Novi Zakon o informacionoj bezbednosti

Autor
Objavljeno
20/11/2025
Objavljeno u
Vesti

Novi Zakon o informacionoj bezbednosti („Sl. glasnik RS“, br. 91/2025) uvodi modernizovan okvir zaštite informaciono-komunikacionih sistema i jasnije definiše uloge, odgovornosti i obaveze svih subjekata koji upravljaju informaciono-komunikacioni sistemom. Zakon se primenjuje od 1. januara 2027. godine, čime prestaje da važi postojeći Zakon o informacionoj bezbednosti („Službeni glasnik RS“, br. 6/16, 94/17 i 77/19).

Operatori IKT sistema mogu biti:

  • pravna lica,
  • fizička lica u svojstvu registrovanog subjekta,
  • organ ili organizaciona jedinica organa koji koristi IKT sisteme radi obavljanja svojih poslova.

Zakon uvodi dve kategorije IKT sistema od posebnog značaja:

Prioritetni IKT sistemi – operatori u oblastima poput energetike i rudarstva, saobraćaja, bankarstva i finansijskih tržišta, zdravstva i digitalne infrastrukture, kao i drugi subjekti kod kojih bi prekid rada imao značajan uticaj na bezbednost, javno zdravlje ili stabilnost sistema.

Važni IKT sistemi – operatori u sektorima poput poštanskih usluga, upravljanja otpadom, hemijske i prehrambene industrije, proizvodnje elektronike, mašina i vozila, IT usluga, proizvodnje i transporta naoružanja, svemirskih usluga, naučnoistraživačkih institucija i drugih delatnosti od značaja.

Ključne obaveze operatora IKT sistema od posebnog značaja:

  1. Upis u evidenciju

Svi operatori IKT sistema od posebnog značaja dužni su da se prijave za upis u evidenciju IKT sistema od posebnog značaja.

  1. Primena mera zaštite

Neophodno je uvesti tehničke, organizacione, operativne i fizičke mere zaštite, uključujući upravljanje rizicima, prevenciju incidenata i smanjenje njihovih posledica.

  1. Akt o proceni rizika

Operatori izrađuju akt o proceni rizika na osnovu metodologije Nacionalnog CERT-a, uz obavezu godišnje revizije, osim ako već postoji interni akt koji ispunjava sve propisane kriterijume.

  1. Akt o bezbednosti IKT sistema

Ovaj akt definiše pravila, mere i procedure zaštite, mora biti usklađen sa procenom rizika i obavezno se preispituje najmanje jednom godišnje.

  1. Saradnja sa trećim licima

U slučaju angažovanja eksternih partnera za deo IKT sistema, ugovori moraju sadržati odredbe koje obezbeđuju primenu propisanih mera zaštite.

  1. Prijavljivanje incidenata

Operatori su obavezni da:

  • prijave svaki incident koji može ugroziti bezbednost – najkasnije u roku od 24 sata,
  • prijave i ozbiljne, ali izbegnute incidente,
  • obaveste korisnike ukoliko incident utiče na pružanje usluga.
  1. Izveštavanje tokom i nakon incidenta
  • izveštavanje na 3 dana za incidente srednjeg rizika,
  • izveštavanje na 24 sata za incidente visokog i veoma visokog rizika.
  • završni izveštaj se dostavlja u roku od 15 dana od okončanja incidenta.
  1. Godišnje statističko izveštavanje

Do 28. februara operatori podnose Nacionalnom CERT-u statističke podatke o svim prijavljenim i izbegnutim incidentima.

Klasifikacija incidenata

Incidenti se razvrstavaju na: nizak, srednji, visok i veoma visok rizik, a nivo rizika određuje obaveze izveštavanja i uključivanje nadležnih organa u upravljanje krizama.

Kancelarija za informacionu bezbednost

Nova Kancelarija počinje sa radom 1. januara 2027. godine, preuzima ulogu Nacionalnog CERT-a i biće nadležna za: podršku operatorima, koordinaciju u slučaju incidenata, pripremu preporuka i mera zaštite, izradu analiza i završnih izveštaja o incidentima.

Do njenog uspostavljanja poslove obavljaju Kancelarija za IT i eUpravu (izuzev poslova Nacionalnog CERT-a čije poslove obavlja Regulatorno telo za elektronske komunikacije i poštanske usluge).

Podelite

Scroll