ANALIZA EFEKATA ZAKONA
Problemi koje akt treba da reši
Predmetni zakon predstavlja okvir za uređenje bezbednosti informaciono-komunikacionih sistema u Republici Srbiji. Ovim zakonom se uređuju mere zaštite od bezbednosnih rizika u informaciono-komunikacionim sistemima, odgovornosti pravnih lica prilikom upravljanja i korišćenja informaciono-komunikacionih sistema i određuju se nadležni organi za sprovođenje mera zaštite, koordinaciju između činilaca zaštite i praćenje pravilne primene propisanih mera zaštite.
Upotreba informaciono-komunikacionih tehnologija (IKT) od strane države, privrede i građana je u porastu, i sve više poslova i aktivnosti se zasniva na njihovom korišćenju. Prema podacima Republičkog zavoda za statistiku, objavljenim u okviru dokumenta „Upotreba informaciono-komunikacionih tehnologija u Republici Srbiji, 2015”, utvrđeno je da 100% preduzeća na teritoriji Republike Srbije koristi računar u svom poslovanju, da 99,1% preduzeća ima internet priključak, a 98,0% ima širokopojasnu (broadband) internet konekciju. Prema istom izvoru, 94,5% preduzeća koristi elektronske servise javne uprave. Sa druge strane, 64,4% domaćinstava poseduje računar, 63,8% domaćinstava poseduje internet priključak, a 56% domaćinstava u Srbiji ima širokopojasnu (broadband) internet konekciju. Takođe, preko 1.500.000 lica koristi elektronske servise javne uprave, a preko 1.220.000 lica kupovalo je ili poručivalo robu/usluge putem interneta u poslednjih godinu dana.
Razvoj novih tehnologija donosi nesumnjive koristi za društvo, jer se njime omogućava značajno smanjenje troškova, poslovni procesi se automatizuju, olakšavaju i ubrzavaju, brojne informacije postaju dostupne, a mogućnosti komunikacije se znatno proširuju. Brzina razvoja tehnologija je velika, i u kratkim vremenskim intervalima tehnologije napreduju i sadrže nove i naprednije funkcionalnosti. Paralelno sa razvojem novih tehnologija, na globalnom nivou rastu i pretnje njihovoj bezbednosti. Prema navodima iz Strategije informacione bezbednosti Evropske unije (Cybersecurity Strategy of the European Union), visokotehnološki kriminal je vrsta kriminala koja je u najvećem porastu, a milion ljudi svakodnevno bude žrtva napada. Prema podacima Ministarstva unutrašnjih poslova, u 2013. godini otkriveno je 855 krivičnih dela u oblasti visokotehnološkog kriminala, a u 2014. godinu otkriveno je 780 krivičnih dela. Preovlađujući oblik ovog kriminala čine falsifikovanje i zloupotreba platnih kartica. Izveštaji institucija koji vrše poslove informacione bezbednosti u IKT sistemima republičkih organa, odnosno naučnoistraživačkoj i obrazovnoj zajednici, govore da su napadi u Republici Srbiji u porastu, pri čemu se ističe da su napadi na mrežu republičkih organa svakodnevni. Narušavanje informacione bezbednosti može da izazove veliku štetu po bezbednost Republike Srbije, imovinu (javnu i privatnu), lične podatke građana i drugo. Povezanost računara i sistema putem Interneta utiče da oni budu ranjiviji i ugroženiji, kao i na mogućnost napada sa bilo koje lokacije u svetu. Prevencija, i zaštita IKT sistema, kao i međusobna saradnja u ovom polju u Republici Srbiji postoje u određenom broju državnih i privatnih subjekata, ali se često vrše na osnovu pojedinačnih inicijativa. Neophodno je da se koordinacija poboljša, i to ne samo na nacionalnom nivou, već i međudržavnom, imajući u vidu da mnogi incidenti u IKT sistemima imaju prekogranični karakter. Osim u pojedinim oblastima gde postoje posebni propisi (u oblasti zaštite tajnih podataka, elektronskih komunikacija, u poslovima finansijskih institucija), nije regulisana obaveza za utvrđivanje mera koje su neophodne da se preduzmu u cilju zaštite IKT sistema. Organi javne vlasti, lica koja obrađuju naročito osetljive podatke o ličnosti i pravna lica koja obavljaju delatnosti od opšteg interesa moraju da povećaju svoju otpornost na ugrožavanje informacione bezbednosti, jer su poslovi koji vrše od velikog značaja, a njihovo neometano funkcionisanje sve više zavisi od novih tehnologija. U pojedinim delatnostima od opšteg interesa, upotreba IKT sistema je neophodna za vršenje tih delatnosti, te bi ugrožavanje sistema moglo da izazove velike smetnje u obavljanju vitalnih funkcija i prouzrokuje značajnu štetu po državu i njene građane. Pored toga, potrebno je povećati nivo informisanosti o incidentima, na nacionalnom i globalnom nivou, jer se tako širenje incidenata može zaustaviti, ili smanjiti. Takođe, smatra se da je, putem edukacije, potrebno povećati društvenu svest, odnosno svest građana, o opasnostima koje mogu da naruše informacionu bezbednost.
