Nakon što je Evropska unija 14. decembra 2022. usvojila NIS 2 direktivu, države članice su se obavezale da se usaglase i da je implementiraju u svoje pravne sisteme.
Kako Republika Srbija teži ulasku u Evropsku uniju, stekla se potreba da se novi Zakon o informacionoj bezbednosti takođe uskladi sa legislativnim okvirom EU.
Novine u odnosu na NIS 1 direktivu
U odnosu na prethodnu NIS 1 direktivu, novi okvir donosi izmenjenu klasifikaciju operatora prema kritičnosti, odnosno na essential i important. Dodatno, značajno se jača uloga CERT-ova, kao i nadzor nad primenom odredbi zakona i jačim kaznenim odredbama. Direktiva takođe predviđa izradu nacionalnog plana postupanja u slučaju velikih incidenata, objašnjava Andrej Nikitin, Business Development Manager kompanije Sky Express.
Novi Zakon o informacionoj bezbednosti
Načela zakona su ostala slična kao u prethodnom: pri izboru i primeni mera zaštite operatori treba da se vode načelima upravljanja rizikom, sveobuhvatnom zaštitom, stručnosti i dobre prakse, svesti i osposobljenosti, kontinuiranog poboljšanja i ravnopravnosti i nediskriminacije.
Prema novom Zakonu, IKT sistemi od posebnog značaja dele se na prioritetne i važne. Prioritetni IKT sistemi su oni bez kojih bi se mnoge funkcije u državi otežano obavljale. Glavna razlika između prioritetnih i važnih IKT sistema ogleda se u prekršajnoj normi koja je daleko veća za prioritetne IKT sisteme. Novi zakon proširuje oblasti koje spadaju pod prioritetne sisteme, pre svega na oblasti digitalne infrastrukture i upravljanje IKT uslugama koje se pružaju operatorima prioritetnih IKT sistema. Drugim rečima, svaki operator IKT sistema koji pruža usluge prioritetnom IKT sistemu, postaje prioritetni IKT sistem od posebnog značaja.
Analiza rizika i druge izmene
Proširuju se obaveze IKT sistema od posebnog značaja. Glavna novina se odnosi na obavezu donošenja Akta o proceni rizika. Ideja je da se na osnovu definisanih nivoa rizika IKT sistema donose adekvatne mere zaštite i da se Akt revidira jednom godišnje. Što se tiče evidencije IKT sistema od posebnog značaja, dodaje se novi tip podataka, odnosno operatori će biti dužni da dostavljaju podatke o svojim IP adresama. Takođe, proširuju se i mere zaštite IKT sistema od posebnog značaja.
U skladu sa NIS 2 direktivom, novi Zakon definiše i obaveze obaveštavanja o incidentima koji značajno narušavaju informacionu bezbednost. Operatori su dužni da prijave ovakvu vrstu incidenata u roku od 24 sata putem jedinstvenog sistema za prijem obaveštenja o incidentima koji održava nacionalni CERT.Kancelarija za informacionu bezbednost
Novi Zakon predviđa formiranje Kancelarije za informacionu bezbednost koja će preuzeti ključne poslove u Republici Srbiji po pitanju prevencije i zaštite od bezbednosnih rizika i incidenata, kao što su poslovi CERT-a, međunarodne saradnje i jedinstvene tačke kontakta, razvoj programa obuka i stručnog usavršavanja, vođenju baze ranjivosti.
Sky Express specijalizovani servisi
Sky Express tim nudi specijalizovane servise u pogledu usaglašavanja sa Zakonom o informacionoj bezbednosti, izradi Risk assesment-a, revizije Akta o bezbednosti i izradi obavezne dokumentacije.
