O B R A Z L O Ž E Nj E
I. USTAVNI OSNOV ZA DONOŠENjE ZAKONA
Ustavni osnov za donošenje ovog zakona sadržan je u članu 97. tač. 4, 16. i 17. Ustava Republike Srbije, kojima je, između ostalog, propisano da Republika Srbija uređuje i obezbeđuje bezbednost Republike Srbije, organizaciju, nadležnost i rad republičkih organa, i da obezbeđuje druge odnose od interesa za Republiku Srbiju.
II. RAZLOZI ZA DONOŠENjE ZAKONA
Strategijom razvoja informacionog društva u Republici Srbiji do 2020. godine („Službeni glasnik RS”, broj 51/10), (u daljem tekstu: Strategija razvoja ID) je kao jedna od šest oblasti prioriteta određena informaciona bezbednost. U Strategiji razvoja ID je istaknuto da je odgovarajući stepen informacione bezbednosti u svim oblicima primene informaciono-komunikacionih tehnologija jedan od preduslova stvaranja održivog informacionog društva. Kao prvi prioritet u oblasti informacione bezbednosti je određeno unapređenje pravnog i institucionalnog okvira za informacionu bezbednost.
Postojeći zakonski okvir u ovoj oblasti je Zakon o tajnosti podataka („Službeni glasnik RS”, broj 104/09), Zakon o zaštiti podataka o ličnosti („Službeni glasnik RS”, br. 97/08 i 104/09 – drugi zakon, 68/12 – US i 107/12), Zakon o elektronskom potpisu („Službeni glasnik RS”, broj 135/04), Zakon o organizaciji i nadležnosti državnih organa za borbu protiv visokotehnološkog kriminala („Službeni glasnik RS”, br. 61/05 i 104/09), Zakon o Vojnobezbednosnoj agenciji i Vojnoobaveštajnoj agenciji („Službeni glasnik RS”, br. 88/09 55/12 – US i 17/13 ) i Krivični zakonik („Službeni glasnik RS”, br. 85/05, 88/05, 107/05, 72/09, 111/09, 121/12, 104/13 i 108/14). U širem kontekstu, pravni okvir čine i Zakon o elektronskim komunikacijama („Službeni glasnik RS”, br. 44/10 60/13 – US i 62/14) i Zakon o odbrani („Službeni glasnik RS”, br. 116/07, 88/09,104/09 116/07, 88/09 – dr. zakon, 104/09 – dr. zakon i 10/15). Usvajanjem Zakona o informacionoj bezbednosti i odgovarajućih podzakonskih akata uspostavio bi se celovit pravni okvir u ovoj oblasti.
Donošenje Zakona o informacionoj bezbednosti predstavlja jedan od koraka ka harmonizaciji pravnog okvira Republike Srbije sa Evropskom unijom u oblasti informacionog društva. U okviru pregovaračkog postupka za pridruživanje Republike Srbije Evropskoj uniji, materija informacione bezbednosti razmatra se u okviru Pregovaračke grupe 10 – Informaciono društvo i mediji. Nacionalnim programom za usvajanje pravnih tekovina Evropske unije (NPAA) od 2014-2018. godine predviđeno je da će Vlada utvrditi Predlog zakona o informacionoj bezbednosti.
Evropska unija donela je 2013. godine Strategiju bezbednosti IKT sistema Evropske unije, koja utvrđuje osnovne smernice u ovoj oblasti kojima EU i države članice treba da se rukovode. Radi postizanja otpornosti na incidente u IKT sistemima, neophodno je učešće brojnih društvenih činilaca, kako u javnom, tako i u privatnom sektoru, s obzirom da pojedinačni napori često nisu dovoljni da bi se uspostavio adekvatan nivo bezbednosti i zaštite IKT sistema. Putem očuvanja bezbednosti IKT sistema štite se osnovna ljudska prava, lični podaci i privatnost koji su garantovani međunarodnim i nacionalnim pravnim aktima. Strategijom je određeno da je u oblasti informacione bezbednosti potrebno usvojiti odgovarajuće pravne akte (zakone i podzakonska akta), odrediti organ koji će u okviru države članice biti nadležan za informacionu bezbednost i uspostaviti nacionalne timove za prevenciju i reagovanje na incidente u IKT sistema – Nacionalni CERT (eng. Computer Emergency Response Team). U cilju efikasnije prevencije i zaštite, od velike je važnosti da nadležna tela država članica razmenjuju podatke o opasnostima i incidentima u IKT sistemima, kao i da se održavaju posebne vežbe – simulacije sajber incidenata. Takođe, istaknuto je da je, s obzirom da javne institucije, privatni sektor i građani uglavnom nisu dovoljno svesni rizika i opasnosti u sajber prostoru, potrebno širiti informacije o pretnjama i time pravovremeno preduzeti mere zaštite. Načela istaknuta u ovoj strategiji odražavaju se u Predlogu direktive o mrežnoj i informacionoj bezbednosti Evropske unije (NIS Directive), koja predviđa regulisanje navedenih aspekata u državama članicama, i čije se usvajanje očekuje u narednom periodu. Osim u nekim slučajevima, usaglašavanje sa Evropskom unijom ostavlja dovoljno širok prostor da Republika Srbija pronađe ono rešenje koje odgovara njenim prilikama, potrebama i finansijskim mogućnostima.
