Novi Zakon o informacionoj bezbednosti – šta je novo?

Novi Zakon o informacionoj bezbednosti donosi značajne izmene, kao i nove mere zaštite – kako za fizička, tako i za pravna lica. Pogledajmo koje.

Stari Zakon o informacionoj bezbednosti

Prethodni Zakon o informacionoj bezbednosti predviđao je obaveze u vezi sa zaštitom sistema od sajber-napada, obaveze prijavljivanja bezbednosnih incidenata, kao i izgradnju nacionalnih kapaciteta za upravljanje kriznim situacijama i prevenciju sajber-napada.

Međutim, sajber pretnje postaju sve suptilnije, razvijenije i češće kako se tehnologija ubrzano menja. Zato se pojavila i potreba za unapređenjem zakona i drugih propisa kako bi Srbija ostala usklađena sa najnovijim međunarodnim standardima. Osim toga, u procesu pridruživanja Evropskoj uniji, Republika Srbija je obavezna da uskladi svoje zakonodavstvo sa pravnim normama Evropske unije u svim oblastima, pa i oblasti informacionе bezbednosti.

Zašto se donosi novi Zakon o informacionoj bezbednosti?

Novi Zakon o informacionoj bezbednosti ima za cilj usklađivanje sa NIS2 Direktivom Evropske Unije. Njegova najvažnija uloga je da proširi i unapredi postojeće odredbe kako bi se moglo odgovoriti na sve složenije izazove u sajber okruženju.

Jedna od najvećih novina novog Zakona su sektori za koje se u prethodnom periodu nije činilo da je potrebna zaštita: proizvodnja hrane, automobilska industrija, upravljanje otpadom, poštanske usluge i naročito zdravstvo.

Stari Zakon o informacionoj bezbednosti je definisao IKT sisteme (informaciono-tehnološki sistemi) kao tehnološko-organizaciona celine koja obuhvataju: elektronske komunikacione mreže; uređaje ili grupe međusobno povezanih uređaja, takvih da se u okviru uređaja, odnosno u okviru barem jednog iz grupe uređaja, vrši automatska obrada podataka korišćenjem računarskog programa; podatke koji se vode, čuvaju, obrađuju, pretražuju ili prenose u svrhu njihovog rada, upotrebe, zaštite ili održavanja; organizacionu strukturu putem koje se upravlja IKT sistemom; sve tipove sistemskog i aplikativnog softvera i softverske razvojne alate.

Operator IKT sistema je pravno lice, organ vlasti ili organizaciona jedinica organa vlasti koji koristi IKT sistem u okviru obavljanja svoje delatnosti, odnosno poslova iz svoje nadležnosti.

Stari Zakon je praktično bio usmeren na državne organe i najvažnije infrastrukturne sisteme (energetika, telekomunikacije, finansije – sistemi eUprave i APR-a, bankarski sistemi i sl).

Novi Zakon o informacionoj bezbednosti deli IKT sisteme na prioritetne i važne.

Prioritetni IKT sistemi obuhvataju sve postojeće sisteme, ali se proširuju na javna komunalna preduzeća i privatne koncesionare koji se bave vodosnabdevanjem, upravljanjem otpadom, pružanjem IKT usluga drugima (npr. hosting, data centri, softverske platforme), sertifikaciona tela i pružaoci digitalnih identiteta(e-sertifikati, e-pečat…).

Usled njihovog javnog značaja, sajber-napad na njih bi mogao da ugrozi zdravlje stanovništva ili izazove domino efekat koji bi indirektno ugrozio druge važne sektore kao što su energetika, zdravstvo itd.

Prioritetni IKT sistemi novim zakonom dobijaju dodatne obaveze u pogledu informaciono-bezbednosnih mera (npr. imenovanje odgovornog lica za bezbednost, planovi za odgovor na incidente, saradnja sa nacionalnim telima za sajber bezbednost) i podležu strožem nadzoru i obaveznom izveštavanju u slučaju incidenata.

Važni IKT sistemi takođe moraju biti usklađeni sa novim propisima, a oni obuhvataju: poštanske usluge, proizvodnju računara, elektronskih i optičkih proizvoda, električne opreme, mašina i uređaja, motorna vozila, medicinskih uređaja.

Kancelarija za informacionu bezbednost, Nacionalni CERT i samostalni CERT-ovi

Novi zakon o informacionoj bezbednosti takođe uvodi Kancelariju za informacionu bezbednost kojom se jača uloga i nadležnosti Nacionalnog CERT-a (Centar za prevenciju bezbednosnih rizika). Svaki samostalni IKT sistem formira sopstveni CERT radi upravljanja incidentima u svojim sistemima. Samostalni operatori mogu da međusobno razmenjuju informacije o incidentima sa Kancelarijom za informacionu bezbednost, a po potrebi i sa drugim organizacijama.

