PRAVILNIKO BEZBEDNOSTI I INTEGRITETU JAVNIH ELEKTRONSKIH KOMUNIKACIONIH MREŽA I USLUGA I TERMINALNE OPREME("Sl. glasnik RS", br. 88/2024) |
Ovim pravilnikom bliže se uređuje primena adekvatnih tehničkih i organizacionih mera primerenih postojećim rizicima, a posebno mera za prevenciju i minimizaciju uticaja bezbednosnih incidenata po korisnike i međupovezane mreže, mera za obezbeđivanje kontinuiteta rada javnih komunikacionih mreža i usluga, mera zaštite za sprečavanje neovlašćenog korišćenja terminalne opreme koja omogućava pristup internetu, postupak obaveštavanja korisnika kada postoji poseban rizik od povrede bezbednosti i integriteta javnih elektronskih komunikacionih mreža i usluga i postupak obaveštavanja Regulatornog tela za elektronske komunikacije i poštanske usluge (u daljem tekstu: Regulator) o svakoj povredi bezbednosti i integriteta javnih elektronskih komunikacionih mreža i usluga koja je značajno uticala na rad privrednog subjekta.
Pojedini pojmovi koji se upotrebljavaju u ovom pravilniku imaju sledeće značenje:
1) autentičnost je svojstvo koje znači da je moguće proveriti i potvrditi da je informaciju stvorio ili poslao onaj za koga je deklarisano da je tu radnju izvršio;
2) bezbednosna politika je skup pravila koja definišu na koji način sredstva i resursi informacione tehnologije treba da se koriste i štite, kao i način na koji se njima upravlja, odnosno akta koje je privredni subjekt dužan da donese u skladu sa zakonom koji uređuje oblast informacione bezbednosti;
3) dostupnost (raspoloživost) je svojstvo kojim se obezbeđuje pristupačnost i upotrebljivost javnih elektronskih komunikacionih mreža i/ili usluga ili terminalne opreme koja omogućava pristup internetu na zahtev lica ili procesa;
4) integritet je svojstvo koje obezbeđuje da podaci ili informacije koji se stvaraju, obrađuju, prenose ili čuvaju putem javnih elektronskih komunikacionih mreža i/ili usluga, javne komunikacione mreže i/ili usluge i delovi od kojih se sastoje nisu promenjeni ili uništeni na neovlašćeni način;
5) poverljivost je svojstvo kojim se obezbeđuje da su informacije i funkcije javnih elektronskih komunikacionih mreža i/ili usluga ili terminalne opreme koja omogućava pristup internetu dostupne samo ovlašćenim licima;
6) pretnja predstavlja svaku okolnost, događaj ili radnju koja može da ugrozi, poremeti ili na drugi način štetno utiče na javne elektronske komunikacione mreže i/ili usluge ili terminalnu opremu koja omogućava pristup internetu, korisnike i druga lica;
7) ranjivost predstavlja slabost ili nedostatak u javnim elektronskim komunikacionim mrežama i/ili uslugama ili terminalnoj opremi koji se mogu iskoristiti za realizaciju jedne ili više pretnji;
8) rizik je postojanje uslova za narušavanje bezbednosti javnih elektronskih komunikacionih mreža i/ili usluga, odnosno ispravnog funkcionisanja javnih elektronskih komunikacionih mreža i/ili usluga ili terminalne opreme koja omogućava pristup internetu, čiji se nivo određuje procenom verovatnoće da se dogodi određena posledica po nivo informacione bezbednosti i procenom obima te posledice.
Drugi pojmovi koji se upotrebljavaju u ovom pravilniku imaju značenje propisano zakonima kojima se uređuju elektronske komunikacije i informaciona bezbednost.
Privredni subjekt je dužan da, u skladu sa članom 157. stav 1. Zakona o elektronskim komunikacijama ("Službeni glasnik RS", broj 35/23, u daljem tekstu: Zakon), primeni adekvatne tehničke i organizacione mere, primerene postojećim rizicima, što podrazumeva i enkripciju u odgovarajućim slučajevima, a posebno mere za prevenciju i minimizaciju uticaja bezbednosnih incidenata po korisnike i međupovezane mreže, kao i mere za obezbeđivanja kontinuiteta rada javnih komunikacionih mreža i usluga.
