dostavlja obaveštenja, bez odlaganja, o svakom incidentu koji je značajno ugrozio bezbednost IKT sistem od posebnog značaja;
8) dostavlja obaveštenja o ozbiljnim pretnjama za IKT sistem od posebnog značaja;
9) dostavi statističke podatke o incidentima i izbegnutim incidentima u IKT sistemima.
Obaveze samostalnih operatora
Član 8.
Samostalni operator dužan je da:
1) se upiše u evidenciju IKT sistema od posebnog značaja;
2) preduzme odgovarajuće tehničke, operativne, organizacione i fizičke mere zaštite IKT sistema od posebnog značaja, upravljanje rizicima i prevenciju i smanjenje štetnih posledica incidenata;
3) donese akt o bezbednosti IKT sistema;
4) vrši proveru usklađenosti mera zaštite IKT sistema koje se primenjuju sa aktom o bezbednosti IKT sistema i to najmanje dva puta godišnje;
5) uredi odnos sa trećim licima na način koji obezbeđuje preduzimanje mera zaštite tog IKT sistema u skladu sa zakonom, ukoliko poverava aktivnosti u vezi sa IKT sistemom od posebnog značaja sa trećim licima.
Samostalni operatori mogu da međusobno razmenjuju informacije o incidentima sa Kancelarijom za informacionu bezbednost, a po potrebi i sa drugim organizacijama.
Na samostalne operatore ne primenjuju se odredbe ovog zakona o prijavljivanju incidenata koji značajno ugrožavaju informacionu bezbednost i odredbe o dostavljanju statističkih podataka o incidentima.
Samostalni operatori IKT sistema odrediće posebna lica, odnosno organizacione jedinice za internu kontrolu sopstvenih IKT sistema.
Lica za internu kontrolu samostalnih operatora IKT sistema izveštaj o izvršenoj internoj kontroli podnose rukovodiocu samostalnog operatora IKT sistema.
Evidencija operatora IKT sistema od posebnog značaja
Član 9.
Ministarstvo nadležno za poslove informacione bezbednosti (u daljem tekstu: Ministarstvo) uspostavlja i vodi evidenciju prioritetnih i važnih IKT sistema od posebnog značaja (u daljem tekstu: Evidencija) koja sadrži:
1) naziv, matični broj i sedište operatora IKT sistema od posebnog značaja;
2) ime i prezime, službena adresa za prijem elektronske pošte i službeni kontakt telefon administratora zaduženog za održavanje i upravljanje IKT sistemom od posebnog značaja;
3) ime i prezime, službena adresa za prijem elektronske pošte i službeni kontakt telefon odgovornog lica IKT sistema od posebnog značaja;
4) podatak o vrsti IKT sistema od posebnog značaja, odnosno da li IKT sistem od posebnog značaja potpada pod prioritetan ili važan;
5) podatak o delatnosti operatora IKT sistema od posebnog značaja;
6) adresni opseg internet protokola (engl. “IP address range”) koji pripadaju IKT sistemu od posebnog značaja, a koji obuhvata podatke o javnim statičkim IP adresama;
7) veb stranice operatora IKT sistema od posebnog značaja;
8) broj lokacija na kojima se IKT sistem od posebnog značaja nalazi.
Pored podataka iz stava 1. ovog člana, evidencija može da sadrži i druge dopunske podatke o IKT sistemu od posebnog značaja..
Samostalni operatori IKT sistema izuzeti su od obaveze dostavljanja podataka iz tač. 4), 5), 6) i 8) stav 1. ovog člana.
Podzakonski akt kojim se bliže uređuje sadržaj i struktura evidencije, kao i način podnošenja zahteva za unos i promenu podataka u Evidenciji donosi Ministarstvo.
Operator IKT sistema od posebnog značaja dužan je da Ministarstvu dostavi podatke iz sts 1. i 2. ovog člana najkasnije 90 dana od dana usvajanja propisa iz stava 4. ovog člana, odnosno 90 dana od dana uspostavljanja IKT sistema od posebnog značaja.
Operator IKT sistema od posebnog značaja dužan je da u slučaju promene podataka iz stava 1. ovog člana o tome obavesti Ministarstvo u roku od 15 dana od dana nastanka promene.
Podaci iz stava 1. tač. 2) i 3) obrađuju se u svrhu izvršenja odredbi ovog zakona u pogledu dostavljanja obaveštenja i upozorenja značajnih za bezbednost IKT sistema od posebnog značaja, kao i radi uspostavljanja komunikacije i ostvarivanja saradnje u cilju otklanjanja štetnih posledica incidenata i preventivnog delovanja.
Podaci iz stava 1. tač. 2) i 3) obrađuju se u skladu sa načelima obrade podataka o ličnosti i shodnim odredbama zakona kojim se uređuje zaštita podataka o ličnosti, a čuvaju se do trenutka prestanka svrhe obrade ili do izvršene promene podataka u skladu sa stavom 5. ovog člana.
Ministarstvo stavlja na raspolaganje Evidenciju Nacionalnom CERT-u.
Evidencija predstavlja tajni podatak u smislu zakona kojim se uređuje tajnost podataka.
Mere zaštite IKT sistema od posebnog značaja
Član 10.
Operator IKT sistema od posebnog značaja odgovara za bezbednost IKT sistema i preduzimanje mera zaštite IKT sistema.
Merama zaštite IKT sistema se obezbeđuje prevencija od nastanka incidenata, odnosno prevencija i smanjenje štete od incidenata koji ugrožavaju vršenje nadležnosti i obavljanje delatnosti, a posebno u okviru pružanja usluga drugim licima.
Mere zaštite IKT sistema se odnose na:
1) uspostavljanje organizacione strukture, sa utvrđenim poslovima i odgovornostima zaposlenih, kojom se ostvaruje upravljanje informacionom bezbednošću u okviru operatora IKT sistema;
2) prikupljanje podataka o pretnjama po informacionu bezbednost IKT sistema;
3) postizanje bezbednosti rada na daljinu i upotrebe mobilnih uređaja;
4) obezbeđivanje da lica koja koriste IKT sistem odnosno upravljaju IKT sistemom budu osposobljena za posao koji rade i razumeju svoju odgovornost, odnosno da obezbedi održavanje osnovnih i po potrebi naprednih informatičkih obuka za sve zaposlene i angažovana lica koja imaju pristup IKT sistemima
5) zaštitu od rizika koji nastaju pri promenama poslova ili prestanka radnog angažovanja lica zaposlenih kod operatora IKT sistema;
6) identifikovanje informacionih dobara i određivanje odgovornosti za njihovu zaštitu;
7) klasifikovanje podataka tako da nivo njihove zaštite odgovara značaju podataka u skladu sa načelom upravljanja rizikom iz člana 3. ovog zakona;
8) zaštitu nosača podataka;
9) ograničenje pristupa podacima i sredstvima za obradu podataka;
10) odobravanje ovlašćenog pristupa i sprečavanje neovlašćenog pristupa IKT sistemu i uslugama koje IKT sistem pruža;
11) utvrđivanje odgovornosti korisnika za zaštitu sopstvenih sredstava za autentikaciju;
12) predviđanje upotrebe kriptografskih kontrola i drugih tehnika za sakrivanje podataka radi zaštite poverljivosti, autentičnosti i integriteta podataka;
13) primena mera zaštite radi sprečavanja oticanja podataka;
14) fizičku zaštitu objekata, prostora, prostorija odnosno zona u kojima se nalaze sredstva i dokumenti IKT sistema i obrađuju podaci u IKT sistemu;
15) zaštitu od gubitka, oštećenja, krađe ili drugog oblika ugrožavanja bezbednosti sredstava koja čine IKT sistem;
16) obezbeđivanje ispravnog i bezbednog funkcionisanja sredstava za obradu podataka;
17) primenu odgovarajućih procedura i mera zaštite prilikom korišćenja usluge računarstva u klaudu;
18) praćenje IKT sistema u cilju otkrivanja ranjivosti i pretnji
19) ograničenje pristupa internet stranicama koje mogu potencijalno da naruše bezbednost IKT sistema;
20) zaštitu podataka i sredstva za obradu podataka od zlonamernog softvera;
21) zaštitu od gubitka podataka;
22) čuvanje podataka o događajima koji mogu biti od značaja za bezbednost IKT sistema;
23) obezbeđivanje integriteta softvera i operativnih sistema;
24) zaštitu od zloupotrebe tehničkih bezbednosnih slabosti IKT sistema;
25) obezbeđivanje da aktivnosti na reviziji IKT sistema imaju što manji uticaj na funkcionisanje sistema;
26) zaštitu podataka u komunikacionim mrežama uključujući uređaje i vodove;
27) bezbednost podataka koji se prenose unutar operatora IKT sistema, kao i između operatora IKT sistema i lica van operatora IKT sistema;
28) ispunjenje zahteva za informacionu bezbednost u okviru upravljanja svim fazama životnog ciklusa IKT sistema odnosno delova sistema;
29) zaštitu podataka koji se koriste za potrebe testiranja IKT sistema odnosno delova sistema;
30) procedure za čuvanje i brisanje informacija u IKT sistemima, u skladu sa propisima;
31) zaštitu sredstava operatora IKT sistema koja su dostupna pružaocima usluga;
32) održavanje ugovorenog nivoa informacione bezbednosti i pruženih usluga u skladu sa uslovima koji su ugovoreni sa pružaocem usluga;
33) prevenciju i reagovanje na bezbednosne incidente, što podrazumeva adekvatnu razmenu informacija o bezbednosnim slabostima IKT sistema, incidentima i pretnjama, kao i primenu mera sanacije posledica incidenta;
34) mere koje obezbeđuju kontinuitet obavljanja posla u vanrednim okolnostima koje su definišu Planom kontinuiteta obavljanja posla.
