Informaciona bezbednost u Srbiji i EU

Ostale oblasti IT prava

Informaciona bezbednost je postala strateško pitanje svake organizacije – od banke i telekoma, preko e-trgovine i logistike, do javnog sektora i kritične infrastrukture. Pritisak dolazi sa svih strana: rast broja i ozbiljnosti incidenata, stroža pravila za upravljanje rizicima, stroži zahtevi za prijavu incidenata, kao i očekivanja partnera i regulatora da bezbednost bude ugrađena u svaki proces i tehnologiju.

U 2025. godini Srbija je načelno uskladila kurs sa evropskim razvojem prava sajber bezbednosti kroz predlog novog Zakona o informacionoj bezbednosti koji prati logiku NIS2, uvodi nove kategorije obveznika, kraće rokove prijave i veće kazne.

Zunic Law pomaže kompanijama da informacione rizike pretvore u prednost – kroz pravno-operativni dizajn, jasne politike, primenljive ugovore i procedure koje stvarno rade u praksi (ne samo na papiru). Naš pristup je pragmatičan: mapiramo regulatorne obaveze i rizike, prilagođavamo ih vašem poslovnom modelu i tehnologijama, i isporučujemo održiva rešenja koja izdržavaju nadzor, revizije i realne incidente.

Zašto Zunic Law za pravo informacione bezbednosti?

Regulativa u fokusu 2025+: pripremamo vas za obaveze po novom srpskom okviru za informacionu bezbednost (usaglašenom sa NIS2 logikom), uključujući redefinisanje obveznika, strože rokove i proširene nadzorne ovlasti.

EU horizont: objašnjavamo kako se evropska pravila (NIS2) preliva(ju) na lokalne obaveze, šta znači razlika između „ključnih“ i „važnih“ aktera i kako to utiče na nadzor, izveštavanje i kaznenu politiku.

Sektor-specifična ekspertiza: za finansije povezujemo sajber obaveze sa DORA režimom (važi od 17. januara 2025), uključujući upravljanje ICT rizikom, izveštavanje o incidentima i TPRM/outsourcing.

End-to-end isporuka: od gap-analize i politike do obuke, incident response playbook-a i ugovora sa dobavljačima (cloud, SOC, MSSP, forenzika).

Operativna ugradnja: radimo sa bezbednosnim, IT i pravnim timovima, ali i sa produktom i data timovima kako bi bezbednost bila deo procesa: razvoj, promene, testiranje, izlazak iz ugovora (exit, portability), kontinuitet i oporavak.

Šta se konkretno menja u propisima o informacionoj bezbednosti u 2025-oj?

Novi Zakon o informacionoj bezbednosti (predlog, 27. februar 2025.) – proširuje spektar subjekata, uvodi podelu na prioritetne i važne operatore IKT sistema od posebnog značaja, najavljuje Kancelariju za informacionu bezbednost koja preuzima ulogu nacionalnog CERT-a, propisuje prijave incidenata u roku od 24 sata, kategorizaciju incidenata i više novčane kazne za neusklađenost.

NIS2 (Direktiva (EU) 2022/2555) – postavlja zajednički okvir sajber bezbednosti u EU, širi obuhvat na 18 kritičnih sektora, uvodi obavezno upravljanje rizikom, strože izveštavanje o incidentima i jača nadzor i izvršenje. Iako Srbija nije članica EU, novi domaći okvir prati logiku NIS2 kako bi se postigla kompatibilnost sa jedinstvenim digitalnim tržištem.

DORA (za finansijski sektor) – EU uredba koja se primenjuje od 17. januara 2025.; harmonizuje ICT upravljanje rizikom, izveštavanje o incidentima, testiranje otpornosti i nadzor nad kritičnim ICT trećim stranama (npr. cloud). Za srpske entitete koji posluju u EU ili sa EU grupama, DORA utiče na ugovore, procese i tehničko-organizacione kontrole.

Na koga se primenjuju propisi o informacionoj bezbednosti?

U praksi, sve više kompanija potpada pod režim informacione bezbednosti, čak i ako nisu tipična „kritična infrastruktura“.

Predlog novog zakona razdvaja obveznike na prioritetne i važne operatore IKT sistema od posebnog značaja, uz proširenje sektora (npr. vodosnabdevanje, poštanske usluge, određena proizvodnja, usluge informacionog društva, pružaoci kvalifikovanih usluga poverenja, DNS i registar vršnih domena).

Ova klasifikacija povlači različite režime kontrole, učestalosti provera i visine kazni.

Šta to znači za kompanije?

Pre svega, da je status (prioritetni/važni) pravni i operativni okidač: utiče na tempo i dubinu procena rizika, učestalost provera, rokove izveštavanja i očekivanja od vaših ugovora sa dobavljačima (cloud, SOC, data centri, integratori).

