Informaciona bezbednost

Informaciona bezbednost je postala strateško pitanje svake organizacije – od banke i telekoma, preko e-trgovine i logistike, do javnog sektora i kritične infrastrukture. Pritisak dolazi sa svih strana: rast broja i ozbiljnosti incidenata, stroža pravila za upravljanje rizicima, stroži zahtevi za prijavu incidenata, kao i očekivanja partnera i regulatora da bezbednost bude ugrađena u svaki proces i tehnologiju.

U 2025. godini Srbija je načelno uskladila kurs sa evropskim razvojem prava sajber bezbednosti kroz predlog novog Zakona o informacionoj bezbednosti koji prati logiku NIS2, uvodi nove kategorije obveznika, kraće rokove prijave i veće kazne.

Zunic Law pomaže kompanijama da informacione rizike pretvore u prednost – kroz pravno-operativni dizajn, jasne politike, primenljive ugovore i procedure koje stvarno rade u praksi (ne samo na papiru). Naš pristup je pragmatičan: mapiramo regulatorne obaveze i rizike, prilagođavamo ih vašem poslovnom modelu i tehnologijama, i isporučujemo održiva rešenja koja izdržavaju nadzor, revizije i realne incidente.

Zašto Zunic Law za pravo informacione bezbednosti?

  • Regulativa u fokusu 2025+: pripremamo vas za obaveze po novom srpskom okviru za informacionu bezbednost (usaglašenom sa NIS2 logikom), uključujući redefinisanje obveznika, strože rokove i proširene nadzorne ovlasti.

 

  • EU horizont: objašnjavamo kako se evropska pravila (NIS2) preliva(ju) na lokalne obaveze, šta znači razlika između „ključnih“ i „važnih“ aktera i kako to utiče na nadzor, izveštavanje i kaznenu politiku.

 

  • Sektor-specifična ekspertiza: za finansije povezujemo sajber obaveze sa DORA režimom (važi od 17. januara 2025), uključujući upravljanje ICT rizikom, izveštavanje o incidentima i TPRM/outsourcing.

 

  • End-to-end isporuka: od gap-analize i politike do obuke, incident response playbook-a i ugovora sa dobavljačima (cloud, SOC, MSSP, forenzika).

 

  • Operativna ugradnja: radimo sa bezbednosnim, IT i pravnim timovima, ali i sa produktom i data timovima kako bi bezbednost bila deo procesa: razvoj, promene, testiranje, izlazak iz ugovora (exit, portability), kontinuitet i oporavak.

Šta se konkretno menja u propisima o informacionoj bezbednosti u 2025-oj?

Novi Zakon o informacionoj bezbednosti (predlog, 27. februar 2025.) – proširuje spektar subjekata, uvodi podelu na prioritetne i važne operatore IKT sistema od posebnog značaja, najavljuje Kancelariju za informacionu bezbednost koja preuzima ulogu nacionalnog CERT-a, propisuje prijave incidenata u roku od 24 sata, kategorizaciju incidenata i više novčane kazne za neusklađenost.

 

NIS2 (Direktiva (EU) 2022/2555) – postavlja zajednički okvir sajber bezbednosti u EU, širi obuhvat na 18 kritičnih sektora, uvodi obavezno upravljanje rizikom, strože izveštavanje o incidentima i jača nadzor i izvršenje. Iako Srbija nije članica EU, novi domaći okvir prati logiku NIS2 kako bi se postigla kompatibilnost sa jedinstvenim digitalnim tržištem.

 

DORA (za finansijski sektor) – EU uredba koja se primenjuje od 17. januara 2025.; harmonizuje ICT upravljanje rizikom, izveštavanje o incidentima, testiranje otpornosti i nadzor nad kritičnim ICT trećim stranama (npr. cloud). Za srpske entitete koji posluju u EU ili sa EU grupama, DORA utiče na ugovore, procese i tehničko-organizacione kontrole.

 

Na koga se primenjuju propisi o informacionoj bezbednosti?

U praksi, sve više kompanija potpada pod režim informacione bezbednosti, čak i ako nisu tipična „kritična infrastruktura“.

Predlog novog zakona razdvaja obveznike na prioritetne i važne operatore IKT sistema od posebnog značaja, uz proširenje sektora (npr. vodosnabdevanje, poštanske usluge, određena proizvodnja, usluge informacionog društva, pružaoci kvalifikovanih usluga poverenja, DNS i registar vršnih domena).

Ova klasifikacija povlači različite režime kontrole, učestalosti provera i visine kazni.

 

Šta to znači za kompanije?

 

Pre svega, da je status (prioritetni/važni) pravni i operativni okidač: utiče na tempo i dubinu procena rizika, učestalost provera, rokove izveštavanja i očekivanja od vaših ugovora sa dobavljačima (cloud, SOC, data centri, integratori).

