Novi zakon trebalo bi da omogući unapređenje informacione bezbednosti u Srbiji, pored ostalog i preciznijim određenjem načina postupanja u slučaju incidenta ili sajber pretnje.
Krajem 2022. godine, Evropska Unija usvojila je novu i unapređenu direktivu o informacionoj bezbednosti – skraćeno NIS 2. Usvajanje nove evropske direktive stvorilo je potrebu da se i u Srbiji usvoji novi zakon o IKT bezbednosti.
Nacrt novog zakona predstavljen je javnosti u julu 2023. godine i sprovedena je javna rasprava o nacrtu. Zakon je trebalo da bude usvojen u Skupštini Republike Srbije, ali je to odloženo zbog raspisivanja vanrednih parlamentarnih izbora krajem 2023. godine.
Novi zakon trebalo bi da omogući unapređenje informacione bezbednosti u Srbiji usvajanjem najsavremenijih evropskih regulatornih rešenja, redefinisanjem nadležnosti i preciznijim određenjem načina postupanja u slučaju incidenta ili sajber pretnje i jačanjem institucionalnog okvira u odgovoru na opasnosti u sajber svetu.
Zakon omogućava dalji razvoj IKT bezbednosti u Srbiji
Ocenjeno je da predloženi tekst zakona predstavlja zakonodavni osnov za dalji razvoj na polju unapređenja informacione bezbednosti na način kako se to čini u državama Evropske unije i omogućiće Republici Srbiji da dalje razvija mere u cilju zaštite IKT sistema i mreža radi adekvatnog odgovora na rastuće izazove na polju upotrebe informacionih tehnologija.
U smislu unapređenja institucionalnog okvira, predviđeno je osnivanje Kancelarije za informacionu bezbednost koja je određena kao posebna organizacija.
Kancelarija za informacionu bezbednost treba da preuzme poslove nacionalnog CERT-a, poslove CERT-a jedinstvene mreže državnih organa preko koje se vrše poslovi elektronske uprave, kao i druge nadležnosti u cilju unapređenja sveukupne informacione bezbednosti u zemlji.
Tu pripadaju i poslovi u vezi sa saradnjom nadležnih organa na nacionalnom nivou, sertifikacija IKT proizvoda, procesa i usluga, doprinos unapređenju obaveznih obuka državnih službenika i nameštenika angažovanih na poslovima u vezi sa bezbednošću IKT sistema i mreža, izrada metodologije za akt o proceni rizika i drugo.
Predviđeno je da Kancelarija bude potpuno operativna u smislu preuzimanja svih dodeljenih nadležnosti počev od 1. januara 2026. godine radi omogućavanja preuzimanja prava i obaveza, zaposlenih i sredstava za rad Nacionalnog CERT-a i očuvanja postojećih procesa do uspostavljanja kapaciteta nove institucije.
Operatori prioritetnih IKT sistema od posebnog značaja su operatori IKT sistema od ključnog značaja za održavanje kritičnih društvenih i ekonomskih aktivnosti čiji bi prekid ili poremećaj u pružanju usluga imao značajan uticaj na javnu bezbednost, javno zdravlje, funkcionisanje drugih sektora ili bi stvorio značajan sistemski rizik.
Svaki operator IKT sistema od posebnog značaja dužan je da donese Akt o bezbednosti IKT sistema. Njime se određuju mere zaštite, a naročito principi, način i procedure postizanja i održavanja adekvatnog nivoa bezbednosti sistema, kao i ovlašćenja i odgovornosti u vezi sa bezbednošću i resursima IKT sistema od posebnog značaja.
Kako je tekao razvoj zakonodavstva u EU i kod nas
Zbog neophodnost zakonskog uređenja oblasti bezbednosti Informaciono – komunikacionih Sistema, Evropska Unija donela je 2016. godine Direktivu o mrežnoj i informacionoj bezbednosti koja je obeležena skraćenicom NIS 1.
Države članice EU imale su obavezu da odredbe ove direktive unesu u svoja zakonodavstva. Takve obaveze preporučene su i zemljama koje su kandidati za pristupanje Uniji pa je iste godine svoj Zakon o informacionoj bezbednosti donela i Srbija.
Ovim zakonom propisane su mere zaštite od bezbednosnih rizika u informaciono – komunikacionim sistemima, odgovornosti pravnih lica prilikom upravljanja i korišćenja IKT sistema i određeni su nadležni organi za sprovođenje mera zaštite, koordinaciju između činilaca zaštite i praćenje pravilne primene propisanih mera zaštite.
Nova strategija o IKT bezbednosti
Naredne, 2017. godine doneta je Strategija razvoja informacione bezbednosti i Akcioni plan, kojima su usvojene mere koje se odnose na bezbednost IKT sistema, informacionu bezbednost građana, borbu protiv visokotehnološkog kriminala i informacionu bezbednost Republike Srbije.
2019. godine usvojene su i izmene i dopune ovog zakona, kojima je uspostavljena još bolja povezanost svih relevantnih aktera u oblasti informacione bezbednosti, jačanje kapaciteta Nacionalnog CERT-a i kontinuirana saradnja CERT-ova u Republici Srbiji.
CERT je skraćenica koja označava Centar za prevenciju bezbednosnih rizika u IKT sistemima, na engleskom – Computer Emergency Response Team. Nacionalni centar za prevenciju bezbednosnih rizika u IKT sistemima Republike Srbije osnovan je u okviru Regulatorne agencije za elektronske komunikacije i poštanske usluge – RATEL.
Nacionalni CERT vodi evidenciju posebnih CERT-ova. Poseban CERT je tim koji obavlja poslove prevencije i zaštite od bezbednosnih rizika u IKT sistemima u okviru određenog pravnog lica, grupe pravnih lica ili oblasti poslovanja i sl.
O značaju ovih aktivnosti svedoče i brojni incidentni događaji prethodnih godina, kao što su ransomver napadi na novosadsko javno preduzeće Informatika i Republički geodetski zavod, kao i nedavni napad na EPS.
Ovo napadi su ostali bez epiloga u pogledu utvrđivanja odgovornosti, a time i pouka u pogledu prevencije i efikasnije zaštite od takvih incidenata.
