ODLUKAO MINIMALNIM STANDARDIMA UPRAVLJANJA INFORMACIONO-KOMUNIKACIONIM SISTEMOM FINANSIJSKE INSTITUCIJE("Sl. glasnik RS", br. 102/2024) |
1. Ovom odlukom utvrđuju se minimalni standardi i uslovi stabilnog i sigurnog poslovanja koji se odnose na upravljanje informaciono-komunikacionim sistemima u bankama, društvima za osiguranje, davaocima finansijskog lizinga, društvima za upravljanje dobrovoljnim penzijskim fondovima, kao i platnim institucijama, institucijama elektronskog novca i javnom poštanskom operatoru u delu njihovog poslovanja koji se odnosi na pružanje platnih usluga i/ili izdavanje elektronskog novca (u daljem tekstu: finansijska institucija).
Ovom odlukom uređuju se i minimalni standardi za upravljanje kontinuitetom poslovanja i oporavak aktivnosti u slučaju katastrofa u finansijskoj instituciji.
Ova odluka primenjuje se na sve finansijske institucije, osim ako pojedinim njenim odredbama nije drukčije utvrđeno.
2. Pojedini pojmovi, u smislu ove odluke, imaju sledeće značenje:
1) informaciono-komunikacioni sistem je sveobuhvatni skup tehnološke infrastrukture (hardverske i softverske komponente), organizacije, ljudi i postupaka za prikupljanje, smeštanje, obradu, čuvanje, prenos, prikazivanje i korišćenje podataka i informacija;
2) resursi informaciono-komunikacionog sistema obuhvataju softverske komponente, hardverske komponente, mrežne komponente i informaciona dobra;
3) softverske komponente obuhvataju sve tipove sistemskog i aplikativnog softvera, softverske razvojne alate, kao i ostali softver;
4) hardverske komponente obuhvataju računarsku opremu, komunikacionu opremu, medije za čuvanje podataka, kao i ostalu tehničku opremu koja služi kao podrška funkcionisanju informacionog sistema;
5) elektronsko-komunikaciona mreža ima značenje utvrđeno zakonom kojim se uređuju elektronske komunikacije;
6) informaciona dobra obuhvataju podatke u datotekama i bazama podataka, programski kôd, konfiguraciju hardverskih komponenata, tehničku i korisničku dokumentaciju, unutrašnje opšte akte, procedure i sl.;
7) informaciona tehnologija (IT) je kombinacija hardverske i softverske imovine koja omogućava automatizovano generisanje, prikupljanje, obradu, čuvanje, prenos, prikazivanje i/ili korišćenje informacija;
8) IT sistem je informaciona tehnologija uređena kao deo mehanizma ili međusobno povezane mreže koja pruža podršku poslovanju finansijske institucije;
9) IT servis je usluga koju IT sistem pruža unutrašnjim ili spoljnim korisnicima;
10) korisnici informaciono-komunikacionog sistema su sva lica koja su ovlašćena da koriste informacioni-komunikacioni sistem (zaposleni u finansijskoj instituciji, zaposleni u drugim licima koji pristupaju informaciono-komunikacionom sistemu finansijske institucije, klijenti finansijske institucije koji informacionom sistemu finansijske institucije pristupaju preko elektronskih interaktivnih komunikacionih kanala i dr.);
11) rizik informaciono-komunikacionog sistema je mogućnost nastanka negativnih efekata na finansijski rezultat i kapital, ostvarivanje poslovnih ciljeva, poslovanje u skladu s propisima i reputaciju finansijske institucije usled neadekvatnog upravljanja informacionim sistemom ili druge slabosti u tom sistemu koja negativno utiče na njegovu funkcionalnost ili bezbednost, odnosno ugrožava kontinuitet poslovanja finansijske institucije;
12) sklonost ka preuzimanju rizika (engl. risk appetite) je nivo i vrste rizika koje je finansijska institucija spremna da preuzme u okviru svoje sposobnosti podnošenja rizika kako bi ostvarila svoje strateške ciljeve;
13) kontrole su politike, procedure, prakse, tehnologije i organizacione strukture koje se odnose na informaciono-komunikacioni sistem, utvrđene da bi se obezbedilo razumno uverenje da će poslovni ciljevi finansijske institucije biti ostvareni i da će neželjeni događaji biti sprečeni ili otkriveni, a mogu se razlikovati prema načinu primene (upravljačke, tehničke i fizičke) i nameni (preventivne, detektivne i korektivne);
14) upravljačke kontrole obuhvataju donošenje i primenu politika, standarda, planova, procedura i drugih unutrašnjih akata, kao i uspostavljanje odgovarajuće organizacione strukture, a radi postizanja i održavanja adekvatnog nivoa funkcionalnosti i bezbednosti informaciono-komunikacionog sistema;
15) tehničke kontrole su kontrole primenjene u hardverskim i softverskim komponentama informaciono-komunikacionog sistema;
16) fizičke kontrole su kontrole kojima se resursi informaciono-komunikacionog sistema štite od neovlašćenog fizičkog pristupa, krađe, fizičkog oštećenja ili uništenja;
17) preventivne kontrole su kontrole namenjene sprečavanju nastanka problema i incidenata;
18) detektivne kontrole su kontrole namenjene otkrivanju i prepoznavanju problema i incidenata i ukazivanju na nastale probleme i incidente;
19) korektivne kontrole su kontrole namenjene ograničavanju i otklanjanju problema i posledica incidenata;
20) incident je svaki neplanirani i neželjeni događaj koji može narušiti bezbednost ili funkcionalnost informaciono-komunikacionog sistema;
21) IKT incident je događaj ili niz povezanih događaja koje finansijska institucija nije planirala i koji ugrožavaju sigurnost mrežnih i informacijskih sistema i negativno utiču na dostupnost, autentičnost, integritet ili poverljivost podataka, ili na usluge koje pruža finansijska institucija;
22) bezbednost informaciono-komunikaciog sistema podrazumeva očuvanje poverljivosti, integriteta, raspoloživosti, autentičnosti, dokazivosti, neporecivosti i pouzdanosti u informaciono-komunikacionom sistemu;
23) operativni ili sigurnosni incident je jedan ili više povezanih događaja koji nisu planirani, a koji su ili mogu imati negativan uticaj na integritet, dostupnost, poverljivost i/ili autentičnost podataka ili na usluge povezane s plaćanjem u smislu zakona kojim se uređuju platne usluge;
24) sajber pretnja je svaki događaj ili radnja koja može uzrokovati štetu ili poremećaj mrežnih i informacionih sistema, procesa i usluga a koje uključuju hakerske napade, distribuciju zlonamernog koda, neovlašćeni pristup mrežama i bazama podataka kao i druge vrste napada;
25) poverljivost označava da podaci i informacije nisu otkriveni ili dostupni neovlašćenim licima;
26) integritet označava da su podaci, informacije i procesi zaštićeni od neovlašćenog ili nepredviđenog menjanja, odnosno da eventualne takve promene ne ostaju neopažene;
27) raspoloživost označava da su podaci, informacije i procesi dostupni i upotrebljivi na zahtev ovlašćenog lica;
28) dostupnost označava da su usluge koje pruža finansijska institucija i usluge povezane sa pružanjem platnih usluga klijentima u potpunosti dostupne i upotrebljive, u skladu sa prihvatljivim nivoima koje je unapred utvrdila finansijska institucija;
29) autentičnost označava da je identitet lica zaista onaj za koji se tvrdi da jeste;
30) dokazivost označava da svaka aktivnost u informaciono-komunikacionom sistemu može biti jednoznačno praćena do njenog izvora;
31) neporecivost označava nemogućnost poricanja aktivnosti izvršene u informaciono-komunikacionom sistemu ili prijema informacije;
32) pouzdanost označava da informacioni-komunikacioni sistem dosledno i očekivano vrši predviđene funkcije i pruža tačne informacije;
33) autorizacija je proces dodele prava pristupa korisnicima informaciono-komunikacionog sistema;
34) identifikacija je proces predstavljanja korisnika informaciono-komunikacionog sistema prilikom prijave i u toku izvođenja aktivnosti u tom sistemu;
35) autentifikacija je proces provere i potvrde korisničkog identiteta korišćenjem jednog od sledećih elemenata ili njihove kombinacije:
- nešto što samo korisnik zna (npr. lozinka, lični identifikacioni broj i sl.),
- nešto što samo korisnik poseduje (npr. magnetna kartica, čip kartica, token, kriptografski ključ i sl.),
- nešto što samo korisnik jeste (biometrijske karakteristike kao što su otisak prsta, očna dužica, glas, rukopis i sl.);
36) povlašćeni pristup informaciono-komunikacoinom sistemu je pristup resursima informaciono-komunikacionog sistema koji ovlašćenim korisnicima (administratori sistemskog softvera, administratori mreže, administratori baza podataka i sl.) omogućava zaobilaženje tehničkih kontrola;
37) udaljeni pristup informaciono-komunikacionom sistemu je pristup resursima informaciono-komunikacionog sistema sa udaljene lokacije posredstvom telekomunikacione infrastrukture nad kojom finansijska institucija nema potpunu kontrolu;
38) operativni i sistemski zapisi označavaju hronološke zapise o događajima i aktivnostima na resursima informaciono-komunikacionog sistema (zapisi operativnih sistema, aplikativnog softvera, baza podataka, mrežnih uređaja i sl.);
39) maliciozni programski kôd je bilo koji oblik programskog kôda stvoren s namerom da se neovlašćeno ostvari pristup resursima informaciono-komunikacionog sistema, prikupe informacije, izazove neočekivano ponašanje ili prekid u funkcionisanju ovog sistema, odnosno da se na drugi način potencijalno naruši poverljivost, integritet ili raspoloživost tih resursa (npr. računarski virusi, crvi, trojanski konji i dr.);
40) kritični/ključni poslovni procesi su poslovni procesi ili funkcije čije neadekvatno funkcionisanje može značajnije ugroziti poslovanje finansijske institucije;
41) najduži prihvatljiv prekid (MAO - Maximum Acceptable Outage) označava najduži prihvatljiv period neraspoloživosti poslovnog procesa, odnosno kritično vreme za oporavak tog procesa;
42) ciljni nivo aktivnosti (SDO - Service Delivery Objective) označava odgovarajući nivo oporavka poslovnog procesa koji treba da bude postignut tokom ciljnog vremena oporavka;
43) ciljno vreme oporavka (RTO - Recovery Time Objective) označava period, odnosno faze u tom periodu tokom kojih treba da bude postignut odgovarajući nivo oporavka poslovnog procesa;
44) ciljna tačka oporavka (RPO - Recovery Point Objective) označava najduži prihvatljiv period od poslednje rezervne kopije podataka do nastupanja neraspoloživosti poslovnog procesa, odnosno najduži prihvatljiv period za koji podaci mogu biti izgubljeni;
45) rezervna kopija podataka predstavlja kopiju najmanje onih izvornih podataka (softverske komponente i informaciona dobra) koji su potrebni za oporavak, odnosno za ponovno uspostavljanje poslovnih procesa.