U smislu Predloga zakona o informacionoj bezbednosti (u daljem tekstu: Predlog zakona) informaciona bezbednost predstavlja skup mera koje omogućavaju da IKT sistem zaštiti tajnost, integritet, raspoloživost, autentičnost i neporecivost podataka kojima se rukuje putem tog sistema, da bi taj sistem funkcionisao kako je predviđeno, kada je predviđeno i pod kontrolom ovlašćenih lica. Pri tome se pod informaciono-komunikacionim sistemom (u daljem tekstu: IKT sistem) podrazumeva elektronska komunikaciona mreža u smislu zakona koji uređuje elektronske komunikacije; uređaji ili grupa međusobno povezanih uređaja, takav da se u okviru tog uređaja, odnosno u okviru barem jednog iz te grupe uređaja, vrši automatska obrada podataka korišćenjem računarskog programa, potom podaci koji se pohranjuju, obrađuju, pretražuju ili prenose pomoću sredstava, a u svrhu njihovog rada, upotrebe, zaštite ili održavanja, kao i organizaciona struktura putem koje se upravlja IKT sistemom.
S obzirom na bezbedonosne rizike u IKT sistemima, neophodno je da se Zakonom o informacionoj bezbednosti urede mere zaštite od bezbednosnih rizika u IKT sistemima, propišu odgovornosti i obaveze pravnih lica prilikom upravljanja i korišćenja IKT sistema i odrede nadležni organi za sprovođenje mera zaštite, odnosno nadležni organ državne uprave za bezbednost IKT sistema u Republici Srbiji, nadležni organ za odobravanje kriptografskih proizvoda, distribuciju kriptomaterijala i zaštitu od kompromitujućeg elektromagnetnog zračenja (u daljem tekstu: KEMZ), obrazuje Nacionalni centar za prevenciju bezbednosnih rizika u IKT sistemima (Nacionalni CERT), obezbedi koordinacija između činilaca zaštite i praćenje pravilne primene propisanih mera zaštite kao i inspekcijski nadzor u oblasti informacione bezbednosti.
Predlogom zakona se predviđa da je ministarstvo nadležno za poslove informacione bezbednosti (u daljem tekstu: Nadležni organ) organ državne uprave nadležan za bezbednost IKT sistema. Zakonom o ministarstvima („Službeni glasnik RS”, br. 44/14, 14/15 i 54/15) predviđeno je da Ministarstvo trgovine, turizma i telekomunikacija obavlja poslove državne uprave u oblasti informacionog društva koji se odnose na informacionu bezbednost.
U cilju ostvarivanja saradnje i usklađenog obavljanja poslova u funkciji unapređenja informacione bezbednosti, kao i iniciranja i praćenja preventivnih i drugih aktivnosti u oblasti informacione bezbednosti ovaj Predlog zakona predviđa da Vlada obrazuje Telo za koordinaciju poslova informacione bezbednosti (u daljem tekstu: Telo za koordinaciju), kao koordinaciono telo Vlade. Predloženo je da ovo telo sačinjavaju predstavnici ministarstva nadležnih za poslove informacionog društva, odbrane, unutrašnjih poslova, spoljnih poslova, pravde, predstavnici službi bezbednosti, Kancelarije Saveta za nacionalnu bezbednost i zaštitu tajnih podataka, Generalnog sekretarijata Vlade, Uprave za zajedničke poslove republičkih organa i Nacionalnog CERT-a.