Podzakonski akt kojim se bliže uređuju mere zaštite IKT sistema uvažavajući načela iz člana 3. ovog zakona, nacionalne i međunarodne standarde i standarde koji se primenjuju u odgovarajućim oblastima rada donosi Vlada, na predlog Ministarstva.
Akt o proceni rizika IKT sistema od posebnog značaja
Član 11.
Operator IKT sistema od posebnog značaja dužan je da donese akt o proceni rizika za IKT sisteme (u daljem tekstu: akt o proceni rizika) kojima upravlja.
Aktom o proceni rizika vrši se procena rizika za IKT sistem od posebnog značaja s obzirom na stepen izloženosti riziku, veličinu operatora i izvesnost pojave incidenta i njegove ozbiljnosti, kao i njegov potencijalni društveni i ekonomski uticaj.
Akt o proceni rizika revidira se najmanje jednom godišnje.
Akt o proceni rizika izrađuje se u skladu sa opštom metodologijom za procenu rizika u IKT sistemima od posebnog značaja koju donosi Kancelarija za informacionu bezbednost. Operator IKT sistema od posebnog značaja nije u obavezi da donese akt iz stava 1. ovog člana u slučaju kada ima definisanu procenu rizika, u drugim postojećim internim aktima, koja obuhvata zahteve iz opšte metodologije iz stava 4. ovog člana.
Akt o bezbednosti IKT sistema od posebnog značaja
Član 12.
Operator IKT sistema od posebnog značaja dužan je da donese akt o bezbednosti IKT sistema (u daljem tekstu: akt o bezbednosti).
Aktom o bezbednosti određuju se mere zaštite, a naročito principi, način i procedure postizanja i održavanja adekvatnog nivoa bezbednosti sistema, kao i ovlašćenja i odgovornosti u vezi sa bezbednošću i resursima IKT sistema od posebnog značaja.
Akt o bezbednosti mora da bude usklađen s promenama u okruženju i u samom IKT sistemu.
Operator prioritetnog IKT sistema od posebnog značaja dužan je da, samostalno ili uz angažovanje spoljnih eksperata, vrši proveru usklađenosti primenjenih mera IKT sistema sa aktom o bezbednosti i to najmanje dva puta godišnje i da o tome sačini izveštaj.
Operator važnog IKT sistema od posebnog značaja dužan je da, samostalno ili uz angažovanje spoljnih eksperata, vrši proveru iz prethodnog stava najmanje jednom godišnje i da o tome sačini izveštaj.
Podzakonski akt kojim se uređuje bliži sadržaj akta o bezbednosti, način provere IKT sistema od posebnog značaja i sadržaj izveštaja o proveri donosi Vlada na predlog Ministarstva.
Obaveza obaveštavanja o incidentima koji značajno narušavaju informacionu bezbednost
Član 13.
Operatori IKT sistema od posebnog značaja dužani su da dostave obeveštenje o incidentu koji može da ima značajan uticaj na narušavanje informacione bezbednosti, bez odlaganja, a najkasnije u roku od 24 sata od kada su saznali za incident.
Incidenti koji mogu da imaju značajan uticaj na narušavanje informacione bezbednosti su:
1) incidenti koji dovode do prekida kontinuiteta vršenja poslova i pružanja usluga, odnosno znatnih teškoća u vršenju poslova i pružanju usluga;
2) incidenti koji utiču na veliki broj korisnika usluga, ili traju duži vremenski period;
3) incidenti koji dovode do prekida kontinuiteta, odnosno teškoća u vršenju poslova i pružanja usluga, koji utiču na obavljanje poslova i vršenje usluga drugih operatora IKT sistema od posebnog značaja ili utiču na javnu bezbednost;
4) incidenti koji dovode do prekida kontinuiteta, odnosno teškoće u vršenju poslova i pružanju usluga i imaju uticaj na veći deo teritorije Republike Srbije;
5) incidenti koji dovode do neovlašćenog pristupa zaštićenim podacima čije otkrivanje može ugroziti prava i interese onih na koje se podaci odnose;
6) incidenti koji su nastali kao posledica incidenta u IKT sistemu operatora prioritetnih IKT sistema od posebnog značaja koji obavljaju delatnosti u oblasti digitalne infrastrukture, iz člana 5. stav 2. tačka 1) podtačka (7) ovog zakona, kada IKT sistem od posebnog značaja u svom poslovanju koristi informacione usluge u oblasti digitalne infrastrukture;
7) incidenti koji izazivaju ili mogu da izazovu znatnu materijalnu ili nematerijalnu štetu operatoru IKT sistema od posebnog značaja i drugim fizičkim i pravnim licima.
Operatori IKT sistema od posebnog značaja dužni su da prijave i izbegnute incidente koji predstavljaju ozbiljnu pretnju i koji bi doveli do značajnog povećanja rizika od nastupanja posledica iz stava 2. ovog člana.
U slučaju incidenata u IKT sistemima za rad sa tajnim podacima operatori tih IKT sistema postupaju u skladu sa propisima kojima se uređuje oblast zaštite tajnih podataka.
Dostavljanje obaveštenja o incidentima
Član 14.
Operatori IKT sistema od posebnog značaja dužni su da obaveštenja o incidentima dostave u jedinstveni sistem za prijem obaveštenja o incidentima koji održava Kancelarija za informacionu bezbednost.
Operatori prioritetnih IKT sistema od posebnog značaja koji obavljaju delatnosti u oblasti bankarstva i finansijskih tržišta iz člana 5. stav 2. tačka 1) podtačka (3) alineja prva, druga i peta ovog zakona, dužni su da obaveštenje o incidentu dostave Narodnoj banci Srbije.
Operatori prioritetnih IKT sistema od posebnog značaja koji obavljaju delatnosti elektronskih komunikacija iz člana 5. stav 2. tačka 1) podtačka (9) alineja treća, dužni su da obaveštenje o incidentu dostave regulatornom telu za elektronske komunikacije i poštanske usluge.
Narodna banka Srbije i regulatorno telo za elektronske komunikacije i poštanske usluge dužni su da dobijena obaveštenja iz st. 2 i 3. ovog člana proslede u jedinstveni sistem za prijem obaveštenja o incidentima.