II OKVIR ZA UPRAVLJANJE INFORMACIONO-KOMUNIKACIONIM SISTEMOM
3. Finansijska institucija je dužna da, u skladu s prirodom, obimom i složenošću poslovanja, uspostavi adekvatan informaciono-komunikacioni sistem, koji ispunjava najmanje sledeće uslove:
1) poseduje funkcionalnosti, kapacitete i performanse koji omogućavaju pružanje odgovarajuće podrške poslovnim procesima;
2) obezbeđuje blagovremene, tačne i potpune informacije značajne za donošenje poslovnih odluka, efikasno obavljanje poslovnih aktivnosti i upravljanje rizicima, odnosno za sigurno i stabilno poslovanje finansijske institucije;
3) projektovan je sa odgovarajućim kontrolama za validaciju podataka na ulazu, u toku procesa obrade, kao i na izlazu iz tog sistema, radi sprečavanja netačnosti i nekonzistentnosti u podacima i informacijama.
Finansijska institucija je dužna da obezbedi da svi poslovno značajni sistemi za obradu podataka, kao i sistem izveštavanja, budu integralni deo informaciono-komunikacionog sistema.
4. Finansijska institucija je dužna da, u skladu s prirodom, obimom i složenošću poslovanja, kao i složenošću informaciono-komunikacionog sistema, uspostavi, nadzire, redovno revidira i unapređuje proces upravljanja ovim sistemom radi smanjenja izloženosti rizicima i očuvanja bezbednosti i funkcionalnosti tog sistema, kao i da unutrašnjim opštim aktom, u skladu sa zakonom, utvrdi ovlašćenja i odgovornosti svojih organa upravljanja i nadzora koji se odnose na ove poslove.
5. Finansijska institucija je dužna da, u skladu sa strategijom poslovanja, kao i s prirodom, obimom i složenošću poslovanja, donese strategiju razvoja informaciono-komunikacionog sistema, za vremenski period koji nije kraći od tri godine.
Strategijom razvoja informaciono-komunikacionog sistema definišu se:
1) način na koji treba da se razvija informaciono-komunikacioni sistem kako bi efikasno obezbedio podršku i učešće u strategiji poslovanja, uključujući razvoj njegove organizacione strukture, promene u tom sistemu kao i ključne zavisnosti od trećih lica;
2) razvoj arhitekture informaciono-komunikacionog sistema, koja uključuje zavisnost od trećih lica;
3) jasni ciljevi bezbednosti informaciono-komunikacionog sistema.
U skladu sa strategijom razvoja informaciono-komunikacionog sistema, finansijska institucija dužna je da donese odgovarajuće strategijske i operativne planove, koji sadrže mere za realizaciju ciljeva definisanih u strategiji informaciono-komunikacionog sistema. Operativni plan aktivnosti treba, kao minimum, da sadrži opis aktivnosti i projekata iz tačke 8. ove odluke, izvođače, odgovorna lica, budžet i rokove za izvršenje planiranih aktivnosti.
Finansijska institucija je dužna da, uspostavi proces redovnog preispitivanja sprovođenja strategije iz stava 1. ove tačke i po potrebi, menja tu strategiju ako to zahtevaju odgovarajuće izmene i/ili dopune strategije poslovanja.
Finansijska institucija je dužna da obezbedi finansijska sredstva dovoljna za sprovođenje strategije iz stava 1. ove tačke.
Finansijska institucija je dužna da o svakoj izmeni i/ili dopuni strategije razvoja informaciono-komunikacionog sistema obavesti Narodnu banku Srbije u roku od 15 dana od dana njenog usvajanja.
6. Finansijska institucija je dužna da, radi adekvatnog upravljanja informaciono-komunikacionim sistemom, obezbedi odgovarajuću organizacionu strukturu, s jasno utvrđenom podelom poslova i dužnosti zaposlenih, odnosno sa utvrđenim unutrašnjim kontrolama kojima se sprečava sukob interesa.
Finansijska institucija je u okviru organizacione strukture iz stava 1. ove tačke naročito dužna da jasno utvrdi poslove i dužnosti zaposlenih koji su u neposrednoj vezi sa efikasnim i odgovarajućim upravljanjem bezbednošću informaciono-komunikacionog sistema.
7. Finansijska institucija je dužna da obezbedi primenu svih unutrašnjih opštih akata i procedura u vezi sa informaciono-komunikacionim sistemom, kao i da obezbedi da svi korisnici ovog sistema budu upoznati sa sadržajem tih akata i procedura, u skladu s njihovim ovlašćenjima, odgovornostima i potrebama.
8. Finansijska institucija donosi metodologiju kojom utvrđuje kriterijume, način i postupke upravljanja projektima informaciono komunikacionih sistema Projekat informaciono komunikacionih sistema je svaki projekat ili njegov deo u kojem se ovi sistemi ili servisi uspostavljaju, menjaju, zamenjuju, stavljaju van upotrebe ili implementiraju i može biti deo širih projektnih programa ili projektnih programa transformacije poslovanja;
9. Finansijska institucija je dužna da utvrdi kriterijume, način i postupke izveštavanja svog nadležnog organa o relevantnim činjenicama u vezi s funkcionalnošću i bezbednošću informacionog sistema.
III UPRAVLJANJE RIZIKOM INFORMACIONO-KOMUNIKACIONOG SISTEMA
10. Odredbe propisa kojima se uređuju opšti uslovi i način upravljanja rizicima u poslovanju finansijskih institucija primenjuju se i na upravljanje rizikom informaciono-komunikacionog sistema, osim ako ovom odlukom nije drukčije uređeno.
11. Finansijska institucija je dužna da, u okviru sveobuhvatnog sistema upravljanja rizicima, uspostavi proces upravljanja rizikom informaciono-komunikacionog sistema koji obuhvata identifikovanje i merenje, odnosno procenu tog rizika, kao i njegovo ublažavanje, praćenje i kontrolu.
Finansijska institucija je dužna da, u skladu sa s prirodom, obimom i složenošću poslovanja, obezbedi nezavisnost i objektivnost organizacionog dela i/ili lica koja su neposredno odgovorna za praćenje i kontrolu rizika iz stava 1. ove tačke, odnosno organizacionog dela i/ili lica koja ne obavljaju operativne poslove u kojima nastaje rizik informaciono-komunikacionog sistema a naročito ne učestvuju i ne obavljaju poslove i aktivnosti za koje je zadužen organizacioni deo za IT operacije.
Finansijska institucija je dužna da unutrašnjim opštim aktima uredi način, dinamiku i dostavljanje izveštaja nadležnim organima o rizicima u informaciono-komunikacionom sistemu, na takav način da organizacioni deo i/ili lica iz stava 2. ove tačke izveštava o izloženosti finansijske institucije rizicima u informaciono-komunikacionom sistemu, kao i o svim redovnim i vanrednim aktivnostima vezanim za upravljanje tim rizicima.
12. Finansijska institucija je dužna da rizikom informaciono-komunikacionog sistema upravlja tako da omogući nesmetano upravljanje bezbednošću ovog sistema i upravljanje kontinuitetom poslovanja finansijske institucije.
Upravljanje rizikom informaciono-komunikacionog sistema mora da obuhvati celokupan informacioni sistem finansijske institucije i da bude integrisano u sve faze razvoja tog sistema.
Finansijska institucija je dužna da u unutrašnjim opštim aktima utvrdi pravila za upravljanje rizicima informaciono-komunikacionog sistema koja posebno sadrže:
- sklonost ka preuzimanju rizika u informaciono-komunikacionom sistemu;
- metode i parametre za procenu rizika informaciono-komunikacionog sistema na osnovu kojih se identifikuje i meri taj rizik (npr. pretnja, ranjivost, verovatnoća, uticaj i sl.);
- postupke za definisanje mera za kontrolisanje rizika informaciono-komunikacionog sistema, uključujući uvođenje novih i/ili modifikaciju postojećih kontrola u cilju ublažavanja tog rizika i preduzimanja radnji za prilagođavanje tih mera kada je to potrebno;
- postupke za praćenja realizacije i efikasnosti primenjenih mera za kontrolisanje rizika informaciono-komunikacionog sistema;
- postupke praćenja broja utvrđenih operativnih ili bezbednosnih incidenata, uključujući i incidente koji su prijavljeni Narodnoj banci Srbije;
- obavezu da se, pre donošenja odluke o sprovođenju promena u informaciono-komunikacionom sistemu, identifikuju i mere, odnosno procenjuju rizici relevantnog dela informaciono-komunikacionog sistema koji proizlaze iz bilo kakvih većih promena u tom sistemu, uslugama i/ili procesu upravljanja tim sistemom;
- obavezu identifikacije, merenja, odnosno procene rizika relevantnog dela informaciono-komunikacionog sistema nakon svakog značajnijeg operativnog ili bezbednosnog incidenta;
- vremenski okvir za sprovođenje redovnog, sveobuhvatnog utvrđivanja i procene rizika informaciono-komunikacionog sistema, a najmanje jednom godišnje;
- ovlašćenja i odgovornosti organa i zaposlenih u finansijskoj instituciji za upravljanje rizicima informaciono-komunikacionog sistema za sve nivoe poslovnog procesa i odlučivanja, na način kojim se sprečava sukob interesa.
