U eri u kojoj je više od 11.000 javno prijavljenih sajber-incidenata potreslo organizacije širom Evropske unije[1] u samo jednoj godini – pri čemu su DDoS napadi izbili na prvo mesto, dok je ransomver (zlonamerni softver) i dalje odgovoran za gotovo polovinu svih značajnih bezbednosnih incidenata – novi Predlog zakona o informacionoj bezbednosti u Srbiji dolazi u izuzetno važnom trenutku. S druge strane Atlantika, izveštaj DBIR[2] kompanije Verizon otkriva da je samo tokom 2023. godine zabeleženo preko 30.000 incidenata koji su ugrozili bezbednost, a gotovo 10.000 slučajeva potvrđeno je kao ozbiljni bezbednosni proboji – otkrivajući slabosti u svim industrijama. Cena ovih incidenata nastavlja da raste – prosečan trošak bezbednosnog incidenta iznosi 4,88 miliona američkih dolara u 2024. godini[3].
Za privredne subjekte, ovi podaci jasno ukazuju na jedno: informaciona bezbednost više ne može biti tretirana kao sporedna tema.
27.02. 2025. godine, Vlada Republike Srbije usvojila je Predlog novog Zakona o informacionoj bezbednosti, koji predstavlja ključni korak ka unapređenju zaštite informacija, infrastrukture i digitalnih sistema u Republici Srbiji.
S obzirom na značaj digitalne transformacije i sve češće pretnje u sajber prostoru koje mogu dovesti do nemerljivih posledica, bilo je neophodno ažurirati pravni okvir u ovoj oblasti kako bi se unapredila bezbednost i otpornost informacionih sistema.
Takođe, usvajanjem Direktive NIS2, postalo je neophodno dodatno usklađivanje zakonodavstva Republike Srbije sa propisima Evropske unije. Ova direktiva donosi značajne novine u odnosu na prethodnu NIS Direktivu, pre svega kroz proširenje obuhvata i postavljanje novih standarda u oblasti sajber bezbednosti.
Istovremeno, ubrzani razvoj veštačke inteligencije (AI) uvodi nove složenosti u domenu sajber bezbednosti i zaštite podataka. Sistemi zasnovani na veštačkoj inteligenciji se sve više koriste za otkrivanje i reagovanje na sajber pretnje, ali ujedno otvaraju i stvaraju nove slabosti koje zahtevaju pravnu regulativu. Kako veštačka inteligencija nastavlja da oblikuje digitalno okruženje, obezbeđivanje snažnog i prilagodljivog regulatornog pristupa postaje još važnije za zaštitu osetljivih podataka i očuvanje poverenja u digitalne ekosisteme.
1. Važeći Zakon o informacionoj bezbednosti i NIS direktiva
Važeći Zakon o informacionoj bezbednosti[4] (u daljem tekstu: „Zakon“) usvojen je 2016. godine (sa izmenama iz 2017. i 2019. godine) i postavlja osnovne smernice za zaštitu informacionih sistema, kao i za obezbeđenje cele infrastrukture vezane za informacione tehnologije. Ovaj zakon takođe uvodi obaveze u vezi sa zaštitom sistema od sajber-napada, obaveze prijavljivanja bezbednosnih incidenata, kao i izgradnju nacionalnih kapaciteta za upravljanje kriznim situacijama, sa ciljem stvaranja uslova za prevenciju sajber-napada i drugih pretnji koje mogu biti povezane sa informacionim sistemima i infrastrukturom.
Zakon se zasniva na NIS1 Direktivi[5], koja je usvojena 2016. godine, a koja definiše osnovne zahteve za bezbednost informacionih sistema i mreža u Evropskoj uniji, kao i za obezbeđenje cele infrastrukture vezane za informacione tehnologije.
2. Novi Zakon o informacionoj bezbednosti u svetlu usvajanja NIS2 Direktive
Kako se sajber pretnje razvijaju, a tehnologije brzo menjaju, postoji stalna potreba za unapređenjem postojeće legislative kako bi Srbija ostala usklađena sa najnovijim međunarodnim standardima i blagovremeno pratila razvoj regulatornih trendova u ovoj oblasti. U procesu ispunjavanja uslova za punopravno članstvo u Evropskoj uniji, Republika Srbija je obavezna da uskladi svoje zakonodavstvo sa pravnim tekovinama Evropske unije u oblasti informacionе bezbednosti.