Tehničke i organizacione mere iz stava 1. ovog člana, privredni subjekt je dužan da primeni i za sprečavanje neovlašćenog korišćenja terminalne opreme koja omogućava pristup internetu i koja je data na korišćenje korisniku.
U sprovođenju tehničkih i organizacionih mera iz stava 1. ovog člana privredni subjekt primenjuje:
1) mere zaštite informaciono-komunikacionih sistema od posebnog značaja u skladu sa zakonom kojim se uređuje oblast informacione bezbednosti;
2) mere koje se odnose na obradu podatka o ličnosti u skladu sa zakonom kojim se uređuje oblast zaštite podataka o ličnosti.
U preduzimanju mera iz st. 1. i 3. ovog člana, privredni subjekt primenjuje srpske standarde za sprovođenje tehničkih i organizacionih mera bezbednosti (u daljem tekstu: srpski standardi) i tehničke smernice o bezbednosnim merama i pretnjama u oblasti elektronskih komunikacija Agencije za sajber bezbednost Evropske unije (European Union Agency for Cybersecurity - ENISA).
Srpski standardi kao i tehničke smernice o bezbednosnim merama i pretnjama u oblasti elektronskih komunikacija Agencije za sajber bezbednost Evropske unije (ENISA) su navedeni u Prilogu 1, koji je odštampan uz ovaj pravilnik i čini njegov sastavni deo.
Privredni subjekt je dužan da na zahtev Regulatora dostavi sve potrebne podatke i informacije o primeni mera iz st. 1. i 3. ovog člana, uključujući i dokumenta koja se odnose na bezbednosnu politiku.
Regulator prati primenu mera iz st. 1. i 3. ovog člana i može da predloži privrednom subjektu primenu dodatnih mera zaštite u skladu sa odgovarajućim nivoom bezbednosti.
Provera usklađenosti primenjenih mera zaštite
Privredni subjekt je u obavezi da, samostalno ili uz angažovanje spoljnih eksperata, sprovede procenu rizika i proveru usklađenosti primenjenih mera zaštite iz člana 3. ovog pravilnika u skladu sa zakonom kojim se uređuje oblast informacione bezbednosti, uzimajući pri tom u obzir rezultate prethodnih provera usklađenosti.
Privredni subjekt je u obavezi da, na zahtev Regulatora, dostavi procenu rizika i izveštaj o proveri usklađenosti primenjenih mera zaštite iz člana 3. ovog pravilnika, zajedno sa planom tretiranja rizika i planom uklanjanja uočenih nedostataka.
U slučaju da se plan uklanjanja uočenih nedostataka iz stava 2. ovog člana ne oceni primerenim za sprečavanje i umanjenje uticaja bezbednosnih incidenata na korisnike usluga i/ili za obezbeđivanje bezbednosti mreža i usluga, Regulator može privrednom subjektu da predloži dodatne mere.
Ako Regulator u postupku obavljanja stručnog nadzora utvrdi nepravilnosti, nedostatke ili propuste u primeni mera, a naročito mera u svrhu sprečavanja bezbednosnih incidenata kada se utvrdi značajna pretnja, za uklanjanje posledica bezbednosnog incidenata i zaštite u cilju otklanjanja otkrivenih ranjivosti o tome obaveštava privrednog subjekta i određuje mu rok u kome je dužan da ih otkloni u skladu sa članom 161. Zakona.
U slučaju značajne povrede bezbednosti i integriteta javnih elektronskih komunikacionih mreža i usluga, Regulator može da zatraži sprovođenje vanrednog inspekcijskog nadzora bezbednosti mreža i usluga, u skladu sa članom 157. stav 8. tačka 2) Zakona.