Finansijska institucija prilikom vršenja procene rizika informaciono-komunikacionog sistema uzima u obzir klasifikaciju informacionih dobara iz tačke 24. stav 1. Odluke, odnosno uzima u obzir osetljivost i kritičnost tih dobara.
13. Finansijska institucija je dužna da, na osnovu rezultata procene rizika informaciono-komunikacionog sistema, u skladu sa sklonošću ka preuzimanju tog rizika, utvrdi koje je mere potrebno primeniti kako bi se ovi rizici sveli na prihvatljiv nivo, i po potrebi izvrši promene postojećih poslovnih procesa, kontrolnih mera, IT sistema i/ili IT servisa.
Finansijska institucija procenjuje vreme potrebno za sprovođenje izmena iz stava 1. ove tačke i, u skladu sa sklonošću preuzimanja rizika informaciono-komunikacionog sistema, po potrebi, definiše privremene mere za smanjenje tog rizika koje će se primenjivati do sprovođenja planiranih izmena.
14. Pružalac platnih usluga u smislu zakona kojim se uređuju platne usluge, dužan je da rezultate sveobuhvatne procene rizika informaciono-komunikacionog sistema kao i operativnih i sigurnosnih rizika povezanih sa platnim uslugama dostavi Narodnoj banci Srbije jednom godišnje ili nakon značajnih promena ili incidenata u informaciono-komunikacionom sistemu.
15. Finansijska institucija je dužna da adekvatno upravlja rizicima koji proizlaze iz ugovornih odnosa s pravnim i fizičkim licima čije se aktivnosti odnose na njen informaciono-komunikacioni sistem.
Finansijska institucija je dužna da kontinuirano nadzire način i kvalitet ugovorenih aktivnosti iz stava 1. ove tačke.
IV UNUTRAŠNJA REVIZIJA INFORMACIONO-KOMUNIKACIONOG SISTEMA
16. Finansijska institucija je dužna da, u skladu s prirodom, obimom i složenošću poslovanja, kao i složenošću informaciono-komunikacionog sistema, metodologijom rada unutrašnje revizije obuhvati kriterijume, način i postupke unutrašnje revizije tog sistema zasnovane na rezultatima procene rizika.
Finansijska institucija je dužna da obezbedi da reviziju iz stava 1. ove tačke izvrši revizor koji ima znanje i iskustvo u oblasti u vezi rizika informaciono-komunikacionog sistema. Učestalost i predmet revizije iz stava 1. ove tačke treba da budu srazmerni procenjenim rizicima informaciono-komunikacionog sistema kojima je finansijska institucija izložena.
Finansijska institucija je dužna da uspostavi proces praćenja sprovođenja mera za otklanjanje nepravilnosti, slabosti i nedostataka utvrđenih revizijom iz stava 1. ove tačke.
17. Unutrašnja revizija informaciono-komunikacionog sistema obavlja se u skladu s propisima kojima se uređuje poslovanje finansijskih institucija.
V BEZBEDNOST INFORMACIONO-KOMUNIKACIONOG SISTEMA
18. Finansijska institucija je dužna da, u skladu sa složenošću informaciono-komunikacionog sistema, donese unutrašnji opšti akt kojim će se uspostaviti okvir za upravljanje bezbednošću tog sistema (u daljem tekstu: politika bezbednosti informacionog sistema).
Politikom bezbednosti informaciono-komunikacionog sistema naročito se uređuju principi, način i procedure postizanja i održavanja adekvatnog nivoa bezbednosti ovog sistema, kao i ovlašćenja i odgovornosti u vezi sa ovom bezbednošću i resursima tog sistema.
Finansijska institucija je dužna da politiku bezbednosti informaciono-komunikacionog sistema usklađuje s promenama u okruženju i u samom informaciono-komunikacionom sistemu, kao i u slučajevima narušavanja bezbednosti i procene rizika tog sistema.
Finansijska institucija je dužna da politikom bezbednosti obezbedi poverljivost, integritet i dostupnost logičkih i fizičkih resursa informaciono-komunikacionog sistema u skladu sa njihovom kritičnošću, kao i osetljivošću podataka, nezavisno od toga da li se nalaze u stanju mirovanja, prenosa ili u upotrebi.
19. Finansijska institucija je dužna da proces upravljanja bezbednošću informaciono-komunikacionog sistema uspostavi kao kontinuirani proces identifikovanja potreba za ovom bezbednošću i postizanja i održavanja adekvatnog nivoa te bezbednosti
Finansijska institucija je dužna da u vezi procesa iz stava 1. ove tačke uspostavi sistem za otkrivanje događaja koji mogu uticati na bezbednost informaciono-komunikacionog sistema, kao i da na odgovarajući način odgovori na te događaje.
U okviru procesa iz stava 1. ove tačke, finansijska institucija je dužna da implementira efikasne kontrole za otkrivanje fizičkih i logičkih upada i narušavanja poverljivosti, integriteta i dostupnosti informacija, kao i kontrole za otkrivanje događaja kao što su neželjeni odliv informacija, prisustvo malicioznog softvera i korišćenje softvera koji sadrži tehničke ranjivosti.
20. Finansijska institucija je dužna da, u skladu s prirodom, obimom i složenošću poslovanja, kao i složenošću informaciono-komunikacionog sistema:
1) podelu poslova u vezi sa bezbednošću tog sistema izvrši tako da se u unutrašnjim aktima kojima se uređuje organizacija njenog poslovanja jasno mogu utvrditi poslovi i dužnosti zaposlenih u vezi s tom bezbednošću;
2) odredi ključne zaposlene zadužene za bezbednost informaciono-komunikacionog sistema vodeći računa o tome da njihova pozicija ima značajan uticaj na aktivnosti i donošenje odluka u vezi s tom bezbednošću;
3) u upravljanje bezbednošću informaciono-komunikacionog sistema uključi dovoljan broj zaposlenih koji imaju odgovarajuću stručnost i profesionalno iskustvo.
Lica iz stava 1. ove tačke su dužna da kontinuirano prate bezbednosne i operativne pretnje koje bi mogle značajno da utiču na sposobnost finansijske institucije da pruža usluge, i da prate razvoj tehnologija i trendova u bezbednosti informaciono-komunikacionog sistema kako bi bili svesni potencijalnih bezbednosnih rizika.
Lica iz stava 1. ove tačke su dužna da blagovremeno izveštavaju nadležne organe finansijske institucije o redovnim i vanrednim aktivnostima sprovedenim u cilju praćenja informacione bezbednosti, a naročito o otkrivenim događajima koji su uticali ili mogu uticati na informacionu bezbednost finansijske institucije.
21. Finansijska institucija je dužna da identifikuje i prati potrebe za bezbednošću informaciono-komunikacionog sistema, i to najmanje na osnovu rezultata procene rizika tog sistema i obaveza koje proizlaze iz propisa, unutrašnjih opštih akata, ugovornih odnosa i sl.
22. Finansijska institucija je dužna da, radi postizanja i održavanja adekvatnog nivoa bezbednosti informaciono-komunikacionog sistema, uspostavi odgovarajuće kontrole.
Finansijska institucija je dužna da kontinuirano prati promene u postojećem operativnom okruženju, procenjuje njihov uticaj na efikasnost postojećih mera bezbednosti, i po potrebi uvodi dodatne mere za ublažavanje rizika informaciono-komunikacionog sistema.
23. Finansijska institucija je dužna, da u skladu s prirodom, obimom i složenošću poslovanja, kao i složenošću informaciono-komunikacionog sistema, unutrašnjim opštim aktima uredi način testiranja bezbednosti tog sistema kako bi se utvrdila pouzdanost i efikasnost uspostavljenih mera bezbednosti.
Finansijska institucija je dužna, da u skladu s prirodom, obimom i složenošću poslovanja, kao i složenošću informaciono-komunikacionog sistema testiranje iz stava 1. ove tačke izvodi u skladu sa procenom nivoa rizika bezbednosti informaciono-komunikacionog sistema (npr. penetraciono testiranje, skeniranje ranjivosti, testiranje bezbednosti mreže i aplikacija i dr.), i da obezbedi da ta testiranja sprovode lica koja poseduju dovoljno znanja, veština i iskustva u vezi sa tim testiranjem.
Finansijska institucija je dužna, da u skladu s prirodom, obimom i složenošću poslovanja, i složenošću informaciono-komunikacionog sistema kao i u skladu sa procenjenim rizicima periodično ponavlja testiranje iz stava 1. ove tačke.
Pružalac platnih usluga u smislu zakona kojim se uređuju platne usluge, je dužan da najmanje jednom godišnje vrši testiranja iz stava 1. ove tačke za sve kritične resurse informaciono-komunikacionog sistema, odnosno najmanje jednom u tri godine za resurse koji se ne smatraju kritičnim.
Finansijska institucija je dužna da u slučaju promena na resursima informaciono-komunikacionog sistema, značajnim procesima i procedurama, uvođenja novih ili značajnih promena postojećih kritičnih aplikacija dostupnih na internetu kao i nakon značajnih operativnih ili bezbednosnih incidenata vrši odgovarajuća vanredna testiranja bezbednosti informaciono-komunikacionog sistema.
Finansijska institucija je dužna da u skladu sa rezultatima sprovedenih testiranja iz stava 1. ove tačke prilagodi mere bezbednosti informaciono-komunikacionog sistema, a u slučaju kritičnih resursa informaciono-komunikacionog sistema da to uradi bez odlaganja.