Predlog zakona uređuje IKT sisteme od posebnog značaja i predviđa obaveze i odgovornost operatora IKT sistema od posebnog značaja za bezbednost IKT sistema i preduzimanje mera zaštite IKT sistema i u slučaju kada su određene aktivnosti u vezi sa tim IKT sistemom poverene trećim licima, kao i obaveza obaveštavanja nadležnih organa o incidentima u IKT sistemima koji mogu da imaju značajan uticaj na narušavanje informacione bezbednosti. IKT sistemi od posebnog značaja su oni IKT sistemi u kojima je neophodno uspostaviti adekvatan nivo informacione bezbednosti, imajući u vidu njihove poslove i delatnosti, kao i rizik nastanka štete po državu i građane u slučaju incidenata u ovim sistemima. Predlogom zakona predviđeno je da Vlada, na predlog ministarstva nadležnog za poslove informacione bezbednosti, bliže uređuje listu poslova i delatnosti kod kojih će postojati obaveza primene adekvatnih mera u skladu sa zakonom.
Predlogom zakona se uređuje da Nacionalni centar za prevenciju bezbednosnih rizika u IKT sistemima (u daljem tekstu: Nacionalni CERT) obavlja poslove koordinacije prevencije i zaštite od bezbednosnih rizika u IKT sistemima u Republici Srbiji na nacionalnom nivou, a poslove Nacionalnog CERT-a opredeljuje u nadležnost Regulatorne agencije za elektronske komunikacije i poštanske usluge.
Predlog zakona predviđa da poslove CERT-a republičkih organa obavlja Uprava za zajedničke poslove republičkih organa, kao Centar za bezbednost IKT sistema u republičkim organima (u daljem tekstu: CERT republičkih organa), i to poslove koji se odnose na zaštitu od incidenata u IKT sistemima republičkih organa, izuzev IKT sistema samostalnih operatora.
Prema definiciji iz člana 2. tačka 17) Predloga zakona, samostalni operatori IKT sistema su ministarstvo nadležno za poslove odbrane, ministarstvo nadležno za unutrašnje poslove, ministarstvo nadležno za spoljne poslove i službe bezbednosti.
Samostalni operatori IKT sistema su u obavezi da formiraju sopstvene centre za bezbednost IKT sistema radi upravljanja incidentima u svojim sistemima.
Predlog zakona sadrži posebnu glavu o kriptobezbednosti i zaštiti od kompromitujućeg elektronskog zračenja (KEMZ). Predlogom zakona je predviđeno da je ministarstvo nadležno za poslove odbrane nadležno za poslove informacione bezbednosti koji se odnose na odobravanje kriptografskih proizvoda, distribuciju kriptomaterijala i zaštitu od kompromitujućeg elektromagnetnog zračenja i poslove i zadatke u skladu sa zakonom i propisima donetim na osnovu zakona. Predlogom zakona se uređuju poslovi i zadaci ministarstva, obaveza primene metoda kriptozaštite, izdavanje odobrenja za kriptografski period i registri u kriptozaštiti.
Radi efikasne primene ovog zakona, potrebno je obezbediti inspekcijski nadzor nad radom IKT sistema od posebnog značaja i drugih IKT sistema stoga je predviđeno u Predlogu zakona da poslove inspekcije za informacionu bezbednost obavlja ministarstvo nadležno za poslove informacione bezbednosti preko inspektora za informacionu bezbednost.
III. OBJAŠNjENjE OSNOVNIH PRAVNIH INSTITUTA I POJEDINAČNIH REŠENjA
U članu 1. Predloga zakona se navodi predmet uređivanja zakona.
Članom 2. se definišu termini koji se koriste u Predlogu zakona.
Član 3. sadrži načela Predloga zakona.
Članom 4. se utvrđuje organ državne uprave nadležan za bezbednost IKT sistema.
U članu 5. propisuje se da Vlada obrazuje Telo za koordinaciju poslova informacione bezbednosti), kao koordinaciono telo Vlade u cilju ostvarivanja saradnje i usklađenog obavljanja poslova u funkciji unapređenja informacione bezbednosti, kao i iniciranja i praćenja preventivnih i drugih aktivnosti u oblasti informacione bezbednosti.
