UREDBAO UTVRĐIVANJU MERA ZA SMANJENJE BEZBEDNOSNIH RIZIKA POVEZANIH SA UVOĐENJEM MOBILNIH MREŽA PETE GENERACIJE("Sl. glasnik RS", br. 17/2025) |
Ovom uredbom se bliže uređuju instrumenti za smanjenje bezbednosnih rizika povezanih sa uvođenjem mobilnih mreža pete generacije koji obuhvataju strateške, tehničke i mere podrške za prevazilaženje identifikovanih bezbednosnih rizika kojima se obezbeđuje bezbednost, dostupnost, poverljivost, integritet i otpornost podataka, usluga i infrastrukture 5G mreža, a koje se zasnivaju na proceni izloženosti bezbednosnim rizicima koje donosi uvođenje elektronskih komunikacionih mreža pete generacije.
Upotrebljeni izrazi u Uredbi imaju sledeće značenje:
1) 5G mreža je mreža pete generacije elektronskih komunikacija (u daljem tekstu: 5G mreža) koja predstavlja skup svih relevantnih elemenata i funkcija mrežne infrastrukture za mobilne i bežične komunikacione tehnologije koji se koriste za povezivanje i pružanje javne mobilne i bežične elektronske komunikacione usluge korisnicima sa naprednim karakteristikama, kao što su velike brzine prenosa podataka i veliki kapaciteti prenosa podataka, komunikacije sa malim kašnjenjem, izuzetno visoka pouzdanost ili mogućnost povezivanja velikog broja uređaja. Ona može uključivati postojeće mrežne elemente koji se zasnivaju na prethodnim generacijama mobilnih i bežičnih komunikacionih tehnologija, kao što su 4G ili 3G, ako se koriste za pružanje 5G usluga;
2) 5G usluga je elektronska komunikaciona usluga u čijem pružanju se koristi 5G mreža;
3) operator 5G mreže je pravno lice koje je upisano u evidenciju privrednih subjekata koju vodi Regulatorno telo za elektronske komunikacije i poštanske usluge (u daljem tekstu: Regulator) i koje namerava da gradi ili poseduje 5G mrežu u svrhu pružanja javno dostupnih elektronskih komunikacionih usluga;
4) dobavljač 5G opreme je fizičko ili pravno lice koje obezbeđuje hardver, softver, usluge ili podršku neophodnu za izgradnju, održavanje i funkcionisanje 5G mreže. Ovo uključuje proizvođače elektronske komunikacione opreme, dobavljače softverskih rešenja za upravljanje mrežom, kao i pružaoce usluga upravljanja mrežom koji učestvuju u održavanju, upravljanju i nadzoru 5G infrastrukture;
5) bezbednosni rizik predstavlja potencijalnu ranjivost ili pretnju koja može ugroziti bezbednost, poverljivost, integritet, otpornost i/ili dostupnost podataka, usluga ili infrastrukture 5G mreža;
6) dobavljač usluga upravljanja mrežom je subjekt koji pruža usluge u vezi sa postavljanjem, upravljanjem, radom i održavanjem 5G mreže i njenih elemenata i funkcija, putem pružanja pomoći ili aktivnog upravljanja koje se sprovodi u prostorijama korisnika usluge ili na daljinu;
7) dobavljač usluga upravljanja bezbednošću je pružalac upravljanih usluga koji sprovodi ili pruža pomoć u sprovođenju aktivnosti upravljanja rizikom u oblasti bezbednosti 5G mreže i njenih elemenata i funkcija.
Odredbe ove uredbe se odnose na:
1) operatore 5G mreže,
2) dobavljače 5G opreme.
Odredbe ove uredbe se ne odnose na subjekte javne vlasti koji obavljaju aktivnosti u oblastima nacionalne bezbednosti, javne bezbednosti, nacionalne odbrane ili sprovođenja krivičnog zakonodavstva i u oblasti elektronske uprave.
Instrumenti, odnosno procedure i mere utvrđeni ovom uredbom imaju za cilj:
1) obezbeđenje visokog nivoa bezbednosti, dostupnosti, poverljivosti, integriteta i otpornosti 5G mreža i ključnih komponenti 5G mreže i bezbednosti u pružanju 5G usluga;
2) uspostavljanje jedinstvenog okvira za procenu i ublažavanje rizika povezanih sa uspostavljanjem i radom 5G mreža i dobavljačima 5G opreme;
3) jačanje saradnje između nadležnih organa, operatora i dobavljača u identifikaciji i upravljanju rizicima koji se odnose na bezbednost, dostupnost, poverljivost, integritet i otpornost 5G mreža;
4) diverzifikaciju dobavljača 5G opreme kako bi se omogućila bezbednost, poverljivost dostupnost i otpornost 5G mreža i usluga i smanjila zavisnost od pojedinog dobavljača;
5) zaštitu nacionalne bezbednosti;
6) usaglašavanje sa pravnim okvirom Evropske unije, uključujući Preporuku Evropske komisije o informacionoj bezbednosti 5G mreža, (Commission Recommendation Cybersecurity of 5G networks), EU koordinisanu procenu rizika sajber bezbednosti 5G mreža (EU Coordinated Risk Assessment of the Cybersecurity of 5G Networks) i Sajber bezbednost 5G mreža: EU alat za mere za ublažavanje rizika (Cybersecurity of 5G networks: EU Toolbox of risk mitigating measures).