24. Finansijska institucija je dužna da unutrašnjim opštim aktima utvrdi bliže kriterijume, način i postupke za klasifikaciju informacionih dobara prema stepenu osetljivosti i kritičnosti - s obzirom na moguće posledice narušavanja njihove poverljivosti, integriteta i raspoloživosti, da dosledno primenjuje tu klasifikaciju, kao i da u skladu s tim obezbedi adekvatan nivo zaštite ovih dobara.
Finansijska institucija je dužna da imenuje lice, odnosno lica zaposlena u toj instituciji koja će biti odgovorna za upravljanje informacionim dobrima, te za klasifikaciju i zaštitu ovih dobara.
25. Finansijska institucija je dužna da sprovodi odgovarajuću kontrolu pristupa resursima informaciono-komunikacionog sistema, kao i da s tim u vezi uspostavi adekvatan sistem upravljanja korisničkim pravima pristupa.
Sistemom upravljanja korisničkim pravima pristupa naročito se obuhvataju procesi evidentiranja korisnika informaciono-komunikacionog sistema, autorizacije, identifikacije i autentifikacije, kao i nadzor nad korisničkim pravima pristupa.
Finansijska institucija je dužna da obezbedi da autorizacija korisnika informaciono-komunikacionog sistema bude zasnovana na principu:
- neophodnosti pristupa informacijama (engl. need to know), uključujući i pristup informacijama;
- dodele najmanjih mogućih prava pristupa resursima tog sistema koja omogućuju efikasno obavljanje poslova;
- adekvatne segregacije dužnosti, odnosno da korisnicima nije dodeljena kombinacija prava pristupa koja im omogućava zaobilaženje kontrola;
- da su korisnicima informaciono-komunikacionog sistema, gde je to moguće, dodeljeni personalizovani korisnički nalozi po kojima ih je lako identifikovati, i da jedan nalog koristi samo jedan korisnik kako bi se aktivnosti koje se sprovode u tom sistemu mogle jasno povezati sa tim korisnikom i kako bi mogla da se utvrdi odgovornost;
- da je korišćenje privilegovanog pristupa strogo kontrolisano tako što se ograničavaju i pažljivo prate aktivnosti naloga sa povišenim pravima pristupa (kao što su nalozi administratora sistema), i da se privilegovani udaljeni pristup odobrava samo na osnovu principa neophodnosti pristupa informacijama uz upotrebu rešenja za pouzdanu autentifikaciju (kao što je provera koja se zasniva na korišćenju dva faktora);
- da se aktivnosti korisnika, a naročito sve aktivnosti privilegovanih korisničkih naloga, evidentiraju u sistemskim i operativnim zapisima i da se ti zapisi izrađuju, prate i čuvaju u skladu sa utvrđenom kritičnošću resursa informaciono-komunikacionog sistema iz tačke 24. stav 1. odluke, u svrhu blagovremenog otkrivanja neovlašćenih pristupa i radnji na informaciono-komunikacionom sistemu.
Finansijska institucija je dužna da periodično i po potrebi, a najmanje jednom godišnje, revidira korisnička prava pristupa kako bi se osiguralo da korisnici tih prava ne poseduju preterane privilegije i da se one povuku kada više nisu potrebne.
Pri upravljanju korisničkim pravima pristupa, finansijska institucija je dužna da posebno uredi povlašćeni i udaljeni pristup informaciono-komunikacionom sistemu.
26. Finansijska institucija je dužna da, na osnovu rezultata procene rizika informaciono-komunikacionog sistema, uspostavi adekvatan sistem nadgledanja tog sistema i generisanja operativnih i sistemskih zapisa.
Finansijska institucija je dužna da obezbedi odgovarajuću zaštitu zapisa iz stava 1. ove tačke, kao i da utvrdi vreme čuvanja, te učestalost, opseg i način praćenja tih zapisa.
Zapisi iz stava 1. ove tačke moraju sadržati dovoljnu količinu informacija radi identifikovanja problema, rekonstruisanja događaja i otkrivanja neovlašćenih pristupa i aktivnosti na resursima informacionog sistema, kao i radi utvrđivanja odgovornosti.
27. Finansijska institucija je dužna da unutrašnjim opštim aktima definiše i primeni odgovarajuće kontrole fizičke bezbednosti resursa informaciono-komunikacionog sistema i drugih sistema koji su podrška funkcionisanju tog sistema u cilju zaštite prostorija, računarskih centara i osetljivih područja od neovlašćenog fizičkog pristupa, od krađe, kao i od fizičkog oštećenja ili uništenja izazvanog ljudskim ili prirodnim faktorom (statički elektricitet, visoka temperatura, požar, poplava, itd.).
Finansijska institucija je dužna da obezbedi da se prati fizički pristup informaciono-komunikacionom sistemu kao i da omogući pristup samo ovlašćenim licima, a u skladu sa njihovim zadacima i zaduženjima. Fizička prava pristupa se redovno preispituju kako bi se, bez odlaganja, obezbedilo povlačenje tih prava kada za njima prestane potreba.
28. Finansijska institucija je dužna da, primenom odgovarajućih kontrola, resurse informaciono-komunikacionog sistema zaštiti od malicioznog programskog kôda.
VI UPRAVLJANJE KONTINUITETOM POSLOVANJA I OPORAVAK AKTIVNOSTI U SLUČAJU KATASTROFA
29. Finansijska institucija je dužna da, radi obezbeđivanja nesmetanog i kontinuiranog funkcionisanja svih svojih značajnih sistema i procesa, kao i ograničavanja gubitaka u vanrednim situacijama, uspostavi proces upravljanja kontinuitetom poslovanja.
30. Finansijska institucija je dužna da obezbedi da upravljanje kontinuitetom poslovanja bude zasnovano na analizi uticaja na poslovanje i na proceni rizika, koje naročito obuhvataju:
1) utvrđivanje resursa i sistema potrebnih za odvijanje pojedinačnih poslovnih procesa, kao i njihove međuzavisnosti i povezanosti;
2) procenu rizika u vezi s pojedinačnim poslovnim procesima, uključujući i verovatnoću nastanka neželjenih događaja i njihov potencijalni uticaj na kontinuitet poslovanja, finansijsko stanje i reputaciju finansijske institucije;
3) utvrđivanje prihvatljivih nivoa rizika i tehnika za ublažavanje identifikovanih rizika;
4) utvrđivanje najdužeg prihvatljivog prekida (MAO) pojedinačnih poslovnih procesa;
5) utvrđivanje kritičnih/ključnih poslovnih procesa i aktivnosti.
Finansijska institucija je dužna da, u skladu sa sprovedenim aktivnostima iz stava 1. ove tačke, usvoji strategiju oporavka koju će primeniti u slučaju prekida poslovanja, a koja naročito sadrži:
1) prioritete oporavka poslovnih procesa, kao i resursa i sistema potrebnih za njihovo odvijanje;
2) ciljne nivoe aktivnosti (SDO);
3) ciljna vremena oporavka (RTO);
4) ciljne tačke oporavka (RPO).
Finansijska institucija je dužna da obezbedi da informaciono-komunikacioni sistem i usluge koje pruža uz pomoć tog sistema budu u skladu sa analizom uticaja na poslovanje, i s tim u vezi uspostavi redundantnost određenih kritičnih komponenti tog sistema kako bi se sprečili prekidi izazvani događajima koji utiču na te komponente.
31. Upravni odbor banke i davaoca finansijskog lizinga, odnosno nadležni organ društva za osiguranje, društva za upravljanje dobrovoljnim penzijskim fondom, platne institucije, institucije elektronskog novca i javnog poštanskog operatora dužan je da, na osnovu aktivnosti sprovedenih u skladu s tačkom 30. ove odluke, donese plan kontinuiteta poslovanja (Business Continuity Plan), kao i plan oporavka aktivnosti u slučaju katastrofa (Disaster Recovery Plan) kojim se prevashodno uređuje stvaranje uslova za oporavak i raspoloživost resursa informaciono-komunikacionog sistema potrebnih za odvijanje kritičnih/ključnih poslovnih procesa.
Plan kontinuiteta poslovanja naročito sadrži:
1) opis procedura u slučaju prekida poslovanja;
2) ažuran spisak svih resursa neophodnih za ponovno uspostavljanje kontinuiteta poslovanja;
3) spisak prioriteta po kojima će se postupiti u slučaju da je potrebno oporaviti više poslovnih aktivnosti;
4) podatke o timovima koji će biti odgovorni za ponovno uspostavljanje poslovanja u slučaju nastanka nepredviđenih događaja i o imenovanim članovima tih timova, uključujući i njihove jasno utvrđene dužnosti i odgovornosti, kao i plan unutrašnjih i spoljnih linija komunikacije;
5) rezervnu lokaciju - u slučaju prekida poslovanja i nemogućnosti ponovnog uspostavljanja poslovnih procesa na primarnoj lokaciji.
Plan oporavka aktivnosti u slučaju katastrofa naročito sadrži:
1) procedure za oporavak informaciono-komunikacionog sistema kad nastupe katastrofalni događaji;
2) uslovi koji moraju biti ispunjeni za primenu plana oporavka aktivnosti;
3) prioritete oporavka resursa informaciono-komunikacionog sistema;
4) podatke o timovima koji će biti odgovorni za oporavak informaciono-komunikacionog sistema i o imenovanim članovima tih timova, uključujući i njihove jasno utvrđene dužnosti i odgovornosti;
5) podatke o ključnim pružaocima usluga;
6) podatke o rezervnim lokacijama za oporavak informaciono-komunikacionog sistema, odnosno lokacije rezervnih računarskih centara.
Finansijska institucija je dužna da, radi efikasnog sprovođenja planova iz stava 1. ove tačke, obezbedi da svi zaposleni budu upoznati sa svojim ulogama i odgovornostima u slučaju nastupanja vanrednih situacija.
Finansijska institucija je dužna da preduzima sve neophodne aktivnosti radi usklađivanja planova iz stava 1. ove tačke s poslovnim promenama, uključujući i promene u proizvodima, aktivnostima, procesima i sistemima, s promenama u okruženju, s poslovnom politikom i strategijom poslovanja kao i sa iskustvom iz prethodnih incidenata i novim identifikovanim rizicima i pretnjama.