U članu 6. su utvrđeni IKT sistemi od posebnog značaja, a stavom 2. istog člana propisano je da Vlada, na predlog ministarstva nadležnog za poslove informacione bezbednosti, bliže uređuje listu poslova i delatnosti iz stava 1. ovog člana.
U članu 7. utvrđuju se dužnost operatora IKT sistema od posebnog značaja da preduzimaju odgovarajuće mere zaštite IKT sistema, kojima se obezbeđuje prevencija od nastanka incidenata, odnosno prevencija i minimizacija štete od incidenata koji ugrožavaju vršenje nadležnosti i obavljanje delatnosti, a posebno u okviru pružanja usluga drugim licima. Ovim članom definišu se i mere zaštite IKT sistema i utvrđuje da bliže uslove za mere uređuje Vlada na predlog Nadležnog organa, uvažavajući međunarodne standarde i standarde koji se primenjuju u odgovarajućim oblastima rada.
U članu 8. se uređuje obaveza operatora IKT sistema od posebnog značaja da donese akt o bezbednosti IKT sistema, kojim se određuju mere zaštite IKT sistema, a naročito principi, način i procedure postizanja i održavanja adekvatnog nivoa bezbednosti ovog sistema, kao i ovlašćenja i odgovornosti u vezi sa ovom bezbednošću i resursima tog sistema, kao i da bliže uslove za sadržaj akta o bezbednosti IKT sistema, način provere IKT sistema i sadržaj izveštaja o proveri IKT sistema od posebnog značaja koji uređuje Vlada na predlog Nadležnog organa.
Član 9. reguliše poveravanje aktivnosti u vezi sa IKT sistemom od posebnog značaja trećim licima, u kom slučaju se propisuje obaveza operatoru da uredi odnos sa tim licima na način koji obezbeđuje preduzimanje mera zaštite tog IKT sistema u skladu sa zakonom.
Članom 10. propisan je izuzetak od odredaba člana 9, ukoliko su aktivnosti u vezi sa IKT sistemom poverene propisom, da se tim propisom mogu drugačije urediti obaveze i odgovornosti operatora IKT sistema od posebnog značaja u vezi poverenih aktivnosti.
Članom 11. propisana je obaveza operatora IKT sistema od posebnog značaja da obaveštavaju Nadležni organ o incidentima u IKT sistemima koji mogu da imaju značajan uticaj na narušavanje informacione bezbednosti.
Članom 12. se propisuje dužnost Nadležnog organa da uspostavi i održava međunarodnu bilateralnu i multilateralnu saradnju na polju bezbednosti IKT sistema, a pogotovo da pruži rana upozorenja o rizicima i incidentima, a ako je incident u vezi sa izvršenjem krivičnog dela, po dobijanju obaveštenja od Nadležnog organa, ministarstvo nadležno za unutrašnje poslove da u zvaničnoj proceduri prosledi prijavu nadležnom telu u skladu sa potvrđenim međunarodnim sporazumima.
Članom 13. predviđeno je da će samostalni operatori IKT sistema odrediti posebna lica, odnosno organizacione jedinice za internu kontrolu sopstvenih IKT sistema. A da će lica za internu kontrolu samostalnih operatora IKT sistema izveštaj o izvršenoj internoj kontroli podnositi rukovodiocu samostalnog operatora IKT sistema.
Članom 14. se uređuje Nacionalni centar za prevenciju bezbednosnih rizika u IKT sistemima (u daljem tekstu: Nacionalni CERT) koji obavlja poslove koordinacije prevencije i zaštite od bezbednosnih rizika u IKT sistemima u Republici Srbiji na nacionalnom nivou i utvrđuje nadležnost Regulatorne agencije za elektronske komunikacije i poštanske usluge za poslove Nacionalnog CERT-a.
Članom 15. propisuju se poslovi Nacionalnog CERT-a da prikuplja i razmenjuje informacije o rizicima za bezbednost IKT sistema, kao i događajima koji ugrožavaju bezbednost IKT sistema i u vezi toga obaveštava, upozorava i savetuje lica koja upravljaju IKT sistemima u Republici Srbiji, kao i javnost.
Članom 16. propisuje se nadzor nad radom Nacionalnog CERT-a koji vrši Nadležni organ.