Obaveštavanje Regulatora o bezbednosnim incidentima
Privredni subjekt je dužan, da bez odlaganja, a najkasnije narednog radnog dana od dana saznanja o nastanku bezbednosnog incidenta, obavesti Regulatora o svakom bezbednosnom incidentu, koji je značajno uticao na njegov rad, a koji ispunjava kvantitativne i kvalitativne kriterijume za obaveštavanje (u daljem tekstu: kriterijumi za obaveštavanje), pri čemu prvo proverava ispunjenost kvantitativnih kriterijuma, a ukoliko oni nisu ispunjeni proverava ispunjenost kvalitativnih kriterijuma.
U slučaju nastanka bezbednosnog incidenta koji ispunjava kriterijume iz propisa kojim se uređuje postupak obaveštavanja o incidentima u informaciono-komunikacionim sistemima od posebnog značaja, privredni subjekt je u obavezi da Regulatoru dostavi obaveštenje o navedenom incidentu, bez odlaganja, a najkasnije narednog radnog dana od dana saznanja o nastanku bezbednosnog incidenta, bez obzira da li bezbednosni incident ispunjava kriterijume za obaveštavanje.
Kriterijumi za obaveštavanje zasnovani su na tehničkim smernicama o obaveštavanju o incidentima u oblasti elektronskih komunikacija (Technical Guidline on Incident Reporting under the EECC) Agencije za sajber bezbednost Evropske unije (ENISA) od marta 2021. godine i dati su u Prilogu 2, koji je odštampan uz ovaj pravilnik i čini njegov sastavni deo.
Privredni subjekt dostavlja Regulatoru obaveštenje o bezbednosnom incidentu iz st. 1. i 2. ovog člana putem portala za prijem obaveštenja o bezbednosnim incidentima u oblasti elektronskih komunikacija.
U slučaju hitnosti, obaveštenje o incidentu iz st. 1. i 2. ovog člana prijavljuje se i telefonom ili elektronskim putem.
Prilikom prijave bezbednosnog incidenta, privredni subjekt je u obavezi da navede podatke o kontakt osobi radi brze razmene informacija o bezbednosnom incidentu i pružanja potrebnih tehničkih informacija Regulatoru.
U slučaju da dođe do narušavanja redundantnosti sistema privrednog subjekta, odnosno ispada bar jednog od redundantnih elemenata elektronske komunikacione mreže, privredni subjekt je dužan da navedeni bezbednosni incident prijavi kao bezbednosni incident koji ima uticaja na redundantnost.
Privredni subjekt je dužan da Regulatoru, nakon prijave bezbednosnog incidenta, dostavi:
1) obaveštenja o bitnim događajima u vezi sa bezbednosnim incidentom i aktivnostima koje preduzima do prestanka bezbednosnog incidenta, u slučaju bezbednosnog incidenta iz stava 1. ovog člana, ukoliko je incident i dalje u toku;
2) obaveštenja i izveštaje tokom i nakon bezbednosnog incidenta, koji su predviđeni zakonom kojim se uređuje oblast informacione bezbednosti, u slučaju bezbednosnog incidenta iz stava 2. ovog člana;
3) obaveštenje o prestanku bezbednosnog incidenta iz st. 1. i 2. ovog člana, najkasnije u roku od jednog sata od kada je bezbednosni incident otklonjen;
4) završni izveštaj o bezbednosnom incidentu iz st. 1. i 2. ovog člana, u roku od 15 dana od dana njegovog prestanka, koji mora da sadrži detaljne podatke o vrsti i opisu bezbednosnog incidenta, vremenu nastanka i trajanju, posledicama koje je izazvao, eventualnom prekograničnom dejstvu, preduzetim aktivnostima radi otklanjanja posledica i druge informacije od značaja za evidentiranje i statističku obradu bezbednosnog incidenta.
Regulator može da zahteva dodatna obaveštenja radi preciziranja detalja nastalog bezbednosnog incidenta iz st. 1. i 2. ovog člana, kao i dodatna obaveštenja o bitnim događajima u vezi sa bezbednosnim incidentom koji je i dalje u toku i aktivnostima koje se preduzimaju do prestanka tog incidenta.
U slučaju prijavljenog bezbednosnog incidenta iz st. 1. i 2. ovog člana, Regulator može da zahteva eventualnu dopunu izveštaja, da predlaže preduzimanje drugih mera za sprečavanje ili otklanjanje bezbednosnog incidenta i mera za otklanjanje posledica bezbednosnog incidenta, kao i da pokreće odgovarajuće postupke iz nadležnosti Regulatora.
