Javna rasprava o Nacrtu zakona o informacionoj bezbednosti

Redakcija Profi Sistem-a

01/08/2023

Ministarstvo informisanja i telekomunikacija je 27. jula 2023. godine uputilo Nacrt zakona o informacionoj bezbednosti na javnu raspravu, koja će trajati do 30. avgusta 2023. godine.

Predloženi tekst predstavlja rezultat rada radne grupe koja je formirana 20. aprila 2023. godine s ciljem da unapredi postojeća zakonodavna rešenja u odnosu na poslednje izmene regulative EU. Inicijalno, radna grupa formirana je sa zadatkom da pripremi izmene i dopune postojećeg Zakona o informacionoj bezbednosti, međutim, tokom njenog rada, ustanovljeno je da postoje uslovi za obimnije izmene regulatornog okvira i izrađen je nacrt novog zakonskog teksta.

Nacrtom zakona uspostavlja se zakonodavni okvir za ostvarenje tri cilja utvrđena strateškim dokumentima i zadatkom radne grupe, a to su: usklađivanje sa novom Direktivom EU o merama za visoki nivo sajber bezbednosti (NIS 2) koja je usvojena u decembru 2022. godine, uspostavljanje temelja za razvoj okvira i šema za sertifikaciju IKT proizvoda, usluga i procesa u skladu sa Aktom (EU) o sajber bezbednosti iz 2019. godine i unapređenje institucionalnog okvira. U tom smislu, najznačajnije izmene odnose se na uvođenje razlikovanja između operatora IKT sistema od posebnog značaja na prioritetne i važne, gde se prioritetnim smatraju oni operatori čiji su sistemi od ključnog značaja za održavanje kritičnih društvenih i ekonomskih aktivnosti čiji bi prekid ili poremećaj u pružanju usluga imao značajan uticaj na javnu bezbednost, javno zdravlje, funkcionisanje drugih sektora ili bi stvorio značajan sistemski rizik. Takođe, poslovi nacionalnog CERT-a su prošireni, precizirana je obaveza prijave incidenata, redefinisana nadležnost organa koji se bave poslovima informacione bezbednosti i preduzete druge mere u cilju efikasnijeg i adekvatnijeg odgovora na sajber pretnje i incidente.

U smislu unapređenja institucionalnog okvira, predviđeno je osnivanje Kancelarije za informacionu bezbednost koja je određena kao posebna organizacija. Kancelarija za informacionu bezbednost treba da preuzme poslove nacionalnog CERT-a, poslove CERT-a jedinstvene mreže državnih organa preko koje se vrše poslovi elektronske uprave, kao i druge nadležnosti u cilju unapređenja sveukupne informacione bezbednosti u zemlji, kao što su poslovi u vezi sa saradnjom nadležnih organa na nacionalnom nivou, poslovi u vezi sa sertifikacijom IKT proizvoda, procesa i usluga, doprinos unapređenju obaveznih obuka državnih službenika i nameštenika angažovanih na poslovima u vezi sa bezbednošću IKT sistema i mreža, izrada metodologije za akt o proceni rizika i drugo. Predviđeno je da Kancelarija bude potpuno operativna u smislu preuzimanja svih dodeljenih nadležnosti počev od 1. januara 2026. godine radi omogućavanja preuzimanja prava i obaveza, zaposlenih i sredstava za rad Nacionalnog CERT-a i očuvanja postojećih procesa do uspostavljanja kapaciteta nove institucije.

Novi Nacrt zakona omogućiće unapređenje informacione bezbednosti u zemlji usvajanjem najsavremenijih evropskih regulatornih rešenja, redefinisanjem nadležnosti i preciznijim određenjem načina postupanja u slučaju incidenta ili sajber pretnje i jačanjem institucionalnog okvira u odgovoru na opasnosti u sajber svetu. Predloženi tekst predstavlja zakonodavni osnov za dalji razvoj na polju unapređenja informacione bezbednosti na način kako se to čini u državama Evropske unije i omogućiće Republici Srbiji da dalje razvija mere u cilju zaštite IKT sistema i mreža radi adekvatnog odgovora na rastuće izazove na polju upotrebe informacionih tehnologija.

Podsećamo, važećim Zakonom o informacionoj bezbednosti (“Sl. glasnik RS”, br. 6/2016, 94/2017 i 77/2019) uređuju se mere zaštite od bezbednosnih rizika u informaciono-komunikacionim sistemima, odgovornosti pravnih lica prilikom upravljanja i korišćenja informaciono-komunikacionih sistema i određuju se nadležni organi za sprovođenje mera zaštite, koordinaciju između činilaca zaštite i praćenje pravilne primene propisanih mera zaštite.

U smislu ovog zakona:

1) informaciono-komunikacioni sistem (IKT sistem) je tehnološko-organizaciona celina koja obuhvata:

(1) elektronske komunikacione mreže u smislu zakona koji uređuje elektronske komunikacije;

(2) uređaje ili grupe međusobno povezanih uređaja, takvih da se u okviru uređaja, odnosno u okviru barem jednog iz grupe uređaja, vrši automatska obrada podataka korišćenjem računarskog programa;

(3) podatke koji se vode, čuvaju, obrađuju, pretražuju ili prenose pomoću sredstava iz podtač. (1) i (2) ove tačke, a u svrhu njihovog rada, upotrebe, zaštite ili održavanja;

(4) organizacionu strukturu putem koje se upravlja IKT sistemom;

(5) sve tipove sistemskog i aplikativnog softvera i softverske razvojne alate;

2) operator IKT sistema je pravno lice, organ vlasti ili organizaciona jedinica organa vlasti koji koristi IKT sistem u okviru obavljanja svoje delatnosti, odnosno poslova iz svoje nadležnosti;