Ako ste i rukovalac podacima (GDPR/ZZPL), incidenti sa ličnim podacima istovremeno aktiviraju pravila o prijavi povreda podataka u roku od 72 sata – pa vam treba jedinstveni mehanizam za procenu i dvostruko izveštavanje (sajber + privatnost).

Informaciona bezbednost - ključne obaveze: od politike do izveštavanja

1) Upravljanje rizicima i politike

Procena rizika i formalni akt o proceni rizika (redovno revidiran; predlogom se traži najmanje godišnje).

Kontrolni okvir: klasifikacija informacija, kontrola pristupa, hardening, logovanje i monitoring, upravljanje ranjivostima, segmentacija mreže, kriptografija, rezervne kopije, BCM/DRP.

Bezbednost lanca snabdevanja: procena dobavljača, tehnički i ugovorni mehanizmi (SLA/OLA, revizijska prava, audit evidencije, obaveze obaveštavanja o incidentu, exit i portabilnost).

Dokumentacija: politike i procedure, izveštaji iz testiranja, evidencije obuke, evidencije trećih strana i ugovora.

Regulatorna osnova u Srbiji se oslanja na logiku NIS2 (širi obuhvat i upravljanje rizikom), uz domaću implementaciju i novi nadzorni model.

2) Prijava incidenata i pretnji

Rok od 24 sata od saznanja za incident sa značajnim uticajem

precizno definisan set informacija u prijavi i obavezno ažuriranje. (U predlogu novog zakona postoji i obaveza prijave ozbiljnih pretnji, ne samo događaja.)

Kategorizacija incidenata (nizak/srednji/visok/veoma visok) – obaveze se razlikuju po nivou opasnosti i biće razrađene podzakonskim aktom.

Nacionalni CERT

operativni kanal za prijave i savetodavnu podršku (forme za prijavu incidenata dostupne javno).

GDPR/ZZPL paralelno izveštavanje

ako incident uključuje lične podatke – prijava Povereniku / nadležnom EU organu u roku od 72 sata (dupla traka izveštavanja).

3) Nadležni organi, nadzor i kazne

Osnivanje Kancelarije za informacionu bezbednost kao regulatora, sa proširenim ovlašćenjima (preuzimanje uloge nacionalnog CERT-a, koordinacija odgovora, sertifikacija IKT sistema/proizvoda/procesa/usluga i dr.).

Inspektori dobijaju veća ovlašćenja (npr. nalozi za javnu objavu informacija o neusklađenosti kada postoji opravdani javni interes; obavezno imenovanje odgovornog lica koje nadzire remedijaciju).

Kazne: više kazne uz diferencijaciju po statusu subjekta (prioritetni/važni).

Specifičnosti za finansijski sektor (DORA)

Ako ste banka, osiguravač, investiciono društvo ili pružalac platnih usluga koji posluje u EU, DORA je već realnost. Od 17. januara 2025. ona se primenjuje i donosi:

ICT risk framework sa jasnim zahtevima (upravljačka odgovornost, politika rizika, klasifikacija i registri ICT usluga, kontinuirano poboljšanje),

ICT incident reporting sa harmonizovanim kriterijumima i formatima,

TPRM i outsourcing: ugovori sa ICT trećim stranama (naročito cloud) moraju da sadrže minimalne obavezne klauzule,

Testiranje otpornosti (TIBER-like logika u zrelijim organizacijama),

Nadzor nad kritičnim ICT trećim stranama na nivou EU (ESAs).

Za grupe koje uključuju srpske entitete, DORA standard postaje de facto minimum za grupne politike, ugovore i procese – čak i kada lokalni propisi još ne zahtevaju isti nivo detalja.

Zunic Law usluge

1) Strategija i governance informacione bezbednosti

Dizajn governance modela (odgovornosti odbora/menadžmenta, linije odbrane, bezbednosni odbori, rizik i usaglašenost).

Politike i procedure (kontrolni okvir, upravljanje incidentima, BCM/DRP, upravljanje ranjivostima, upravljanje ključevima, evidencije logova i pristupa).

2) Procene rizika i tehničko-pravni „hardening“

Procena rizika po IKT sistemima i poslovnim procesima; formalni akt o proceni rizika.

Mapiranje podataka, klasifikacija i kontrola pristupa; enkripcija u mirovanju i u prenosu; SIEM/SOC i log politika.

Plan smanjenja rizika sa jasnim prioritetima i rokovima.

3) Incident response i prijave

IR playbook i RACI matrice; „war-room“ procedure, evidence i post-incident review.

Prijava incidenata Nacionalnom CERT-u i nadležnim telima; koordinacija sa komunikacijama i pravnim timovima.