Privredni subjekt može da obavesti Regulatora i o drugim pretnjama i bezbednosnim incidentima koje smatra značajnim, a koji nisu uređeni st. 1. i 2. ovog člana.
Privredni subjekt je dužan da, na zahtev Regulatora, dostavi statističke podatke o svim bezbednosnim incidentima u prethodnoj godini.
Obaveštavanje korisnika o pretnjama povrede bezbednosti i integriteta
Privredni subjekt je dužan da, bez odlaganja, u slučaju postojanja pretnje koja dovodi do značajnog povećanja rizika povrede bezbednosti i integriteta javnih elektronskih komunikacionih mreža i/ili usluga ili terminalne opreme koja omogućava pristup internetu (neovlašćeni pristup, značajan gubitak podataka, ugrožavanja tajnosti komunikacija, bezbednosti podataka o ličnosti i drugo) o toj pretnji, obavesti korisnike na jasan i dokumentovan način, putem svoje veb prezentacije i na druge pogodne načine.
U slučaju da pretnja iz stava 1. ovog člana zahteva mere koje su van opsega mera koje je privredni subjekt dužan da primeni, privredni subjekt je u obavezi da obavesti korisnike na koje bi takva pretnja mogla da utiče, o mogućim merama zaštite koje korisnik može da primeni, kao i o eventualnim troškovima vezanim za primenu tih mera.
Ovaj pravilnik stupa na snagu osmog dana od dana objavljivanja u "Službenom glasniku Republike Srbije", a primenjuje se od 1. decembra 2025. godine.
SPISAK SRPSKIH STANDARDA I TEHNIČKIH SMERNICA O BEZBEDNOSNIM MERAMA I PRETNJAMA U OBLASTI ELEKTRONSKIH KOMUNIKACIJA AGENCIJE ZA SAJBER BEZBEDNOST EVROPSKE UNIJE (ENISA) ZA SPROVOĐENJE TEHNIČKIH I ORGANIZACIONIH MERA BEZBEDNOSTI
Naziv referentnog standarda |
Oznaka referentnog standarda |
Bezbednost informacija, sajber bezbednost i zaštita privatnosti - Sistemi menadžmenta bezbednošću informacija |
SRPS ISO/IEC 27001 |
Bezbednost informacija, sajber bezbednost i zaštita privatnosti - Kontrole bezbednosti informacija |
SRPS ISO/IEC 27002 |
Bezbednost informacija, sajber bezbednost i zaštita privatnosti - Uputstvo za upravljanje rizicima po bezbednost informacija |
SRPS ISO/IEC 27005 |
Sajber bezbednost - Odnosi sa isporučiocima - Deo 3: Smernice za bezbednost lanca snabdevanja hardverom, softverom i uslugama |
SRPS ISO/IEC 27036-3 |
Bezbednost i otpornost - Sistemi menadžmenta kontinuitetom poslovanja |
SRPS EN ISO 22301 |
Naziv tehničke smernice (ENISA) |
Verzija |
Guideline on Security Measures under the EECC |
Četvrto izdanje, od jula 2021. godine. |
KVANTITATIVNI I KVALITATIVNI KRITERIJUMI ZA OBAVEŠTAVANJE
I. KVANTITATIVNI KRITERIJUMI ZA OBAVEŠTAVANJE
Uticaj na dostupnost (raspoloživost) |
Minimalni broj korisnika na koji utiče bezbednosni incident |
Trajanje bezbednosnog incidenta (više od) |
Komunikaciona usluga između lica zasnovana na korišćenju numeracije u javnoj fiksnoj komunikacionoj mreži |
20.000 |
osam sati |
Komunikaciona usluga između lica zasnovana na korišćenju numeracije u javnoj fiksnoj komunikacionoj mreži |
40.000 |
šest sati |
Komunikaciona usluga između lica zasnovana na korišćenju numeracije u javnoj fiksnoj komunikacionoj mreži |
100.000 |
četiri sata |
Komunikaciona usluga između lica zasnovana na korišćenju numeracije u javnoj fiksnoj komunikacionoj mreži |
200.000 |
dva sata |