Na osnovu važnosti pojedinih komponenti 5G mreže sa stanovišta bezbednosnih rizika identifikovani su sledeći ključni elementi i funkcije 5G mreže (u daljem tekstu: ključne komponente 5G mreže):
- funkcije jezgra mreže (Core Network) koje obuhvataju autentifikaciju korisničke opreme, roming i upravljanje komunikacionom vezom, prenos podataka korisničke opreme, upravljanje politikama pristupa, registraciju i autorizaciju mrežnih usluga, skladištenje podataka krajnjih korisnika i mrežnih podataka, povezivanje sa mobilnim mrežama trećih strana, izlaganje funkcija jezgra mreže spoljnim aplikacijama i raspoređivanje korisničkih uređaja po mrežnim slojevima (slices);
- funkcije virtualizacije mreže (Network Function Virtualisation - NFV) i orkestracije mreže (Management and Network Orchestration - MANO);
- sistemi upravljanja i usluge podrške (osim MANO) odnose se na sisteme i usluge koje upravljaju i podržavaju funkcionisanje mreže, ali nisu direktno povezane sa upravljanjem virtuelizovanim resursima i obuhvataju sisteme za upravljanje mrežom (Network Management Systems - NMS), sisteme za upravljanje performansama, podršku za operacije i biznis podršku (Operations Support Systems - OSS i Business Support Systems - BSS), cisteme za bezbednosno upravljanje;
- radio pristupna mreža (Radio Access Network - RAN) koja obuhvata bazne stanice za radio pristup;
- transportne i prenosne funkcije obuhvataju osnovne funkcije koje omogućavaju prenos podataka unutar i između različitih delova mreže, uključujući hardverske komponente kao što su ruteri, svičevi i oprema za filtriranje (zaštitni zidovi - firewalls), sistemi za zaštitu od neovlašćenog pristupa (IPS)), kao i komunikacione protokole potrebne za prenos, koji su od ključnog značaja za obezbeđivanje brzine, kapaciteta i bezbednosti komunikacije;
- međumrežne tačke razmene (Internetwork Exchanges) koje omogućavaju komunikaciju između različitih mreža i uključuju IP mreže van infrastrukture mobilnih operatora, kao i mrežne usluge koje pružaju treće strane.
Ministarstvo nadležno za oblast elektronskih komunikacija (u daljem tekstu: Ministarstvo) može, u okviru nacionalne procene rizika, da odredi i druge elemente i funkcije kao ključne komponente 5G mreže.
Ministarstvo može da, na osnovu sveobuhvatne analize demografskih, ekonomskih, društvenih i nacionalnih bezbednosnih faktora, definiše određena geografska područja kao područja sa posebnom osetljivošću.
Ministarstvo, u okviru nacionalne analize rizika, utvrđuje stepen osetljivosti svake ključne komponente 5G mreže na potencijalne pretnje i ranjivosti uzimajući u obzir uticaj na poverljivost, dostupnost, bezbednost, integritet i/ili otpornost 5G mreže, kao i obim uticaja u smislu broja korisnika, trajanja, broja baznih stanica ili ćelija koje su pogođene, osetljivosti informacija koje su izmenjene ili kojima se pristupilo kao i druge uticaje. Stepen osetljivosti može biti označen kao kritičan, visok i umeren.
Mrežni operativni centar mobilnog operatora (Network Operations Centre - NOC) i Bezbednosni operativni centar mobilnog operatora (Security Operations Centre - SOC) moraju biti locirani na teritoriji Republike Srbije.
Nacionalna procena rizika 5G mreža i usluga
Ministarstvo sprovodi sveobuhvatnu nacionalnu procenu rizika 5G mreža i usluga (u daljem tekstu: nacionalna procena rizika) najmanje jednom u periodu od dve godine.
Nacionalna procena rizika naročito sadrži:
- identifikovanje ključnih komponenti 5G mreže i stepena njihove osetljivosti na bezbednosne rizike;
- procenu pretnji pri čemu se analiziraju potencijalne pretnje, fizički rizici, ljudske greške i drugi faktori koji mogu ugroziti bezbednost, otpornost, dostupnost, integritet i poverljivost 5G mreža i usluga;
- procenu ranjivosti pri čemu se ocenjuju slabosti u tehnološkim rešenjima, opremi, softveru, procesima, internim procedurama i ljudskim resursima;
- analizu i kategorizaciju bezbednosnih rizika 5G mreža i usluga na osnovu kombinacije verovatnoće nastanka rizika sa potencijalnim uticajem na bezbednost, otpornost, dostupnost i poverljivost 5G mreže;
- procenu rizika dobavljača 5G opreme na osnovu utvrđenih kriterijuma;
- analizu stepena diverzifikacije dobavljača 5G opreme na nivou ključnih komponenti 5G mreže na nacionalnom nivou i na nivou svakog operatora 5G mreže;
- preporuke za upravljanje rizicima koje obuhvataju strateške, tehničke i mere podrške kako bi se bezbednosni rizici smanjili ili eliminisali, kao i vremenski okvir za njihovu implementaciju;
- mere i rokove koje subjekti iz člana 3. stav 1. tačka 1. ove uredbe treba da ispune.