Ako ste i rukovalac podacima (GDPR/ZZPL), incidenti sa ličnim podacima istovremeno aktiviraju pravila o prijavi povreda podataka u roku od 72 sata – pa vam treba jedinstveni mehanizam za procenu i dvostruko izveštavanje (sajber + privatnost).

Informaciona bezbednost - ključne obaveze: od politike do izveštavanja

1) Upravljanje rizicima i politike

  • Procena rizika i formalni akt o proceni rizika (redovno revidiran; predlogom se traži najmanje godišnje).

 

  • Kontrolni okvir: klasifikacija informacija, kontrola pristupa, hardening, logovanje i monitoring, upravljanje ranjivostima, segmentacija mreže, kriptografija, rezervne kopije, BCM/DRP.

 

  • Bezbednost lanca snabdevanja: procena dobavljača, tehnički i ugovorni mehanizmi (SLA/OLA, revizijska prava, audit evidencije, obaveze obaveštavanja o incidentu, exit i portabilnost).

 

  • Dokumentacija: politike i procedure, izveštaji iz testiranja, evidencije obuke, evidencije trećih strana i ugovora.

 

Regulatorna osnova u Srbiji se oslanja na logiku NIS2 (širi obuhvat i upravljanje rizikom), uz domaću implementaciju i novi nadzorni model.

2) Prijava incidenata i pretnji

  • Rok od 24 sata od saznanja za incident sa značajnim uticajem

precizno definisan set informacija u prijavi i obavezno ažuriranje. (U predlogu novog zakona postoji i obaveza prijave ozbiljnih pretnji, ne samo događaja.)

 

  • Kategorizacija incidenata (nizak/srednji/visok/veoma visok) – obaveze se razlikuju po nivou opasnosti i biće razrađene podzakonskim aktom.

 

  • Nacionalni CERT

operativni kanal za prijave i savetodavnu podršku (forme za prijavu incidenata dostupne javno).

 

  • GDPR/ZZPL paralelno izveštavanje

ako incident uključuje lične podatke – prijava Povereniku / nadležnom EU organu u roku od 72 sata (dupla traka izveštavanja).

3) Nadležni organi, nadzor i kazne

  • Osnivanje Kancelarije za informacionu bezbednost kao regulatora, sa proširenim ovlašćenjima (preuzimanje uloge nacionalnog CERT-a, koordinacija odgovora, sertifikacija IKT sistema/proizvoda/procesa/usluga i dr.).

 

  • Inspektori dobijaju veća ovlašćenja (npr. nalozi za javnu objavu informacija o neusklađenosti kada postoji opravdani javni interes; obavezno imenovanje odgovornog lica koje nadzire remedijaciju).

 

  • Kazne: više kazne uz diferencijaciju po statusu subjekta (prioritetni/važni).

Specifičnosti za finansijski sektor (DORA)

Ako ste banka, osiguravač, investiciono društvo ili pružalac platnih usluga koji posluje u EU, DORA je već realnost. Od 17. januara 2025. ona se primenjuje i donosi:

  • ICT risk framework sa jasnim zahtevima (upravljačka odgovornost, politika rizika, klasifikacija i registri ICT usluga, kontinuirano poboljšanje),
  • ICT incident reporting sa harmonizovanim kriterijumima i formatima,
  • TPRM i outsourcing: ugovori sa ICT trećim stranama (naročito cloud) moraju da sadrže minimalne obavezne klauzule,
  • Testiranje otpornosti (TIBER-like logika u zrelijim organizacijama),
  • Nadzor nad kritičnim ICT trećim stranama na nivou EU (ESAs).

 

Za grupe koje uključuju srpske entitete, DORA standard postaje de facto minimum za grupne politike, ugovore i procese – čak i kada lokalni propisi još ne zahtevaju isti nivo detalja.

Zunic Law usluge

1) Strategija i governance informacione bezbednosti

  • Dizajn governance modela (odgovornosti odbora/menadžmenta, linije odbrane, bezbednosni odbori, rizik i usaglašenost).

 

  • Politike i procedure (kontrolni okvir, upravljanje incidentima, BCM/DRP, upravljanje ranjivostima, upravljanje ključevima, evidencije logova i pristupa).

2) Procene rizika i tehničko-pravni „hardening“

  • Procena rizika po IKT sistemima i poslovnim procesima; formalni akt o proceni rizika.

 

  • Mapiranje podataka, klasifikacija i kontrola pristupa; enkripcija u mirovanju i u prenosu; SIEM/SOC i log politika.

 

  • Plan smanjenja rizika sa jasnim prioritetima i rokovima.

3) Incident response i prijave

  • IR playbook i RACI matrice; „war-room“ procedure, evidence i post-incident review.

 

  • Prijava incidenata Nacionalnom CERT-u i nadležnim telima; koordinacija sa komunikacijama i pravnim timovima.

 

  • Ako incident uključuje lične podatke – priprema i podnošenje prijave povrede podataka u 72h, uz dokumentovanje procene rizika po pravima i slobodama lica.