Finansijska institucija je dužna da, periodično i posle nastanka značajnih promena, a najmanje jednom godišnje, testira planove iz stava 1. ove tačke, kao i da dokumentuje rezultate tih testiranja i obezbedi njihovo uključivanje u izveštavanje nadležnog organa finansijske institucije.
Finansijska institucija je dužna da, testiranjem iz stava 6. ove tačke utvrdi da li može uspešno preći na alternativni način obavljanja kritičnih poslovnih aktivnosti iz okruženja predviđenog za oporavak od katastrofe, i da li može takav režim rada održati dovoljno dug vremenski period i nakon toga ponovo uspostaviti redovno poslovanje i stabilan rad informaciono-komunikacionog sistema.
Za sprovođenje planova iz stava 1. ove tačke, kao i odredaba st. od 4. do 7. te tačke, odgovoran je izvršni odbor banke i davaoca finansijskog lizinga, odnosno nadležni organ društva za osiguranje, društva za upravljanje dobrovoljnim penzijskim fondom, platne institucije, institucije elektronskog novca i javnog poštanskog operatora koji, u skladu sa zakonom, vodi poslove društva.
32. Finansijska institucija je dužna da, pri upravljanju kontinuitetom poslovanja, uzme u obzir i aktivnosti poverene trećim licima i zavisnost od usluga tih lica.
33. Finansijska institucija je dužna da, u slučaju nastanka okolnosti koje zahtevaju primenu plana kontinuiteta poslovanja i plana oporavka aktivnosti u slučaju katastrofa, obavesti o tome Narodnu banku Srbije, i to najkasnije narednog dana od dana nastanka tih okolnosti. Narodna banka Srbije može zahtevati dodatnu dokumentaciju u vezi s relevantnim činjenicama o ovim okolnostima i odrediti rok za dostavljanje te dokumentacije.
Finansijska institucija je dužna da, u slučaju nastanka okolnosti koje zahtevaju primenu plana kontinuiteta poslovanja i plana oporavka aktivnosti u slučaju katastrofa o tome informiše sve relevantne interne i spoljne aktere i održava komunikaciju sa njima.
34. Finansijska institucija je dužna da uspostavi proces upravljanja rezervnim kopijama podataka, te da u tu svrhu utvrdi detaljne procedure i odgovornosti.
Procedure iz stava 1. ove tačke treba da sadrže vrstu, obim, način i učestalost izrade rezervnih kopija podataka, način testiranja i način i učestalost odlaganja na udaljenu lokaciju, period čuvanja rezervnih kopija podataka, kao i način vođenja evidencije o njima.
Upravljanje rezervnim kopijama podataka mora da obuhvati postupke izrade, čuvanja i testiranja ovih kopija, kao i oporavka podataka i softverskih komponenata, kako bi se omogućilo ponovno uspostavljanje poslovnih procesa u okviru ciljnog vremena oporavka.
Finansijska institucija je dužna da obezbedi da su rezervne kopije podataka ažurne i adekvatno zaštićene, a postupci oporavka testirani i uspešni.
Najmanje jedna ažurna i kompletna rezervna kopija podataka mora biti adekvatno uskladištena na odgovarajućoj udaljenosti od primarne lokacije - na osnovu rezultata procene rizika informaciono-komunikacionog sistema i uz uzimanje u obzir potrebe za izbegavanjem uticaja istih rizika na obe lokacije.
35. Finansijska institucija je dužna da, na osnovu aktivnosti sprovedenih u skladu s tačkom 30. ove odluke, obezbedi raspoloživost rezervnog računarskog centra i njegovu adekvatnu opremljenost, funkcionalnost i nivo bezbednosti, kao i njegovu odgovarajuću udaljenost od primarnog računarskog centra, uz uzimanje u obzir potrebe za izbegavanjem uticaja istih rizika na obe lokacije.
VII UPRAVLJANJE IKT INCIDENTIMA I IZVEŠTAVANJE O IKT INCIDENTIMA
36. Finansijska institucija je dužna da uspostavi i sprovodi proces upravljanja IKT incidentima koji omogućava blagovremen i efikasan odgovor u slučaju narušavanja bezbednosti ili funkcionalnosti resursa informaciono-komunikacionog sistema.
37. Finansijska institucija je dužna da unutrašnjim opštim aktima utvrdi način klasifikacije značajnih IKT incidenta, način na koji o tim incidentima obaveštava Narodnu banku Srbije i kriterijume na osnovu kojih procenjuje značaj.
38. Finansijska institucija je dužna da u značajne IKT incidente uključi i incidente koji su nastali kod lica povezanih s finansijskom institucijom imovinskim i/ili upravljačkim odnosima (lica sa učešćem, članice grupe društava kojoj ta institucija pripada i dr.) koja posluju u Republici Srbiji ili u inostranstvu, kao i incidente nastale kod pružaoca usluga kojima je finansijska institucija poverila aktivnosti a koji utiču na usluge koje pruža finansijska institucija i to:
1) direktno, kada uslugu povezanu sa pružanjem usluga pruža povezano lice ili pružalac usluga koji je zahvaćen incidentom ili
2) indirektno, kada je, sposobnost finansijske institucije da nastavi da pruža usluge ugrožena na drugi način zbog incidenta kod povezanog lica ili pružaoca usluga.
39. Finansijska institucija je dužna da uspostavi odgovarajuće postupke i procese za dosledno i sveobuhvatno praćenje, postupanje i preduzimanje adekvatnih mera sa IKT incidentima, kako bi se osiguralo utvrđivanje i dokumentovanje osnovnih uzroka (eng. Root cause) tih incidenata, u cilju sprečavanja pojave istog incidenta.
40. Finansijska institucija je dužna da, u skladu sa prirodom, obimom i složenošću poslovanja u okviru procesa upravljanja IKT incidentima iz tačke 36. ove odluke:
1) uspostavi pokazatelje za rano upozoravanje (eng. early warning indicators);
2) uspostavi postupke za utvrđivanje, praćenje, evidentiranje, kategorizaciju i klasifikaciju IKT incidenata prema njihovim prioritetu i ozbiljnosti i prema kritičnosti zahvaćenih usluga, u skladu s kriterijima utvrđenim u tački 42. stav 1. odluke;
3) dodeli uloge i odgovornosti za različite tipove i scenarije IKT incidenata;
4) utvrdi planove za komunikaciju koji obuhvataju zaposlene u finansijskoj instituciji, lica povezana sa finansijskom institucijom (zainteresovane strane), javnost i medije u zavisnosti od prirode IKT incidenta;
5) utvrdi planove za obaveštavanje klijenata u skladu sa postupkom eskalacije incidenta, što uključuje prigovore korisnika povezane sa informaciono-komunikacionom sistemom;
6) osigura izveštavanje i informisanje svog nadležnog organa o značajnim IKT incidentima, posledicama tih incidenata, odgovora na njih kao i dodatnih kontrola koje treba uvesti u cilju sprečavanja ponavljanja istih;
7) uspostavi postupke odgovora na IKT incidente kako bi se ublažile posledice i obezbedilo da usluge pravovremeno postanu dostupne i bezbedne.
41. Finansijska institucija je dužna da klasifikuje kao značajne one IKT incidente za koje procenom iz tačke 42. ove odluke utvrdi da ispunjavaju:
1) jedan ili više kriterijuma većeg nivoa uticaja; ili
2) tri ili više kriterijuma manjeg nivoa uticaja.
Kriterijumi većeg i manjeg nivoa uticaja iz stava 1. ove tačke dati su u Prilogu 1 koji čini sastavni deo ove odluke.
Finansijska institucija je dužna da klasifikaciju iz stava 1. ove tačke sprovede blagovremeno, a najkasnije 24 sata od trenutka otkrivanja incidenta i bez nepotrebnog odlaganja nakon što informacije potrebne za klasifikaciju incidenta postanu dostupne.
Izuzetno od stava 3. ove tačke, ako je finansijskoj instituciji potrebno više od 24 sata za klasifikaciju određenog incidenta od njegovog otkrivanja, dužna je da Narodnoj banci Srbije dostavi obaveštenje (početni izveštaj) o nastalom incidentu u skladu sa tačkom. 44. stav 1. ove odluke.
42. Finansijska institucija je dužna da sprovodi procene IKT incidenata na osnovu sledećih kriterijuma i njihovih osnovnih indikatora:
1) transakcije ili usluge zahvaćene incidentom - finansijska institucija utvrđuje ukupnu vrednost transakcija koje su zahvaćene incidentom, kao i procentualni udeo kompromitovanih transakcija u redovnom obimu poslovanja;
2) ukupan broj klijenata, korisnika usluga zahvaćeni incidentom - finansijska institucija utvrđuje ukupan broj korisnika koji su obuhvaćeni incidentom i njihov procentualni udeo u ukupnom broju korisnika finansijske institucije, pri tom uzimajući u obzir pored broja klijenata i njihov značaj i, ako je to primenjivo, broj transakcija zahvaćenih tim incidentom. Broj klijenata odnosi se na broj svih zahvaćenih klijenata, bez obzira na to da li su fizička ili pravne lica, koja ne mogu ili nisu mogla koristiti uslugu koju finansijska institucija pruža tokom incidenta ili na koje je incident negativno uticao;
3) narušavanje sigurnosti mreže ili informaciono-komunikacionog sistema - finansijska institucija utvrđuje da li je zlonamerna aktivnost ugrozila sigurnost mreže ili informaciono-komunikacionog sistema, povezanih sa pružanjem usluga;
4) dužina prekida pružanja usluge - finansijska institucija utvrđuje vremenski period u kojem će usluga verovatno biti nedostupna klijentu ili korisniku usluga ili tokom kojeg pružalac platnih usluga neće moći da izvrši nalog za plaćanje, pri tom uzimajući u obzir dužinu trajanja IKT incidenta, vreme prekida rada IKT sistema ili njegovog dela ili zastoja u radu ili zastoja/prekida pružanja usluge. Dužina prekida se meri od trenutka njegova nastanka, odnosno od trenutka njegovog otkrivanja do trenutka njegovog rešavanja.