Usklađivanje sa GDPR-om i ZZPL

Imajući u vidu da sajber-napadi makar kao sporednu štetu izazovu i povredu podataka o ličnosti, rok i procedura u Novom Zakonu usklađena je sa Uredbom EU i domaćim Zakonom o zaštiti podataka o ličnosti. Naime, operatori prioritetnih IKT sistema moraju da prijave svaki incident koji može imati značajan uticaj na informacionu bezbednost najkasnije u roku od 24 časa od trenutka kada za njega saznaju.

Prijava mora da sledi tačno propisanu proceduru i da sadrži precizno definisan skup podataka o incidentu (npr. priroda, obim, posledice i mere preduzete za sanaciju).

Dakle, pored potrebe da se spreči ili ublaži šteta po sisteme i podatke, vodi se računa i o zaštiti prava pojedinaca.

Koje su nove obaveze za pravna lica?

Novi Zakon o informacionoj bezbednosti, sa proširenjem oblasti koje smatra značajnim u kontekstu informacione bezbednosti, donosi obaveze za veliki broj kompanija koje takve obaveze nisu imale ranije. Bilo kroz interne sektore ili outsourcing, one će imati značajne obaveze na dnevnom nivou.

Operatorima će zakon nametnuti obavezno:

–       unapređenje bezbednosti podataka,

–       razvijanje planova reagovanja na incidente,

–       jačanje unutrašnjih procedura i odgovornosti.

Sve ovo povlači veće troškove budući da će kompanije morati da investiraju u jaču IT infrastrukturu i zaštitne sisteme, angažuju dodatne stručnjake za sajber bezbednost, obučavaju zaposlene za postupanje u kriznim situacijama.

Ovo je naročito je značajno kod pravnih lica iz prioritetnih sektora, koja moraju da obezbede kontinuitet poslovanja uz veliki fokus na otpornost na incidente.

Privredni subjekti će, naravno, biti i na dobitku, jer će pre svega imati veću bezbednost podataka, što će značiti i veći ugled i veće poverenje kako u domaćem poslovanju, tako i oko potencijalnih saradnji sa partnerima iz zemalja Evropske unije.

Kako novi Zakon o informacionoj bezbednosti štiti fizička lica?

Fizička lica su najčešće indirektne mete sajber napada, što ne znači da ne trpe direktnu štetu.

Sve novine koje donosi novi Zakon imaju u krajnjoj liniji bezbednost upravo fizičkih lica, njihove imovine, podataka, zdravstvenih kartona i tako dalje.

Ukoliko se Zakon o informacionoj bezbednosti dosledno implementira i sprovodi, građani će uživati veću zaštitu od sajber kriminala, i veću informacionu bezbednost uopšte.

Nivoi sajber rizika i opasnosti

Novi zakon kvalifikuje incidente u IKT sistemima prema nivou opasnosti koju oni izazivaju po informacionu bezbednost, i razlikovaće se osnovni, srednji, visok i veoma visok nivo. Zavisno od nivoa incidenta, Kancelarija za informacionu bezbednost priprema preporuke i mere za rešavanje incidenta.

Takođe, Zakon najavljuje donošenje dodatnih podzakonskih akata koji će definisati proceduru i korake koje je potrebno preduzeti kod svakog nivoa opasnosti.

Kaznene odredbe

Prekršaji kod Zakona o informacionoj bezbednosti mogu biti različiti – od  nedonošenja akta o proceni rizika ili akta o bezbednosti, preko propusta u primeni mera, do neizveštavanja o incidentima. Kazne su u rasponu od 50.000 dinara, pa sve do 2.000.000 dinara, zavisno od samog prekršaja ali i kategorije IKT sistema: da li je on prioritetan ili važan.

Zaključak

Novi Zakon o informacionoj bezbednosti postavlja znatno više standarde zaštite podataka i infrastrukture nego ranije. Time Srbija pravi korak ka usklađivanju sa evropskim propisima i jačanju otpornosti na sajber pretnje.

U praksi to znači da veliki broj pravnih lica, i iz sektora koji do sada nisu bili obuhvaćeni, sada mora da uvede jasne procedure, tehničke i organizacione mere zaštite, kao i planove za reagovanje u slučaju incidenata.

Zbog složenosti novih pravila, privrednim subjektima se preporučuje da blagovremeno izvrše analizu svojih IKT sistema, usklade interne akte i procedure sa zakonskim zahtevima, i obezbede stručnu podršku kako bi osigurali kontinuitet poslovanja i izbegli visoke kazne.

 

Advokatska kancelarija Petrović Mojsić & Partners  o