ZAKONO INFORMACIONOJ BEZBEDNOSTI("Sl. glasnik RS", br. 6/2016, 94/2017, 77/2019 i 91/2025 - dr. zaklon) |
Čl. 1-6*
(Prestalo da važi)
Obaveze operatora IKT sistema od posebnog značaja
Operator IKT sistema od posebnog značaja u skladu sa ovim zakonom u obavezi je da:
1) upiše IKT sistem od posebnog značaja kojim upravlja u evidenciju operatora IKT sistema od posebnog značaja;
2) preduzme mere zaštite IKT sistema od posebnog značaja;
3) donese akt o bezbednosti IKT sistema;
4) vrši proveru usklađenosti primenjenih mera zaštite IKT sistema sa aktom o bezbednosti IKT sistema i to najmanje jednom godišnje;
5) uredi odnos sa trećim licima na način koji obezbeđuje preduzimanje mera zaštite tog IKT sistema u skladu sa zakonom, ukoliko poverava aktivnosti u vezi sa IKT sistemom od posebnog značaja trećim licima;
6) dostavlja obaveštenja o incidentima koji značajno ugrožavaju informacionu bezbednost IKT sistema;
7) dostavi tačne statističke podatke o incidentima u IKT sistemu.
Evidencija operatora IKT sistema od posebnog značaja
Nadležni organ uspostavlja i vodi evidenciju IKT sistema od posebnog značaja (u daljem tekstu: Evidencija) koja sadrži:
1) naziv i sedište operatora IKT sistema od posebnog značaja;
2) ime i prezime, službena adresa za prijem elektronske pošte i službeni kontakt telefon administratora IKT sistema od posebnog značaja;
3) ime i prezime, službena adresa za prijem elektronske pošte i službeni kontakt telefon odgovornog lica IKT sistema od posebnog značaja;
4) podatak o vrsti IKT sistema od posebnog značaja, u skladu sa članom 6. ovog zakona.
Pored podataka iz stava 1. ovog člana, evidencija može da sadrži i druge dopunske podatke o IKT sistemu od posebnog značaja koje propisuje Nadležni organ.
Operator IKT sistema od posebnog značaja dužan je da IKT sistem od posebnog značaja kojim upravlja upiše u evidenciju iz stava 1. ovog člana.
Operator IKT sistema od posebnog značaja dužan je da nadležnom organu dostavi podatke iz stava 1. ovog člana najkasnije 90 dana od dana usvajanja propisa iz stava 2. ovog člana, odnosno 90 dana od dana uspostavljanja IKT sistema od posebnog značaja.
Nadležni organ stavlja na raspolaganje Nacionalnom centru za prevenciju bezbednosnih rizika u IKT sistemima (u daljem tekstu: Nacionalni CERT) ažurnu evidenciju iz stava 1. ovog člana.
Mere zaštite IKT sistema od posebnog značaja
Operator IKT sistema od posebnog značaja odgovara za bezbednost IKT sistema i preduzimanje mera zaštite IKT sistema.
Merama zaštite IKT sistema se obezbeđuje prevencija od nastanka incidenata, odnosno prevencija i smanjenje štete od incidenata koji ugrožavaju vršenje nadležnosti i obavljanje delatnosti, a posebno u okviru pružanja usluga drugim licima.