Ciljevi koji se aktom postižu
Aktom se informaciona bezbednost reguliše na sistemski način, uz nameru da se odrede nadležni organi u ovoj oblasti i postigne da organi javne vlasti, subjekti koji obrađuju naročito osetljive podatke o ličnosti i subjekti koji obavljaju delatnosti od opšteg interesa (operatori IKT sistema od posebnog značaja) preduzmu adekvatne tehničke i organizacione mere zaštite svojih IKT sistema. Utvrđuje se nadležni organ za informacionu bezbednost u RS, koji će pripremati podzakonske akte na osnovu ovog zakona, vršiti međunarodnu bilateralnu i multilateralnu saradnju na polju bezbednosti IKT sistema i vršiti nadzor nad primenom ovog zakona. Zakonom je predviđeno da ovi subjekti moraju da imaju akt o bezbednosti IKT sistema, kojim se određuju mere zaštite IKT sistema, a naročito principi, način i procedure postizanja i održavanja adekvatnog nivoa bezbednosti ovog sistema, kao i ovlašćenja i odgovornosti u vezi sa ovom bezbednošću i resursima tog sistema. Time se postiže da se poveća bezbednost IKT sistema i unapredi pripremljenost za reagovanje na incidente u onim subjektima koji vrše poslove čija priroda i sadržaj zahtevaju odgovarajući nivo zaštite IKT sistema. Strategijom informacione bezbednosti Evropske unije istaknuto je da je, u cilju unapređenja otpornosti na napade u IKT sistemima, neophodno da javni sektor razvije svoje kapacitete.
S obzirom na globalnu umreženost računara, većina incidenata u IKT sistemima ima međunarodni karakter, a napadi se mogu vršiti sa teritorija različitih država (kao, na primer, putem botnet mreža, gde napadnuti i zaraženi računar postaje računar sa koga se dalje šire napadi) i pričinjavati štetu koja nije ograničena samo na jednu zemlju. U slučajevima ovakvih napada, kvalitetna komunikacija između država doprinosi da se incidenti zaustave i umanje, a počinioci otkriju i onesposobe. Predmetni zakon predviđa da je nadležni organ za informacionu bezbednost u RS dužan da održava međunarodnu bilateralnu i multilateralnu saradnju, a pogotovo da pruži rana upozorenja o rizicima i incidentima koji ispunjavaju najmanje jedan od sledećih uslova: 1) brzo rastu ili imaju tendenciju da postaju visoki rizici, 2) prevazilaze ili mogu da prevaziđu nacionalne kapacitete, 3) mogu da imaju negativan uticaj na više od jedne države.
Pored toga, ovim zakonom se u okviru RATEL-a uspostavlja Nacionalni centar za prevenciju i zaštitu od bezbednosnih rizika u IKT sistemima u Republici Srbiji (Nacionalni CERT), koji prati stanje o incidentima o nacionalnom nivou, obaveštava relevantna lica o rizicima i incidentima, reaguje po prijavljenim incidentima, izrađuje analize rizika i incidenata i podiže svest društva o značaju informacione bezbednosti. Jedna od važnih funkcija Nacionalnog CERT-a je i saradnja sa istim institucijama iz drugih zemalja. Imajući u vidu da incidenti u IKT sistemima najčešće imaju prekogranični karakter, odnosno da se dešavaju na teritoriji više zemalja, međusobna saradnja CERT-ova je od izuzetnog značaja, kako bi se međusobnom razmenom informacija uspešno odgovorilo na incidente. Republika Srbija je jedna od malobrojnih evropskih država koja nema Nacionalni CERT, što znatno otežava prikupljanje informacija o incidentima i reagovanje na njih. Formiranje ove institucije predviđeno je Strategijom razvoja informacionog društva u Republici Srbiji.
Zakonom se reguliše i oblast kriptozaštite i zaštite od kompromitujućeg elektromagnetnog zračenja (KEMZ). Mere kriptozaštite primenjuju se radi zaštite integriteta, autentičnosti i neporecivosti podataka. Kriptografski proizvodi koji se koriste za zaštitu prenosa i čuvanja podataka koji su određeni kao tajni, moraju da budu verifikovani i odobreni za korišćenje, imajući u vidu svojstva podataka koji se prenose i čuvaju, te se zakonom reguliše izdavanje odobrenja za kriptografski proizvod.
Razmatrane mogućnosti da se problem reši i bez donošenja akta
Imajući u vidu sadržinu Zakona, koji određuje nadležnosti organa, obaveze u pogledu zaštite IKT sistema, nadzor nad primenom zakona i druge odredbe, bilo je neophodno da se ova oblast uredi zakonom. Strategijom razvoja informacionog društva u Republici Srbiji do 2020. godine („Službeni glasnik RS” broj 51/10) u poglavlju III. Oblasti i prioriteti strategije predviđeni su prioriteti u šest oblasti informacionog društva. U okviru oblasti informacione bezbednosti predviđena su četiri prioriteta: Unapređenje pravnog i institucionalnog okvira za informacionu bezbednost, zaštita kritične infrastrukture, borba protiv visokotehnološkog kriminala, naučno-istraživački i razvojni rad u oblasti informacione bezbednosti. Konkretni ciljevi predviđeni prioritetom 6.1. Unapređenje pravnog i institucionalnog okvira za informacionu bezbednost podrazumevaju da je potrebno doneti propise iz informacione bezbednosti, kojima će se dodatno urediti standardi informacione bezbednosti, područja informacione bezbednosti, kao i nadležnosti i zadaci pojedinih institucija u ovoj oblasti.