5) ekonomski uticaj - finansijska institucija sveobuhvatno utvrđuje troškove povezane sa IKT incidentom i uzima u obzir njegov apsolutni iznos i, kada je primenljivo, relativni značaj tih troškova u odnosu na veličinu finansijske institucije, odnosno na njen osnovni kapital, ovo se odnosi na direktne i indirektne troškove i gubitke. Finansijska institucija naročito uzima u obzir oduzeta novčana sredstva ili resurse, troškove zamene hardverskih ili softverskih komponenti, ostale troškove za sprovođenje forenzičkih i korektivnih radnji, troškove pravne zaštite i naknade klijentima, naknade zbog neispunjavanja ugovornih obaveza, kazne, druge obaveze i propuštene prihode.
6) visok nivo interne eskalacije - finansijska institucija utvrđuje da li su članovi njenih organa upravljanja o tom incidentu obavešteni ili će verovatno biti obavešteni;
7) druge finansijske institucije ili relevantna infrastruktura potencijalno zahvaćeni incidentom - finansijska institucija utvrđuje sistemske posledice koje će incident verovatno imati, odnosno potencijal incidenta da se proširi sa finansijske institucije koji je inicijalno zahvaćen incidentom na druge finansijske institucije, infrastrukture finansijskog tržišta i/ili platne šeme; Finansijska institucija naročito procenjuje da li se incident proširio ili će se verovatno proširiti na druge finansijske institucije, da li je uticao ili će verovatno uticati na nesmetano funkcionisanje infrastruktura finansijskog tržišta i da li je ugrozio ili će verovatno ugroziti ispravno funkcionisanje finansijskog sistema kao celine;
8) reputacioni uticaj - finansijska institucija utvrđuje kako incident može narušiti poverenje korisnika usluga prema finansijskoj instituciji ili tržištu u celini. Finansijska institucija smatra da je do reputacionog uticaja došlo ako je ispunjen barem jedan od sledećih kriterijuma: incident se spominjao u medijima, incident je doveo do više pritužbi različitih klijenata na usluge ili kritične/ključne poslovne odnose, finansijska institucija neće moći ili verovatno neće moći ispuniti regulatorne zahteve zbog incidenta, incident je doveo do kršenja ugovornih obaveza koje za posledicu imaju objavljivanje informacija o pokretanju pravnih radnji protiv finansijske institucije i finansijska institucija će zbog incidenta izgubiti ili će verovatno izgubiti klijente koji imaju značajan uticaj na njeno poslovanje.
Finansijska institucija je dužna da pored navedenih kriterijuma klasifikacije IKT incidente razmotri i sledeće:
1) geografska rasprostranjenost incidenta u smislu područja koje je IKT incident zahvatio, posebno ako je zahvatio više od dve države u kojima finansijska institucija posluje ili poverava aktivnosti trećim licima uključujući i lica povezana sa finansijskom institucijom;
2) gubitak podataka prouzrokovanog IKT incidentom, u smislu:
- dostupnosti podataka, odnosno da li su podaci zbog incidenta privremeno ili trajno nedostupni ili neupotrebljivi,
- autentičnosti podatka odnosno da li je ugrožena pouzdanost izvora podataka,
- integriteta podataka odnosno da li su izvršene neodobrene izmene podataka zbog kojih su oni postali netačni ili nepotpuni i
- poverljivosti podataka, odnosno da li su neovlašćene strane ili sistemi pristupili podacima ili da su podaci otkriveni.
3) kritičnost zahvaćenih usluga, uključujući transakcije i poslovanje finansijske institucije, tom prilikom finansijska institucija procenjuje da li IKT incident utiče na ključne ili važne funkcije finansijske institucije, na finansijske usluge za koje je potrebno odobrenje, registracija ili koje nadzire Narodna banka Srbije ili da li predstavlja ili je predstavljao uspešan, zlonameran i neovlašćen pristup mrežnim i informacionim sistemima finansijske institucije.
Incidenti koji se ponavljaju, a koji se pojedinačno ne smatraju značajnim incidentom u skladu sa stavom 1. ove tačke smatraju se jednim značajnim incidentom ako ispunjavaju sledeće uslove:
1) dogodili su se najmanje dva puta u šest meseci;
2) imaju isti očiti uzrok problema (engl. root cause);
3) zajednički ispunjavaju kriterijume za značajni incident iz stava 1. ove tačke
Finansijska institucija je dužna da svaki mesec procenjuje da li postoje incidenti koji se ponavljaju.
43. Finansijska institucija je dužna da sprovede procenu IKT incidenta tako što će za svaki kriterijum iz tačke 42. stav 1. ove odluke utvrditi da li su pragovi nivoa uticaja iz Priloga 1 ove odluke dostignuti ili će verovatno biti dostignuti pre rešavanja tog incidenta.
Finansijska institucija je dužna da radi sprovođenja procene iz stava 1. ove tačke utvrdi vrednost indikatora iz tačke 42. stav 1. ove odluke.
Ako finansijska institucija nema stvarne podatke na osnovu kojih može proceniti prag nivoa uticaja iz stava 1. ove tačke dostignut ili će pre rešavanja IKT incidenta verovatno biti dostignut, tu procenu može utvrditi na osnovu procenjenih podataka, naročito u početnoj fazi istrage tog incidenta.
Finansijska institucija je da dužna da procenu iz stava 1. ove tačke sprovodi kontinuirano tokom trajanja IKT incidenta, kako bi utvrdila da li je došlo do promene statusa tog incidenta u smislu njegovog značaja.
Finansijska institucija je dužna da o svakoj reklasifikaciji IKT incidenta iz značajnog u operativni ili sigurnosni incident koji nije značajan bez odlaganja obavesti Narodnu banku Srbije, u skladu sa tačkom 47. st. 7, 8. i 9. ove odluke.
44. Finansijska institucija je dužna da Narodnu banku Srbije obavesti, odnosno dostavi početni izveštaj o IKT incidentu, u slučaju incidenta koji je ozbiljno ugrozio ili narušio njeno poslovanje, odnosno koji bi mogao ozbiljno ugroziti ili narušiti njeno poslovanje, i to:
1) ako je nastao usled narušavanja funkcionalnosti resursa informacionog sistema - odmah po utvrđivanju okolnosti o nastanku tog incidenta;
2) ako je nastao kao posledica narušavanja bezbednosti informacionog sistema - odmah po saznanju o tom incidentu;
3) ako je nastao kod pružaoca usluge, a imao je ili je mogao imati značajan uticaj na informaciono-komunikacioni sistem finansijske institucije ili kontinuitet usluga koje pruža - odmah po utvrđivanju okolnosti o nastanku tog incidenta, odnosno saznanju o tom incidentu.
Finansijska institucija je dužna da Narodnoj banci Srbije, na zahtev, bez odlaganja dostavi dodatnu dokumentaciju kojom se dopunjavaju informacije dostavljene u početnom, statusnom-prelaznom i završnom izveštaju i pojašnjenja u vezi sa već dostavljenom dokumentacijom.
Finansijska institucija je dužna da navede sve dodatne informacije sadržane u dokumentaciji iz stava 2. ove tačke dostavljenoj Narodnoj banci Srbije, bez obzira da li je dokumentaciju dostavila samoinicijativno ili na zahtev Narodne banke Srbije.
Finansijska institucija je dužna da u svakom trenutku očuva poverljivost i integritet informacija koje razmenjuje sa Narodnom bankom Srbije i da na prikladan način potvrdi svoj identitet Narodnoj banci Srbije.
Narodna banka Srbije će na svojoj internet stranici objaviti elektronske obrasce (početni, statusni - prelazni i završni izveštaj), kao i uputstvo za popunjavanje tih obrazaca.
45. Finansijska institucija je dužna da dostavi početni izveštaj o IKT incidentu Narodnoj banci Srbije u skladu sa tačkom 44. stav 1. ove odluke i odmah nakon što je incident koji nije bio značajan reklasifikovan u značajan IKT incident.
Početni izveštaj iz stava 1. ove tačke sadrži matični broj finansijske institucije, naziv finansijske institucije, podatke o licu za kontakt (ime, prezime, telefon i imejla adresa), datum otkrivanja IKT incidenta, informaciju o tome da li je incident u toku, posledice koje je incident izazvao i druge informacije koje su dostupne finansijskoj instituciji u vezi sa IKT incidentom.
Ako finansijska institucije nema sve relevantne podatke o incidentu u trenutku kreiranja početnog izveštaja iz stava 1. ove tačke može koristiti podatke do kojih je došla na osnovu procene.
Ako je finansijskoj instituciji za klasifikaciju određenog incidenta potrebno više vremena od trenutka njegovog otkrivanja do obaveštenja Narodne banke Srbije, dužna je da u početnom izveštaju iz stava 1. ove tačke navede razloge za to.
Izuzetno od stava 1. ove tačke, ako finansijska institucija nije u mogućnosti da dostavi početni izveštaj u predviđenom roku iz razloga što kanali za izveštavanje nisu dostupni ili funkcionalni, dužna je da dostavi početni izveštaj bez odlaganja kada ti kanali ponovo postanu dostupni i/ili funkcionalni, a da Narodnu banku Srbije obavesti o značajnom incidentu dostupnim kanalima komunikacije.
