Novi Zakon o informacionoj bezbednosti (2025)
Novim Zakonom o informacionoj bezbednosti, koji je usvojen 23. oktobra 2025. godine, vrši se unapređenje regulatornih i institucionalnih uslova za zaštitu od bezbednosnih rizika u informaciono-komunikacionim sistemima (IKT) i, istovremeno, usklađivanje sa novim regulatornim okvirom Evropske Unije u ovoj oblasti, Direktivom (EU) 2022/2555 o merama za visok zajednički nivo sajber bezbednosti širom Unije (NIS 2 direktiva)[1].
Ova oblast je do sada bila uređena Zakonom o informacionoj bezbednosti („Službeni glasnik RSˮ, br. 6/16, 94/17 i 77/19) i podzakonskim aktima donetim na osnovu tog zakona. Ubrzani razvoj digitalnog tržišta u Republici Srbiji, konstantni porast upotrebe IKT u svakodnevnom životu, kao i porast broja usluga koje se nude građanima elektronskim putem, zahteva i ažuriranje odgovarajućeg regulatornog okvira sa ciljem unapredjenja IK sistema i mreža, tako da omogućavaju bezbedno i neometano čuvanja podataka, pružanja usluga i odvijanja relevantnih procesa. Takode, uspešno uključivanje Republike Srbije u jedinstveno evropsko digitalno tržište zavisi od uskladjivanja sa medjunarodnim standardima u ovoj oblasti i obezbeđivanja odgovarajućih uslova sajber bezbednosti.
Sajber kriminal je svakako najzastupljeniji oblik zlonamernog delovanja u sajber prostoru, i ima trend stalnog evoluiranja. Primeri prilagođavanja su: zloupotrebe nebezbednih RDP protokola (eng. Remote Desktop Protocol) i ranijivih VPN konekcija (eng. virtual private netvork), zloupotrebe onlajn kupovine i korišćenja mobilnog bankarstva za implementaciju malvera ili kradju kredencijala i ličnih podataka, ali i sve veća i naprednija upotreba metoda socijalnog inženjeringa. Broj malicioznih softvera i potencijalno neželjenih aplikacija je u stalnom porastu. Prema izveštaju Evropske agencije za mrežnu i informacionu bezbednost (ENISA)[2] od sredine 2023. do sredine 2024. godine je došlo do značajne eskalacije sajber napada, koja je postavila nove referentne vrednosti kako u raznolikosti i broju incidenata, tako i u njihovim posledicama. Registrovano je više od 11.000 incidenata usmerenih prema organizacijama u različitim sektorima, medju kojima su najviše bili pogodjeni sektori javne administracije, saobraćaja i finansija. Kategorije Denial-of-Service napada (DoS/DDoS/RDoS) i ransomware su ostali najčešće prijavljeni oblici napada i čine više od polovine registrovanih događaja, nakon čega slede povrede podataka. Centar za prijave internet kriminala (IC3) američkog Federalnog istražnog biroa je u 2024. godini primio 859.532 prijava, sa štetom procenom od 16,6 milijardi dolara[3].
Pretnje informacionoj bezbednosti u Srbiji pokazuju slične trendove[4], tako da zahtevaju aktivan pristup svih učesnika na digitalnom tržištu. U tom smislu novi zakon predstavlja neophodno ažuriranje i unapredjenje regulatornih i institucionalnih okvira, radi stvaranja uslova za što efikasniju zaštitu od bezbednosnih rizika. U nastavku ćemo izneti najznačajnije novine usvojenog Zakona.
Informaciono-komunikacioni sistem (IKT sistem), u smislu ovog zakona, je definisan nešto šire u odnosu na dosadašnji zakon, kao tehnološko-organizaciona celina koja obuhvata:
(1) ne samo elektronske komunikacione mreže, već i usluge u smislu zakona koji uređuje elektronske komunikacije;
(2) uređaje ili grupe međusobno povezanih uređaja, takvih da se u okviru uređenja, odnosno u okviru barem jednog iz grupe uređenja, vrši automatska obrada podataka korišćenjem računarskog programa;
(3) podatke koji se vode, čuvaju, obrađuju, traže ili prenose pomoću sredstava iz podtač. (1) i (2), a u svrhu njihovog rada, upotrebe, zaštite ili održavanja;
(4) organizacionu strukturu putem koje se upravlja IKT sistemom;
(5) sve tipove sistemskog i aplikativnog softvera i softverske razvojne alate.