Operatori IKT sistema od posebnog značaja, osim operatora prioritetnih IKT sistema iz stava 2. i 3. ovog člana, dužni su da obaveste o incidentu korisnike kojima pružaju usluge, bez odlaganja, u slučaju incidenta koji može da izazove ili izaziva štetan uticaj na pružanje i korišćenje usluga, kao i o merama koje korisnici mogu da preduzmu i upotrebe u cilju umanjenja ili eliminacije štetnih posledica incidenta.
Operatori prioritetnih IKT sistema od posebnog značaja iz stava 2. i 3. ovog člana obaveštavaju korisnike o incidentma u skladu sa posebnim propisima.
Organ kome je u skladu sa ovim zakonom upućeno obaveštenje o incidentu, ukoliko je reč o IKT sistemu od posebnog značaja koji je određen kao kritična infrastruktura u skladu sa zakonom kojim se uređuje kritična infrastruktura, informaciju o tome prosleđuje Ministarstvu unutrašnjih poslova i ministarstvima nadležnim za sektore kritične infrastrukture.
Sadržaj obaveštenja o incidentu
Član 15.
Obaveštenje o incidentu mora da sadrži sledeće podatke:
1) podatke o podnosiocu prijave,
2) vrstu i opis incidenta i procenu da li je incident posledica krivičnog dela,
3) datum i vreme početka incidenta i trajanje incidenta,
4) posledice koje je incident izazvao,
5) preduzete aktivnosti radi ublažavanja posledica incidenta,
6) inicijalnu procenu nivoa opasnosti i uticaja incidenta na IKT sistem od posebnog značaja, kao i indikatore kompromitacije,
7) informaciju o eventualnom prekograničnom dejstvu incidenta,
8) druge relevantne informacije, po potrebi.
Značaj incidenata prema nivou opasnosti
Član 16.
Incidenti u IKT sistemima od posebnog značaja koji mogu da imaju značajan uticaj na narušavanje informacione bezbednosti svrstavaju se prema nivou opasnosti, imajući u vidu posledice incidenta u sledeće nivoe opasnosti:
1) nizak;
2) srednji;
3) visok;
4) veoma visok.
Podzakonski akt kojim se uređuje postupak obaveštavanja o incidentima, obrasci za obaveštavanje, lista incidenata prema vrstama i klasifikacija incidenata prema nivou opasnosti donosi Vlada, na predlog Ministarstva.
Operativni tim za reagovanje na incidente
Član 17.
U cilju koordinisane reakcije na incidente visokog i veoma visokog nivoa Kancelarija za informacionu bezbednost obrazuje stalni operativni tim od predstavnika Kancelarije za informaconu bezbednost, Ministarstva i CERT-ova samostalnih operatora.
Po potrebi, sastancima operativnog tima mogu prisustvovati i predstavnici posebnih CERT-ova, kao i druga lica.
Plan za reagovanje u slučaju incidenta visokog nivoa i kriza informacione bezbednosti
Član 18.
Vlada donosi Plan za reagovanje u slučaju incidenta visokog nivoa i krize informacione bezbednosti, a na predlog Kancelarije za informacionu bezbednost.
Plan iz stava 1. ovog člana obuhvata:
1) ciljeve mera i aktivnosti za reagovanje u slučaju incidenata visokog nivoa i kriza informacione bezbednosti;
2) delovanje nadležnih organa u cilju sprovođenja plana;
3) opis procedura u slučaju incidenata visokog nivoa i kriza informacione bezbednosti;
4) aktivnosti za unapređenje sposobnosti reagovanja na incidente, a pre svega planovi odgovarajućih vežbi i obuka;
5) modele saradnje sa privatnim, nevladinim i akademskim sektorom;
6) međusobnu saradnju nadležnih organa.
Prilikom izrade plana iz stava 1. ovog člana Kancelarija za informacionu bezbednost sarađuje sa drugim organima i pravnim licima.
Plan iz stava 1. ovog člana se periodično menja i dopunjuje u skladu sa potrebama i novim okolnostima, a u celini se ponovo izrađuje i donosi svake treće godine, a ukoliko su se okolnosti u značajnoj meri promenile i ranije.
Postupanje po prijemu obaveštenja o incidentu
Član 19.
Po prijemu obaveštenja o incidentu u IKT sistemu od posebnog značaja, Kancelarija za informacionu bezbednost postupa u skladu sa nadležnostima utvrđenim zakonom, odnosno prikuplja, analizira i razmenjuje informacije o rizicima za bezbednost IKT sistema, kao i incidentu, i u vezi toga obaveštava, pruža podršku, upozorava i savetuje operatora IKT sistema od posebnog značaja i vrši druge poslove iz svoje nadležnosti.
Kancelarija za informacionu bezbednost, nakon izvršene analize, utvrđuje nivo opasnosti incidenta.
Kada je neophodno da javnost bude upoznata sa incidentom ili kada je incident takav da je od interesa za javnost, Kancelarija za informacionu bezbednost može objaviti informaciju o incidentu, nakon savetovanja sa operatorom IKT sistema od posebnog značaja u kome se incident dogodio.
Kancelarija za informacionu bezbednost, Narodna banka Srbije i regulatorno telo za elektronske komunikacije i poštanske usluge dužni su da obeveštenja o incidentima proslede:
1) nadležnom javnom tužilaštvu, odnosno ministarstvu nadležnom za unutrašnje poslove, u slučaju da je incident vezan za izvršenje krivičnih dela koja se gone po službenoj dužnosti,
2) organu nadležnom za poslove odbrane i nacionalne bezbednosti u slučaju da je incident povezan sa značajnim narušavanjem informacione bezbednosti koje ima ili može imati za posledicu ugrožavanje odbrane ili nacionalne bezbednosti.
Prilikom upravljanja incidentom Kancelarija za informacionu bezbednost, Narodna banka Srbije i regulatorno telo za elektornske komunikacije i poštanske usluge označavaju obaveštenje o incidentu, odnosno informacije o incidentu u skladu sa propisima i TLP (eng.”traffic light protocol”) protokolom.
Postupanje u slučaju incidenta nivoa opasnosti “nizakˮ
Član 20.
U slučaju incidenata kojima je u skladu sa klasifikacijom utvrđen nivo opasnosti
“nizak” Kancelarija za informacionu bezbednost po potrebi daje preporuke za postupanje operatoru IKT sistema od posebnog značaja.
Postupanje u slučaju incidenta nivoa opasnosti “srednjiˮ
Član 21.
U slučaju incidenata kojima je u skladu sa klasifikacijom utvrđen nivo opasnosti
“srednji” Kancelarija za informacionu bezbednost, daje preporuke za postupanje operatoru IKT sistema od posebnog značaja.
Postupanje u slučaju incidenta nivoa opasnosti “visokˮ
Član 22.
U slučaju incidenata kojima je u skladu sa klasifikacijom utvrđen nivo opasnosti
“visok” Kancelarija za informacionu bezbednost dužna je o tome obavestiti Ministarstvo.
Kancelarija za informacionu bezbednost saziva sastanak operativnog tima iz člana 17. ovog zakona radi međusobne koordinacije tokom reagovanja po prijavljenom incidentu i pripreme preporuka i mera za rešavanje incidenta.
Ministarstvo nakon sastanka iz stava 2. ovog člana, saziva sednicu Tela za koordinaciju poslova informacione bezbednosti.
Nakon završetka incidenta Kancelarija za informacionu bezbednost sačinjava završni izveštaj koji dostavlja Ministarstvu u roku od 30 dana nakon završenog incidenta.
Postupanje u slučaju incidenta nivoa opasnosti “veoma visokˮ
Član 23.
U slučaju incidenta kojem je u skladu sa klasifikacijom utvrđen nivo opasnosti
“veoma visok” i koji predstavlja krizu informacione bezbednosti, rukovođenje i koordinaciju sprovođenja mera i zadataka preduzima Vlada.
Kancelarija za informacionu bezbednost saziva sastanak operativnog tima iz člana 17. ovog zakona radi davanja predloga za proglašavanje krize informacione bezbednosti, u skladu sa Planom za reagovanje u slučaju incidenta visokog nivoa i krize informacione bezbednosti, koji sadrži:
1) podatke o incidentu;
2) informacije o preduzetim merama;
3) razloge za proglašenje krize informacione bezbednosti;
4) zaduženje organa za postupanje u skladu sa svojim nadležnostima;
5) mere za rešavanje krize.