Mere zaštite IKT sistema se odnose na:
1) uspostavljanje organizacione strukture, sa utvrđenim poslovima i odgovornostima zaposlenih, kojom se ostvaruje upravljanje informacionom bezbednošću u okviru operatora IKT sistema;
2) postizanje bezbednosti rada na daljinu i upotrebe mobilnih uređaja;
3) obezbeđivanje da lica koja koriste IKT sistem odnosno upravljaju IKT sistemom budu osposobljena za posao koji rade i razumeju svoju odgovornost;
4) zaštitu od rizika koji nastaju pri promenama poslova ili prestanka radnog angažovanja lica zaposlenih kod operatora IKT sistema;
5) identifikovanje informacionih dobara i određivanje odgovornosti za njihovu zaštitu;
6) klasifikovanje podataka tako da nivo njihove zaštite odgovara značaju podataka u skladu sa načelom upravljanja rizikom iz člana 3. ovog zakona;
7) zaštitu nosača podataka;
8) ograničenje pristupa podacima i sredstvima za obradu podataka;
9) odobravanje ovlašćenog pristupa i sprečavanje neovlašćenog pristupa IKT sistemu i uslugama koje IKT sistem pruža;
10) utvrđivanje odgovornosti korisnika za zaštitu sopstvenih sredstava za autentikaciju;
11) predviđanje odgovarajuće upotrebe kriptozaštite radi zaštite tajnosti, autentičnosti i integriteta podataka;
12) fizičku zaštitu objekata, prostora, prostorija odnosno zona u kojima se nalaze sredstva i dokumenti IKT sistema i obrađuju podaci u IKT sistemu;
13) zaštitu od gubitka, oštećenja, krađe ili drugog oblika ugrožavanja bezbednosti sredstava koja čine IKT sistem;
14) obezbeđivanje ispravnog i bezbednog funkcionisanja sredstava za obradu podataka;
15) zaštitu podataka i sredstva za obradu podataka od zlonamernog softvera;
16) zaštitu od gubitka podataka;
17) čuvanje podataka o događajima koji mogu biti od značaja za bezbednost IKT sistema;
18) obezbeđivanje integriteta softvera i operativnih sistema;
19) zaštitu od zloupotrebe tehničkih bezbednosnih slabosti IKT sistema;
20) obezbeđivanje da aktivnosti na reviziji IKT sistema imaju što manji uticaj na funkcionisanje sistema;
21) zaštitu podataka u komunikacionim mrežama uključujući uređaje i vodove;
22) bezbednost podataka koji se prenose unutar operatora IKT sistema, kao i između operatora IKT sistema i lica van operatora IKT sistema;
23) ispunjenje zahteva za informacionu bezbednost u okviru upravljanja svim fazama životnog ciklusa IKT sistema odnosno delova sistema;
24) zaštitu podataka koji se koriste za potrebe testiranja IKT sistema odnosno delova sistema;
25) zaštitu sredstava operatora IKT sistema koja su dostupna pružaocima usluga;
26) održavanje ugovorenog nivoa informacione bezbednosti i pruženih usluga u skladu sa uslovima koji su ugovoreni sa pružaocem usluga;
27) prevenciju i reagovanje na bezbednosne incidente, što podrazumeva adekvatnu razmenu informacija o bezbednosnim slabostima IKT sistema, incidentima i pretnjama;
28) mere koje obezbeđuju kontinuitet obavljanja posla u vanrednim okolnostima.
Vlada, na predlog Nadležnog organa, bliže uređuje mere zaštite IKT sistema uvažavajući načela iz člana 3. ovog zakona, nacionalne i međunarodne standarde i standarde koji se primenjuju u odgovarajućim oblastima rada.
Akt o bezbednosti IKT sistema od posebnog značaja
Operator IKT sistema od posebnog značaja dužan je da donese akt o bezbednosti IKT sistema.
Aktom iz stava 1. ovog člana određuju se mere zaštite, a naročito principi, način i procedure postizanja i održavanja adekvatnog nivoa bezbednosti sistema, kao i ovlašćenja i odgovornosti u vezi sa bezbednošću i resursima IKT sistema od posebnog značaja.
Akt iz stava 1. ovog člana mora da bude usklađen s promenama u okruženju i u samom IKT sistemu.
Operator IKT sistema od posebnog značaja je dužan da samostalno ili uz angažovanje spoljnih eksperata vrši proveru usklađenosti primenjenih mera IKT sistema sa aktom iz stava 1. ovog člana i to najmanje jednom godišnje i da o tome sačini izveštaj.
Bliži sadržaj akta iz stava 1. ovog člana, način provere IKT sistema od posebnog značaja i sadržaj izveštaja o proveri uređuje Vlada na predlog Nadležnog organa.
Poveravanje aktivnosti u vezi sa IKT sistemom od posebnog značaja trećim licima
Operator IKT sistema od posebnog značaja može poveriti aktivnosti u vezi sa IKT sistemom trećim licima, u kom slučaju je obavezan da uredi odnos sa tim licima na način koji obezbeđuje preduzimanje mera zaštite tog IKT sistema u skladu sa zakonom.
Aktivnostima iz stava 1. ovog člana (u daljem tekstu: poverene aktivnosti) smatraju se sve aktivnosti koje uključuju obradu, čuvanje, odnosno mogućnost pristupa podacima kojima raspolaže operator IKT sistema od posebnog značaja, a odnose se na njegovo poslovanje, kao i aktivnosti razvoja, odnosno održavanja softverskih i hardverskih komponenti od kojih neposredno zavisi njegovo ispravno postupanje prilikom vršenja poslova iz nadležnosti, odnosno pružanja usluga.
Pod trećim licem iz stava 1. ovog člana smatra se i privredni subjekat koji je imovinskim i upravljačkim odnosima (lica sa učešćem, članice grupe društava kojoj taj privredni subjekt pripada i dr.) povezan sa operatorom IKT sistema od posebnog značaja.