Ministarstvo priprema nacionalnu procenu rizika na osnovu pojedinačnih procena rizika operatora 5G mreža u skladu sa članom 7. ove uredbe i dobavljača 5G opreme u skladu sa članom 8. ove uredbe, na osnovu procene rizika dobavljača 5G opreme iz člana 9. ove uredbe, kao i na osnovu stručnih mišljenja dobijenih od drugih nadležnih organa i organizacija, uključujući Ministarstvo unutrašnjih poslova, Ministarstvo odbrane, Ministarstvo pravde, Kancelariju za informacione tehnologije i elektronsku upravu, Bezbednosno-informativnu agenciju, Regulatora i Komisiju za zaštitu konkurencije.
Pojedinačne procene rizika se dostavljaju Ministarstvu u skladu sa članom 7. st. 1. i 5. i članom 8. st. 3 i 4. ove uredbe.
Informacije označene određenim stepenom tajnosti u pojedinačnoj proceni rizika operatora 5G mreže i dobavljača 5G opreme se ne mogu javno objavljivati i koristiti u druge svrhe osim za potrebe izrade nacionalne procene rizika.
Ukoliko se prilikom pojedinačne procene rizika obrađuju lični podaci cvi vidovi prikupljanja podataka, vrsta i obim podataka, svrha obrade podataka, sadržaj podataka, dostupnost podataka, mere njihove zaštite i druga pitanja od značaja za zaštitu podataka o ličnosti moraju biti u skladu sa zakonom kojim se uređuje zaštita podataka o ličnosti.
U toku izrade nacionalne procene rizika Ministarstvo organizuje redovne konsultacije sa operatorima 5G mreže i dobavljačima 5G opreme.
Prilikom izrade nacionalne procene rizika Ministarstvo uzima u obzir i relevantne najbolje prakse zemalja Evropske unije i preporuke sadržane u Preporuci Evropske komisije o informacionoj bezbednosti 5G mreža (Commission Recommendation Cybersecurity of 5G networks), EU koordinisanoj proceni rizika sajber bezbednosti 5G mreža (EU Coordinated Risk Assessment of the Cybersecurity of 5G Networks), kao i u Sajber bezbednosti 5G mreža: EU alat za mere za ublažavanje rizika (Cybersecurity of 5G networks: EU Toolbox of risk mitigating measures).
Inicijalna nacionalna procena rizika se izrađuje u roku od 18 meseci od stupanja na snagu ove uredbe, a potom redovno, u skladu sa rokom iz stava 1. ovog člana.
Vlada, na predlog Ministarstva, daje saglasnost na nacionalnu procenu rizika koja se objavljuju na internet stranici Ministarstva, uz izuzimanje podataka koji su označeni određenim stepenom tajnosti u skladu sa zakonom kojim se uređuje tajnost podataka, odnosno koji su označeni kao poslovna tajna aktom vlasnika podatka ili ugovorom, u skladu sa zakonom kojim se uređuje zaštita poslovne tajne.
Regulator je nadležan za sprovođenje mera koje proizlaze iz nacionalne procene rizika i kontrolu njihove ispunjenosti.
Regulator, u roku od 30 dana od dana objavljivanja nacionalne procene rizika, pokreće postupak po službenoj dužnosti, u skladu sa propisom kojim se uređuje opšti upravni postupak, i donosi rešenje kojim operatorima 5G mreže utvrđuje konkretne mere i rok u kome su oni dužni da ih ispune.
Rešenje Regulatora iz stava 12. ovog člana je konačno i protiv njega se može pokrenuti upravni spor.
Procena rizika od strane operatora 5G mreže
Operator 5G mreže dužan je da izradi sopstvenu procenu rizika 5G mreže i usluga, otkrivajući ranjivosti i pretnje koje utiču na njih, u roku od šest meseci od početka rada 5G mreže, odnosno najkasnije u roku od devet meseci od stupanja na snagu ove uredbe.
Procena rizika operatora iz stava 1. ovog člana obuhvata sledeće elemente:
- Procenu osetljivosti svakog elementa i funkcije 5G mreže koji čine ključne komponente 5G mreže i kategorizaciju stepena osetljivosti (kritičan, visok, umeren) uzimajući u obzir uticaj na poverljivost, dostupnost, bezbednost, integritet i/ili otpornost 5G mreže, kao i obim uticaja u smislu korisnika, trajanja, broja baznih stanica koje su pogođene, osetljivost informacija koje su izmenjene ili kojima se pristupilo i druge uticaje;
- Identifikaciju potencijalnih pretnji, analiza ranjivosti i procena rizika vezanih za ključne komponente 5G mreže koji mogu uticati na bezbednost i funkcionalnost 5G mreže, uključujući rizike od sajber napada, fizičke pretnje, tehnološke nestabilnosti i slično;
- Procenu rizika dobavljača 5G opreme koja pripada nekoj od ključnih komponenti 5G mreže koji učestvuju u izgradnji, održavanju ili upravljanju 5G mrežom, uključujući i dobavljače usluga upravljanja mrežom koja treba da uključi bezbednosne aspekte opreme i usluga koje dobavljač pruža, potencijalne pretnje po integritet 5G mreže, rizike od neovlašćenog pristupa ili zlonamernih aktivnosti i drugo;
- Procenu stepena diverzifikacije dobavljača 5G opreme koja pripada nekoj od ključnih komponenti 5G mreže;
- Predložene mere za eliminisanje ili ublažavanje identifikovanih pretnji, ranjivosti i rizika, uključujući ali ne ograničavajući se na mere predviđene ovom uredbom;
- Plan za sprovođenje predloženih mera.