Članom 17. propisuje se osnivanje posebnog centra za prevenciju bezbednosnih rizika u IKT sistemima (u daljem tekstu: Poseban CERT) obavlja poslove prevencije i zaštite od bezbednosnih rizika u IKT sistemima u okviru određenog pravnog lica, grupe pravnih lica, oblasti poslovanja.
Članom 18. propisuje se nadležnost Centra za bezbednost IKT sistema u republičkim organima (u daljem tekstu: CERT republičkih organa) koji obavlja poslove koji se odnose na zaštitu od incidenata u IKT sistemima republičkih organa, izuzev IKT sistema samostalnih operatora, u okviru Uprave za zajedničke poslove republičkih organa.
Član 19. propisuje obavezu samostalnih operatora IKT sistema da formiraju sopstvene centre za bezbednost IKT sistema radi upravljanja incidentima u svojim sistemima i definišu se poslovi iz delokruga rada centra.
Članom 20. propisano je da poslove informacione bezbednosti koji se odnose na kriptobezbednost i KEMZ obavlja ministarstvo nadležno za poslove odbrane.
Članom 21. propisani su poslovi ministarstva nadležnog za poslove odbrane u oblasti kriptobezbednosti i KEMZ.
Članom 22. uređuje se zaštita od kompromitujućeg elektromagnetnog zračenja.
Članom 23. uređuje se obaveza primene metode kriptozaštite.
Članom 24. propisano je da kriptografski proizvodi koji se koriste za zaštitu prenosa i čuvanja podataka koji su određeni kao tajni, u skladu sa zakonom, moraju biti verifikovani i odobreni za korišćenje (u daljem tekstu: odobrenje za kriptografski proizvod) i da Vlada, na predlog ministarstva nadležnog za poslove odbrane, bliže uređuje uslove koje moraju da ispunjavaju kriptografski proizvodi iz stava 1. ovog člana.
Članom 25. uređuje se izdavanje odobrenja za kriptografski proizvod.
Članom 26. propisano je da opšte odobrenje za korišćenje kriptografskih proizvoda imaju samostalni operatori IKT sistema.
Članom 27. propisano je da samostalni operatori IKT sistema koji imaju opšte odobrenje za korišćenje kriptografskih proizvoda ustrojavaju i vode registre kriptografskih proizvoda, kriptomaterijala, pravila i propisa i kadra kriptozaštite, a Registar stranih kriptomaterijala vodi Kancelarija Saveta za nacionalnu bezbednost i zaštitu tajnih podataka, u skladu sa ratifikovanim međunarodnim sporazumima, kao i da Vlada, na predlog ministarstva nadležnog za poslove odbrane, bliže uređuje vođenje registara iz ovog člana.
U članu 28. propisani su poslovi inspekcije za informacionu bezbednost koja vrši nadzor nad primenom ovog zakona i radom operatora od posebnog značaja, osim samostalnih operatora IKT sistema i sistema za rad sa tajnim podacima.
U članu 29. propisana su ovlašćenja inspektora za informacionu bezbednost.
U čl. 30. i 31. propisane su kaznene odredbe, predviđene su novčane kazne za odgovorna lica koja prekrše odredbe zakona.
U članu 32. propisani su rokovi za donošenje podzakonskih akata.
U članu 33. je definisan rok za donošenje akta o bezbednosti IKT sistema od posebnog značaja.
Član 34. Predloga zakona je završna odredba o stupanju zakona na snagu.
IV SREDSTVA POTREBNA ZA SPROVOĐENjE ZAKONA
Za sprovođenje ovog zakona nije potrebno obezbediti sredstva u budzetu Republike Srbije za 2015. godinu.
Sredstva za realizaciju zakona u narednim godinama realizovaće se u skladu sa bilansnim mogućnostima budzeta Republike Srbije i predviđenim limitima.
Za sprovođenje ovog zakona potrebno je obezbediti sredstva u budzetu Republike Srbije za 2016. godinu, 2017. godinu i 2018. godinu, u iznosu od 722.005.000 dinara, odnosno 57.500.000, dinara u 2016. godini, 326.048.000 dinara u 2017. godini i 338.457.000 dinara u 2018. godini na razdelima Ministarstva trgovine, turizma i telekomunikacija, Ministarstva odbrane i Uprave za zajedničke poslove republičkih organa.
