Zakon o informacionoj bezbednosti donet je 2016. godine i time je prvi put uređena oblast bezbednosti u informaciono komunikacionim sistemima. Kako je ovaj Zakon donet pre usvajanja Direktive EU o merama za visok nivo bezbednosti mrežnih i informacionih sistema u Evropskoj uniji, on je u većem delu korespondirao sa ovom Direktivom. Međutim, izmenama i dopunama ovog zakona se pristupilo da bi se preostale odredbe uskladile sa Direktivom EU i unapredile postojeće. Tokom primene zakona uočena je potreba za intervenicijama i promenama normi čiji su nedostaci primećeni u praksi.

Spomenute izmene i dopune zakona doprineće boljoj komunikaciji svih subjekata iz oblasti informacione bezbednosti što znači da je jedna od ključnih novina uspostavljanje evidencije informaciono komunikacionog sistema (u daljem tekstu IKT) od posebnog značaja. Pored ovih izmena, poboljšava se način na koji Nadležni organ prima obaveštenja o incidentima uvođenjem Jedinstvenog sistema za prijem obaveštenja koji doprinosi efikasnosti celokupne komunikacije i brzom otklanjanju nastalih problema.

Pored navedenih izmena, radi bolje efikasnosti u radu Nacionalnog CERT-a jačaju se kapaciteti i to u vidu proširivanja stručnog osoblja i infrastrukture. Jačanjem kapaciteta doprinosi se uspostavljanju blagovremene i efikasne podrške u slučaju nastanka incidenata. Druga vrsta proširivanja oblasti rada Nacionalnog CERT-a jeste izrada analiza na osnovu statističkih podataka koje mu IKT dostavi a sve u cilju zaštite informacionih sistema.

ODREDBE ZAKONA KOJE SE USKLAĐUJU SA EU DIREKTIVOM

Izvršena je dopuna u oblasti informaciono komunikacionih sistema od posebnog značaja. Ovim dopunama se reguliše komunikacija digitalne infrastrukture i usluga informacionog društva. Taksativno se nabrajaju i preciziraju oblasti u kojima se koriste IKT sistemi od posebnog značaja kao i za šta se oni koriste.

Takođe je primećeno da je neophodno da se nadležni organ pre javnog objavljivanja obaveštenja o incidentu konsultuje sa operatorima IKT sistema od posebnog značaja koji je dostavio obaveštenje o incidentu.

Povodom usklađivanja sa EU Direktivom dopunjuju se odredbe o Nacionalnom CERT-u u pogledu nadležnosti i kapaciteta. Proširuju se nadležnosti Nacionalnog CERT-a i to u delokrugu poslova koji su se ranije vodili. Takođe zbog neophodnosti neprekidne dostupnosti svih usluga i obezbeđivanja kontinuiteta rada proširuju se kapaciteti u odnosu na zaposlene i infrastrukturu kojom raspolaže.

ODREDBE ZAKONA KOJE SE MENJAJU NA OSNOVU UOČENIH NEDOSTATKA U PRAKSI

Da bi se ostvarila saradnja i usklađenost prilikom obavljanja poslova u funkciji unapređenja informacione bezbednosti u rad Tela za koordinaciju poslova informacione bezbednosti uključuje se Narodna banka Srbije.

Jedna od ključnih novina jeste uvođenje Evidencije operatora IKT sistema od posebnog značaja. Ovim se uvodi obaveza Nadležnog organa da uspostavlja i vodi evidenciju gde se u samom Predlogu zakona taksativno nabraja njen sadržaj.

Kako bi se rešili neki raniji problemi, izmenama i dopunama zakona precizira se način obaveštavanja o incidentima koji ugrožavaju informacionu bezbednost. Obaveštavanje se vrši preko portala Nadležnog organa ili Nacionalnog CERT-a u jedinstveni sistem za prijem obaveštenja o incidentima. Pored navedenih organa za prijem obaveštenja o incidentima, izuzetno se navode i Narodna banka Srbije i Regulatorno telo za elektronske komunikacije gde su oni dužni da informacije proslede nadležnom organu. Ukoliko je reč o značajnom narušavanju informacione bezbednosti koje može imati posledicu ugrožavanja nacionalne bezbednosti takav incident se prosleđuje Bezbednosno informativnoj agenciji. Kako bi se izvršila distinkcija šta je značajno narušavanje bezbednosti određeni pojmovi su definisani u samom zakonu.

Zakonodavac predviđa da su operatori IKT sistema u obavezi da dostavljaju Nacionalnom CERT-u statističke podatke o incidentima koji mogu da imaju značajan uticaj na narušavanje informacione bezbednosti. Rokovi za dostavljanje podataka za prethodnu godinu su 28. februar tekuće godine.

Radi uspostavljanja kontinuirane saradnje svih CERT-ova u Srbiji, definisana je saradnja na svim nivoima (Nacionalni CERT, CERT organa vlasti i CERT-ovi samostalnih operatora IKT sistema). Ovom odredbom su predviđeni sastanci najmanje tri puta godišnje ali i po potrebi ukoliko dođe do značajnog ugrožavanja informacione bezbednosti u Republici Srbiji.

* NAPOMENA
Pojmovi i skraćenice koji se spominju u ovim izmenama i dopunama zakona, definisani su u samom delu uvoda gde se objašnjava značenje pojedinih pojmova. IKT predstavlja skraćenicu za informaciono komunikacioni sistem koji predstavlja tehnološko-organizacionu celinu. CERT predstavlja (Computer emergency response team) odnosno Centar za bezbednost informaciono-komunikacionih sistema organa. Incident predstavlja svaki događaj koji ima stvaran negativan uticaj na bezbednost mrežnih i informacionih sistema. Jedinstveni sistem za prijem obaveštenja o incidentima je informacioni sistem u koji se unose podaci o incidentima u IKT sistemima od posebnog značaja koji mogu da imaju značajan uticaj na narušavanje informacione bezbednosti.