Elementi koje procena rizika operatora 5G mreže iz stava 2. ovog člana treba da sadrži su detaljnije navedeni u Prilogu 1, koji čini sastavni deo ove uredbe.
Za procenu rizika dobavljača 5G opreme operator 5G mreže prikuplja podatke i informacije od dobavljača 5G opreme, uz poštovanje poverljivosti podataka. Dobavljač 5G opreme je dužan da dostavi podatke operatoru za potrebe izrade pojedinačne procene rizika operatora.
Operatori 5G mreže su dužni da svoje procene rizika ažuriraju najmanje jednom u dve godine ili u roku od šest meseci od izmene u nekoj od ključnih komponenti 5G mreže koje su ocenjene kritičnim stepenom osetljivosti ili na zahtev ministarstva, posebno u slučaju ugroženosti nacionalne bezbednosti i odbrane, i u tom slučaju rok za izradu ne može biti kraći od šest meseci.
Operatori 5G mreže su odgovorni za procenu rizika koju sprovode i za usklađenost sa obavezama utvrđenim u ovom članu.
Procena rizika od strane dobavljača 5G opreme
Dobavljači 5G opreme koja pripada nekoj od ključnih komponenti 5G mreže koji su prisutni ili koji planiraju ulazak na tržište Republike Srbije su dužni da izrade sopstvenu procenu rizika i ranjivosti opreme i softvera, kao i procenu tehničkih aspekata bezbednosti opreme i softvera i da predlože mere za eliminisanje ili ublažavanje identifikovanih rizika i ranjivosti.
Elementi koje procena rizika dobavljača 5G opreme iz stava 1. ovog člana treba da sadrži dati su u Prilogu 2, koji čini sastavni deo ove uredbe.
Dobavljači 5G opreme dostavljaju inicijalnu analizu rizika Ministarstvu najkasnije u roku od devet meseci od stupanja na snagu ove uredbe.
Dobavljači 5G opreme su dužni da svoje procene rizika ažuriraju najmanje jednom u dve godine ili na zahtev ministarstva i u tom slučaju rok za izradu ne može biti kraći od šest meseci.
U skladu sa odredbama člana 7. stav 4. ove uredbe dobavljači 5G opreme dostavljaju informacije i podatke operatorima 5G mreže koji koriste njihovu opremu, hardver, softver i/ili pomoćne usluge koje su navedene kao ključne komponente 5G mreže za potrebe izrade procene rizika od strane operatora 5G mreže.
Dobavljači 5G opreme su odgovorni za procenu rizika koju sprovode i za usklađenost sa obavezama utvrđenim u ovom članu.
Procena rizika dobavljača 5G opreme
U okviru nacionalne procene rizika iz člana 6. ove uredbe, Ministarstvo sprovodi procenu rizika dobavljača 5G opreme koja pripada nekoj od ključnih komponenti 5G mreže i utvrđuje mere za prevazilaženje ili ublažavanje ovih rizika, u saradnji sa organima iz člana 6. stav 3. ove uredbe.
Procena rizika dobavljača uključuje procenu tehničkih, tehnoloških i bezbednosnih faktora koji uključuju:
1) procenu tehničkih aspekata bezbednosti opreme i softvera dobavljača, uzimajući u obzir potencijalne ranjivosti u dizajnu, kodiranju i integraciji opreme u 5G mrežu;
2) sposobnost dobavljača da obezbedi kontinuirano snabdevanje i mogućnost kontrole sopstvenog lanca snabdevanja (pod-dobavljača);
3) postojanje prethodnih incidenata dobavljača u oblasti informacione bezbednosti u Republici Srbiji i
4) karakteristike vlasničke strukture dobavljača i povezanost dobavljača sa vladom matične države koja stvara verovatnoću mešanja te države u poslovanje dobavljača, uključujući i mogućnost da utiče na lokaciju proizvodnje dobavljača.
Na osnovu procene i primene svih kriterijuma iz stava 2. ovog člana i stručnog mišljenja organa iz člana 6. stav 3. ove uredbe, mogu se primeniti sledeće mere, u zavisnosti od stepena osetljivosti ključnih komponenata 5G mreže:
- ograničenje ili zabrana upotrebe opreme i usluga dobavljača u ključnim komponentama 5G mreže koje su označene sa kritičnim stepenom osetljivosti i samo ako se svrha ne može postići nekom od niže propisanih mera;
- primena dodatnih bezbednosnih provera i nadzora pre upotrebe 5G opreme dobavljača u ključnim komponentama 5G mreže;
- zahtev da dobavljač ispunjava standarde u skladu sa propisima koji uređuju oblast elektronskih komunikacija i oblast informacione bezbednosti;
- uspostavljanje obavezne sertifikacije za 5G opremu i softver, pri čemu sertifikaciju mogu sprovoditi nezavisna tela, pre integracije opreme u 5G mrežu;
- sprovođenje redovne revizije od strane ovlašćene nezavisne organizacije, o trošku dobavljača, kako bi se procenila usklađenost opreme i usluga dobavljača sa bezbednosnim standardima.
U slučaju primene mere iz stava 3. tačka 1. ovog člana u okviru nacionalne procene rizika biće definisan vremenski period u kom je potrebno ograničiti ili zameniti opremu i/ili usluge, pri čemu će se voditi računa pre svega o bezbednosnim rizicima zadržavanja opreme, kao i tehničkim i ekonomskim poteškoćama u sprovođenju mere.