Predlog za proglašenje krize informacione bezbednosti upućuje se Ministarstvu.
Vlada, na predlog Ministarstva donosi odluku o proglašenju krize informacione bezbednosti i zadužuje organe da postupaju prema predloženim merama u skladu sa svojim nadležnostima.
Ministarstvo nakon sastanka iz stava 2. ovog člana, saziva sednicu Tela za koordinaciju poslova informacione bezbednosti.
Kancelarija za informacionu bezbednost koordinira operativnim radom organa iz stava 2. ovog člana u rešavanju krize informacione bezbednosti i najmanje jednom nedeljno izveštava Ministarstvo i Vladu o svim aktivnostima.
Predlog za proglašenje završetka krize informacione bezbednosti upućuje se Ministarstvu.
Odluku o proglašenju završetka krize informacione bezbednosti donosi Vlada na predlog Ministarstva.
Nakon završetka krize informacione bezbednosti Kancelarija za informacionu bezbednost sačinjava završni izveštaj koji dostavlja Ministarstvu i Vladi u roku od 30 dana nakon završetka krize.
Izveštavanje tokom i nakon incidenta
Član 24.
Operatori IKT sistema od posebnog značaja dužni su da:
1) dostavljaju izveštaj o incidentu, tokom trajanja incidenta, sa opisom mera koje su preduzete za rešavanje incidenta, u jedinstveni sistem za prijem obaveštenja o incidentima i to:
(1) na svaka tri dana u slučaju incidenta srednjeg nivoa;
(2) na svaka 24 sata u slučaju incidenata visokog i veoma visokog nivoa;
2) dostavljaju obaveštenja i dodatne izveštaje o bitnim događajima u vezi sa incidentom i aktivnostima koje preduzimaju, na zahtev Nacionalnog CERT-a;
3) dostavljaju završni izveštaj o incidentu u roku od 15 dana od dana prestanka incidenta, koji sadrži sledeće podatke:
(1) vrstu i opis incidenta,
(2) vreme i trajanje incidenta,
(3) posledice koje je incident izazvao,
(4) informaciju o eventualnom prekograničnom dejstvu incidenta,
(5) preduzete aktivnosti radi otklanjanja posledica incidenta i, po potrebi, druge informacije od značaja za evidentiranje incidenta i statističku obradu.
Nakon završenog incidenta Kancelarija za informacionu bezbednost priprema preporuke i savete za zaštitu od potencijalnih rizika, na osnovu analize izvršenog incidenta.
Dostavljanje statističkih podataka o incidentima
Član 25.
Operator IKT sistema od posebnog značaja dužan je da, pored obaveštavanja o incidentima iz člana 13. ovog zakona, dostavi Nacionalnom CERT-u statističke podatke o svim incidentima u IKT sistemu, uključujući i izbegnute incidente, u prethodnoj godini najkasnije do 28. februara tekuće godine.
Nacionalni CERT izveštaje o statističkim podacima dostavlja Ministarstvu.
Vrstu, formu i način dostavljanja statističkih podataka iz stava 1. ovog člana utvrđuje Nacionalni CERT.
III. ORGANI NADLEŽNI ZA PREVENCIJU I ZAŠTITU OD BEZBEDNOSNIH RIZIKA U IKT SISTEMIMA U REPUBLICI SRBIJI
Nadležni organ
Član 26.
Organ državne uprave nadležan za informacionu bezbednost je ministarstvo nadležno za poslove informacione bezbednosti
U okviru svojih nadležnosti Ministarstvo:
1) priprema i predlaže propise i planska dokumenata iz oblasti informacione bezbednosti u skladu sa ovim zakonom;
2) vodi evidenciju operatora IKT sistema od posebnog značaja;
3) vrši nadzor nad radom Kancelarije za informacionu bezbednost;
4) vrši inspekcijski nadzor nad radom operatora IKT sistema od posebnog značaja;
5) ostvaruje međunarodnu saradnju u okviru svojih nadležnosti.
Telo za koordinaciju poslova informacione bezbednosti
Član 27.
U cilju ostvarivanja saradnje i usklađenog obavljanja poslova u funkciji unapređenja informacione bezbednosti, kao i iniciranja i praćenja preventivnih i drugih aktivnosti u oblasti informacione bezbednosti Vlada osniva Telo za koordinaciju poslova informacione bezbednosti (u daljem tekstu: Telo za koordinaciju), kao koordinaciono telo Vlade, u čiji sastav ulaze predstavnici ministarstava nadležnih za poslove informacione bezbednosti, odbrane, unutrašnjih poslova, spoljnih poslova, pravde, predstavnici službi bezbednosti, Kancelarije za informacionu bezbednost, Kancelarije Saveta za nacionalnu bezbednost i zaštitu tajnih podataka, organa nadležnog za projektovanje, usklađivanje, razvoj i funkcionisanje sistema elektronske uprave, Generalnog sekretarijata Vlade, Narodne banke Srbije i regulatornog tela za elektronske komunikacije i poštanske usluge.
U funkciji unapređenja pojedinih oblasti informacione bezbednosti formiraju se stručne radne grupe Tela za koordinaciju u koje se uključuju i predstavnici drugih organa, privrede, akademske zajednice i nevladinog sektora.
Odlukom kojom osniva Telo za koordinaciju Vlada određuje i njegov sastav, zadatke, rok u kome ono podnosi izveštaje Vladi i druga pitanja koja su vezana za njegov rad.
Kancelarija za informacionu bezbednost
Član 28.
Radi obavljanja poslova prevencije i zaštite od bezbednosnih rizika i incidenata u IKT sistemima u Republici Srbiji osniva se Kancelarija za informacionu bezbednost (u daljem tekstu: Kancelarija), kao posebna organizacija u smislu zakona kojim se uređuje položaj državne uprave.
Kancelarija ima svojstvo pravnog lica.
Radom Kancelarije rukovodi direktor koga imenuje Vlada, a koji mora biti lice odgovarajuće stručnosti koje ima najmanje 5 godina iskustva na poslovima rukovođenja.
Kancelarija ima zamenika direktora, koji mora biti lice odgovarajuće stručnosti, koji se imenuje i ima ovlašćenja u skladu sa propisima o državnoj upravi.
Zaposlena lica u Kancelariji koja su raspoređena na radna mesta na kojima se obavljaju složeni poslovi pod stalnim ili privremenim otežanim okolnostima, imaju pravo na uvećanje koeficijenta osnovne plate u iznosu do 30%, u skladu sa aktom Vlade.
Nadzor nad radom Kancelarije
Član 29.
Nadzor nad radom Kancelarije u vršenju poslova sprovodi Ministarstvo, koje periodično, a najmanje jednom godišnje, proverava da li Kancelarija raspolaže odgovarajućim resursima i vrši poslove u skladu sa ovim zakonom.
Nadležnosti Kancelarije
Član 30.
Kancelarija u okviru svoje nadležnosti obavlja sledeće poslove i to:
1) obavlja poslove Nacionalnog CERT-a;
2) obavlja poslove CERT-a Jedinstvene informaciono-komunikacione mreže elektronske uprave
3) saradnju na nacionalnom nivou u oblasti informacione bezbednosti
4) poslove jedinstvene tačke kontakta;
5) poslove sertifikacije IKT sistema, IKT proizvoda, IKT procesa i IKT usluga;
6) propisuje minimalne mere zaštite IKT sistema organa, uvažavajući načela iz člana 3. ovog zakona, mere zaštite iz člana 10. ovog zakona, nacionalne i međunarodne standarde i standarde koji se primenjuju u odgovarajućim oblastima rada
7) u saradnji sa nadležnim organima i drugim subjektima iz javnog, akademskog, privrednog i nevladinog sektora učestvuje u razvoju i sprovođenju programa obuka i stručnog usavršavanja lica koja rade na poslovima informacione bezbednosti u organima;
8) izveštava Ministarstvo na kvartalnom nivou o preduzetim aktivnostima
9) druge poslove u skladu sa ovim zakonom.