Zašto je donošenje akta najbolji način za rešavanje problema
Zakonom se obavezuju operatori IKT sistema od posebnog značaja da preduzmu mere zaštite u svojim IKT sistemima, što je veoma važno kako bi se obezbedilo da ti sistemi budu preventivno zaštićeni i spremni za reakciju u slučaju incidenata. Utvrđuje se nadležni organ za informacionu bezbednost u RS, koji će pripremati podzakonske akte na osnovu ovog zakona, vršiti međunarodnu bilateralnu i multilateralnu saradnju na polju bezbednosti IKT sistema i vršiti nadzor nad primenom ovog zakona. Uspostavljanjem Nacionalnog CERT-a doprineće se unapređenju reakcije na incidente, podizanju stepena obaveštenosti i svesti o incidentima u IKT sistemima i vršiti edukacija. Takođe, Zakonom se utvrđuje nadležnost organa u oblasti kriptobezbednosti i zaštite od KEMZ-a.
Na koga će i kako će najverovatnije uticati rešenja u zakonu
Budući da informaciona bezbednost znači zaštitu sistema, podataka i infrastrukture u cilju očuvanja poverljivosti, integriteta i raspoloživosti informacija, primena zakona će imati uticaj na sve građane, organe javne vlasti i privredne subjekte koji koriste informaciono-komunikacione tehnologije. Naime, zakonskim rešenjima postiže se poverenje korisnika u bezbedno funkcionisanje IKT sistema, poverenje građana u zaštićenost podataka o ličnosti u IKT sistemima, širenje svesti o neophodnosti sprovođenja mera informacione bezbednosti, zaštita podataka, zaštita IKT sistema, bezbednost elektronskih transakcija, efikasni mehanizmi zaštite i ostvarivanje prava u procesima elektronskog poslovanja i elektronske razmene podataka.
Zakon određuje IKT sisteme od posebnog značaja u Republici Srbiji. To su IKT sistemi koji se koriste u obavljanju poslova u organima javne vlasti, IKT sistemi za obradu podataka koji se, u skladu sa zakonom koji uređuje zaštitu podataka o ličnosti, smatraju naročito osetljivim podacima o ličnosti i IKT sistema u obavljanju delatnosti od opšteg interesa. Rešenja u zakonu će uticati na ova pravna lica, odnosno organe (operatore IKT sistema od posebnog značaja) tako što će oni biti dužni da preduzmu adekvatne tehničke i organizacione mere zaštite svojih IKT sistema i da donesu akt o bezbednosti IKT sistema, kojim se navedene mere zaštite određuju. Merama zaštite IKT sistema se obezbeđuje prevencija od nastanka incidenata, odnosno prevencija i minimizacija štete od incidenata koji ugrožavaju vršenje nadležnosti i obavljanje delatnosti, a posebno u okviru pružanja usluga drugim licima, čime se obezbeđuje adekvatna zaštita subjekata regulacije u domenu informacione bezbednosti. Operatori IKT sistema od posebnog značaja moći će da povere aktivnosti u vezi sa svojim IKT sistemom trećim licima, pri čemu će morati da urede odnos sa tim licima tako da se obezbedi preduzimanje mera zaštite IKT sistema u skladu sa zakonom. Operatori IKT sistema od posebnog značaja biće dužni da obaveštavaju Nadležni organ (ministarstvo nadležno za poslove informacionog društva) o incidentima u IKT sistemima koji mogu da imaju značajan uticaj na narušavanje informacione bezbednosti.
U glavi zakona koja se odnosi na kriptobezbednost i zaštitu od kompromitujućeg elektromagnetnog zračenja (KEMZ) određeno je da se, ukoliko je u okviru IKT sistema predviđeno rukovanje podacima koji su određeni kao tajni, u skladu sa zakonom, u IKT sistemu, radi sprečavanja narušavanja informacione bezbednosti, primenjuju mere zaštite od KEMZ-a. Takođe, mere kriptozaštite primenjuju se kada se tajni podaci prenose sredstvima elektronske komunikacije izvan bezbednosne zone koja je utvrđena za čuvanje i postupanje sa odgovarajućim podacima.
Kakve troškove će primena zakona stvoriti građanima i privredi (naročito malim i srednjim preduzećima)
Primena Zakona neće stvoriti troškove građanima. Privrednim subjektima koji su operatori IKT sistema od posebnog značaja se nameću određene obaveze ovim zakonom. Za privredne subjekte koji su uspostavili sistem upravljanja informacionom bezbednošću u skladu sa međunarodnim standardima i dobrom praksom u ovoj oblasti, ne očekuje se da primena zakona izazove značajne troškove.