Vremenski period iz stava 4. ovog člana ne može biti kraći od dve i ne može biti duži od pet godina.
Procena rizika dobavljača usluga upravljanja mrežom
Operatori 5G mreže su dužni da identifikuju, procene i upravljaju rizicima koji proizilaze iz korišćenja usluga koje pružaju dobavljači usluga upravljanja mrežom (Managed Service Providers - MSP), uključujući i dobavljače usluga upravljanja bezbednošću (Managed Security Service Providers - MSSP) koje se odnose na održavanje, upravljanje i nadzor mrežne infrastrukture, kao i pružanje bezbednosnih rešenja i podrške u okviru ključnih komponenti 5G mreže.
Potencijalni rizici korišćenja usluga dobavljača usluga upravljanja uključuju:
- rizike od neovlašćenog pristupa i promene mrežne konfiguracije;
- rizike od sajber napada koji mogu ugroziti bezbednost mreže i podataka;
- rizike od neadekvatne bezbednosti u procesu pružanja usluga upravljanja mrežom, što može uticati na dostupnost i integritet mreže;
- rizike koji proizilaze iz zavisnosti od spoljnih dobavljača i mogućnosti prekida usluga koje oni pružaju.
Operatori 5G mreže su dužni da primenjuju sledeće mere u cilju upravljanja rizicima koji se odnose na dobavljače usluga upravljanja mrežom:
- sprovode stalni monitoring bezbednosnih aktivnosti dobavljača usluga upravljanja mrežom, kako bi identifikovali i blagovremeno reagovali na potencijalne pretnje;
- obezbede da dobavljači usluga upravljanja mrežom koji pružaju usluge na ključnim komponentama 5G mreže ispunjavaju propisane bezbednosne standarde, uključujući zahteve za kontrolu pristupa, upravljanje podacima i zaštitu od sajber napada.
- osiguravaju da dobavljači usluga upravljanja mrežom primenjuju tehničke mere koje uključuju kontrolu pristupa, autentifikaciju i autorizaciju, kao i evidentiranje pristupa i aktivnosti;
- uspostave ugovorne obaveze sa dobavljačima usluga upravljanja mrežom koji uključuju konkretne odredbe o bezbednosti i upravljanju rizicima, uključujući obavezu redovnog izveštavanja o bezbednosnim incidentima i sprovođenju mera zaštite.
Operatori 5G mreže su dužni da u okviru procene rizika operatora iz člana 7. ove uredbe opišu identifikovane rizike koji su povezani sa dobavljačima usluga upravljanja mrežom, kao i mere koje su preduzete za ublažavanje ili eliminisanje identifikovanih rizika.
Procena stepena diverzifikacije dobavljača 5G mreže
Operatori 5G mreže su dužni da sprovode strategiju diverzifikacije dobavljača 5G opreme koja pripada nekoj od ključnih komponenti 5G mreže kako bi se izbegla zavisnost svih ključnih komponenti 5G mreže od pojedinačnog dobavljača.
Za ove svrhe smatra se da dobavljači 5G opreme nisu različiti ako su u vlasništvu ili pod kontrolom istog subjekta.
Operatori 5G mreže su dužni da u okviru procene rizika operatora iz člana 7. ove uredbe navedu sve postojeće dobavljače 5G opreme za sve ključne komponente 5G mreže, kao i dobavljače od kojih planiraju da nabavljaju ključne komponente 5G mreže u naredne dve godine.
Ako se u nacionalnoj proceni rizika utvrdi da su u 5G mreži jednog operatora sve ključne komponente 5G mreže označene sa kritičnim stepenom osetljivosti od istog dobavljača 5G opreme može se odrediti i mera uvođenja najmanje još jednog dobavljača 5G opreme, pod uslovom da je na taj način omogućena interoperabilnost 5G opreme različitih dobavljača.
Ukoliko nije moguće obezbediti interoperabilnost 5G opreme različitih dobavljača onda se za ključne komponente 5G mreže označene sa kritičnim stepenom osetljivosti može odrediti neka od mera iz člana 9. stav 3. ove uredbe.
Ministarstvo će u okviru nacionalne procene rizika definisati vremenski period za diverzifikaciju dobavljača 5G opreme koja zahteva ograničenje ili zamenu opreme i/ili usluga, pri čemu će se voditi računa pre svega o bezbednosnim rizicima zadržavanja opreme, kao i tehničkim i ekonomskim poteškoćama u sprovođenju mere.
Vremenski period iz stava 6. ovog člana ne može biti kraći od dve i ne može biti duži od pet godina.
Ostale mere za smanjenje bezbednosnih rizika
Operatori 5G mreže su dužni da za utvrđene pretnje, ranjivosti i rizike u okviru procene rizika operatora iz člana 7. ove uredbe, predlože tehničke mere koje su u skladu sa utvrđenim pretnjama, ranjivostima i rizicima koji se odnose na bezbednost 5G mreže i koje podrazumevaju da:
- primene mere bezbednosne zaštite iz relevantnih standarda za 5G mreže (3GPP), u saradnji sa dobavljačima;
- primene najbolje prakse i politike za kontrolu pristupa ključnim komponentama 5G mreže (posebno pristupa trećih strana) koji treba da obezbede dovoljnu kontrolu pristupa, odgovarajuće mehanizme za praćenje pristupa i procedure za upravljanje rizicima koji proističu iz interakcije sa trećim stranama;
- implementiraju odgovarajuće alate i procese za održavanje integriteta softvera u ključnim komponentama 5G mreže;
- zahtevaju od svojih dobavljača u procesu nabavke opreme koja se odnosi na ključne komponente 5G mreže odgovarajući nivo bezbednosnih standarda.