Poslovi Nacionalnog CERT-a
Član 31.
U okviru poslova prevencije i zaštite od bezbednosnih rizika i incidenata Kancelarija vrši poslove Nacionalnog CERT-a i to:
1) prikuplja i razmenjuje informacije o pretnjama, ranjivostima i incidentima i pruža podršku, upozorava i savetuje lica koja upravljaju IKT sistemima u Republici Srbiji kao i javnost.
2) prati stanje o incidentima u Republici Srbiji;
3) pruža rana upozorenja, uzbune i najave i informiše relevantna lica o rizicima i incidentima;
4) reaguje bez odlaganja po prijavljenim ili na drugi način otkrivenim incidentima u IKT sistemima od posebnog značaja, kao i po prijavama fizičkih i pravnih lica, tako što pruža savete i preporuke na osnovu raspoloživih informacija o incidentima i preduzima druge potrebne mere iz svoje nadležnosti na osnovu dobijenih saznanja;
5) na zahtev operatora IKT sistema od posebnog značaja, pruža pomoć u praćenju stanja bezbednosti IKT sistema u realnom vremenu ili približno realnom vremenu;
6) na zahtev operatora IKT sistema od posebnog značaja, vrši proaktivno skeniranje IKT sistema u cilju utvrđivanja ranjivosti koje mogu da potencijalno znatno naruše bezbednost IKT sistema, pri čemu takvo skeniranje ne sme imati štetan uticaj na poslove i delatnosti operatora;
7) postupa kao koordinator za potrebe koordiniranog otkrivanja ranjivosti, u skladu sa ovim zakonom;
8) učestvuje u razvoju i korišćenju tehnoloških alata za razmenu informacija sa operatorima IKT sistema od posebnog značaja i drugih subjekata sa kojima sarađuje;
9) kontinuirano izrađuje analize rizika i incidenata, na osnovu prikupljenih informacija;
10) podiže svest kod građana, privrednih subjekata i organa o značaju informacione bezbednosti, o rizicima i merama zaštite, uključujući sprovođenje kampanja u cilju podizanja te svesti;
11) vodi Evidenciju posebnih CERT-ova
12) vodi bazu ranjivosti
13) priprema izveštaje na kvartalnom nivou o preduzetim aktivnostima.
Nacionalni CERT promoviše usvajanje i korišćenje propisanih i standardizovanih procedura za:
1) upravljanje incidenata;
2) klasifikaciju informacija o incidentima, odnosno klasifikaciju prema nivou opasnosti incidenata;
3) upravljanje kriznim situacijama;
4) koordinirano otkrivanje ranjivosti.
Nacionalni CERT je ovlašćen da vrši obradu podataka o licu koje prijavi incident, pri čemu obrada podataka o licu obuhvata ime, prezime i broj telefona i/ili adresu elektronske pošte i vrši se u svrhu evidentiranja podnetih prijava, informisanja podnosioca prijave o statusu predmeta i, u slučaju potrebe, upućivanja prijave nadležnim organima radi daljeg postupanja, u skladu sa zakonom.
Nacionalni CERT obezbeđuje neprekidnu dostupnost svojih usluga putem različitih sredstava komunikacije.
Poslovi CERT-a Jedinstvene informaciono-komunikacione mreže elektronske uprave
Član 32.
U okviru poslova CERT-a Jedinstvene informaciono-komunikacione mreže elektronske uprave (u daljem tekstu: mreža eUprave) Kancelarija obavlja sledeće poslove:
1) vrši zaštitu mreže eUprave;
2) obavlja koordinaciju i saradnju sa operatorima IKT sistema koje povezuje mreža eUprave u prevenciji incidenata;
3) aktivno učestvuje u otkrivanju incidenata, prikupljanju informacija o incidentima i otklanjanju posledica incidenata;
4) vrši proaktivno skeniranje mreže operatora IKT sistema od posebnog značaja koji su korisnici mreže, pri čemu takvo skeniranje ne sme imati štetan uticaj na poslove i delatnosti operatora;
5) u slučaju otkrivene ranjivosti:
(1) obavesti operatore IKT sistema koji su korisnici mreže eUprave o tome,
(2) nalaže operatorima IKT sistema od posebnog značaja koji su korisnici mreže da preduzmu adekvatne mere zaštite u cilju sprečavanja, smanjenja i otklanjanja posledica indicenta;
6) izdaje stručne preporuke za zaštitu IKT sistema organa, osim IKT sistema za rad sa tajnim podacima;
7) propisuje procedure za postupanje operatora IKT sistema od posebnog značaja koji koriste mreže u slučaju incidenta;
8) u saradnji sa nadležnim organima vrši procenu potrebe za stručnim usavršavanjem zaposlenih u operatorima IKT sistema od posebnog značaja koji koriste mrežu;
9) planira i organizuje proceduralne i praktične vežbe u oblasti informacione bezbednosti za zaposlene u operatorima IKT sistema od posebnog značaja koji koriste mrežu;
10) izrađuje predloge za unapređenje bezbednosnih karakteristika mreže eUprave;
11) izrađuje analize rizika i incidenata u okviru mreže eUprave;
12) obavlja druge poslove u skladu sa zakonom u cilju unapređenja informacione bezbednosti mreže eUprave.
Saradnja na nacionalnom nivou
Član 33.
Nacionalni CERT neposredno sarađuje sa Ministarstvom, CERT-om mreže eUprave, Posebnim CERT-ovima u Republici Srbiji, sa javnim i privrednim subjektima i CERT-ovima samostalnih operatora IKT sistema.
Nacionalni CERT/, CERT mreže eUprave i CERT-ovi samostalnih operatora IKT sistema održavaju međusobne sastanke u organizaciji Kancelarije najmanje tri puta godišnje, kao i po potrebi u slučaju incidenata koji značajno ugrožavaju informacionu bezbednost u Republici Srbiji.
Sastancima iz stava 2. ovog člana prisustvuju i predstavnici Ministarstva, a po pozivu mogu da prisustvuju i predstavnici posebnih CERT-ova, kao i druga lica.
Prilikom saradnje sa subjektima iz stava 1. ovog člana Nacionalni CERT je dužan da obezbedi efektivnu, efikasnu i bezbednu razmenu informacija uz primenu adekvatnih procedura, uključujući “traffic light protocol” (TLP), i poštujući propise o zaštiti podataka o ličnosti.
Međunarodna saradnja i poslovi jedinstvene tačke kontakta
Član 34.
Nacionalni CERT ostvaruje međunarodnu saradnju u oblasti bezbednosti IKT sistema, a naročito pruža upozorenja o rizicima i incidentima koji ispunjavaju najmanje jedan od sledećih uslova:
1) brzo rastu ili imaju tendenciju da postanu visokorizični;
2) prevazilaze ili mogu da prevaziđu nacionalne kapacitete;
3) mogu da imaju negativan uticaj na više od jedne države.
Prilikom razmene podataka iz stava 2. ovog člana, Nacionalni CERT je dužan da postupa tako da se ne ugrozi poverljivost podataka, kao i da takva razmena podataka ne utiče na potencijalno narušavanje bezbednosti IKT sistema.
Ukoliko je incident u vezi sa izvršenjem krivičnog dela koje se goni po službenoj dužnosti, Nacionlni CERT će o tome obavestiti nadležno javno tužilaštvo, koje će samostalno ili preko ministarstva nadležnog za unutrašnje poslove u zvaničnoj proceduri proslediti prijavu u skladu sa potvrđenim međunarodnim ugovorima.
Nacionalni CERT obavlja poslove jedinstvene tačke kontakta za informacionu bezbednost u slučaju prekograničnih bezbednosnih pretnji i incidenata i sarađuje sa jedinstvenim tačkama kontakta drugih država.
Posebni centri za prevenciju bezbednosnih rizika u IKT sistemima
Član 35.
Poseban centar za prevenciju bezbednosnih rizika u IKT sistemima (u daljem tekstu: Poseban CERT) obavlja poslove prevencije i zaštite od bezbednosnih rizika u IKT sistemima u okviru određenog pravnog lica, grupe pravnih lica, oblasti poslovanja i slično.