Privredni subjekti koji predstavljaju operatore IKT sistema od posebnog značaja, a koji do sada nisu uspostavili odgovarajući sistem upravljanja informacionom bezbednošću imaće određene troškove za ispunjenje zakonskih obaveza koji se ogledaju u eventualnom dodatnom tehnološkom opremanju, obuci zaposlenih, angažovanju novih stručnjaka i slično. Precizni iznosi dodatnih troškova za navedene subjekte variraju u velikom rasponu, budući da isti zavise od više faktora koji mogu da budu veoma različiti u različitim privrednim subjektima. Naime, koliko će finansijskih sredstava za primenu zakona izdvojiti ovi privredni subjekti zavisi od njihove veličine, odnosno broja zaposlenih, tehnološke opremljenosti (posedovanje računarske opreme, informacionog sistema), obučenosti zaposlenih za korišćenje informacionih tehnologija u domenu informacione bezbednosti, i drugih faktora od kojih funkcionisanje informacione bezbednosti zavisi u jednom privrednom subjektu. Shodno navedenom, nije moguće dati ni tačne, ni okvirne iznose po privrednom subjektu.
U obrazloženju Predloga zakona, odeljku IV Finansijska sredstva, prikazani su troškovi za realizaciju zakona u naredne dve godine, koji će se finansirati iz Budzeta Republike Srbije.
Da li su pozitivne posledice donošenja zakona takve da opravdavaju troškove koje će on stvoriti
Nesporno je da će donošenje Zakona o informacionoj bezbednosti dovesti do pozitivnih posledica, uređenja, razvoja i unapređenja informacione bezbednosti u Republici Srbiji, i da su troškovi koje će primena zakona stvoriti u potpunosti opravdani.
Zakonom se uspostavlja institucionalni okvir u Republici Srbiji, kojim se obezbeđuje očuvanje bezbednosti IKT sistema, tako što se određuju nadležne institucije i definiše delokrug njihovog rada u oblasti informacione bezbednosti (nadležni organ za IB, Nacionalni CERT, CERT republičkih organa, ministarstvo nadležno za poslove odbrane).
Uloga nadležnih institucija koja se definiše ovim zakonom sastoji se u prevenciji, zaštiti, očuvanju i nesmetanom funkcionisanju IKT sistema na teritoriji Republike Srbije.
Troškovi koji nastaju donošenjem zakona su neophodni za jačanje uloge državnih institucija u ovoj oblasti i primenu zakona u potpunom obimu, kako bi se njihovi poslovi obavljali na način koji će omogućiti održavanje adekvatnog nivoa informacione bezbednosti u Republici Srbiji.
Takođe, zakonska rešenja koja se tiču IKT sistema od posebnog značaja predviđaju obaveze ovih sistema da preduzmu mere zaštite IKT sistema, kojim se obezbeđuje prevencija od nastanka incidenata, odnosno prevencija i minimizacija štete od incidenata koji ugrožavaju vršenje nadležnosti i obavljanje delatnosti, a posebno u okviru pružanja usluga drugim licima, odnosno donesu Akt o bezbednosti IKT sistema kojim se određuju mere zaštite, a naročito principi, način i procedure postizanja i održavanja adekvatnog nivoa bezbednosti sistema, kao i ovlašćenja i odgovornosti u vezi sa bezbednošću i resursima IKT sistema od posebnog značaja.
Primena zakona kojim se operatorima IKT sistemima od posebnog značaja propisuju navedene obaveze su od posebne važnosti, budući da se ovi IKT sistemi koriste u obavljanju poslova u organima javne vlasti, za obradu naročito osetljivih podataka o ličnosti i u obavljanju delatnosti od opšteg interesa.
Zakonska rešenja koja utvrđuju ulogu nadležnih institucija u domenu informacione bezbednosti, kao i uvođenje obaveza operatorima IKT sistema od posebnog značaja, stvara koristi koje se ogledaju u očuvanju bezbednosti IKT sistema, nacionalne bezbednosti, zaštiti osnovnih ljudskih prava, ličnih podataka i privatnosti koji su garantovani međunarodnim i nacionalnim pravnim aktima.
Troškovi koji će se stvoriti primenom ovog zakona su nužni i neophodni, imajući u vidu da narušavanje informacione bezbednosti može da izazove veliku štetu po nacionalnu bezbednost, funkcionisanje organa javne vlasti i privrednih subjekata, lične podatke, imovinu i druga dobra, kao i porast visokotehnološkog kriminala, neophodno je preduzeti preventivne mere u cilju zaštite od incidenata, i, u slučaju incidenta, reagovati na brz i efikasan način. Da bi se to postiglo, važno je obezbediti da IKT sistem zaštiti tajnost, integritet, raspoloživost, autentičnost i neporecivost podataka kojima se rukuje putem tog sistema, da bi taj sistem funkcionisao kako je predviđeno, kada je predviđeno i pod kontrolom ovlašćenih lica. S obzirom na značaj informacione bezbednosti, troškovi koji će nastati radi primena mere zaštite su nužni i opravdani, jer je nesporno da IKT sistemi moraju da budu zaštićeni i da troškovi koji nastanu predstavljaju ulaganje koje treba da donese opštu korist. Eventualne štete koje bi se desile narušavanjem informacione bezbednosti u mnogim slučajevima bi mogle da daleko premaše visinu ulaganja u bezbednost IKT sistema.
