Јавна расправа о Нацрту закона о информационој безбедности до 30. августа

Министарство информисања и телекомуникација је 27. јула 2023. године упутило Нацрт закона о информационој безбедности на јавну расправу, која ће трајати до 30. августа 2023. године. Предложени текст представља резултат рада Радне групе која је формирана 20. априла 2023. године с циљем да унапреди постојећа законодавна решења у односу на последње измене регулативе ЕУ. Иницијално, Радна група формирана је са задатком да припреми измене и допуне постојећег Закона о информационој безбедности, међутим, током њеног рада, установљено је да постоје услови за обимније измене регулаторног оквира и израђен је нацрт новог законског текста.

Нацртом закона успоставља се законодавни оквир за остварење три циља утврђена стратешким документима и задатком радне групе, а то су: усклађивање са новом Директивом ЕУ o мерама за високи ниво сајбер безбедности (НИС 2) која је усвојена у децембру 2022. године, успостављање темеља за развој оквира и шема за сертификацију ИКТ производа, услуга и процеса у складу са Актом (ЕУ) о сајбер безбедности из 2019. године и унапређење институционалног оквира. У том смислу, најзначајније измене односе се на увођење разликовања између оператора ИКТ система од посебног значаја на приоритетне и важне, где се приоритетним сматрају они оператори чији су системи од кључног значаја за одржавање критичних друштвених и економских активности чији би прекид или поремећај у пружању услуга имао значајан утицај на јавну безбедност, јавно здравље, функционисање других сектора или би створио значајан системски ризик. Такође, послови националног ЦЕРТ-а су проширени, прецизирана је обавеза пријаве инцидената, редефинисана надлежност органа који се баве пословима информационе безбедности и предузете друге мере у циљу ефикаснијег и адекватнијег одговора на сајбер претње и инциденте.

У смислу унапређења институционалног оквира, предвиђено је оснивање Канцеларије за информациону безбедност која је одређена као посебна организација. Канцеларија за информациону безбедност треба да преузме послове националног ЦЕРТ-а, послове ЦЕРТ-а јединствене мреже државних органа преко које се врше послови електронске управе, као и друге надлежности у циљу унапређења свеукупне информационе безбедности у земљи, као што су послови у вези са сарадњом надлежних органа на националном нивоу, послови у вези са сертификацијом ИКТ производа, процеса и услуга, допринос унапређењу обавезних обука државних службеника и намештеника ангажованих на пословима у вези са безбедношћу ИКТ система и мрежа, израда методологије за акт о процени ризика и друго. Предвиђено је да Канцеларија буде потпуно оперативна у смислу преузимања свих додељених надлежности почев од 1. јануара 2026. године ради омогућавања преузимања права и обавеза, запослених и средстава за рад Националног ЦЕРТ-а и очувања постојећих процеса до успостављања капацитета нове институције.

Нови Нацрт закона омогућиће унапређење информационе безбедности у земљи усвајањем најсавременијих европских регулаторних решења, редефинисањем надлежности и прецизнијим одређењем начина поступања у случају инцидента или сајбер претње и јачањем институционалног оквира у одговору на опасности у сајбер свету.

Предложени текст представља законодавни основ за даљи развој на пољу унапређења информационе безбедности на начин како се то чини у државама Eвропске уније и омогућиће Републици Србији да даље развија мере у циљу заштите ИКТ система и мрежа ради адекватног одговора на растуће изазове на пољу употребе информационих технологија.