Poseban CERT je pravno lice ili organizaciona jedinica u okviru pravnog lica sa sedištem na teritoriji Republike Srbije, koje je upisano u evidenciju posebnih CERT- ova koju vodi Nacionalni CERT.
Upis u evidenciju posebnih CERT-ova, koju vodi Nacionalni CERT, vrši se na osnovu prijave pravnog lica u okviru koga se nalazi poseban CERT.
Evidencija posebnih CERT-ova od podataka o ličnosti sadrži podatke o odgovornim licima, i to: ime, prezime, funkciju i kontakt podatke kao što su adresa, broj telefona i adresa elektronske pošte, a u svrhu angažovanja posebnih CERT-ova u slučaju bezbednosnih rizika i incidenata u IKT sistemima.
Nacionalni CERT propisuje sadržaj, način upisa i vođenja evidencije iz stava 3. ovog člana.
Baza ranjivosti
Član 36.
Nacionalni CERT uspostavlja i održava bazu ranjivosti IKT proizvoda i IKT usluga u Republici Srbiji i omogućava fizičkim i pravnim licima, kao i proizvođačima, dobavljačima i pružaocima usluge u IKT sistemu, da na dobrovoljnoj bazi prijave ranjivosti u IKT proizvodima ili IKT uslugama, a koje se mogu prijaviti anonimno.
Baza ranjivosti IKT proizvoda i IKT usluga sadrži:
1) podatke o ranjivosti;
2) podatke o ranjivostima IKT proizvoda ili IKT usluga.
Nacionalni CERT propisuje sadržaj, procedure verifikacije ranjivosti, način upisa i vođenja registra.
Zaštita dece pri korišćenju informaciono-komunikacionih tehnologija
Član 37.
Ministarstvo preduzima preventivne mere za bezbednost i zaštitu dece na internetu, kao aktivnosti od javnog interesa, putem edukacije i informisanja dece, roditelja i nastavnika o prednostima, rizicima i načinima bezbednog korišćenja interneta, kao i putem jedinstvenog mesta za pružanje saveta i prijem prijava u vezi bezbednosti dece na internetu, i upućuje prijave nadležnim organima radi daljeg postupanja.
Operator elektronskih komunikacija koji pruža javno dostupne telefonske usluge dužan je da omogući svim pretplatnicima uslugu besplatnog poziva prema jedinstvenom mestu za pružanje saveta i prijem prijava u vezi bezbednosti dece na internetu.
U slučaju da navodi iz prijave upućuju na postojanje krivičnog dela, na povredu prava, zdravstvenog statusa, dobrobiti i/ili opšteg integriteta deteta, na rizik stvaranja zavisnosti od korišćenja interneta, prijava se prosleđuje nadležnom organu radi postupanja u skladu sa utvrđenim nadležnostima.
Ministarstvo je ovlašćeno da vrši obradu podataka o licu koje se obrati Nadležnom organu u skladu sa zakonom koji uređuje zaštitu podataka o ličnosti i drugim propisima.
Obrada podataka o licu iz stava 4. ovog člana obuhvata ime, prezime i broj telefona i/ili adresu elektronske pošte i vrši se u svrhu evidentiranja podnetih prijava, informisanja podnosioca prijave o statusu predmeta i, u slučaju potrebe, upućivanja prijave nadležnim organima radi daljeg postupanja, u skladu sa zakonom.
Podaci o ličnosti iz stava 5. ovog člana čuvaju se u rokovima predviđenim propisima koji uređuju kancelarijsko poslovanje.
U cilju obezbeđivanja kontinuiteta rada jedinstvenog mesta za pružanje saveta i prijem prijava u vezi bezbednosti dece na internetu, Ministarstvo treba da:
1) bude opremljen sa odgovarajućim sistemima za prijem prijava;
2) ima dovoljno zaposlenih kako bi se osigurala dostupnost u radu;
3) obezbedi infrastrukturu čiji je kontinuitet osiguran.
Podzakonski akt kojim se bliže uređuje način sprovođenja mera za bezbednost i zaštitu dece na internetu iz st. 1. i 3. ovog člana donosi Vlada na predlog Ministarstva.
IV. KRIPTOBEZBEDNOST I ZAŠTITA OD KOMPROMITUJUĆEG ELEKTROMAGNETNOG ZRAČENjA
Nadležnost
Član 38.
Ministarstvo nadležno za poslove odbrane je nadležno za poslove informacione bezbednosti koji se odnose na odobravanje kriptografskih proizvoda koji se koriste za zaštitu prenosa i čuvanja podataka koji su određeni kao tajni, distribuciju kriptomaterijala i zaštitu od kompromitujućeg elektromagnetnog zračenja i poslove i zadatke u skladu sa zakonom i propisima donetim na osnovu zakona.
Poslovi i zadaci
Član 39.
U skladu sa ovim zakonom, ministarstvo nadležno za poslove odbrane:
1) organizuje i realizuje naučnoistraživački rad u oblasti kriptografske bezbednosti i zaštite od KEMZ;
2) razvija, implementira, verifikuje i klasifikuje kriptografske algoritme;
3) istražuje, razvija, verifikuje i klasifikuje sopstvene kriptografske proizvode i rešenja zaštite od KEMZ;
4) verifikuje i klasifikuje domaće i strane kriptografske proizvode i rešenja zaštite od KEMZ;
5) definiše procedure i kriterijume za evaluaciju kriptografskih bezbednosnih rešenja;
6) vrši funkciju nacionalnog organa za odobrenja kriptografskih proizvoda i obezbeđuje da ti proizvodi budu odobreni u skladu sa odgovarajućim propisima;
7) vrši funkciju nacionalnog organa za zaštitu od KEMZ;
8) vrši proveru IKT sistema sa aspekta kriptobezbednosti i zaštite od KEMZ;
9) vrši funkciju nacionalnog organa za distribuciju kriptomaterijala i definiše upravljanje, rukovanje, čuvanje, distribuciju i evidenciju kriptomaterijala u skladu sa propisima;
10) planira i koordinira izradu kriptoparametara (parametara kriptografskog algoritma), distribuciju kriptomaterijala i zaštite od kompromitujućeg elektromagnetnog zračenja u saradnji sa samostalnim operatorima IKT sistema;
11) formira i vodi centralni registar verifikovanog i distribuiranog kriptomaterijala;
12) formira i vodi registar izdatih odobrenja za kriptografske proizvode;
13) izrađuje elektronske sertifikate za kriptografske sisteme zasnovane na infrastrukturi javnih ključeva (Public Key Infrastructure - PKI);
14) predlaže donošenje propisa iz oblasti kriptobezbednosti i zaštite od KEMZ na osnovu ovog zakona;
15) vrši poslove stručnog nadzora u vezi kriptobezbednosti i zaštite od KEMZ;
16) pruža stručnu pomoć nosiocu inspekcijskog nadzora informacione bezbednosti u oblasti kriptobezbednosti i zaštite od KEMZ;
17) pruža usluge uz naknadu pravnim i fizičkim licima, izvan sistema javne vlasti, u oblasti kriptobezbednosti i zaštite od KEMZ prema propisu Vlade na predlog ministra odbrane;
18) sarađuje sa domaćim i međunarodnim organima i organizacijama u okviru nadležnosti uređenih ovim zakonom.
Sredstva ostvarena od naknade za pružanje usluga iz stava 1. tačka 17) ovog člana su prihod budžeta Republike Srbije.
Kompromitujuće elektromagnetno zračenje
Član 40.
Mere zaštite od KEMZ u IKT sistemima za rukovanje sa tajnim podacima primenjuju se u skladu sa propisima kojima se uređuje zaštita tajnih podataka.
Mere zaštite od KEMZ mogu primenjivati na sopstvenu inicijativu i operatori IKT sistema kojima to nije zakonska obaveza.
Za sve tehničke komponente sistema (uređaje, komunikacione kanale i prostore) kod kojih postoji rizik od KEMZ, a što bi moglo dovesti do narušavanja informacione bezbednosti iz stava 1. ovog člana, vrši se provera zaštićenosti od KEMZ i procena rizika od neovlašćenog pristupa tajnim podacima putem KEMZ.