Da li se zakonom podržava stvaranje novih privrednih subjekata na tržištu i tržišna konkurencija
Kao što je navedeno, Zakonom je planirano da se urede mere zaštite od bezbednosnih rizika u IKT sistemima u Republici Srbiji. Očekuje se da će se zbog toga javiti potreba za nabavljanjem proizvoda, odnosno usluga koje će, pored ostalih funkcija, služiti i za zaštitu ovih sistema. Usled toga, procenjuje se da će primena ovog zakona uticati na razvoj tržišta IKT proizvoda i usluga u oblasti informacione bezbednosti, što će dovesti i do prisustva većeg broja učesnika na tržištu odnosno veće tržišne konkurencije u toj oblasti.
Da li su sve zainteresovane strane imale priliku da se izjasne o zakonu
Ministarstvo trgovine, turizma i telekomunikacija sprovelo je javnu raspravu o Nacrtu zakona o informacionoj bezbednosti u periodu od 3. do 23. jula 2015. godine, na osnovu zaključka Odbora za privredu i finansije Vlade 05 Broj: 011-7073/2015-1 od 2. jula 2015. godine. Nacrt zakona je objavljen na sajtu Ministarstva trgovine, turizma i telekomunikacija www.mtt.gov.rs i portalu eUprava www.euprava.gov.rs. U okviru javne rasprave, održan je okrugli sto u Privrednoj komori Srbije 10. jula 2015. godine, koji je bio veoma uspešan i posećen. U javnoj raspravi učestvovali su predstavnici državnih organa, privrednog sektora, akademske zajednice, nevladinih organizacija i eminentni stručnjaci u ovoj oblasti. Ministarstvo je, tokom javne rasprave, putem Kancelarije za evropske integracije uputilo Nacrt zakona Evropskoj komisiji, radi pribavljanja ekspertize.
Tokom javne rasprave upućeni su sledeći komentari i sugestije na tekst Nacrta zakona:
Predstavnik „Društva za informatiku Srbije” istakao je da je potrebno utvrditi u zakonu odgovornosti rukovaoca (operatora) IKT sistema kao i da se Telu za koordinaciju poslova informacione bezbednosti daju jača, izvršena ovlašćenja. U vezi sa navedenom primedbom, konstatovano je da su Nacrtom zakona utvrđene obaveze operatora IKT sistema od posebnog značaja i njihova odgovornost, posebno u slučaju postupanja suprotno zakonu.
U vezi primedbe da se Telu za koordinaciju poslova daju jača ovlašćenja, konstatovano je da to Telo nije nova institucija, već skup predstavnika organa koji su relevantni u toj oblasti čija će neposredna saradnja i komunikacija obezbediti da se poslovi informacione bezbednosti vrše efikasno.
Tomislav Unkašević je izneo sugestiju da nije jasna uloga Tela za koordinaciju poslova informacione bezbednosti i predložio da se klasifikacija IKT sistema od posebnog značaja vrši na osnovu obima tog IKT sistema. U vezi primedbe na ulogu Tela za koordinaciju poslova informacione bezbednosti razjašnjena je uloga koju isto ima i značaj učešća saradnje i komunikacije u funkcionisanju istog. Primedba se klasifikacija IKT sistema od posebnog značaja vrši na osnovu obima tog IKT sistema nije usvojena, zakon precizirao koji su to sistemi koji spadaju u IKT sistema od posebnog značaja, pri tome ne ulazeći u pitanje obima tog IKT sistema.
Takođe, imenovani je istakao da Nacionalni CERT treba da ima operativniju ulogu, i da CERT republičkih organa treba da bude na hijerarhijski višem nivou u odnosu na predloženo rešenje iz Nacrta zakona. Stav predstavnika radne grupe, bio je da se uloga koja je Nacionalnom i republičkom CERT-u dodeljena Nacrtom zakona adekvatna i da je to model koji odgovara potrebama regulisanja informacione bezbednosti u RS.
Postavljeno je i pitanje gde je i kako definisano ko propisuje kriterijume koje kripotografski proizvod treba da ispuni kako bi se rešavalo o njihovom odobravanju, nakon čega je ukazano od strane predstavnika Ministarstva odbrane, da definisanje procedure i kriterijuma za evaluaciju kriptografskih bezbednosnih rešenja vrši Ministarstvo odbrane.
Predstavnik „Share fondacije“ predložio je da se u Telo za koordinaciju poslova informacione bezbednosti uključe i druga tela iz privrednog sektora i akademske zajednice, NVO i drugih, što je prihvaćeno, te je zakonskim rešenjem predložena da predstavnici ovog sektora mogu da budu u sastavu stručnih radnih grupa Tela za koordinaciju.
Od strane istog predstavnika predloženo je da se dopune i kaznene odredbe što je prihvaćeno i izvršena je dopuna članova koji regulišu kaznene odredbe.
Predloženo je takođe da se u članu 7. definiše dostavljanje podataka bezbednosnim službama i ministarstvu nadležnom za poslove unutrašnje politike samo po nalogu suda, međutim ovaj član zakona je brisan, imajući u vidu da je predmetna materija već uređena Zakonikom o krivičnom postupku i drugim propisima, tako da primedba nije od uticaja.