Nadležno telo za praćenje i kontrolu primene mera iz stava 1. ovog člana je Regulator. Operatori 5G mreže su obavezni da na svake dve godine dostavljaju Regulatoru izveštaje o primeni mera iz stava 1. ovog člana.
Podrška strateškim i tehničkim merama koje su predviđene ovom uredbom može da obuhvati:
1) tehničku podršku i razmenu informacija - operatori i nadležni organi sarađuju radi pružanja tehničke podrške, razmene informacija i najboljih praksi, u cilju osiguranja bezbednosti 5G mreža;
2) razvoj veština i resursa - državni organi, u saradnji sa akademskom zajednicom i industrijom, obezbeđuju programe obuke i razvoja veština za tehničke stručnjake i osoblje zaduženo za upravljanje i nadzor 5G mreža, kako bi se povećali kapaciteti za procenu i upravljanje rizicima;
3) testiranje i sertifikaciju - operatori i proizvođači opreme obavezni su da se pridržavaju programa testiranja i sertifikacije koji su usklađeni sa evropskim i međunarodnim standardima, sa ciljem da se osiguraju tehnička ispravnost i bezbednost ključnih komponenti 5G mreža;
4) međunarodnu saradnju - nadležni organi aktivno učestvuju u međunarodnim inicijativama i sarađuju sa zemljama Evropske unije, kao i drugim relevantnim akterima, radi unapređenja bezbednosti 5G mreža i koordinacije aktivnosti u oblasti informacione bezbednosti;
5) edukaciju i podizanje svesti - organi nadležni za elektronske komunikacije ili informacionu bezbednost organizuju kampanje i aktivnosti usmerene na podizanje svesti javnosti i privrednih subjekata o važnosti bezbednosti 5G mreža i mera zaštite;
6) monitoring i izveštavanje - organi nadležni za elektronske komunikacije ili informacionu bezbednost redovno prate sprovođenje mera podrške.
Ova uredba stupa na snagu osmog dana od dana objavljivanja u "Službenom glasniku Republike Srbije".
SADRŽAJ PROCENE RIZIKA OD STRANE OPERATORA 5G MREŽE
Osnovni elementi procene rizika od strane operatora 5G mreže obuhvataju:
1. Procena osetljivosti ključnih komponenti 5G mreže i njihova kategorizacija
Operatori mogu da identifikuju i dodatne elemente i funkcije koje predstavljaju ključne komponente 5G mreže u odnosu na spisak koji je dat u okviru člana 5. stav. 1 ove uredbe.
Svaki identifikovani element i funkcija u okviru ključnih komponenti 5G mreže treba da se proceni sa aspekta bezbednosnog rizika koji se odnosi na dostupnost mrežnih funkcija (kako bi se osigurao kontinuiranog rada mreže), poverljivost informacija (kako bi se zaštitile osetljive informacije), sigurnost (zaštita od neovlašćenih pristupa) i otpornost 5G mreže (sposobnost oporavka od incidenata).
Kategorizacija osetljivosti svakog elementa i funkcije u okviru ključnih komponenti 5G mreže na osnovu stepena uticaja treba da obuhvati sledeće nivoe osetljivosti:
- Kritičan: Ova kategorija obuhvata elemente i funkcije čije kompromitovanje može izazvati:
- Znatan prekid u radu 5G mreže koji pogađa veliki broj korisnika;
- Uticaj na veliki broj baznih stanica ili celokupne regionalne mreže;
- Kompromitovanje poverljivih informacija visokog stepena značaja.
- Visok: Ova kategorija uključuje elemente i funkcije čije kompromitovanje može:
- Značajno umanjiti funkcionalnost pojedinačnih servisa ili mreže u specifičnim oblastima;
- Uticati na osetljive informacije koje su važne, ali ne kritične;
- Zahtevati brzu intervenciju radi ublažavanja posledica, ali bez dugotrajnog uticaja na mrežu u celini.
- Umeren: Ova kategorija uključuje elemente i funkcije čije kompromitovanje ima:
- Lokalizovan i ograničen uticaj na manji broj korisnika ili baznih stanica;
- Minimalan ili privremen uticaj na poverljivost ili dostupnost informacija.
Za određivanje stepena osetljivosti koristi se matrica rizika koja ukršta dva ključna faktora:
- Verovatnoća pretnje (niska, srednja, visoka);
- Posledice u slučaju kompromitovanja: (niske, umerene, kritične).
2. Identifikaciju pretnji i analiza ranjivosti vezanih za ključne komponente 5G mreže
Operatori treba da identifikuju sve potencijalne pretnje koje mogu uticati na ključne komponente 5G mreže. Ove pretnje najčešće uključuju:
- Sajber pretnje kao što su DDoS napadi, neovlašćeni pristup ili manipulacija podacima;
- Fizičke pretnje kao što su prirodne katastrofe, vandalizam ili namerno oštećenje infrastrukture koje mogu narušiti stabilnost mreže;
- Unutrašnje pretnje koje potiču od zaposlenih, trećih lica ili partnera, uključujući moguće zloupotrebe ili nemar;
- Pretnje povezane sa dobavljačima koje proizilaze iz procene rizika dobavljača u skladu sa tačkom 3. ovog priloga;
- Pretnje iz lanca snabdevanja odnose se na pretnje koje nastaju tokom različitih faza nabavke, proizvodnje, transporta i integracije komponenti u mrežu.