Proveru zaštićenosti od KEMZ vrši ministarstvo nadležno za poslove odbrane.
Samostalni operatori IKT sistema mogu vršiti proveru KEMZ za sopstvene potrebe.
Podzakonski akt kojim se bliže uređuju uslovi za proveru KEMZ i način procene rizika od oticanja podataka putem KEMZ donosi Vlada, na predlog ministarstva nadležnog za poslove odbrane.
Mere kriptozaštite
Član 41.
Mere kriptozaštite za rukovanje sa tajnim podacima u IKT sistemima primenjuju se u skladu sa propisima kojima se uređuje zaštita tajnih podataka.
Mere kriptozaštite se mogu primeniti i prilikom prenosa i čuvanja podataka koji nisu označeni kao tajni u skladu sa zakonom koji uređuje tajnost podataka, kada je na osnovu zakona ili drugog pravnog akta potrebno primeniti tehničke mere ograničenja pristupa podacima i radi zaštite integriteta, autentičnosti i neporecivosti podataka.
Podzakonski akt kojim se uređuju tehničkie uslovi za kriptografske algoritme, parametre, protokole i informaciona dobra u oblasti kriptozaštite koji se u Republici Srbiji koriste u kriptografskim proizvodima radi zaštite tajnosti, integriteta, autentičnosti, odnosno neporecivosti podataka donosi Vlada, na predlog ministarstva nadležnog za poslove odbrane.
Odobrenje za kriptografski proizvod
Član 42.
Kriptografski proizvodi koji se koriste za zaštitu prenosa i čuvanja podataka koji su određeni kao tajni, u skladu sa zakonom, moraju biti verifikovani i odobreni za korišćenje.
Podzakonski akt kojim se bliže uređuju uslovi koje moraju da ispunjavaju kriptografski proizvodi iz stava 1. ovog člana donosi Vlada, na predlog ministarstva nadležnog za poslove odbrane.
Izdavanje odobrenja za kriptografski proizvod
Član 43.
Odobrenje za kriptografski proizvod izdaje ministarstvo nadležno za poslove odbrane, na zahtev operatora IKT sistema, proizvođača kriptografskog proizvoda ili drugog zainteresovanog lica.
Odobrenje za kriptografski proizvod se može odnositi na pojedinačni primerak kriptografskog proizvoda ili na određeni model kriptografskog proizvoda koji se serijski proizvodi.
Odobrenje za kriptografski proizvod može imati rok važenja.
Ministarstvo nadležno za poslove odbrane rešava po zahtevu za izdavanje odobrenja za kriptografski proizvod u roku od 45 dana od dana podnošenja urednog zahteva, koji se može produžiti u slučaju posebne složenosti provere najviše za još 60 dana.
Protiv rešenja iz stava 4. ovog člana žalba nije dopuštena, ali može da se pokrene upravni spor.
Ministarstvo nadležno za poslove odbrane vodi registar izdatih odobrenja za kriptografski proizvod.
Registar iz stava 6. ovog člana od podataka o ličnosti sadrži podatke o odgovornim licima, i to: ime, prezime, funkcija i kontakt podatke kao što su adresa, broj telefona i adresa elektronske pošte.
Ministarstvo nadležno za poslove odbrane objavljuje javnu listu odobrenih modela kriptografskih proizvoda za sve modele kriptografskih proizvoda za koje je u zahtevu za izdavanje odobrenja naglašeno da model kriptografskog proizvoda treba da bude na javnoj listi i ako je zahtev podneo proizvođač ili lice ovlašćeno od strane proizvođača predmetnog kriptografskog proizvoda.
Ministarstvo nadležno za poslove odbrane prethodno izdato odobrenje za kriptografski proizvod može povući ili promeniti uslove iz st. 2. i 3. ovog člana iz razloga novih saznanja vezanih za tehnička rešenja primenjena u proizvodu, a koja utiču na ocenu stepena zaštite koji pruža proizvod.
Podzakonski akt kojim se bliže uređuje sadržaj zahteva za izdavanje odobrenja za kriptografski proizvod, uslove za izdavanje odobrenja za kriptografski proizvod, način izdavanja odobrenja i sadržaj registra izdatih odobrenja za kriptografski proizvod donosi Vlada, na predlog ministarstva nadležnog za poslove odbrane.
Opšte odobrenje za korišćenje kriptografskih proizvoda
Član 44.
Samostalni operatori IKT sistema imaju opšte odobrenje za korišćenje kriptografskih proizvoda.
Operator IKT sistema iz stava 1. ovog člana samostalno ocenjuje stepen zaštite koji pruža svaki pojedinačni kriptografski proizvod koji koristi, a u skladu sa propisanim uslovima.
Stavovi 1. i 2. ne odnose se na Narodnu banku Srbije.
Registri u kriptozaštiti
Član 45.
Samostalni operatori IKT sistema koji imaju opšte odobrenje za korišćenje kriptografskih proizvoda ustrojavaju i vode registre kriptografskih proizvoda, kriptomaterijala, pravila i propisa i lica koja obavljaju poslove kriptozaštite.
Registar lica koja obavljaju poslove kriptozaštite od podataka o ličnosti sadrži sledeće podatke o licima koja obavljaju poslove kriptozaštite: prezime, ime oca i ime, datum i mesto rođenja, matični broj, telefon, adresu elektronske pošte, školsku spremu, podatke o završenom stručnom osposobljavanju za poslove kriptozaštite, naziv radnog mesta, datum početka i završetka rada na poslovima kriptozaštite.
Registar kriptomaterijala za rukovanje sa stranim tajnim podacima vodi Kancelarija Saveta za nacionalnu bezbednost i zaštitu tajnih podataka, u skladu sa ratifikovanim međunarodnim sporazumima.
Podzakonski akt kojim se bliže uređuje vođenje registara iz stava 1. ovog člana donisi Vlada, na predlog ministarstva nadležnog za poslove odbrane.
VI. NADLEŽNOSTI I ODGOVORNOSTI SUBJEKATA ZA NADZOR NAD SPROVOĐENjEM OVOG ZAKONA
Inspekcija za informacionu bezbednost
Član 46.
Inspekcija za informacionu bezbednost vrši inspekcijski nadzor nad primenom ovog zakona i radom operatora IKT sistema od posebnog značaja, osim samostalnih operatora IKT sistema i IKT sistema za rad sa tajnim podacima, a u skladu sa zakonom kojim se uređuje inspekcijski nadzor.
Poslove inspekcije za informacionu bezbednost obavlja ministarstvo nadležno za poslove informacione bezbednosti preko inspektora za informacionu bezbednost.
U okviru inspekcijskog nadzora rada operatora IKT sistema, inspektor za informacionu bezbednost utvrđuje da li su ispunjeni uslovi propisani ovim zakonom i propisima donetim na osnovu ovog zakona.
Član 47.
Ovlašćenja inspektora za informacionu bezbednost
Inspektor za informacionu bezbednost je ovlašćen da u postupku sprovođenja nadzora, pored nalaganja mera za koje je ovlašćen inspektor u postupku vršenja inspekcijskog nadzora utvrđenih zakonom:
1) naloži otklanjanje utvrđenih nepravilnosti i za to utvrdi razuman rok;
2) zabrani korišćenje postupaka i tehničkih sredstava kojima se ugrožava ili narušava informaciona bezbednost i za to ostavi rok;
3) zahteva od operatora IKT sistema od posebnog značaja da izvrši skeniranje IKT sistema u cilju utvrđivanja eventualnih bezbednosnih ranjivosti, a u skladu sa procenom rizika;
4) naloži da nadzirani subjekt učini dostupnim javnosti informacije koje se tiču nepoštovanja odredbi ovog zakona, a za koje postoji opravdan interes javnosti na utvrđeni način;
5) naloži da nadzirani subjekt odredi lice sa tačno utvrđenim ovlašćenjima koje će u utvrđenom vremenskom periodu nadzirati i pratiti usaglašenost sa odredbama ovog zakona i naloženim merama.