Sugestija, istog predstavnika, da se podaci o incidentima od strane operatora IKT sistema od posebnog značaja ne dostavljaju samo Nadležnom organu, već i Nacionalnom CERT-u, kao i da se osnaži uloga CERT nije prihvaćena budući da je stav radne grupe bio da se CERT-u ne daju veća ovlašćenja i odgovornosti od one koja je predviđena Nacrtom zakona.
Dat je predlog da se termin „rukovalac IKT sistema“ promeni, što je i prihvaćena, te je termin zamenjen terminom „operator IKT sistema“
Predstavnik Nacionalnog konventa o Evropskoj uniji smatrao je da je zakon uopšteno napisan, a naročito kod uređenja IKT sistema pod posebnog značaja. Povodom toga izvršene su izmene i dopunjene su odredbe koje se tiču IKT sistema od posebnog značaja, tako što su definisane mere zaštite IKT sistema kojima se obezbeđuje prevencija od nastanka incidenata, odnosno prevencija i minimizacija štete od incidenata koji ugrožavaju vršenje nadležnosti i obavljanje delatnosti. Prilikom definisanja mera uzeti su u obzir međunarodni standardi u oblasti informacione bezbednosti, kako je i sugerisano.
Isti predstavnik istakao je da su odredbe o Nacionalnom CERT-u adekvatno napisane.
Predstavnik „Društva za informacionu bezbednost“ napomenuo je da je pitanju kripotozaštite i zaštite od KEMZ-a dato previše prostora u Nacrtu zakona, kao i da bi lica koja obavljaju poslove u IKT sistemima morala biti sertifikovana. U vezi sa tim, ukazujemo da su Nacrtom zakona predviđene mere zaštite koje operatori IKT sistema moraju preduzeti u odnosu na zaposlena lica.
Predstavnik Registra nacionalnog Internet domena Srbije ponovio je da bi odredbe o dostavljanju podataka bezbednosnim službama i MUP-u morale da se dopune u smislu da se ti podaci mogu dostavljati uz nalog suda, s tim da je član 7. koje to pitanje reguliše brisan, iz razloga koji su gore navedeni, pa je samim tim primedba bez uticaja.
Predstavnik „Diplo fondacije“ istakao je da je previše obaveza dato ministarstvu nadležnom za informaciono društvo i da je potrebno osnažiti Nacionalni CERT.
Takođe je sugerisano da Telo za koordinaciju poslova informacione bezbednosti treba da sadrži i članove iz drugih struktura, što je i prihvaćeno i te je zakonskim rešenjem predloženo da predstavnici ovog sektora budu u sastavu stručnih radnih grupa Tela za koordinaciju.
Predstavnik kompanije „SBB” smatrao je da Nacrt zakona sadrži mnogo podzakonskih akata, što je prihvaćeno i smanjen je broj podzakonskih akata, tako što su umesto donošenja podzakonskog akta određene stavke regulisane u samom Zakonu.
U skladu sa navedenim komentari na tekst Nacrta zakona, izneti tokom javne rasprave, najčešće se odnose na nekoliko pitanja koje Nacrt zakona obuhvata. Istaknuto je da je donošenje ovog zakona veoma značajno i da ga je neophodno što pre doneti, s obzirom na potrebu da se informaciono-komunikacioni (IKT) sistemi u Republici Srbiji zaštite na način koji će omogućiti potreban nivo informacione bezbednosti. Iskazani su predlozi za izmenu i preciziranje definicija pojmova datih u Zakonu.
Više učesnika je upućivalo pitanje o tome na koje će se subjekte ovaj zakon odnositi, da li samo na državne organe, ili i na privredne subjekte. Predstavnici Ministarstva su na okruglom stolu ukazali da su članom 8. Nacrta zakona o informacionoj bezbednosti obuhvaćeni IKT sistemi koje koriste državni organi, ali i subjekti u privatnom sektoru.
Komentarisano je osnivanje Tela za koordinaciju poslova informacione bezbednosti, koje se osniva u skladu sa članom 62. Zakona o državnoj upravi („Službeni glasnik RS” broj 79/05, 101/07, 95/10 i 99/14) u cilju ostvarivanja saradnje i usklađenog obavljanja poslova u funkciji unapređenja informacione bezbednosti, i navedeno je da je potrebno ovom telu dati izvršna ovlašćenja, kao i da bi, pored državnih organa, u njegov rad trebalo uključiti predstavnike privrede, nevladinih organizacija i drugih subjekata, što je prihvaćeno i te je zakonskim rešenjem predloženo da predstavnici ovog sektora budu u sastavu stručnih radnih grupa ovog Tela.
U vezi sa članom 6, kojim se propisuje da su rukovaoci svih IKT sistema odgovorni za preduzimanje odgovarajućih mera informacione bezbednosti, napomenuto je da je odredba suviše uopštena i da nije regulisana odgovornost za njeno kršenje, te je ta odredba zakona brisana.