3) informaciona bezbednost predstavlja skup mera koje omogućavaju da podaci kojima se rukuje putem IKT sistema budu zaštićeni od neovlašćenog pristupa, kao i da se zaštiti integritet, raspoloživost, autentičnost i neporecivost tih podataka, da bi taj sistem funkcionisao kako je predviđeno, kada je predviđeno i pod kontrolom ovlašćenih lica;

4) tajnost je svojstvo koje znači da podatak nije dostupan neovlašćenim licima;

5) integritet znači očuvanost izvornog sadržaja i kompletnosti podatka;

6) raspoloživost je svojstvo koje znači da je podatak dostupan i upotrebljiv na zahtev ovlašćenih lica onda kada im je potreban;

7) autentičnost je svojstvo koje znači da je moguće proveriti i potvrditi da je podatak stvorio ili poslao onaj za koga je deklarisano da je tu radnju izvršio;

8) neporecivost predstavlja sposobnost dokazivanja da se dogodila određena radnja ili da je nastupio određeni događaj, tako da ga naknadno nije moguće poreći;

9) rizik znači mogućnost narušavanja informacione bezbednosti, odnosno mogućnost narušavanja tajnosti, integriteta, raspoloživosti, autentičnosti ili neporecivosti podataka ili narušavanja ispravnog funkcionisanja IKT sistema;

10) upravljanje rizikom je sistematičan skup mera koji uključuje planiranje, organizovanje i usmeravanje aktivnosti kako bi se obezbedilo da rizici ostanu u propisanim i prihvatljivim okvirima;

11) incident je svaki događaj koji ima stvaran negativan uticaj na bezbednost mrežnih i informacionih sistema;

11a) jedinstveni sistem za prijem obaveštenja o incidentima je informacioni sistem u koji se unose podaci o incidentima u IKT sistemima od posebnog značaja koji mogu da imaju značajan uticaj na narušavanje informacione bezbednosti;

12) mere zaštite IKT sistema su tehničke i organizacione mere za upravljanje bezbednosnim rizicima IKT sistema;

13) tajni podatak je podatak koji je, u skladu sa propisima o tajnosti podataka, određen i označen određenim stepenom tajnosti;

14) IKT sistem za rad sa tajnim podacima je IKT sistem koji je u skladu sa zakonom određen za rad sa tajnim podacima;

15) organ vlasti je državni organ, organ autonomne pokrajine, organ jedinice lokalne samouprave, organizacija i drugo pravno ili fizičko lice kome je povereno vršenje javnih ovlašćenja;

16) služba bezbednosti je služba bezbednosti u smislu zakona kojim se uređuju osnove bezbednosno-obaveštajnog sistema Republike Srbije;

17) samostalni operatori IKT sistema su ministarstvo nadležno za poslove odbrane, ministarstvo nadležno za unutrašnje poslove, ministarstvo nadležno za spoljne poslove i službe bezbednosti;

18) kompromitujuće elektromagnetno zračenje (KEMZ) predstavlja nenamerne elektromagnetne emisije prilikom prenosa, obrade ili čuvanja podataka, čijim prijemom i analizom se može otkriti sadržaj tih podataka;

19) kriptobezbednost je komponenta informacione bezbednosti koja obuhvata kriptozaštitu, upravljanje kriptomaterijalima i razvoj metoda kriptozaštite;

20) kriptozaštita je primena metoda, mera i postupaka radi transformisanja podataka u oblik koji ih za određeno vreme ili trajno čini nedostupnim neovlašćenim licima;

21) kriptografski proizvod je softver ili uređaj putem koga se vrši kriptozaštita;

22) kriptomaterijali su kriptografski proizvodi, podaci, tehnička dokumentacija kriptografskih proizvoda, kao i odgovarajući kriptografski ključevi;

23) bezbednosna zona je prostor ili prostorija u kojoj se, u skladu sa propisima o tajnosti podataka, obrađuju i čuvaju tajni podaci;

24) informaciona dobra obuhvataju podatke u datotekama i bazama podataka, programski kôd, konfiguraciju hardverskih komponenata, tehničku i korisničku dokumentaciju, zapise o korišćenju hardverskih komponenti, podataka iz datoteka i baza podataka i sprovođenju procedura ako se isti vode, unutrašnje opšte akte, procedure i slično;

25) usluga informacionog društva je usluga u smislu zakona kojim se uređuje elektronska trgovina;

26) pružalac usluge informacionog društva je pravno lice koje je pružalac usluge u smislu zakona kojim se uređuje elektronska trgovina.

Izvor: sajt Ministarstva informisanja i telekomunikacija (www.mit.gov.rs)

Izvor: Izvodi iz propisa preuzeti su iz programa „Propis Soft“, Redakcija Profi Sistem Com-a.

Najnoviji tekstovi

8. Specijalno štampano izdanje časopisa „Advokatska Kancelarija“

06/05/2026

Sadržaj 8. specijalnog štampanog izdanja časopisa „Advokatska Kancelarija“, koje predstavlja skup najčitanijih tekstova iz našeg

Detaljnije

Primena mere privremenog udaljenja kada zaposleni radi u dve ili više ustanova- „Prosveta u praksi“, maj 2026. god.

06/05/2026

TEMA 29. BROJA časopisa „Prosveta u praksi” je „Primena mere privremenog udaljenja kada zaposleni radi

Detaljnije

Poreska uprava: Poreske obaveze za maj 2026. godine

05/05/2026

05.05.2026. Dostavljanje obaveštenja o zaključenim ugovorima o izvođenju estradnog programa zabavne i narodne muzike i

Detaljnije