VII. KAZNENE ODREDBE
Član 48.
Novčanom kaznom u iznosu od 50.000,00 do 2.000.000,00 dinara kazniće se za prekršaj prioritetni operator IKT sistema od posebnog značaja ako:
1) ne izvrši upis u evidenciju iz člana 9. stav 1. ovog zakona;
2) ne donese Akt o proceni rizika iz člana 11. stav 1. ovog zakona;
3) ne donese Akt o bezbednosti IKT sistema iz člana 12. stav 1. ovog zakona;
4) ne primeni mere zaštite određene Aktom o bezbednosti IKT sistema iz člana 12. stav 2. ovog zakona;
5) ne izvrši proveru usklađenosti primenjenih mera iz člana 12. stav 4. ovog zakona;
6) ne dostavi statističke podatke iz člana 25. stav 1. ovog zakona;
7) ne postupi po nalogu inspektora za informacionu bezbednost u ostavljenom roku iz člana 47. stav 1. tačka 1) ovog zakona.
Za prekršaj iz stava 1. ovog člana kazniće se i odgovorno lice u operatoru prioritetnog IKT sistema od posebnog značaja novčanom kaznom u iznosu od 5.000,00 do 50.000,00 dinara.
Član 49.
Novčanom kaznom u iznosu od 50.000,00 do 1.000.000,00 dinara kazniće se za prekršaj važni operator IKT sistema od posebnog značaja ako:
1) ne izvrši upis u evidenciju iz člana 9. stav 1. ovog zakona;
2) ne donese Akt o proceni rizika iz člana 11. stav 1. ovog zakona;
3) ne donese Akt o bezbednosti IKT sistema iz člana 12. stav 1. ovog zakona;
4) ne primeni mere zaštite određene Aktom o bezbednosti IKT sistema iz člana 12. stav 2. ovog zakona
5) ne izvrši proveru usklađenosti primenjenih mera iz člana 12. stav 4. ovog zakona;
6) ne dostavi statističke podatke iz člana 25. stav 1. ovog zakona;
7) ne postupi po nalogu inspektora za informacionu bezbednost u ostavljenom roku iz člana 47. stav 1. tačka 1) ovog zakona.
Za prekršaj iz stava 1. ovog člana kazniće se i odgovorno lice u operatoru važnog IKT sistema od posebnog značaja novčanom kaznom u iznosu od 5.000,00 do 50.000,00 dinara.
Član 50.
Novčanom kaznom u iznosu od 50.000,00 do 500.000,00 dinara kazniće se za prekršaj prioritetni operator IKT sistema od posebnog značaja ako:
1) o incidentima u IKT sistemu iz člana 13. stav 2. ovog zakona ne obavesti organe iz člana 14. st. 1. do 3. ovog zakona;
2) ne obavesti korisnike kojima pružaju usluge u slučaju incidenta koji može da izazove ili izaziva štetan uticaj na pružanje i korišćenje usluga u skladu sa članom 14. stav 5. ovog zakona;
3) ne dostavlja obaveštenja i izveštaje o tokom i nakon završetka incidenta iz člana 24 ovog zakona.
Za prekršaje iz stava 1. ovog člana kazniće se i odgovorno lice u operatoru prioritetnog IKT sistema od posebnog značaja novčanom kaznom u iznosu od 5.000,00 do 50.000,00 dinara.
Izuzetno od st. 1. i 2. ovog člana, ako finansijska institucija ne obavesti Narodnu banku Srbije o incidentima u IKT sistemu od posebnog značaja, Narodna banka Srbije izriče toj finansijskoj instituciji mere i kazne u skladu sa zakonom kojim se uređuje njeno poslovanje.
Član 51.
Novčanom kaznom u iznosu od 50.000,00 do 500.000,00 dinara kazniće se za prekršaj važni operator IKT sistema od posebnog značaja ako:
1) o incidentima u IKT sistemu iz člana 13. stav 2. ovog zakona ne obavesti organe iz člana 14. st. 1. do 3. ovog zakona;
2) ne obavesti korisnike kojima pružaju usluge u slučaju incidenta koji može da izazove ili izaziva štetan uticaj na pružanje i korišćenje usluga u skladu sa članom 14. stav 5. ovog zakona;
3) ne dostavlja obaveštenja i izveštaje tokom i nakon završetka incidentaiz člana 24 ovog zakona.
Za prekršaje iz stava 1. ovog člana kazniće se i odgovorno lice u operatoru IKT sistema od posebnog značaja novčanom kaznom u iznosu od 5.000,00 do 50.000,00 dinara.
VIII. PRELAZNE I ZAVRŠNE ODREDBE
Član 52.
Rokovi za donošenje podzakonskih akata
Podzakonska akta predviđena ovim zakonom doneće se u roku od šest meseci od dana stupanja na snagu ovog zakona
Član 53.
Do donošenja podzakonskog akta iz člana 6. ovog zakona operatori IKT sistema od posebnog značaja koji su određeni Zakonom o informacionoj bezbednosti (“Službeni glasnik RS”, br. 6/16, 94/17 i 77/19) nastavljaju da postupaju u skladu sa obavezama utvrđenim tim zakonom.
Operatori IKT sistema od posebnog značaja koji su bili upisani u Evidenciju operatora IKT sistema od posebnog značaja koja se vodila u skladu sa Zakonom o informacionoj bezbednosti (“Službeni glasnik RS”, br. 6/16, 94/17 i 77/19) dodatne podatke koji su predviđeni ovim zakonom dostavljaju u roku od 90 dana od dana donošenja podzakonskog akta iz člana 9. ovog zakona.
Operatori IKT sistema od posebnog značaja dužni su da donesu akt iz člana 11. ovog zakona u roku od 12 meseci od dana stupanja na snagu ovog zakona.
Operator IKT sistema od posebnog značaja dužan je da donese akt iz člana 12. ovog zakona u roku od 3 meseca od dana stupanja na snagu ovog podzakonskog akta iz člana 12. ovog zakona.
Član 54.
Kancelarija za informacionu bezbednost poslove iz svoje nadležnosti propisane ovim zakonom počinje da obavlja počev od 90 dana od dana stupanja na snagu ovog zakona.
Regulatorno telo za elektronske komunikacije i poštanske usluge obavlja poslove Nacionalnog CERT-a utvrđene ovim zakonom do isteka perioda od 6 meseci od dana stupanja na snagu ovog zakona.
Kancelarija preuzima prava, obaveze, zaposlene, predmete, opremu, sredstva za rad i arhivu od Regulatornog tela za elektronske komunikacije i poštanske usluge nastalu u obavljanju poslova Nacionalnog CERT-a danom isteka perioda od 6 meseci od dana stupanja na snagu ovog zakona, potrebne za vršenje stručnih poslova utvrđenih ovim zakonom.
Kancelarija preuzima prava, obaveze, zaposlene, predmete, opremu, sredstva za rad i arhivu nastalu u radu Kancelarije za informacione tehnologije i elektronsku upravu u delokrugu poslova CERT-a organa vlasti u skladu sa Zakonom o informacionoj bezbednosti (“Službeni glasnik RS”, br. 6/16, 94/17 i 77/19), potrebne za vršenje stručnih poslova utvrđenih ovim zakonom.
Član 55.
Prestanak važenja Zakona o informacionoj bezbednosti
Danom stupanja na snagu ovog zakona prestaje da važi Zakon o informacionoj bezbednosti (“Službeni glasnik RS”, br. 6/16, 94/17 i 77/19), izuzev odredbi koje se odnose na obaveze operatora IKT sistema od posebnog značaja koje važe do donošenja podzakonskog akta iz člana 6. ovog zakona.
Podzakonski akti doneti na osnovu Zakona o informacionoj bezbednosti (“Službeni glasnik RS”, br. 6/16, 94/17 i 77/19) primenjivaće se do donošenja podzakonskih akata u skladu sa ovim zakonom.
Član 56.
Stupanje na snagu
Ovaj zakon stupa na snagu osmog dana od dana objavljivanja u “Službenom glasniku Republike Srbije”.
Izvor: Vebsajt eKonsultacije, 13.09.2023.