Šta nam donose izmene Zakona o informacionoj bezbednosti
Srbija će do jeseni dobiti unapređeni Zakon o informacionoj bezbednosti i bolju zaštitu podataka građana i privrede. Izmene zakona neophodne su zbog nove direktive Evropske unije u ovoj oblasti, koja je usvojena krajem prošle godine, a rok za usklađivanje je oktobar 2024.
Dosadašnji rad na izradi nacrta izmena zakona i planirane novine, predstavljeni su na današnjem sastanku u NALED-u, članovima Saveza za eUpravu, predstavnicama Mreže za sajber bezbednost i drugih organizacija zainteresovanih za unapređenje bezbednosti IKT sistema u Srbiji.
Zamenik šefa radne grupe za izmene zakona i šef Odseka za regulativu u oblasti informacionog društva u Ministarstvu informisanja i telekomunikacija Milan Vojvodić istakao je da na unapređenju ovog propisa radi čak 20 organa i organizacija odnosno 57 članova.
Osim Ministarstva informisanja i telekomunikacija i ministarstava unutrašnjih poslova i odbrane, u radnoj grupi su i Narodna banka Srbije, Kancelarija za IT i eUpravu, bezbednosne službe, RATEL, Poverenik za informacije od javnog značaja, Generalni sekretarijat Vlade i Kancelarija Saveta za nacionalnu bezbednost. Tu su i NALED, SKGO, Privredna komora Srbije, Savet stranih investitora, RNIDS, Mreža sa sajber bezbednost i obrazovne institucije.
Na sastanku je istaknuto da je jedna od glavnih novina definisanje koji su operateri IKT sistema prioritetni i važni, kako ih deli i evropska direktiva. Među prioritetnima planirano je da budu sva srednja i velika preduzeća koja posluju u oblastima od suštinskog značaja za građane i funkcionisanje države kao što su energetika, saobraćaj, bankarstvo, zdravstvo, voda i dr. Među prioritetnima, između ostalih, su i oni koji pružaju telekomunikacione usluge i usluge od poverenja, državni organi i operateri kritične infrastrukture.
Svi oni biće obavezni da najmanje dva puta godišnje proveravaju usklađenost svojih sistema sa predviđenim merama zaštite od sajber napada dok će tzv. važni operateri tu obavezu imati najmanje jednom godišnje.
Kada je reč o incidentima, nove odredbe predviđaće donošenje nacionalnog plana reagovanja na incidente koji značajno ugrožavaju informacionu bezbednost, a operateri će biti obavezni da izveštavaju Nacionalni CERT o incidentima, kao i korisnike. Takođe, prioritetni operateri će biti obavezni da dostavljaju i statistiku o izbegnutim incidentima kako bi se dobilo više informacija kakvim su sve pretnjama izloženi IKT sistemi.
Još jedno poboljšanje aktuelnog Zakona o informacionoj bezbednosti tiče se ojačane uloge Regulatornog tela za elektronske komunikacije i poštanske usluge – Nacionalnog CERT-a. U saradnji sa IKT sistemima od posebnog značaja, na njihov zahtev, CERT će moći da proverava ranjivost njihovih sistema, kao i da sam, uz prethodno obaveštenje operateru, vrši neintruzivno skeniranje mreža i IKT sistema koji su javno dostupni.
Takođe, važna izmena je i uspostavljanje i održavanje Baze ranjivosti IKT proizvoda i usluga u Nacionalnom CERT-u. Sva fizička i pravna lica, kao i proizvođači, dobavljači i pružaoci usluga u IKT sistemu moći će da prijave ranjivosti i zasad će to prijavljivanje biti na dobrovoljnoj bazi.
Očekuje se da nacrt zakona bude gotov do sredine jula, a jedno od većih pitanja koje je ostalo da se reši jeste da li je potrebno formirati agenciju za informacionu bezbednost i koje bi bile njene nadležnosti, kao i pitanje usklađivanja ovog zakona sa drugim propisima. Pred poslanicima skupštine, izmene bi mogle da se nađu na jesen i planirano je da se ostavi rok od šest meseci do godinu dana za punu primenu.