Poveravanje aktivnosti vrši se na osnovu ugovora zaključenog između operatora IKT sistema od posebnog značaja i lica kome se te aktivnosti poveravaju ili posebnim propisom.
Izuzetno od odredaba člana 9. ovog zakona, ukoliko su aktivnosti u vezi sa IKT sistemom poverene propisom, tim propisom se mogu drugačije urediti obaveze i odgovornosti operatora IKT sistema od posebnog značaja u vezi poverenih aktivnosti.
Operatori IKT sistema od posebnog značaja obaveštavanje o incidentima u IKT sistemima koji mogu da imaju značajan uticaj na narušavanje informacione bezbednosti vrše preko veb stranice Nadležnog organa ili Nacionalnog CERT-a u jedinstveni sistem za prijem obaveštenja o incidentima kojeg održava Nadležni organ.
Ukoliko organi iz stava 1. ovog člana budu obavešteni o incidentu na drugi način, podatke o incidentu unose u sistem iz stava 1. ovog člana.
Izuzetno od stava 1. ovog člana, obaveštenje o incidentima se upućuje:
1) Narodnoj banci Srbije, u slučaju incidenata u IKT sistemima iz člana 6. stav 1. tačka 3) podtačka (4) alineje prva i druga ovog zakona;
2) regulatornom telu za elektronske komunikacije u slučaju incidenata u IKT sistemima iz člana 6. stav 1. tačka 3) podtačka 8) alineja prva ovog zakona.
Narodna banka Srbije i regulatorno telo za elektronske komunikacije obaveštenja iz stava 3. ovog člana dostavljaju u jedinstveni sistem za prijem obaveštenja o incidentima na način iz stava 1. ovog člana.
Nakon prijave incidenta, ukoliko je incident i dalje u toku, operatori IKT sistema od posebnog značaja dostavljaju obaveštenja o bitnim događajima u vezi sa incidentom i aktivnostima koje preduzimaju do prestanka incidenta organu kome su u skladu sa ovim zakonom prijavili incident.
Operatori IKT sistema od posebnog značaja dostavljaju završni izveštaj o incidentu organu koga su u skladu sa ovim zakonom obaveštavali o incidentu u roku od 15 dana od dana prestanka incidenta, a koji obavezno sadrži vrstu i opis incidenta, vreme i trajanje incidenta, posledice koje je incident izazvao, preduzete aktivnosti radi otklanjanja posledica incidenta i, po potrebi, druge relevantne informacije.
U slučaju incidenata u IKT sistemima za rad sa tajnim podacima operatori tih IKT sistema postupaju u skladu sa propisima kojima se uređuje oblast zaštite tajnih podataka.
Odredbe st. 1. i 7. ovog člana ne odnose se na samostalne operatore IKT sistema.
Vlada, na predlog Nadležnog organa, uređuje postupak obaveštavanja o incidentima, listu, vrste i značaj incidenata prema nivou opasnosti, postupanje i razmenu informacija o incidentima između organa iz člana 5. ovog zakona.
Ako je incident od interesa za javnost, Nadležni organ, odnosno organ iz stava 3. ovog člana kome se upućuju obaveštenja o incidentima, može objaviti informaciju o incidentu, nakon savetovanja sa operatorom IKT sistema od posebnog značaja u kome se incident dogodio.
Ako je incident vezan za izvršenje krivičnih dela koja se gone po službenoj dužnosti, organ kome je upućeno obaveštenje o incidentu, obaveštava nadležno javno tužilaštvo, odnosno ministarstvo nadležno za unutrašnje poslove.
Ako je incident povezan sa značajnim narušavanjem informacione bezbednosti, koje ima ili može imati za posledicu ugrožavanje odbrane Republike Srbije, organ kome je upućeno obaveštenje o incidentu obaveštava Vojnobezbednosnu agenciju.
Ako je incident povezan sa značajnim narušavanjem informacione bezbednosti, koje ima ili može imati za posledicu ugrožavanje nacionalne bezbednosti, organ kome je upućeno obaveštenje o incidentu obaveštava Bezbednosno-informativnu agenciju.
U slučaju nastupanja okolnosti ugrožavanja, ometanja rada ili uništenja IKT sistema od posebnog značaja rukovođenje i koordinaciju sprovođenja mera i zadataka u navedenim okolnostima preduzima Republički štab za vanredne situacije, u skladu sa zakonom.