Predlogom zakona o informacionoj bezbednosti predviđeno je da je nadležni organ državne uprave za bezbednost IKT sistema ministarstvo nadležno za poslove informacione bezbednosti, odnosno Ministarstvo trgovine, turizma i telekomunikacija i da bi na osnovu predloženih zakonskih rešenja to Ministarstvo vršilo sledeće poslove:
pripremalo podzakonske akte Vlade na osnovu zakona;
pripremalo i donosilo podzakonske akte iz svoje nadležnosti;
vršilo inspekcijski nadzor nad operatorima IKT sistema od posebnog značaja (IKT sistema organa javne vlasti, IKT sistema u kojima se obrađuju podaci koji se, u skladu sa zakonom koji uređuje zaštitu podataka o ličnosti, smatraju naročito osetljivim podacima o ličnosti i IKT sistema koji se koriste u obavljanju delatnosti od opšteg interesa);
primalo obaveštenja o incidentima u IKT sistemima koji mogu da imaju značajan uticaj na narušavanje informacione bezbednosti i nalagalo njegovo objavljivanje, ako je incident od interesa za javnost;
uspostavljanje i održavanje međunarodne bilateralne i multilateralne saradnje na polju bezbednosti IKT sistema, a pogotovo pružanje ranih upozorenja o rizicima i incidentima;
nadzor nad radom Nacionalnog centra za prevenciju bezbednosnih rizika u IKT sistemima (Nacionalni CERT).
Usled toga, kako bi se navedeni poslovi mogli izvršavati u skladu sa zakonom, neophodno je povećati kapacitete Ministarstva trgovine, turizma i telekomunikacija. Procenjeno je da bi u Ministarstvu u periodu od 2016. do 2018 godini ukupno trebalo 99.340.000 dinara za realizaciju zakona, odnosno 25.500.000 dinara u 2016. godini, 38.420.000 dinara u 2017. godini i 38.420.000 dinara u 2018. godini.
Naime, potrebno je da se obrazuje unutrašnja organizaciona jedinica za informacionu bezbednost i u njoj zaposli 11 državnih službenika u 2017. godini usled čega bi ukupni godišnji rashodi za zaposlene iznosili 13.420.000 dinara u 2017. godini i 13.420.000 dinara u 2018.godini, a godišnji rashodi za korišćenje usluga i roba (službena putovanja, obuke, usluge po ugovoru itd) 2.500.000 dinara u 2016. godini i 5.000.000 dinara u 2017. godini i 5.000.000 dinara u 2018. godini. U okviru sredstava za rad nove organizacione jedinice, pored osnovnog kancelarijskog opremanja računarskom opremom, biće potrebna oprema za sprovođenje mera zaštite tajnih podataka, kao i uspostavljanje informacionog sistema za prijem i obradu obaveštenja o incidentima i inspekcijski nadzor uz primenu odgovarajućih mera zaštite IKT sistema, za šta se procenjuje da je u 2016. godini potrebno 20.000.000 dinara, u 2017. godini 20.000.000 dinara i u 2018. godini 20.000.000 dinara.
Finansijska sredstva potrebna Ministarstvu odbrane za sprovođenje zakona bi iznosila 428.665.000 dinara, odnosno 194.628.000 dinara u 2017. godini i 234.037.000 dinara u 2018. godini.
Rešenja sadržana u Predlogu zakona o informacionoj bezbednosti koja se tiču Ministarstava odbrane odnose se na dobijanje nacionalne nadležnosti za odgovarajuće poslove iz oblasti informacione bezbednosti – „odobravanje kriptografskih proizvoda“, „distribucija kriptomaterijala“ i „zaštitu od kompromitujućeg elektromagnetskog zračenja“ koje bi izvršavala namenska ustanova u okviru ovog ministarstva.
Trenutno, navedena ustanova ne raspolaže dovoljnim resursima (ljudskim, materijalnim i stručnim) za nacionalni nivo, tako da ne obezbeđuje u potpunosti izvršavanje svih poslova i zadataka koji su predloženi u Predlogu zakona o informacionoj bezbednosti.