46. Nakon obaveštenja iz tačke 45. ove odluke, finansijska institucija je dužna da Narodnu banku Srbije kontinuirano obaveštava o bitnim događajima i drugim relevantnim informacijama u vezi sa incidentom (status incidenta-prelazni izveštaj), kao i o aktivnostima preduzetim radi ublažavanja incidenta i njegovim posledicama. Ovo obaveštenje sadrži i detaljan opis incidenta, informacije o proceni broja korisnika na koje je incident uticao, okvirno vreme potrebno da se incident reši, potencijalni uticaj na druge finansijske institucije, kao i bitne događaje i druge relevantne informacije od nastanka incidenta (npr. informacije o tome da li je incident eskalirao, da li su otkriveni novi uzroci i o efikasnosti primenjenih aktivnosti)
Finansijska institucija je dužna da dostavi prelazni izveštaj o IKT incidentu Narodnoj banci Srbije:
1) odmah nakon oporavka redovnih aktivnosti i ponovnog uspostavljanja redovnog poslovanja;
2) u roku od najduže tri radna dana od dana dostavljanja početnog izveštaja, ako u tom periodu nije došlo do ponovnog uspostavljanja redovnog poslovanja finansijske institucije.
Finansijska institucija je dužna da ažurira informacije iz početnog i statusnog-prelaznog izveštaja da ih, bez odlaganja, dostavi Narodnoj banci Srbije:
1) nakon dostavljanja prethodnih izveštaja Narodnoj banci Srbije, kada nastanu značajne promene u vezi sa IKT incidentom, uključujući otkrivanje dodatnih uzroka tog incidenta ili preduzimanje dodatnih radnji za rešavanje problema;
2) kada IKT incident nije rešen u roku od tri radna dana od trenutka otkrivanja;
3) na zahtev Narodne banke Srbije.
Ako finansijska institucija nema sve relevantne podatke o IKT incidentu u trenutku kreiranja i/ili ažuriranja izveštaja iz st. 2. i 3. ove tačke može koristiti podatke do kojih je došla na osnovu procene.
Ako je redovno poslovanje finansijske institucije ponovo uspostavljeno u okviru četiri sata od trenutka kada je IKT incident klasifikovan kao značajan, finansijska institucija je dužna da u istom roku, zajedno sa početnim izveštajem dostavi i prelazni izveštaj, kada je to moguće.
47. Finansijska institucija je dužna da dostavi završni izveštaj o značajnom IKT incidentu Narodnoj banci Srbije u roku od 15 dana od dana prestanka incidenta, odnosno od dana kada proceni da su uspostavljeni redovno poslovanje finansijske institucije i stabilan rad informacionog sistema, a nakon što izvrši analizu osnovnog uzroka tog incidenta, bez obzira da li su mere za ublažavanje rizika i posledica sprovedene i da li je osnovni uzrok incidenta u potpunosti identifikovan, i kada utvrdi stvarne podatke kojima se mogu zameniti podaci do kojih je došao na osnovu procena iz tačke 45. stav 3. i tačke 46. stav 5. ove odluke.
Završni izveštaj sadrži konačne informacije o incidentu - datum početka i datum okončanja incidenta, dužina trajanja incidenta, vrsta incidenta (nedostupnost hardverskih komponenti, problemi u radu softverskih komponenti ili bezbednosni incident), opis incidenta, uzroci nastanka i posledice incidenta, aktivnosti koje je finansijska institucija sprovodila tokom incidenta, plan aktivnosti kojima će preventivno delovati i sprečiti ponovne pojave istog incidenta, broj korisnika na koje je incident uticao, nastali finansijski troškovi povezani sa incidentom, uticaj na druge finansijske institucije i, po potrebi, druge relevantne informacije.
Izuzetno od stava 1. ove tačke, finansijska institucija, kojoj je potrebno produženje roka za dostavljanje završnog izveštaja dužna je da, pre isteka tog roka, podnese zahtev za odlaganje dostavljanja završnog izveštaja sa detaljnim obrazloženjem razloga za odlaganje i navođenjem novog roka za njegovo dostavljanje.
Finansijska institucija je dužna da završni izveštaj iz stava 1. ove tačke sačini na osnovu stvarnih podataka, i da na osnovu tih podataka ažurira informacije koje je ranije dostavila.
Ako je finansijska institucija u mogućnosti da Narodnoj banci Srbije dostavi sve informacije iz završnog izveštaja u okviru četiri sata od trenutka kada je incident klasifikovan kao značajan, dužna je da istovremeno dostavi početni, prelazni i završni izveštaj.
Finansijska institucija je dužna da dostavi završni izveštaj o IKT incidentu i kada na osnovu kontinuirane procene incidenta iz tačke 43. stav 4. ove odluke utvrdi da određeni incident, o kojem je već obavestila Narodnu banku Srbije, više ne ispunjava kriterijume na osnovu kojih bi bio klasifikovan kao značajan i da ne očekuje da će ih ispuniti pre nego taj incident bude rešen.
Finansijska institucija je dužna da u slučaju iz stava 7. ove tačke, završni izveštaj dostavi, bez odlaganja, nakon reklasifikacije incidenta, do isteka roka za podnošenje sledećeg izveštaja.
48. Finansijska institucija obaveštava Narodnu banku Srbije o ozbiljnim sajber pretnjama ako smatra da je ta pretnja relevantna za finansijsku instituciju, korisnike usluga ili klijente. Narodna banka Srbije te informacije može dostaviti drugim relevantnim telima.
49. Finansijska institucija je dužna da, kada nastane značajan IKT incident koji utiče na finansijske interese klijenata, čim postane svesna tog incidenta, bez odlaganja obavesti svoje klijente o tom incidentu i o merama koje su preduzete kako bi se ublažio njegov negativan uticaj.
VIII RAZVOJ I ODRŽAVANJE INFORMACIONO-KOMUNIKACIONOG SISTEMA
50. Finansijska institucija je dužna da uspostavi proces razvoja informaciono-komunikacionog sistema u skladu s relevantnim promenama unutar finansijske institucije i u okruženju, kako bi se obezbedila kontinuirana adekvatnost tog sistema.
51. Finansijska institucija proces razvoja informaciono-komunikacionog sistema sprovodi u skladu sa usvojenom strategijom razvoja tog sistema i metodologijom upravljanja projektima, uz uzimanje u obzir funkcionalnih zahteva i potreba za bezbednošću.
Finansijska institucija je dužna da, tokom razvoja informaciono-komunikacionog sistema unutar finansijske institucije, uspostavi i dokumentuje proces tog razvoja, koji obuhvata analizu i projektovanje, programiranje, testiranje i uvođenje u produkciju.
Finansijska institucija je dužna da, u skladu sa složenošću informaciono-komunikacionog sistema, na odgovarajući način razdvoji produkciono okruženje od drugih neprodukcionih okruženja (npr. razvojnog, testnog, pripremnog (eng. Staging) i dr.).
52. Finansijska institucija je dužna da uspostavi proces upravljanja hardverskim i softverskim komponentama u svim fazama njihovog životnog ciklusa - od nabavke ili razvoja do povlačenja iz upotrebe.
Finansijska institucija je dužna da obezbedi da upravljanje hardverskim i softverskim komponentama obuhvati, između ostalog, održavanje detaljne i ažurne evidencije ovih komponenata, imenovanje lica zaposlenog, odnosno zaposlenih u finansijskoj instituciji odgovornih za upravljanje i zaštitu tih komponenata, kao i utvrđivanje pravila njihovog prihvatljivog korišćenja i bezbednog odlaganja pri povlačenju iz upotrebe.
53. Finansijska institucija je dužna da obezbedi adekvatno održavanje hardverskih i softverskih komponenata informaciono-komunikacionog sistema prema preporukama proizvođača i da čuva zapise o tom održavanju, kao i da se stara o tome da se pritom ne ugrozi bezbednost ili funkcionalnost ovog sistema.
Finansijska institucija je dužna da uspostavi proces planiranja i praćenja performansi i kapaciteta informaciono-komunikacionog sistema u cilju blagovremenog sprečavanja, otkrivanja i otklanjanja značajnih problema u radu ovog sistema i nedostatka kapaciteta tog sistema.
54. Finansijska institucija je dužna da uspostavi proces upravljanja promenama hardverskih i softverskih komponenata informaciono-komunikacionog sistema kako bi se izbeglo da one dovedu do neočekivanog i neželjenog ponašanja ovog sistema, odnosno naruše njegovu bezbednost ili funkcionalnost.
Upravljanje promenama softverskih komponenata informaciono-komunikacionog sistema obuhvata naročito sledeće postupke:
1) utvrđivanje početnih verzija ovih komponenata;
2) iniciranje, analizu i odobravanje zahteva za promenom;
3) hronološko dokumentovanje svih promena ovih komponenata i arhitekture baza podataka, zajedno s vremenom nastanka promene;
4) informisanje korisnika informaciono-komunikacionog sistema o detaljima izvršenih promena.
Finansijska institucija je dužna da obezbedi da sve promene hardverskih i softverskih komponenata, uključujući i nove komponente i sisteme, budu testirane i odobrene pre puštanja u produkcijski rad, kao i da utvrdi plan vraćanja na prethodno stanje.
Finansijska institucija je dužna da unutrašnjim opštim aktom uredi proces upravljanja hitnim promenama hardverskih i softverskih komponenata informaciono-komunikacionog sistema.
55. Finansijska institucija koja planira migraciju podataka na novi sistem glavnih poslovnih aplikacija (core business application) ili u drugi računarski centar, odnosno koja vrši promenu lokacije računarskog centra, dužna je da o tome obavesti Narodnu banku Srbije najkasnije 30 dana pre početka testiranja planiranog u vezi s tom migracijom.
Obaveštenje iz stava 1. ove tačke naročito sadrži:
1) detaljne opise sistema između kojih se podaci prenose;
2) plan, dinamiku i opis aktivnosti u vezi s migracijom podataka, uključujući i metodologiju testiranja;
3) rezultate procene rizika i opis kontrola koje će se primeniti tokom migracije podataka s ciljem očuvanja poverljivosti, integriteta i raspoloživosti podataka;
4) plan vraćanja na stanje pre migracije podataka, koji uključuje dinamiku tog vraćanja i opis aktivnosti, kao i kriterijume za donošenje odluke za primenu ovog plana.