Ako incident uključuje lične podatke – priprema i podnošenje prijave povrede podataka u 72h, uz dokumentovanje procene rizika po pravima i slobodama lica.

4) Ugovori sa dobavljačima i cloud (TPRM/outsourcing)

„Skin-in-the-game“ klauzule: dostupnost, RTO/RPO, notifikacije incidenata, revizijska prava, penali, exit i portabilnost, lokacije obrade i subprocesori.

Usklađivanje sa grupnim standardima (npr. DORA za EU entitete) i lokalnim pravilima.

5) Testiranje otpornosti i provere usklađenosti

Pre-audit i audit readiness, vođenje kroz nadzor/inspekciju.

Koordinacija tehničkih testiranja (interno/eksterno) i forenzičke spremnosti.

6) Obuke i vežbe

Treninzi po ulogama (uprava, IT/bezbednost, DevOps, produkt, pravni, marketing),

Table-top vežbe incidenta i „purple team“ simulacije,

Program svesnosti za zaposlene (phishing simulacije, higijena lozinki, BYOD, rad na daljinu).

7) Dokumentacija i evidencije

Registar IKT usluga i dobavljača, registar incidenata i ranjivosti, DLP događaja, izveštaji iz SIEM/SOC.

Šabloni za prijave incidenata i povreda podataka, komunikacioni planovi, saopštenja ka korisnicima i partnerima.

Šta dobijate kao rezultat?

Usklađen, audibilan i održiv okvir informacione bezbednosti, sa jasnim tragom odluka i merama kontrole.

Brže i sigurnije donošenje odluka u incidentima i promenama (change management).

Smanjenje ugovornih rizika u lancu snabdevanja (TPRM): jasna prava, obaveze i posledice (penali, prekid, migracija).

Spremnost za nadzor – „audit-ready“ dokumentacija, procesi i timovi.

Poverenje korisnika i partnera, što direktno utiče na prihode i brzinu prodaje (kraći sigurnosni upitnici, lakše vendor procene).

Koga savetujemo?

Kritična infrastruktura i javni sektor: energetika, komunalne delatnosti, vodosnabdevanje, zdravstvo, uprava.

Finansije: banke, procesori plaćanja, osiguranje, investicione firme, fintech i infrastrukturni akteri (sa DORA fokusom).

Trgovina i logistika: e-commerce, marketplace-ovi, fulfillment i kurirske službe.

Tehnološke kompanije i pružaoci usluga: cloud/SaaS, data centri, integratori, SOC/MSSP.

Proizvodnja i telco: posebno tamo gde digitalni sistemi utiču na kontinuitet proizvodnje i mreža.

Tijana Žunić Marić

Nemanja Žunić

Najčešće postavljena pitanja

Da li smo „obveznik“ po novom zakonodavnom okviru?

Zavisi od sektora i uloge. Predlog zakona uvodi prioritetne i važne operatore IKT sistema od posebnog značaja; spisak sektora je proširen (npr. voda, pošta, usluge informacionog društva, kvalifikovane usluge poverenja, DNS/registar). Potrebno je formalno mapiranje statusa – time počinjemo svaki projekat.

Koje su ključne novine u izveštavanju o incidentima?

Kraći rokovi (24 sata za značajne incidente), obavezno ažuriranje prijave i precizniji skup informacija. Pored toga, predlog uvodi i prijavu ozbiljnih pretnji. Preporučujemo jedinstveni proces koji ujedno pokriva i GDPR/ZZPL obaveze (72 sata).

Da li moramo da prijavljujemo incidente Nacionalnom CERT-u?

Da – Nacionalni CERT je operativna tačka za prijave i koordinaciju; postoje javni obrasci i smernice. Uloga CERT-a uključuje ranu uzbunu, savete i evidenciju incidenata.

Kako NIS2 utiče na nas ako poslujemo samo u Srbiji?

Novi srpski okvir je koncipiran da prati NIS2 logiku, pa ćete videti slične mehanizme (širi obuhvat, risk-management, incident reporting, nadzor, kazne). To pojednostavljuje saradnju sa EU partnerima i podiže kompatibilnost sa graničnim isporukama.

Imamo EU prisustvo u finansijama – da li nam treba DORA?

Da. DORA se primenjuje od 17. januara 2025. i zahteva harmonizovane procese ICT rizika, izveštavanje, testiranja i jake ugovore sa ICT trećim stranama (naročito cloud). Ako ste deo EU grupe, DORA standard postaje obavezna osnova ugovora i politika.

Šta ako incident uključuje lične podatke?

Pored sajber prijave, primenjuje se GDPR/ZZPL režim od 72h prema nadležnom organu (i obaveštavanje lica ako postoji visok rizik). Zato je važno da IR tim i DPO rade integrisano – Zunic Law postavlja jedinstveni tok odlučivanja i dokumentovanja.