Incidenti u IKT sistemima od posebnog značaja koji mogu da imaju značajan uticaj na narušavanje informacione bezbednosti
Operator IKT sistema od posebnog značaja dužan je da prijavi sledeće incidente koji mogu da imaju značajan uticaj na narušavanje informacione bezbednosti:
1) incidente koji dovode do prekida kontinuiteta vršenja poslova i pružanja usluga, odnosno znatnih teškoća u vršenju poslova i pružanju usluga;
2) incidente koji utiču na veliki broj korisnika usluga, ili traju duži vremenski period;
3) incidente koji dovode do prekida kontinuiteta, odnosno teškoća u vršenju poslova i pružanja usluga, koji utiču na obavljanje poslova i vršenje usluga drugih operatora IKT sistema od posebnog značaja ili utiču na javnu bezbednost;
4) incidente koji dovode do prekida kontinuiteta, odnosno teškoće u vršenju poslova i pružanju usluga i imaju uticaj na veći deo teritorije Republike Srbije;
5) incidente koji dovode do neovlašćenog pristupa zaštićenim podacima čije otkrivanje može ugroziti prava i interese onih na koje se podaci odnose;
6) incidente koji su nastali kao posledica incidenta u IKT sistemu iz člana 6. stav 1. tačka 3) podtačka (7) ovog zakona, kada IKT sistem od posebnog značaja u svom poslovanju koristi informacione usluge IKT sistema iz člana 6. stav 1. tačka 3) podtačka (7) ovog zakona.
Operator IKT sistema od posebnog značaja dužan je da prijavi i incidente koji su doveli do značajnog povećanja rizika od nastupanja posledica iz stava 1. ovog člana.
Dostavljanje statističkih podataka o incidentima
Operator IKT sistema od posebnog značaja dužan je da, pored obaveštavanja o incidentima iz člana 11. ovog zakona, dostavi Nacionalnom CERT-u statističke podatke o svim incidentima u IKT sistemu u prethodnoj godini najkasnije do 28. februara tekuće godine.
Nacionalni CERT objedinjene statističke podatke iz stava 1. ovog člana dostavlja Nadležnom organu i objavljuje ih na veb stranici Nacionalnog CERT-a.
Vrstu, formu i način dostavljanja statističkih podataka iz stava 1. ovog člana utvrđuje Nacionalni CERT.
Čl. 12-29*
(Prestalo da važi)
Novčanom kaznom u iznosu od 50.000,00 do 2.000.000,00 dinara kazniće se za prekršaj operator IKT sistema od posebnog značaja ako:
1) ne izvrši upis u evidenciju u roku iz člana 6b stav 4. ovog zakona;
2) ne donese Akt o bezbednosti IKT sistema iz člana 8. stav 1. ovog zakona;
3) ne primeni mere zaštite određene Aktom o bezbednosti IKT sistema iz člana 8. stav 2. ovog zakona;
4) ne izvrši proveru usklađenosti primenjenih mera iz člana 8. stav 4. ovog zakona;
5) ne dostavi statističke podatke iz člana 11b stav 1. ovog zakona;
6) ne postupi po nalogu inspektora za informacionu bezbednost u ostavljenom roku iz člana 29. stav 1. tačka 1. ovog zakona.
Za prekršaj iz stava 1. ovog člana kazniće se i odgovorno lice u operatoru IKT sistema od posebnog značaja novčanom kaznom u iznosu od 5.000,00 do 50.000,00 dinara.
Novčanom kaznom u iznosu od 50.000,00 do 500.000,00 dinara kazniće se za prekršaj operator IKT sistema od posebnog značaja ako:
1) o incidentima u IKT sistemu ne obavesti organe iz člana 11. st. 1, 3. i 7. ovog zakona;
2) ne dostavlja obaveštenja o bitnim događajima u vezi sa incidentom i aktivnostima iz člana 11. stav 5. ovog zakona;
3) ne dostavi završni izveštaj u roku iz člana 11. stav 6. ovog zakona.
Za prekršaje iz stava 1. ovog člana kazniće se i odgovorno lice u operatoru IKT sistema od posebnog značaja novčanom kaznom u iznosu od 5.000,00 do 50.000,00 dinara.
Izuzetno od st. 1. i 2. ovog člana, ako finansijska institucija ne obavesti Narodnu banku Srbije o incidentima u IKT sistemu od posebnog značaja, Narodna banka Srbije izriče toj finansijskoj instituciji mere i kazne u skladu sa zakonom kojim se uređuje njeno poslovanje.
Čl. 32-34*
(Prestalo da važi)
* Danom stupanja na snagu Zakona o informacionoj bezbednosti ("Sl. glasnik RS", br. 91/2025), odnosno 31. oktobra 2025. godine, prestaje da važi Zakon o informacionoj bezbednosti ("Sl. glasnik RS", br. 6/2016, 94/2017 i 77/2019), izuzev odredbi čl. 6a do 11b i čl. 30. i 31. koje važe do 31. decembra 2025. godine.