Komunikaciona usluga između lica zasnovana na korišćenju numeracije u javnoj fiksnoj komunikacionoj mreži |
300.000 |
jedan sat |
Komunikaciona usluga između lica zasnovana na korišćenju numeracije u javnoj mobilnoj komunikacionoj mreži |
80.000 |
osam sati |
Komunikaciona usluga između lica zasnovana na korišćenju numeracije u javnoj mobilnoj komunikacionoj mreži |
160.000 |
šest sati |
Komunikaciona usluga između lica zasnovana na korišćenju numeracije u javnoj mobilnoj komunikacionoj mreži |
400.000 |
četiri sata |
Komunikaciona usluga između lica zasnovana na korišćenju numeracije u javnoj mobilnoj komunikacionoj mreži |
800.000 |
dva sata |
Komunikaciona usluga između lica zasnovana na korišćenju numeracije u javnoj mobilnoj komunikacionoj mreži |
1.200.000 |
jedan sat |
Usluge pristupa internetu u javnoj fiksnoj komunikacionoj mreži |
20.000 |
osam sati |
Usluge pristupa internetu u javnoj fiksnoj komunikacionoj mreži |
40.000 |
šest sati |
Usluge pristupa internetu u javnoj fiksnoj komunikacionoj mreži |
100.000 |
četiri sata |
Usluge pristupa internetu u javnoj fiksnoj komunikacionoj mreži |
200.000 |
dva sata |
Usluge pristupa internetu u javnoj fiksnoj komunikacionoj mreži |
300.000 |
jedan sat |
Usluge pristupa internetu u javnoj mobilnoj komunikacionoj mreži |
70.000 |
osam sati |
Usluge pristupa internetu u javnoj mobilnoj komunikacionoj mreži |
140.000 |
šest sati |
Usluge pristupa internetu u javnoj mobilnoj komunikacionoj mreži |
350.000 |
četiri sata |
Usluge pristupa internetu u javnoj mobilnoj komunikacionoj mreži |
700.000 |
dva sata |
Usluge pristupa internetu u javnoj mobilnoj komunikacionoj mreži |
1.000.000 |
jedan sat |
Komunikaciona usluga između lica koja nije zasnovana na numeraciji |
70.000 |
osam sati |
Komunikaciona usluga između lica koja nije zasnovana na korišćenju numeracije |
140.000 |
šest sati |
Komunikaciona usluga između lica koja nije zasnovana na korišćenju numeracije |
350.000 |
četiri sata |
Komunikaciona usluga između lica koja nije zasnovana na korišćenju numeracije |
700.000 |
dva sata |
Komunikaciona usluga između lica koja nije zasnovana na korišćenju numeracije |
1.000.000 |
jedan sat |
Uticaj na autentičnost/integritet/poverljivost |
|
|
Komunikaciona usluga između lica zasnovana na korišćenju numeracije u javnoj fiksnoj komunikacionoj mreži |
20.000 |
Nezavisno od trajanja |
Komunikaciona usluga između lica zasnovana na korišćenju numeracije u javnoj mobilnoj komunikacionoj mreži |
80.000 |
Nezavisno od trajanja |
Usluge pristupa internetu u javnoj fiksnoj komunikacionoj mreži |
20.000 |
Nezavisno od trajanja |
Usluge pristupa internetu u javnoj mobilnoj komunikacionoj mreži |
70.000 |
Nezavisno od trajanja |
Komunikaciona usluga između lica koja nije zasnovana na numeraciji |
70.000 |
Nezavisno od trajanja |
II. KVALITATIVNI KRITERIJUMI ZA OBAVEŠTAVANJE
Bezbednosni incident se odnosi na: |
Uticaj na: |
1. Značajan zbog obuhvaćenog geografskog područja: prekogranično/države/autonomnih pokrajina/okruga/ gradova kao i područja u kojima bi, usled bezbednosnog incidenta, u potpunosti bilo onemogućeno korišćenje javnih elektronskih komunikacionih usluga. |
Nezavisno od trajanja i broja korisnika |