Analiza ranjivosti treba da identifikuje sve slabosti u mreži koje mogu biti iskorišćene od strane identifikovanih pretnji koje mogu uključivati:
- tehničke ranjivosti koje mogu proizilaziti iz neažurnih ili zastarelih softverskih paketa, neefikasnog šifrovanja ili slabih algoritama, slabih mehanizama autentifikacije i sl.;
- operativne ranjivosti koje mogu da nastanu usled nedostatka procedura za upravljanje incidentima, loše konfiguracije sistema, nedostatka obuke osoblja i sl.;
- organizacione ranjivosti koje proizlaze iz neuspelog sprovođenja bezbednosnih politika, loše definisanih procesa itd.
Sve identifikovane pretnje treba da budu sistematizovane prema njihovoj verovatnoći nastanka i mogućem uticaju na funkcionisanje 5G mreže.
Verovatnoća nastanka pretnje može biti klasifikovana kao niska verovatnoća (retki slučajevi), srednja verovatnoća (moguće, ali ne uobičajeno) ili visoka verovatnoća (veoma verovatno) uzimajući u obzir faktore kao što su istorijski podaci o sličnim pretnjama, efikasnost postojećih bezbednosnih mera i sl.
Procena potencijalnog uticaja na funkcionisanje 5G mreže se vrši uzimajući u obzir kako identifikovana pretnja može uticati na dostupnost mrežnih funkcija, poverljivost informacija, sigurnost i otpornost 5G mreže, a procene se klasifikuju da imaju niski uticaj (lokalizovane i brzo rešive posledice), srednji uticaj (delimično ugrožavanje ključnih funkcija) ili visoki uticaj (velike i dugotrajne posledice koje ugrožavaju integritet cele mreže).
Za sistematizovanje pretnji koristi se matrica rizika koja ukršta dva ključna faktora:
- Verovatnoća nastanka (niska, srednja, visoka);
- Uticaj na funkcionisanje 5G mreže (nizak, srednji, visok).
3. Procena rizika dobavljača 5G opreme, uključujući i procenu rizika dobavljača usluga upravljanja mrežom
Procene rizika dobavljača 5G opreme koja pripada nekoj od ključnih komponenti 5G mreže, uključujući i procenu rizika dobavljača usluga upravljanja mrežom treba da sadrži:
a) Identifikaciju dobavljača:
Napraviti spisak svih postojećih dobavljača ključnih komponenti 5G mreže i dobavljača usluga upravljanja mrežom, kao i dobavljača od kojih se planira nabavka opreme i/ili usluga za ključne komponente 5G mreže u naredne dve godine, koji uključuju:
- Tip opreme ili usluge koju dobavljač pruža;
- Lokacije na kojima se koristi oprema ili usluga datog dobavljača.
b) Procenu bezbednosnog profila dobavljača:
- Ispitati bezbednosne politike dobavljača, uključujući mere zaštite podataka, kontrole pristupa i procedure za odgovor na incidente;
- Proceniti transparentnost dobavljača u vezi sa poreklom komponenti i softvera koji se koriste u 5G mreži;
- Proveriti kompatibilnost sa nacionalnim i evropskim bezbednosnim standardima (npr. ISO 27001);
- Opisati istorijat bezbednosnih incidenata u koje je dobavljač uključen ukoliko postoji;
- Istorija pretnji ili ranjivosti u isporučenoj opremi ili uslugama;
- Oceniti spremnost na saradnju u oblasti informacione bezbednosti.
v) Tehničku procenu opreme i usluga
- Sprovesti tehničko testiranje opreme i softvera na potencijalne ranjivosti, uključujući analizu koda i proveru mogućih "zadnjih vrata" (backdoors) ili
- Proceniti usklađenost sa međunarodnim tehničkim standardima i primenu najboljih praksi u dizajnu i razvoju.
4. Diverzifikacija dobavljača
Proceniti zavisnost od dobavljača za svaku od ključnih komponenti 5G mreže na osnovu parametara kao što su broj različitih dobavljača za iste elemente i funkcije koje pripadaju ključnim komponentama 5G mreže i geografska i tehnološka raznovrsnost.
5. Predložene mere za eliminisanje ili ublažavanje identifikovanih pretnji, ranjivosti i rizika
Na osnovu identifikovanih pretnji, ranjivosti i procene rizika, operatori 5G mreže predlažu mere koje uključuju ali se ne ograničavaju na:
- Tehničke mere koje se odnose na upotrebu šifrovanja, ograničenje pristupa, segmentaciju mreže i multifaktorsku autentifikaciju, redovna ažuriranja softvera, uspostavljanje sistema za praćenje aktivnosti dobavljača u realnom vremenu, uz logovanje svih pristupa;
- Organizacione mere uključujući obuku osoblja, procedure za upravljanje incidentima itd.;
- Uključivanje bezbednosnih klauzula u ugovore sa dobavljačima, uključujući izveštavanje o bezbednosnim merama i incidentima, pružanje podrške u slučaju incidenata i sl.;
- Mere koje se odnose na diverzifikaciju dobavljača i s tim u vezi implementaciju standarda koji omogućavaju interoperabilnost različitih rešenja.