U pogledu člana 7, kojim se predviđa obaveza dostavljanja podataka od značaja za informacionu bezbednost, koji su službama bezbednosti i ministarstvu nadležnom za unutrašnje poslove potrebni pri obavljanju poslova iz njihove nadležnosti u skladu sa zakonom, sugerisano je da je neophodno izvršiti preciziranje tog člana, odnosno da se konkretno definiše koji se podaci dostavljaju, kao i da se predvidi da podaci mogu da se traže na osnovu odluke suda. Međutim, član 7. je brisan jer je obaveza dostavljanja podataka bezbedonosnim službama i ministarstvu zaduženom za unutrašnje poslove već regulisana Zakonikom o krivičnom postupku i Zakonom o elektronskim komunikacijama.
Takođe, navedeno je da se član 11, kojim se definiše poveravanje IKT sistema trećim licima treba detaljnije urediti, pre svega po pitanja regulisanja odnosa između operatora IKT sistema od javnog značaja i trećih lica u pogledu eventualne odgovornosti za štetu. Ukazujemo da je pitanje naknade štete uređeno opštim propisima koji se shodno primenjuju.
U pogledu odredaba zakona o Nacionalnom centru za prevenciju bezbednosnih rizika u IKT sistemima (Nacionalnom CERT-u), više učesnika je sugerisalo da bi Nacionalni CERT trebao da ima snažnija ovlašćenja, u smislu da mu je potrebno dati operativne nadležnosti. Međutim kako se Nacionalni CERT prvi put osniva ovim zakonom ideja je da njegova uloga bude sa tzv. mekim ovlašćenjima, te će se u praksi potom utvrditi da li je potrebno njegovu ulogu učiniti jačom ili ne.
Učesnici smatraju da je predviđeno malo kaznenih odredbi u Zakonu i da bi trebalo propisati više prekršajnih kazni, što je prihvaćeno i izvršene su izmene kaznenih odredbi u Nacrtu zakona.
Istaknute su primedbe na brojnost podzakonskih akata koji treba da se donesu na osnovu zakona, kao i na, kako se smatra, preduge rokove za donošenje podzakonskih akata, koji iznose 12 meseci od dana na stupanja na snagu ovog zakona. Prihvaćena je sugestija o smanjenju broju podzakonskih akata, te je broj istih smanjen tako što su umesto donošenja podzakonskog akta određene stavke regulisane u samom zakonu, međutim rok od 12 meseci za donošenje podzakonskih akata nije menjan, budući da je usled kompleksnosti materije koja se reguliše podzakonskim aktima procenjeno da je potreban rok od 12 meseci za donošenje istih.
Koje će se mere tokom primene zakona preduzeti da bi se ostvarilo ono što se donošenjem zakona namerava
Institucionalne mere potrebno je preduzeti u sledećim organima:
Nadležni organ (ministarstvo nadležno za poslove informacione bezbednosti, odnosno Ministarstvo trgovine, turizma i telekomunikacija)
U okviru Nadležnog organa, odnosno Ministarstva trgovine, turizma i telekomunikacija potrebno je da se obrazuje unutrašnja organizaciona jedinica za informacionu bezbednost i u njoj zaposli 11 državnih službenika usled čega bi ukupni godišnji rashodi za zaposlene iznosili 13.420.000 dinara, a godišnji rashodi za korišćenje usluga i roba (službena putovanja, obuke, usluge po ugovoru itd) 5.000.000 dinara. U okviru sredstava za rad nove organizacione jedinice, pored osnovnog kancelarijskog opremanja računarskom opremom, biće potrebna oprema za sprovođenje mera zaštite tajnih podataka, kao i uspostavljanje informacionog sistema za prijem i obradu obaveštenja o incidentima i inspekcijski nadzor uz primenu odgovarajućih mera zaštite IKT sistema, za šta se procenjuje da je u 2016. godini potrebno 40.000.000 dinara, a u 2017. godini 20.000.000 dinara.
Na predlog ministarstva nadležnog za poslove informacione bezbednosti formira se i Telo za koordinaciju poslova informacione bezbednosti. Navedeno Telo obrazuje Vlada u cilju ostvarivanja saradnje i usklađenog obavljanja poslova u funkciji unapređenja informacione bezbednosti, kao i iniciranja i praćenja preventivnih i drugih aktivnosti u oblasti informacione bezbednosti, kao koordinaciono telo Vlade. Obrazovanje Tela za koordinaciju informacione bezbednosti ne iziskuje dodatne troškove.
Ministarstvo nadležno za poslove odbrane (Ministarstvo odbrane)
Rešenja sadržana u Predlogu zakona o informacionoj bezbednosti koja se tiču Ministarstava odbrane odnose se na dobijanje nacionalne nadležnosti za odgovarajuće poslove iz oblasti informacione bezbednosti – „odobravanje kriptografskih proizvoda“, „distribucija kriptomaterijala“ i „zaštitu od kompromitujućeg elektromagnetskog zračenja“ koje bi izvršavala namenska ustanova u okviru ovog ministarstva.
Da bi navedena ustanova mogla uspešno da izvršava poslove i zadatke iz nadležnosti Ministarstva odbrane koje predviđa Predlog zakona o informacionoj bezbednosti, potrebno je preduzeti mere za dostizanje nedostajućih sposobnosti, a koje se tiču obezbeđenja dodatnih ljudskih resursa, opremanja odgovarajućom opremom za merenje kompromitujućeg elektromagnetnog zračenja (KEMZ) i specijalističkog osposobljavanja personala. Bez navedenog, Ministarstvo odbrane ne bi bilo u mogućnosti da uspešno realizuje nadležnosti predviđene Predlogom zakona.