Izuzetno od stava 1. ove tačke, finansijska institucija koja planira migraciju podataka zbog statusne promene za koju je dužna da pribavi saglasnost, odnosno dozvolu Narodne banke Srbije dužna je da, istovremeno sa zahtevom za davanje ove saglasnosti, odnosno dozvole, Narodnoj banci Srbije dostavi i obaveštenje s podacima iz stava 2. te tačke, a banka je dužna da dostavi i zahtev za omogućavanje funkcionisanja privremenog računa pravnog sledbenika (u daljem tekstu: zahtev za privremeni račun) koji mora potpisati zakonski zastupnik pravnog sledbenika - radi postupanja Narodne banke Srbije po tom zahtevu u slučajevima utvrđenim ovom tačkom.
Privremeni račun pravnog sledbenika predstavlja račun banke koja prestaje da postoji zbog statusne promene koji je otvoren u Narodnoj banci Srbije u skladu s propisima, odnosno pravilima rada platnog sistema u kojem ta banka učestvuje a koji zbog statusne promene preuzima pravni sledbenik, radi njegovog privremenog funkcionisanja u roku utvrđenom ovom odlukom.
Finansijska institucija koja donese odluku o primeni plana vraćanja na stanje pre migracije podataka dužna je da o tome bez odlaganja obavesti Narodnu banku Srbije.
Ako donese odluku o primeni plana vraćanja na stanje pre migracije podataka zbog statusne promene, banka je dužna da o tome obavesti Narodnu banku Srbije najkasnije narednog radnog dana od dana kada je započela migraciju podataka, i to najkasnije jedan sat pre početka perioda utvrđenog Dnevnim terminskim planom rada RTGS platnog sistema Narodne banke Srbije (u daljem tekstu: RTGS NBS sistem) za izvršavanje naloga za prenos u tom sistemu.
Narodna banka Srbije omogućava funkcionisanje privremenog računa iz stava 4. ove tačke u slučaju da banka donese odluku o primeni plana vraćanja na stanje pre migracije podataka.
Izuzetno od stava 7. ove tačke, ako postoje objektivne okolnosti usled kojih mogu biti ugroženi interesi klijenata banke koja sprovodi postupak migracije podataka zbog statusne promene, Narodna banka Srbije može, na obrazloženi zahtev koji banka dostavlja uz dokumentaciju iz stava 3. ove tačke, posebno utvrditi rok sprovođenja postupka migracije podataka i omogućiti funkcionisanje privremenog računa u tom roku.
Finansijska institucija je dužna da postupak migracije podataka zbog statusne promene sprovede najkasnije u roku od deset radnih dana od dana početka primene plana iz stava 5. ove tačke, odnosno u roku koji utvrdi Narodna banka Srbije u skladu sa stavom 8. ove tačke.
Privremeni račun pravnog sledbenika iz ove tačke, kao i postupanje Narodne banke Srbije u skladu sa zahtevom za privremeni račun bliže se uređuju pravilima rada RTGS NBS sistema.
56. Finansijska institucija je dužna da obezbedi izradu, čuvanje i redovno održavanje dokumentacije koja se odnosi na informaciono-komunikacioni sistem, kako bi ta dokumentacija u svakom trenutku bila tačna, potpuna i ažurna.
Finansijska institucija je dužna da svim korisnicima informaciono-komunikacionog sistema obezbedi pristup odgovarajućim dokumentima u skladu s potrebama posla.
57. Finansijska institucija je dužna da obezbedi adekvatno, kontinuirano stručno osposobljavanje i obučavanje zaposlenih za korišćenje informaciono-komunikacionog sistema i očuvanje njegove bezbednosti i funkcionalnosti, kao i da donese, sprovodi i redovno ažurira program podizanja svesti o bezbednosti informaciono-komunikacionog sistema, a u skladu sa aktuelnim trendovima.
Finansijska institucija je dužna da obezbedi da se, u skladu sa programom iz stava 1. ove tačke, svi zaposleni i druga lica angažovana kod nje periodično, a najmanje jednom godišnje, obučavaju kako bi se obezbedilo da su osposobljeni za izvršavanje svojih dužnosti i odgovornosti u skladu sa politikom bezbednosti u cilju smanjenja operativnih rizika i rizika bezbednosti informaciono-komunikacionog sistema.
58. Elektronske usluge su usluge koje društva za osiguranje, društva za upravljanje dobrovoljnim penzijskim fondovima i davaoci finansijskog lizinga pružaju korisnicima sa udaljene lokacije preko interneta (u daljem tekstu: pružalac elektronskih usluga). Pružalac elektronskih usluga je dužan da, kao sastavni deo upravljanja rizikom informaciono-komunikacionog sistema, uspostavi proces upravljanja rizicima koji proizlaze iz pružanja elektronskih usluga.
59. Pružalac elektronskih usluga dužan je da pri pružanju elektronskih usluga primeni bezbedne i efikasne metode za proveru i potvrdu identiteta i ovlašćenja lica, procesa i sistema.
Pružalac elektronskih usluga dužan je da korisnicima pri korišćenju ovih usluga obezbedi autentifikaciju koja uključuje kombinaciju najmanje dva međusobno nezavisna elementa za potvrđivanje korisničkog identiteta.
60. Pružalac elektronskih usluga dužan je da usvoji i primeni pravila kojima se na odgovarajući način, u skladu s tržišnom praksom i procenom rizika, ograničava broj pokušaja prijave na sistem za pružanje elektronskih usluga, odnosno pokušaja autentifikacije, da odredi najduže vreme bez aktivnosti korisnika nakon prijave na taj sistem, kao i da utvrdi rokove važenja parametara autentifikacije.
Pri korišćenju jednokratnih lozinki radi autentifikacije (npr. One Time Password - OTP), pružalac elektronskih usluga dužan je da obezbedi da vremensko važenje te lozinke bude ograničeno na period koji je potreban za obavljanje autentifikacije.
Pružalac elektronskih usluga dužan je da utvrdi najveći mogući broj neuspešnih pokušaja prijave na sistem za pružanje elektronskih usluga nakon kojih će taj sistem biti trajno ili privremeno blokiran, kao i da uspostavi procedure za bezbedno ponovno aktiviranje ovog sistema.
Pružalac elektronskih usluga dužan je da utvrdi najduže moguće vreme bez aktivnosti korisnika na sistemu za pružanje elektronskih usluga po prijavljivanju u taj sistem, nakon kojeg dolazi do automatskog odjavljivanja korisnika iz ovog sistema (tzv. završetak sesije).
Pružalac elektronskih usluga dužan je da obezbedi odgovarajuću potvrdu svog identiteta na distributivnom kanalu za pružanje elektronskih usluga kako bi korisnici mogli da provere pružaoca elektronske usluge.
Pružalac elektronskih usluga je dužan da obezbedi postojanje operativnih i sistemskih zapisa kako bi se u odgovarajućoj meri obezbedila neporecivost i dokazivost radnji u vezi sa pružanjem elektronskih usluga.
61. Pružaoci platnih usluga dužni su da svoje unutrašnje akte usklade sa odredbama ove odluke najkasnije mesec dana pre početka njene primene i da u tom roku Narodnoj banci Srbije dostave obaveštenje o tome, zajedno sa usklađenim unutrašnjim aktima.
62. Ova odluka ne primenjuje se na banku koja se pripaja drugoj banci, ako je banka kojoj se banka pripaja podnela Narodnoj banci Srbije uredan zahtev za davanje saglasnosti na to pripajanje najkasnije do dana početka primene ove odluke a planirani datum registracije statusne promene pripajanja je najkasnije 31. decembar 2026. godine.
Na banku koja je najkasnije do dana početka primene ove odluke dostavila Narodnoj banci Srbije obaveštenje i odluku nadležnog organa banke da planira migraciju podataka na novi sistem glavnih poslovnih aplikacija u smislu odluke kojom se uređuju minimalni standardi upravljanja informacionim sistemom finansijske institucije - odredbe ove odluke primenjivaće se od 30. juna 2026. godine.
63. Postupci obaveštavanja pokrenuti do dana početka primene ove odluke okončaće se prema odredbama Odluke o minimalnim standardima upravljanja informacionim sistemom finansijske institucije ("Službeni glasnik RS", br. 23/13, 113/13, 2/17, 88/19, 37/21 i 100/23 - dr. odluka).
64. Danom početka primene ove odluke prestaje da važi Odluka o minimalnim standardima upravljanja informacionim sistemom finansijske institucije ("Službeni glasnik RS", br. 23/13, 113/13, 2/17, 88/19, 37/21 i 100/23 - dr. odluka).
65. Ova odluka stupa na snagu osmog dana od dana objavljivanja u "Službenom glasniku Republike Srbije", a primenjuje se od 1. januara 2026. godine.
Kriterijum |
Manji nivo uticaja |
Veći nivo uticaja |
Transakcije zahvaćene IKT incidentom |
> 10% redovnog dnevnog obima transakcija finansijske institucije (u smislu broja transakcija) i trajanje incidenta > 1 sat* ili |
> 25% redovnog dnevnog obima transakcija pružaoca platnih usluga (u smislu broja transakcija)
|
Broj klijenta zahvaćen IKT incidentom |
> 5% svih klijenata koji koriste |
> 10% svih klijenata koji koriste zahvaćenu uslugu |
Dužina prekida pružanja usluge |
do dva sata |
preko 2 sata |
Narušavanje sigurnosti mreže ili informacionog sistema |
Da |
Nije primenljivo |
Visok nivo interne eskalacije |
Da |
Da i verovatno je da će se aktivirati krizni režim (ili njegov ekvivalent) |
Drugi pružaoci platnih usluga ili relevantna infrastruktura potencijalno zahvaćeni operativnim ili sigurnosnim incidentom |
Da |
Nije primenljivo |
Reputacioni uticaj |
Da |
Nije primenljivo |
* Prag koji se odnosi na trajanje incidenta u periodu dužem od jednog sata se primjenjuje samo na incidente koji utiču na sposobnost pružaoca platnih usluga da inicira i/ili obrađuje transakcije.