Za sve predložene mere operatori dostavljaju i plan za sprovođenje.
Pored navedenog operatori mogu koristiti i standardizovane metodologije kao što su NIST SP 800-30 i/ili ISO/IEC 27005 za identifikovanje pretnji, analizu ranjivosti, utvrđivanje rizika i predlog odgovarajućih mera za njihovo eliminisanje ili ublažavanje.
Svi podaci i analize koji se koriste u proceni rizika moraju biti obrazloženi i dokumentovani.
SADRŽAJ PROCENE RIZIKA OD STRANE DOBAVLJAČA 5G OPREME
Osnovni elementi procene rizika od strane dobavljača 5G opreme obuhvataju:
1. Identifikacija i procena rizika i ranjivosti koji uključuju:
- procenu tehnoloških rizika koji su povezani sa novim i naprednim tehnologijama, kao što su novi protokoli, arhitekture i standardi koji se koriste u 5G mrežama. Ovo uključuje i procenu potencijalnih ranjivosti u dizajnu, kodiranju i integraciji opreme.
- procenu bezbednosnih rizika koji obuhvataju analizu potencijalnih uticaja na bezbednost, kao što su ranjivosti u opremi, napadi na mrežnu infrastrukturu i mogući uticaj zloupotrebe podataka, postojanje prethodnih incidenata dobavljača u oblasti informacione bezbednosti u Republici Srbiji.
- procenu operativnih rizika koji se mogu javiti tokom instalacije, konfiguracije, testiranja i održavanja 5G opreme.
- procenu rizika u vezi sa snabdevanjem i lancem snabdevanja koji se odnose na kašnjenja u snabdevanju, neispunjavanje standarda ili drugi problemi sa dobavljačima.
Dobavljači 5G opreme mogu da identifikuju i druge rizike i ranjivosti.
Kvantifikacija rizika pomoću matrice rizika omogućava sistematski pristup u proceni rizika i ranjivosti, čime se dobija jasnija slika o težini i verovatnoći određenih rizika.
Matrica rizika treba da kombinuje dva parametra:
1. Verovatnoća pojave rizika (visoka, srednja, niska).
2. Uticaj rizika (visoki, srednji, niski).
Pored navedenog dobavljači mogu koristiti i standardizovane metodologije kao što su NIST SP 800-30 i/ili ISO/IEC 27005 za identifikovanje i procenu rizika i ranjivosti i predlog odgovarajućih mera za njihovo eliminisanje ili ublažavanje.
2. Tehnička procena bezbednosti opreme i softvera dobavljača:
Podrazumeva procenu tehničkih aspekata bezbednosti opreme i softvera dobavljača, uzimajući u obzir potencijalne ranjivosti u dizajnu, kodiranju, integraciji i upravljanju opremom kroz:
- procenu da li oprema koristi sigurne metodologije u dizajnu, kao što su primena principa "Security by Design" ili "Privacy by Design", kao i tehničke kontrole za sprečavanje neovlašćenog pristupa;
- procenu bezbednosti softvera sa fokusom na poznate ranjivosti i primena najboljih praksi za bezbedno kodiranje;
- primenu procedura testiranja bezbednosti i uključivanje nezavisnih tela za proveru integriteta sistema;
- primenu procedura za jačanje integriteta softvera, ažuriranje i upravljanje ažuriranjem softvera tokom životnog veka komponente;
- ocenjivanje sposobnosti opreme da radi u složenim mrežnim okruženjima bez ugrožavanja drugih delova mreže;
- procenu dostupnosti transparentnih i sigurnih funkcija za upravljanje i nadzor, uključujući sprečavanje neovlašćenog pristupa.
3. Predložene mere za eliminisanje ili ublažavanje identifikovanih rizika i ranjivosti:
- analiza usklađenosti sa standardima koja osigurava da oprema bude u skladu sa relevantnim standardima;
- procena uticaja na infrastrukturu koja omogućava procenu kako nova oprema može uticati na postojeće mreže i infrastrukturu, što je ključno za identifikaciju i minimiziranje rizika koji se odnose na integraciju novih tehnologija i održavanje stabilnosti i sigurnosti postojećih mreža;
- strategija za osiguranje kvaliteta i planovi za testiranje i verifikaciju kako bi se omogućilo otkrivanje potencijalnih problema u ranim fazama i smanjile mogućnosti defekata i grešaka u opremi;
- strategije za praćenje i identifikovanje novih rizika koje podrazumevaju strateško opredeljenje za praćenje tokom čitavog životnog veka opreme;
- saradnja sa operatorima 5G mreže u sprovođenju penetracijskih testova i/ili sprovođenje penetracijskih testova u testnom okruženju i transparentna podela informacija sa operatorima o ranjivostima koje su otkrivene u penetracijskim testovima sprovedenim u drugim državama;
- strategije za minimizaciju rizika u lancu snabdevanja koja obuhvata upravljanje rizicima koji se javljaju u lancu snabdevanja, kao što su kašnjenja, neispunjavanje standarda ili poremećaji u snabdevanju.
Dobavljači mogu da predlože i druge mere za eliminisanje ili ublažavanje identifikovanih rizika i ranjivosti.
Za sve predložene mere dobavljači 5G opreme dostavljaju i plan za sprovođenje.
Svi podaci i analize koji se koriste u proceni rizika moraju biti obrazloženi i dokumentovani.