Evropska unija je kompletirala i revidirala svoj regulatorni okvir usvajanjem Zakona o sajber bezbednosti[6] 2019. godine, kao i usvajanjem nove NIS2 Direktive[7] 2022. godine, što predstavlja deo šireg napora Evropske unije da poveća nivo zaštite kritičnih sektora i usluga širom Unije, imajući u vidu rastuće pretnje od sajber-napada.
Predlog novog Zakona o informacionoj bezbednosti (u daljem tekstu: „Novi Zakon o informacionoj bezbednosti“), koji ima za cilj usklađivanje sa NIS2 Direktivom, nastoji da proširi i unapredi postojeće odredbe kako bi se adekvatno odgovorilo na sve složenije izazove u sajber okruženju.
Da bi Republika Srbija uspešno pristupila jedinstvenom evropskom digitalnom tržištu, neophodno je obezbediti regulatorne i institucionalne uslove za ubrzan razvoj tržišta elektronskih komunikacija u Republici Srbiji, kao i osigurati da se ovaj razvoj odvija u bezbednim uslovima, kako za pojedince, tako i za kompanije.
3. Koje su najvažnije novine u Novom Zakonu o informacionoj bezbednosti?
Ispod su samo neke od brojnih izmena koje donosi Novi Zakon o informacionoj bezbednosti.
Novi propisi sada obuhvataju subjekte u sektorima koji prethodno nisu bili obuhvaćeni zakonskom regulativom: proizvodnja hrane, automobilska industrija, zdravstvo i druge. Posebna pažnja biće usmerena na sisteme čiji je pouzdan rad od ključnog značaja za opštu dobrobit, naročito zdravstvene ustanove, poštanske usluge, usluge upravljanja otpadom i slične.
Narušavanje bezbednosti bilo koje od ovih vitalnih infrastruktura moglo bi ne samo da zaustavi osnovne usluge, već i da ugrozi bezbednost pojedinačnih građana.
1. Redefinisanje ključnih subjekata
Novi Zakon o informacionoj bezbednosti identifikuje operatore informaciono-komunikacionih sistema (IKT) [8] od posebnog značaja i uvodi njihovu podelu na prioritetne i važne operatore (zajedno: „Operatori“).
Operatori prioritetnih IKT sistema od posebnog značaja, koji su nasledili ulogu prethodnih IKT sistema od posebnog značaja, sada su prošireni na sektore vodosnabdevanja, upravljanja otpadnim vodama, upravljanja IKT uslugama koje se pružaju operatorima prioritetnih IKT sistema od posebnog značaja, kao i na pružaoce kvalifikovanih usluga poverenja, DNS usluga i upravljanje registrom vrhunskih domena, izuzev operatora root name servera.
Primer: IT kompanija sa sedištem u Beogradu pruža kvalifikovane usluge poverenja, odnosno digitalne sertifikate, vremenske pečate i elektronska pečatna rešenja kompanijama širom Srbije i regiona. Prema Novom Zakonu o informacionoj bezbednosti, PKI (Public Key Infrastructure) platforma se sada klasifikuje kao prioritetni IKT sistem od posebnog značaja, te kompanija mora da ispuni proširene regulatorne zahteve.
Sa druge strane, operatori važnih IKT sistema od posebnog značaja obuhvataju, između ostalog, sektore poštanskih usluga, proizvodnju računara, elektronskih i optičkih proizvoda, električne opreme, mašina i uređaja, motornih vozila, medicinskih uređaja, kao i usluge informacionog društva u smislu Zakona o elektronskoj trgovini, itd.
Primer: Vodeća platforma za elektronsku trgovinu, sa veb-sajtom za kupovinu, API-jevima za integraciju prodavaca i servisi platnih usluga sada se, u skladu sa proširenim obuhvatom pojma ‘usluga informacionog društva’, klasifikuje kao važan IKT sistem od posebnog značaja prema proširenom obuhvatu usluga informacionog društva. Kompanija koja poseduje ovu platformu mora biti usklađena sa Novim Zakonom o informacionoj bezbednosti.