Takodje, proširen je i krug subjekata koji se smatraju operatorom IKT sistema, tako da su obuhvaćena i fizička lica u svojstvu registrovanog subjekta, pored do sada predvidjenih pravnih lica, organa ili organizacionih jedinica organa koji koriste IKT sistem u okviru obavljanja svoje delatnosti, odnosno poslova iz svoje nadležnosti,
BEZBEDNOST IKT SISTEMA OD POSEBNOG ZNAČAJA
U skladu sa odredbama NIS2 direktive, Zakonom je redefinisan pristup informacionoj bezbednosti, prevashodno u smislu identifikacije operatera IKT sistema od posebnog značaja i razlikovanja istih na prioritetne i važne.
IKT sistemi od posebnog značaja su definisani kao sistemi koji su od ključnog značaja za održavanje kritičnih društvenih i ekonomskih aktivnosti i čiji bi prekid ili poremećaj u pružanju usluge imao ili mogao da ima značajan uticaj na javnu bezbednost, javno zdravlje, funkcionisanje drugih sektora ili bi stvorio odnosno mogao da stvori značajan sistemski rizik. IKT sistemi od posebnog značaja obuhvataju prioritetne IKT sisteme i važne IKT sisteme.
Operatori prioritetnih IKT sistema su:
1) pravna lica i fizička lica u svojstvu registrovanog subjekta, koja obavljaju poslove i delatnosti u sledećim oblastima:
– energetike i rudarstva, saobraćaja, bankarstva i finansijskih tržišta, zdravstva, vode za piće, otpadnih voda, digitalne infrastrukture, upravljanja IKT uslugama koje se pružaju operaterima prioritetnih IKT sistema,
– kao i ostalim heterogenim oblastima: upravljanje nuklearnim objektima; pružanje kvalifikovanih usluga od poverenja, pružanje usluga DNS-a i upravljanje registrom domena najvišeg nivoa, sa izuzetkom operatora korenskih servera imena; pružanje usluga mreže za isporuku sadržaja; obavljanje delatnosti elektronskih komunikacija; tačka za razmenu internet saobraćaja; izdavanje Službenog glasnika Republike Srbije i vođenje Pravno-informacionog sistema Republike Srbije; oblasti u kojoj u Republici Srbiji postoji samo jedan pružalac usluge i koja je neophodna za obavljanje kritičkih društvenih i privrednih delatnosti;
2) organi javne vlasti;
3) subjekti koji su određeni kao operatori kritične infrastrukture u skladu sa propisima kojima se uređuje kritična infrastruktura.
Operatori važnih IKT sistema su:
1) pravna lica i fizička lica u svojstvu registrovanog subjekta, koja obavljaju poslove i delatnosti u sledećim oblastima:
– poštanskih usluga; upravljanja otpadom i ambalaženim otpadom; proizvodnje i snabdevanja hemikalijama; proizvodnje, prerade i distribucije hrane; proizvodnje računara, elektronskih i optičkih proizvoda; proizvodnje električne opreme; proizvodnje mašina i uređaja; proizvodnje motornih vozila, prikolica, poluprikolica i ostale opreme za prevoz; proizvodnje medicinskih uređaja i proizvodnje in vitro dijagnostičkih medicinskih sredstava; usluga informacionog društva u smislu zakona o elektronskoj trgovini; proizvodnje, prometa i prevoza naoružanja i vojne opreme;
2) naučnoistraživačke institucije;
3) pravna i fizička lica u svojstvu registrovanog subjekta u oblastima prioritetnih IKT sistema i organi, a koji ne spadaju u ove sisteme prema kriterijumima za određivanje operatora.