U skladu sa navedenim, za potrebe realizacije zakona potrebna su Ministarstvu odbrane sredstva za rashode zaposlenih u iznosu od 60.580.000 dinara u 2016. godini i 71.360.000 u 2017. godini. Radi dodatnog opremanja, pre svega za nabavku opreme za detekciju i zaštitu od KEMZ, koja se može nabaviti samo iz inostranstva i pod određenim uslovima neophodna novčana sredstva iznose 142.847.000 dinara u 2016. godini i 140.000.000 dinara 2017. godini, dok je za korišćenje usluga i roba potrebno u naredne dve godine po 18.919.000 dinara.
Uprava za zajedničke poslove republičkih organa
Finansijska sredstva potrebna Upravi za zajedničke poslove, u naredne dve godine za realizaciju zakona, odnosno za osnovna sredstva iznose ukupno 132.138.000 dinara, odnosno 82.138.000 dinara u 2016. godini i 50.000.000 dinara u 2017. godini. Budući da ovaj organ raspolaže ljudskim kapacitetima, sredstava za te namene nisu predviđena.
Regulatorna agencija za elektronske komunikacije
Finansijska sredstva potrebna za uspostavljanje kapaciteta za obavljanje poslova Nacionalnog CERT-a u okviru RATEL-a procenjuju se da su slična sredstvima koja su potrebna Ministarstvu trgovine, turizma i telekomunikacija za poslove nadležnog organa za informacionu bezbednost i da iznose oko 100 miliona dinara za period od naredne dve godine.
Neregulatorne mere
Nakon usvajanja Zakona, ministarstvo nadležno za poslove informacione bezbednosti planira upoznavanje javnosti sa zakonom, kako u okviru svojih redovnih informativnih kampanja, tako i putem namenskih okruglih stolova i drugih vidova informisanja kojima će se građanima Republike Srbije pružiti neophodne informacije o rešenjima koja predviđa zakon. Takođe, Predlogom zakona je predviđeno da je jedna od nadležnosti Nacionalni CERT-a da podiže svest kod građana, privrednih subjekata i organa javne vlasti o značaju informacione bezbednosti, o rizicima i merama zaštite, uključujući sprovođenje kampanja u cilju podizanja te svesti.
Radi izvršavanja Predloga zakona o informacionoj bezbednosti (u daljem tekstu: Predlog zakona), predviđeno je da Vlada donese sledeće akte:
Odluka o obrazovanju Tela za koordinaciju poslova informacione bezbednosti (na osnovu člana 5. Predloga zakona)
Uredba o bližem uređenju Liste poslova i delatnosti IKT sistema od posebnog značaja (na osnovu člana 6. Predloga zakona)
Uredba o bližim uslovima za mere zaštite IKT sistema od posebnog značaja (na osnovu člana 7. Predloga zakona)
Uredba o bližem sadržaju akta o bezbednosti IKT sistema, načinu interne provere IKT sistema i sadržaju izveštaja o proveri IKT sistema (na osnovu člana 8. Predloga zakona)
Uredba o usvajanju Liste incidenata i načinu obaveštavanja o incidentima u IKT sistemima koji mogu da imaju značajan uticaj na narušavanje informacione bezbednosti (na osnovu člana 11. Predloga zakona)
Uredba o bližim uslovima za proveru kompromitujućeg elektromagnetnog zračenja (KEMZ) i načina procene rizika od oticanja podataka putem KEMZ (na osnovu člana 22. Predloga zakona)
Uredba o tehničkim uslovima za kriptografske algoritme, parametre, protokole i informaciona dobra u oblasti kriptozaštite koji se u Republici Srbiji koriste u kriptografskim proizvodima radi zaštite tajnosti, integriteta, autentičnosti, odnosno neporecivosti podataka (na osnovu člana 23. Predloga zakona)
Uredba o bližim uslovima koje moraju da ispunjavaju kriptografski proizvodi koji se koriste za zaštitu prenosa i čuvanja podataka koji su određeni kao tajni (na osnovu člana 24. Predloga zakona)
Uredba o sadržaju zahteva za izdavanje odobrenja za kriptografski proizvod, uslovima za izdavanje odobrenja za kriptografski proizvod, načinu izdavanja odobrenja, naknadi za izdavanje odobrenja i sadržaju registra izdatih odobrenja za kriptografski proizvod (na osnovu člana 25. Predloga zakona)
Uredba o bližim uslovima za vođenje registara kriptografskih proizvoda, kriptomaterijala, pravila i propisa i kadra kriptozaštite koje vode samostalni rukovaoci IKT sistema (na osnovu člana 27. Predloga zakona).
Predlogom zakona predviđeno je da ministarstvo nadležno za poslove informacionog društva donosi sledeće podzakonske akte:
Pravilnik o bližim uslovima za upis u evidenciju posebnih centara za prevenciju bezbednosnih rizika u IKT sistemima (na osnovu člana 17. Predloga zakona)
Prema članu 32. Predloga zakona, podzakonska akta predviđena ovim zakonom doneće se u roku od 12 meseci od dana stupanja na snagu ovog zakona.