2. Nove obaveze za Operatore
Pored svih obaveza iz važećeg Zakona, Operatori će sada imati dodatni skup obaveza, kao što su:
- Obavezno sprovođenje procene rizika i usvajanje akta o proceni rizika (revidiranog najmanje jednom godišnje),
- Obaveza podnošenja ne samo prijava o incidentima (kao ranije), već i o ozbiljnim pretnjama po IKT sistem od posebnog značaja,
- Za operatore prioritetnog IKT sistema od posebnog značaja, povećava se učestalost provere usklađenosti mera zaštite IKT sistema na dva puta godišnje.
3. Uvođenje novog nadzornog organa
Uvodi se Kancelarija za informacionu bezbednost (u daljem tekstu: „Kancelarija“), koja će preuzeti nadležnosti nacionalnog CERT-a[9].
Kancelarija će imati status samostalne regulatorne agencije nadležne za koordinaciju odgovora na incidente na nacionalnom nivou, unapredi spremnost države i obezbedi brzu intervenciju i sanaciju kad god dođe do bezbednosnog događaja.
4. Strogi rok za prijavu incidenata
Operatori su dužni da bez odlaganja, a najkasnije u roku od 24 časa od saznanja za incident, podnesu obaveštenje o incidentu koji može imati značajan uticaj na informacionu bezbednost, u skladu sa strogom formalnom procedurom ažuriranja incidenta. Pored toga, informacije koje su Operatori dužni da dostave prilikom prijave incidenta sada su precizno propisane.
Ova obaveza je u velikoj meri usklađena sa zahtevima za prijavu povrede podataka u skladu sa Opštom uredbom o zaštiti podataka (GDPR) i Zakonom o zaštiti podataka o ličnosti Republike Srbije (ZZPL). U skladu sa ovim zakonima, rukovaoci podacima su u obavezi da nadležnom organu – poput Poverenika u Srbiji ili nadležnog nadzornog organa za zaštitu podataka u Evropskoj uniji – prijave povredu ličnih podataka u roku od 72 sata od saznanja, osim ako se ne može očekivati da povreda predstavlja rizik po prava i slobode pojedinaca.
Slično tome, kao što su Operatori prema novom okviru za sajber bezbednost dužni da se pridržavaju strukturisane procedure prijave incidenata, tako i rukovaoci podacima prema GDPR-u i ZZPL moraju dostaviti precizan skup podataka o povredi, uključujući njenu prirodu, obim, moguće posledice i mere koje su preduzete za ublažavanje štete.
Usklađivanje zahteva za prijavu incidenata u okviru propisa o sajber bezbednosti i zaštiti podataka dodatno ističe sve veći regulatorni fokus na pravovremeno i transparentno reagovanje na bezbednosne pretnje, čime se obezbeđuje kako otpornost informacionih sistema, tako i zaštita podataka pojedinaca.
5. Uvođenje kategorizacije incidenata
Incidenti u IKT sistemima od posebnog značaja, koji mogu imati značajan uticaj na informacionu bezbednost, klasifikuju se prema nivou opasnosti, uzimajući u obzir posledice incidenta, u sledeće kategorije:
- nizak,
- srednji,
- visok, i
- veoma visok.
U zavisnosti od kategorizacije incidenta, koja će biti regulisana posebnim podzakonskim aktom, Operatorima se nameću različite obaveze.
6. Proširenje ovlašćenja inspektora za informacionu bezbednost
Inspektorima za informacionu bezbednost sada su data dodatna ovlašćenja koja im omogućavaju da nalože subjektu pod nadzorom da na određeni način učini dostupnim javnosti informacije o neusklađenosti sa odredbama zakona, za koje postoji opravdan javni interes, kao i da nalože imenovanje lica sa precizno određenim ovlašćenjima unutar tog subjekta, koje će u određenom vremenskom periodu nadzirati i pratiti usklađenost sa odredbama zakona i izrečenim merama.
7. Uvođenje sertifikacije
Jedna od nadležnosti Kancelarije jeste obavljanje sertifikacije IKT sistema, IKT proizvoda, IKT procesa i IKT usluga, sa izuzetkom sistema, proizvoda, procesa i usluga namenjenih odbrani i bezbednosti. Ova sertifikacija neće samo doprineti unapređenju bezbednosnih standarda, već će i povećati poverenje klijenata i konkurentsku prednost za kompanije koje se odluče za sertifikaciju.