4) Ugovori sa dobavljačima i cloud (TPRM/outsourcing)

  • „Skin-in-the-game“ klauzule: dostupnost, RTO/RPO, notifikacije incidenata, revizijska prava, penali, exit i portabilnost, lokacije obrade i subprocesori.

 

  • Usklađivanje sa grupnim standardima (npr. DORA za EU entitete) i lokalnim pravilima.

5) Testiranje otpornosti i provere usklađenosti

  • Pre-audit i audit readiness, vođenje kroz nadzor/inspekciju.

 

  • Koordinacija tehničkih testiranja (interno/eksterno) i forenzičke spremnosti.

6) Obuke i vežbe

  • Treninzi po ulogama (uprava, IT/bezbednost, DevOps, produkt, pravni, marketing),

 

  • Table-top vežbe incidenta i „purple team“ simulacije,

 

  • Program svesnosti za zaposlene (phishing simulacije, higijena lozinki, BYOD, rad na daljinu).

7) Dokumentacija i evidencije

  • Registar IKT usluga i dobavljača, registar incidenata i ranjivosti, DLP događaja, izveštaji iz SIEM/SOC.

 

  • Šabloni za prijave incidenata i povreda podataka, komunikacioni planovi, saopštenja ka korisnicima i partnerima.

Šta dobijate kao rezultat?

  •  Usklađen, audibilan i održiv okvir informacione bezbednosti, sa jasnim tragom odluka i merama kontrole.

 

  • Brže i sigurnije donošenje odluka u incidentima i promenama (change management).

 

  • Smanjenje ugovornih rizika u lancu snabdevanja (TPRM): jasna prava, obaveze i posledice (penali, prekid, migracija).

 

  • Spremnost za nadzor – „audit-ready“ dokumentacija, procesi i timovi.

 

  • Poverenje korisnika i partnera, što direktno utiče na prihode i brzinu prodaje (kraći sigurnosni upitnici, lakše vendor procene).

Koga savetujemo?

  • Kritična infrastruktura i javni sektor: energetika, komunalne delatnosti, vodosnabdevanje, zdravstvo, uprava.

 

  • Finansije: banke, procesori plaćanja, osiguranje, investicione firme, fintech i infrastrukturni akteri (sa DORA fokusom).

 

  • Trgovina i logistika: e-commerce, marketplace-ovi, fulfillment i kurirske službe.

 

  • Tehnološke kompanije i pružaoci usluga: cloud/SaaS, data centri, integratori, SOC/MSSP.

 

  • Proizvodnja i telco: posebno tamo gde digitalni sistemi utiču na kontinuitet proizvodnje i mreža.
lice za zaštitu podataka o ličnosti pravo intelektualne svojine, predstavnik za zaštitu podataka, medicinsko pravo, informaciona bezbednost, fintech, mediatech

Tijana Žunić Marić

Zunic Nemanja, pravo intelektualne svojine, igre na sreću, it ugovori, startup advokat

Nemanja Žunić

Najčešće postavljena pitanja

Da li smo „obveznik“ po novom zakonodavnom okviru?

Zavisi od sektora i uloge. Predlog zakona uvodi prioritetne i važne operatore IKT sistema od posebnog značaja; spisak sektora je proširen (npr. voda, pošta, usluge informacionog društva, kvalifikovane usluge poverenja, DNS/registar). Potrebno je formalno mapiranje statusa – time počinjemo svaki projekat.

Kraći rokovi (24 sata za značajne incidente), obavezno ažuriranje prijave i precizniji skup informacija. Pored toga, predlog uvodi i prijavu ozbiljnih pretnji. Preporučujemo jedinstveni proces koji ujedno pokriva i GDPR/ZZPL obaveze (72 sata).


Da – Nacionalni CERT je operativna tačka za prijave i koordinaciju; postoje javni obrasci i smernice. Uloga CERT-a uključuje ranu uzbunu, savete i evidenciju incidenata.

Novi srpski okvir je koncipiran da prati NIS2 logiku, pa ćete videti slične mehanizme (širi obuhvat, risk-management, incident reporting, nadzor, kazne). To pojednostavljuje saradnju sa EU partnerima i podiže kompatibilnost sa graničnim isporukama.

Da. DORA se primenjuje od 17. januara 2025. i zahteva harmonizovane procese ICT rizika, izveštavanje, testiranja i jake ugovore sa ICT trećim stranama (naročito cloud). Ako ste deo EU grupe, DORA standard postaje obavezna osnova ugovora i politika.


Pored sajber prijave, primenjuje se GDPR/ZZPL režim od 72h prema nadležnom organu (i obaveštavanje lica ako postoji visok rizik). Zato je važno da IR tim i DPO rade integrisano – Zunic Law postavlja jedinstveni tok odlučivanja i dokumentovanja. 

Blogovi iz zaštite podataka o ličnosti