Ovim zakonskim rešenjima je istovremeno proširen krug operatora IKT sistema od posebnog značaja, odnosno krug zakonom obuhvaćenih oblasti obavljanja delatnosti, kao kriterijuma. Tako su, od sada, okvirom prioritetnih IKT sistema obuhvaćeni i neki novi operatori (npr. subjekti koji obavljaju poslove i delatnosti pružanja kvalifikovanih usluga od poverenja), dok je okvir važnih IKT sistema proširen značajnije (subjekti koji obavljaju poslove i delatnosti u oblastima proizvodnje, prerade i distribucije hrane; proizvodnje računara, elektronskih i optičkih proizvoda; električne opreme; mašina i uređaja; motornih vozila, prikolica, poluprikolica i ostale opreme za prevoz; medicinskih uređaja i in vitro dijagnostičkih medicinskih sredstava).
- Operatori IKT sistema od posebnog značaja koji su određeni Zakonom o informacionoj bezbednosti („Službeni glasnik RS”, br. 6/16, 94/17 i 77/19) nastavljaju da postupaju u skladu sa obavezama utvrđenim čl. 6a-11b tog zakona do 31. decembra 2025. godine.
Operator IKT sistema od posebnog značaja ima obavezu da:
1) podnese prijavu za upis u evidenciju IKT sistema od posebnog značaja;
2) preduzme odgovarajuće tehničke, operativne, organizacione i fizičke mere zaštite IKT sistema od posebnog značaja, upravljanje rizicima i prevenciju i smanjenje štetnih posledica incidenta;
3) izvrši procenu rizika i donese akt o proceni rizika;
4) donese akt o bezbednosti IKT sistema od posebnog značaja;
5) vrši proveru usklađenosti mera zaštite IKT sistema koje se primenjuju se aktom o bezbednosti IKT sistema i to najmanje jednom godišnje;
6) uredi odnos sa trećim licima na način koji obezbeđuje preduzimanje mera zaštite tog IKT sistema u skladu sa zakonom, ukoliko poverava aktivnosti u vezi sa IKT sistemom od posebnog značaja trećim licima;
7) dostavlja obaveštenja, bez odlaganja, o svakom incidentu koji značajno narušava bezbednost IKT sistema od posebnog značaja;
8) prijavi izbegnute incidente koji predstavljaju ozbiljnu pretnju u skladu sa ovim zakonom;
9) dostavlja statističke podatke o incidentima i izbegnutim incidentima u IKT sistemima.
Operator IKT sistema od posebnog značaja odgovara za bezbednost IKT sistema i preduzimanje mera zaštite IKT sistema. Zakonom su predvidjene brojne mere zaštite, kojima se obezbeđuje prevencija od nastanka incidenta, odnosno prevencija i smanjenje štete od incidenta koji ugrožavaju vršenje nadležnosti i obavljanje delatnosti, a posebno u okviru pružanje usluga drugim licima.
Posebna novina u odnosu na postojeći zakonski režim je obaveza operatora da izvrše procenu rizika IKT sistema i donesu Akt o bezbednosti IKT sistema kojima upravljaju. Na ovaj način se podiže nivo svesnosti o opasnostima koje mogu da ugroze informacionu bezbednost, kao i o merama zaštite odgovarajućeg nivoa u odnosu na potencijalni rizik.
- Operatori IKT sistema od posebnog značaja su dužni da donesu Akt o proceni rizika za IKT sisteme kojima upravljaju u roku od 18 meseci od dana stupanja na snagu ovog zakona.
- Organ, odnosno organizacija u kojoj se obavljaju poslovi Nacionalnog CERT-a je dužna da, u roku od devet meseci od dana stupanja na snagu ovog zakona, donese opštu metodologiju za procenu rizika u IKT sistemima od posebnog značaja iz člana 11. stav 4. ovog zakona.
- Operator IKT sistema od posebnog značaja dužan je da donese Akt o bezbednosti IKT sistema u roku od 18 meseci od dana stupanja na snagu ovog zakona.