Da bi navedena ustanova mogla uspešno da izvršava poslove i zadatke iz nadležnosti Ministarstva odbrane koje predviđa Predlog zakona o informacionoj bezbednosti, potrebno je preduzeti mere za dostizanje nedostajućih sposobnosti, a koje se tiču obezbeđenja dodatnih ljudskih resursa, opremanja odgovarajućom opremom za merenje kompromitujućeg elektromagnetnog zračenja (KEMZ) i specijalističkog osposobljavanja personala. Bez navedenog, Ministarstvo odbrane ne bi bilo u mogućnosti da uspešno realizuje nadležnosti predviđene Predlogom zakona.
U skladu sa navedenim, za potrebe realizacije zakona potrebna su Ministarstvu odbrane sredstva za rashode zaposlenih u iznosu od 38.798.000 u 2017. godini i 75.637.000 u 2018. godini. Radi dodatnog opremanja, pre svega za nabavku opreme za detekciju i zaštitu od KEMZ, koja se može nabaviti samo iz inostranstva i pod određenim uslovima neophodna novčana sredstva iznose 142.847.000 dinara u 2017. godini i 140.000.000 dinara 2018. godini, dok je za korišćenje usluga i roba potrebno 12.983.000 dinara u 2017. godini i 18.400.000 dinara u 2018. godini.
Finansijska sredstva potrebna Upravi za zajedničke poslove, u naredne tri godine za realizaciju zakona, iznose ukupno 194.000.000 dinara, odnosno 35.000.000 dinara u 2016. godini, 93.000.000 dinara u 2017. godini i 66.000.000 u 2018. godini.
Naime, potrebno je da se obrazuje unutrašnja organizaciona jedinica za informacionu bezbednost i u njoj zaposli 12 državnih službenika usled čega bi ukupni godišnji rashodi za zaposlene iznosili u 2017. godini i 23.000.000 dinara i u 2018. godini 23.000.000 dinara, dok bi godišnji rashodi za korišćenje usluga i roba iznosili 8.000.00 dinara u 2016. godini, 20.000.000 dinara u 2017. godini i 18.000.000 u 2018. godini. U okviru sredstava za rad Upravi je potrebno u 2016. godini 27.000.000 dinara, u 2017. godini 50.000.000 dinara, a u 2018. godini 25.000.000 dinara.
Shodno navedenom ukupni iznos sredstava za realizaciju ovog zakona bi u nadležnim institucijama u naredne dve godine iznosio:
Sredstva Godina MTTT MO UZZRO UKUPNO Rashodi za zaposlene 2016 0 0 0 0 187.275.000 2017 13.420.000 38.798.000 23.000.000 75.218.000 2018 13.420.000 75.637.000 23.000.000 112.057.000 Korišćenje usluga i roba 2016 2.500.000 0 8.000.000 10.500.000 89.883.000 2017 5.000.000 12.983.000 20.000.000 37.983.000 2018 5.000.000 18.400.000 18.000.000 41.400.000 Osnovna sredstva 2016 20.000.000 0 27.000.000 47.000.000 444.847.000 2017 20.000.000 142.847.000 50.000.000 212.847.000 2018 20.000.000 140.000.000 25.000.000 185.000.000 UKUPNO 99.340.000 428.665.000 194.000.000 722.005.000
Godina MTTT MO UZZRO UKUPNO 2016 22.500.000 0 35.000.000 57.500.000 2017 38.420.000 194.628.000 93.000.000 326.048.000 2018 38.420.000 234.037.000 66.000.000 338.457.000 UKUPNO 99.340.000 428.665.000 194.000.000 722.005.000
Finansijska sredstva potrebna za uspostavljanje kapaciteta za obavljanje poslova Nacionalnog CERT-a u okviru RATEL-a procenjuju se da su slična sredstvima koja su potrebna Ministarstvu trgovine, turizma i telekomunikacija za poslove nadležnog organa za informacionu bezbednost.
Ukazujemo da je donošenje predmetnog zakona predviđeno Nacionalnim programom za usvajanje pravnih tekovina Evropske unije (NPAA), kao i da su prilikom izrade ovog zakona uvažena strateška rešenja EU u ovoj oblasti i pravne tendencije. Strategijom u ovoj oblasti, Evropska unija je deklarisala odlučnost da se oblast informacione bezbednosti uredi i da se njen nivo značajno podigne, u čemu moraju da učestvuju nadležni državni organi, koji treba da imaju adekvatne ljudske i tehničke kapacitete.