8. Novi sistem kazni
Visina novčanih kazni zavisi od toga da li je operator IKT sistema od posebnog značaja prioritetni ili važni operator. Naime, kazne su veće za operatore prioritetnih IKT sistema od posebnog značaja nego za operatore važnih IKT sistema od posebnog značaja, i iznose do 2.000.000,00 RSD (oko 17.000 EUR) za operatore prioritetnih IKT sistema od posebnog značaja, odnosno do 1.000.000,00 RSD (oko 8.500 EUR) za operatore važnih IKT sistema od posebnog značaja.
4. Uticaj novog Zakona o informacionoj bezbednosti i NIS2 Direktive na kompanije u Srbiji
1. Najveći izazovi
- Proširenje sektora unutar Operatora: Predlog novog Zakona o informacionoj bezbednosti, proširenjem sektora na koje se primenjuje, obuhvatiće znatno veći broj kompanija koje će se naći pod povećanim pravnim nadzorom. To će nametnuti nove obaveze, primorati ih na aktivno angažovanje u ovoj oblasti i uticati na njihove svakodnevne operacije – od bezbednosti podataka do operativnih strategija u slučaju incidenata.
- Povećani troškovi usklađenosti: Usklađivanje sa novim propisima doneće povećane troškove za kompanije u Republici Srbiji, jer će morati da investiraju u jaču infrastrukturu informacionih sistema, implementiraju nove sisteme zaštite, angažuju dodatne stručnjake i obuče zaposlene kako bi ispunile zahteve novog Zakona o informacionoj bezbednosti. Očekuje se da će lokalne kompanije, naročito one u kritičnim sektorima, morati da ulože u sofisticiranije sisteme zaštite kako bi obezbedile kontinuitet poslovanja u slučaju incidenta.
2. Benefiti
- Povećanje poverenja korisnika i investitora: Usklađenost sa savremenim propisima, kao i sa međunarodnim standardima, može dovesti do veće sigurnosti korisničkih podataka, što doprinosi jačanju ugleda kompanije i poverenja korisnika i investitora i gradi poverenje u poslovanje firme. Bilo da se kompanija nalazi u procesu procene dobavljača, razmatranja mogućnosti spajanja i preuzimanja ili privlačenja novih investitora, dokaziva usklađenost predstavlja znak dobrog upravljanja i uliva poverenje svim zainteresovanim stranama u svim fazama.
- Smanjenje rizika i izazova u poslovanju: Unapređenje bezbednosti podataka i infrastrukture, kao i implementacija i održavanje sistema bezbednosti, utiču na smanjenje incidenata i rizika po poslovne operacije. Jačanje bezbednosnih kriterijuma smanjuje rizik od incidenata, oštećenja sistema i curenja podataka.
- Veća saradnja sa partnerima iz EU: Kako se Republika Srbija približava usklađivanju sa standardima EU, domaće kompanije će moći lakše da sarađuju sa kompanijama iz Evropske unije, jer će imati usklađene bezbednosne standarde. Ovo će smanjiti rizik od potencijalnih problema u međunarodnoj trgovini i poslovanju. Takođe, usklađivanjem sa NIS2 Direktivom, kompanije u Republici Srbiji mogu postati konkurentnije na tržištu EU i međunarodnoj sceni, čime će povećati broj klijenata, potrošača i korisnika.
5. Pravovremeno praćenje novih trendova u sajber bezbednosti
Sa stalnim porastom upotrebe informaciono-komunikacionih tehnologija (IKT) u svakodnevnom životu, kao i sa povećanjem broja usluga koje se građanima elektronski nude, neophodno je blagovremeno odgovoriti na izazove sajber bezbednosti. Takođe, konstantno praćenje regulatornih novina i razvoja ovog dinamičnog sektora ključno je za održavanje konkurentnosti na tržištu.
Usklađenost sa novim Zakonom o informacionoj bezbednosti, a posredno i sa NIS2 Direktivom i njenim zahtevima, predstavljaće ozbiljan izazov za kompanije, ali i značajan korak ka većoj bezbednosti u digitalnom okruženju. To će obezbediti bezbedniju upotrebu digitalnih usluga, smanjiti rizik od incidenata i stvoriti uslove za privlačenje investicija u IKT sektor.
Iako će kompanije u Republici Srbiji morati da ulože dodatne resurse i ispune nove zakonske obaveze, što će zahtevati adekvatnu podršku i vođenje, ovaj proces će doprineti njihovoj konkurentnosti, kao i poverenju potrošača i korisnika, što je ključno za integraciju u evropski ekonomski prostor.