Novi zakon sadrži značajne novine u pogledu procedura u slučaju incidenata koji značajno ugrožavaju informacionu bezbednost u Republici Srbiji. U tom smislu su proširene obaveze operatora IKT sistema od posebnog značaja, tako da pored obaveze dostavljanja obaveštenja o svakom incidentu koji značajno narušava bezbednost IKT sistema od posebnog značaja, imaju i novu obavezu da prijave izbegnute incidente koji predstavljaju ozbiljnu pretnju u skladu sa ovim zakonom. Zakon naglašava da su operatori IKT sistema od posebnog značaja dužni da dostave obaveštenje o ovom incidentu bez odlaganja, najkasnije u roku od 24 sata od kada su saznali za incident. Zakonom su dalje utvrdjene procedure u slučaju incidenata koji značajno ugrožavaju informacionu bezbednost, klasifikacija incidenta prema nivou opasnosti (nizak, srednji, visok, veoma visok), kao i postupanje nadležnih organa zavisno od nivoa opasnosti. Propisano je i postupanje u slučaju krize informacione bezbednosti, koja se definiše kao događaj ili stanje koje ugrožava, ometa ili onemogućava rad IKT sistema od posebnog značaja i pri tom izaziva rizike, pretnje ili posledice po stanovništvo, materijalna dobra ili životnu sredini izuzetno velikog obima i intenziteta koje nije moguće sprečiti ili otkloniti redovnim delovanjem nadležnih organa i službi, a odgovor na takav događaj ili stanje zahteva učešće više nadležnih organa, kao i primenu odgovarajućih mera.
ORGANI NADLEŽNI ZA PREVENCIJU I ZAŠTITU OD BEZBEDNOSNIH RIZIKA U IKT SISTEMIMA
Pored nadležnog Ministrastva koje obavlja poslove informacione bezbednosti, i dosadašnji Zakon je predvidjao osnivanje Tela nadležnog za koordinaciju poslova informacione bezbednosti.
Novim zakonom se osniva Kancelarija za informacionu bezbednost, kao posebna organizacija u smislu zakona kojim se uređuje položaj državne uprave, u čiju nadležnost spadaju poslovi koordinacije i upravljanja odgovorom na incidente u IKT sistemima od posebnog značaja, kao i poslovi prevencije i zaštite od bezbednosnih rizika na nacionalnom nivou (poslovi nacionalnog CERT-a).
Novinu predstavlja nadležnost Kancelarije da vrši poslove sertifikacije IKT sistema, IKT proizvoda, IKTprocesa i IKT usluga. Način vršenja ove sertifikacije će biti bliže uredjena podzakonskim aktom Vlade.
- Kancelarija za informacionu bezbednost se uspostavlja i počinje da obavlja poslove iz svoje nadležnosti propisane ovim zakonom od 1. januara 2027. godine. Do ovog datuma poslove Nacionalnog CERT-a obavlja Regulatorno telo za elektronske komunikacije i poštanske usluge (RATEL).
Poslove prevencije i zaštite od bezbednosnih rizika u IKT sistemima u okviru određenog pravnog lica, grupe pravnih lica, oblasti poslovanja i sl. obavlja poseban centar za prevenciju bezbednosnih rizika u IKT sistemima (poseban CERT). Poseban CERT je pravno lice ili organizaciona jedinica u okviru pravnog lica sa sedištem na teritoriji Republike Srbije, koje je upisano u evidenciju posebnih CERT-ova koju vodi organ, odnosno organizacija nadležna za poslove Nacionalnog CERT-a i objavljuje je javno.
NADZOR NAD PRIMENOM ZAKONA I KAZNENE ODREDBE
Inspekcijski nadzor nad primenom ovog zakona i radom operatera IKT sistema od posebnog značaja vrši Inspekcija za informacionu bezbednost. Zakonom su proširena, odnosno data nova ovlašćenja inspektoru za informacionu bezbednost, koja se odnose na zahteve operateru IKT sistema od posebnog značaja u cilju utvrđivanje eventualnih bezbednosnih ranljivosti, a u skladu sa procenom rizika; naloge činjenja dostupnim javnosti informacija koje se tiču nepoštovanja odredbi ovog zakona, kao i odredjivanja lica sa ovlašćenjima da nadzire i prati usaglašenost sa odredbama ovog zakona i naloženim merama.
Zakonom su propisane i sankcije za nepoštovanje propisanih obaveza, i to novčane kazne za prekršaj, za pravna lica u rasponu od 50.000,00 do 2.000.000,00 dinara, u zavisnosti od klasifikacije operatora, a za fizička lica u svojstvu registrovanog subjekta u rasponu od 10.000,00 do 500.000,00 dinara.