Šta donosi novi Zakon o informacionoj bezbednosti?

Usvajanjem novog Zakona o informacionoj bezbednosti, Republika Srbija je dobila sveobuhvatni pravni okvir za zaštitu kritične infrastrukture i reakciju u slučaju incidenata različitih nivoa opasnosti.  

Mesec za nama obeležilo je usvajanje novog Zakona o informacionoj bezbednosti koji donosi sveobuhvatne obaveze za javni i privatni sektor i postavlja jasna pravila za zaštitu kritične infrastrukture u Republici Srbiji. Ovim propisom se detaljno uređuje ko ima obavezu primene naprednih mera bezbednosti od energetike, telekomunikacija, finansijskog sektora i saobraćaja, do zdravstva, digitalne infrastrukture i vodosnabdevanja. Sve organizacije koje spadaju u kategoriju IKT sistema od posebnog značaja moraju da se prijave u zvaničnu Evidenciju prioritetnih i važnih IKT sistema Ministarstva informisanja i telekomunikacija. Takođe, moraju da dostave podatke o svojim administratorima, IP opsezima, lokacijama sistema i drugim elementima od značaja, pri čemu se sama Evidencija tretira kao tajni podatak. Svaki operator IKT sistema od posebnog značaja dužan je da donese Akt o proceni rizika, koji se mora revidirati najmanje jednom godišnje, kao i Akt o bezbednosti IKT sistema, zasnovan na Aktu o proceni rizika. 

Zakon posebno naglašava obavezu uspostavljanja snažnog sistema zaštite, koji uključuje tehničke, organizacione, operativne i fizičke mere. To podrazumeva upravljanje rizicima, kontrolu pristupa, enkripciju, zaštitu od malvera, bezbednost mreža i uređaja, redovnu izradu rezervnih kopija, praćenje ranjivosti i uspostavljanje procedura kontinuiteta poslovanja. Propisano je i devet novih mera, među kojima je posebno značajna obaveza prikupljanja podataka o pretanjama po informacionu bezbednost sistema, što ujedno predstavlja i izazov za operatore koji ne poseduju sopstvena rešenja za upravljanje bezbednosnim informacijama i događajima (SIEM). 

Svakako, centralna stavka jeste osnivanje Kancelarije za informacionu bezbednost, kao posebne organizacije državne uprave, koja je, između ostalog, nadležna za stručni nadzor i vođenje baze ranjivosti, kao i za poslove: Nacionalnog CERT-a, CERT-a organa vlasti, sertifikaciju IKT proizvoda i usluga, propisivanje minimalnih mera zaštite za organe vlasti, nacionalnu koordinaciju i međunarodnu saradnju. Kancelarija preuzima stratešku ulogu u praćenju pretnji, izdavanju upozorenja, reagovanju na incidente i vođenju nacionalne baze ranjivosti. Međutim, pre nego što nova Kancelarija počne sa radom, od 1. januara 2027. godine, njene poslove će privremeno obavljati Kancelarija za informacione tehnologije i elektronsku upravu, osim poslova Nacionalnog CERT-a koje će obavljati Regulatorno telo za elektronske komunikacije i poštanske usluge (RATEL). 

Incidenti su klasifikovani prema stepenu opasnosti na nizak, srednji, visok i veoma visok, pri čemu su definisani i odgovarajući planovi delovanja za svaki nivo. Zakon propisuje obavezu prijavljivanja svih incidenata visokog i veoma visokog nivoa, i to u roku od 24 sata od trenutka saznanja. Dodatno, uvodi i obavezu izveštavanja ne samo nastalih, već i izbegnutih incidenata, odnosno situacija u kojima je napad sprečen, ali je mogao da prouzrokuje ozbiljne posledice. Prijava incidenata od strane operatora IKT sistema od posebnog značaja se vrši kroz jedinstveni sistem za prijavu obaveštenja o incidentima, a za pojedine sektore se obaveštenje dostavlja organima poput Narodne banke Srbije (NBS) ili RATEL-a koji prosleđuju podatke u centralnu evidenciju. Amandmanima na član 5 proširena su ovlašćenja NBS, da donese podzakonske akte za finansijski sektor. Kao nadležni nadzorni organ za operatore prioritetnih IKT sistema od posebnog značaja u oblasti bankarstva i finansijskih tržišta, NBS uređuje mere zaštite IKT sistema, procenu rizika, bezbednosne akte, klasifikaciju i postupanje po incidentima, kao i obaveze izveštavanja i dostavljanja podataka. Finansijske institucije će, kao i do sada, primenjivati sektorske propise kao lex specialis, dok se Zakon o informacionoj bezbednosti primenjuje prvenstveno u delu koji se odnosi na izveštavanje o incidentima sa karakteristikama krize informacione bezbednosti. Operator je dužan i da obavesti svoje korisnike ukoliko incident utiče na pružanje usluga i da pruži informacije o merama koje mogu da umanje štetu.  

Pored toga, zakon donosi mogućnost proaktivnog skeniranja mreža od strane države radi otkrivanja ranjivosti, obaveznu multifaktorsku autentifikaciju, standardizaciju bezbedne komunikacije u hitnim situacijama, kao i posebna pravila i mere prilikom korišćenja klaud servisa. Samostalni operatori poput MUP-a, Ministarstva odbrane ili NBS-a imaju dodatnu obavezu formiranja sopstvenih CERT-ova i interne kontrole.  

Savez za eUpravu je imao značajnu ulogu u pripremi zakona prepoznajući važnost ove teme a potpuna primena zakona očekuje se od 2027. godine, uz donošenje pratećih podzakonskih akata. Usvajanje prvih podzakonskih akata, koji će urediti kriterijume za operatore IKT sistema i koordinisano otkrivanje ranjivosti, očekuje se već do kraja ove godine, u skladu sa Reformskom agendom Srbije, nakon čeka sledi donošenje metodologije za procenu rizika. Pozivamo sve članove da i dalje nastave da daju svoj doprinos u izradi pozakonskih akata, podržavajući tako dalje unapređenje informacione bezbednosti na nacionalnom i lokalnom nivou.