Značaj zaštite podataka, i informacione bezbednosti uopšte, već godinama unazad u fokusu je onima koji na bilo koji način barataju podacima. Prirodno, ukazala se potreba i da se ova oblast zakonski reguliše, pa je 2016. godine objavljen Zakon o informacionoj bezbednosti, koji je imao već nekoliko izmena i dopuna. Nedavno je usvojen novi nacrt ovog zakona, koji donosi značajne inovacije. Evo šta nas očekuju u novom zakonu.
Zakon o informacionoj bezbednosti: Novosti i za fizička, i za pravna lica
Iz Ministarstva informisanja i telekomunikacija stigla je vest da je u pripremi novi Zakon o informacionoj bezbednosti, i da možemo da očekujemo da se u skupštinskoj proceduri nađe tokom prolećnog zasedanja 2025. godine.
Za ovaj zakon se tvrdi da donosi značajne izmene, kao i nove mere zaštite – kako za fizička, tako i za pravna lica.
Šta novi zakon donosi fizičkim licima?
Kada je reč o fizičkim licima, oni su česta meta sajber napada – što direktno putem socijalnog inženjeringa, što indirektno, kada su napadnute organizacije koje čuvaju i obrađuju njihove podatke (ime, prezime, broj tekućeg računa, JMBG). Pravi primer za to je zdravstvo, gde bi hakeri mogli veoma lako da dođu do elektronskog zdravstvenog kartona pojedinaca.
Građani će uživati veću zaštitu od hakerskih napada i drugih oblika sajber kriminala, i bolju informacionu bezbednost. Ovo je naročito značajno imajući na umu brojne slučajeve krađe podataka, koja sve više potresa i fizička lica.
Sa novim zakonom, sajber bezbednost se diže na viši nivo, i ona se sada tumači kao deo nacionalne bezbednosti.
Šta novi zakon donosi privrednim subjektima?
Privredni subjekti će takođe biti na dobitku, jer im se obezbeđuje veća sigurnost kada je u pitanju bezbednost podataka. Ovo je važno ne samo za organizacije iz IT industrije, već za sve one koji prikupljanju i obrađuju podatke. Naravno, sve to pod pretpostavkom da se pridržavaju i obaveza sa svoje strane.
Novost je to što se obaveze sada odnose i na privredne subjekte iz sektora koji do sada nisu bili uključeni (na primer: prehrambena industrija, automobilska industrija, zdravstvo i mnoge druge). Naročita pažnja obratiće se na sisteme čije je pravilno funkcionisanje od značaja za javni interes – primarno informacioni sistemi u domenu zdravstva, poštanskih usluga, upravljanja otpadom i sličnih oblasti. Napad na ove važne sisteme ozbiljno bi ugrozio i privatna lica.
Zakon predviđa da će sistemi imati obavezu procene rizika i donošenja određenog akta o izvršenoj proceni. Donosiće se akt o bezbednosti koji će propisivati mere zaštite i procedure, i koji će biti baziran na aktu o proceni rizika.
Lica koja su operatori ovih prioritetnih sistema moraće najmanje dva puta godišnje da proveravaju usklađenost sa utvrđenim merama zaštite od sajber kriminala.
Određivanje nivoa sajber rizika i opasnosti
Novi zakon predviđa i kvalifikovanje incidenata prema niovu opasnosti koju oni izazivaju, pa shodno tome razlikovaće se osnovni, srednji, visok i veoma visok nivo. Takođe, postojaće i određena procedura koja definiše korake koje je potrebno preduzeti kod svakog nivoa opasnosti. Uz to, previđena je i procedura izveštavanja u skladu sa svakim nivoom incidenata.
Ko će biti zadužen za sprovođenje Zakona o informacionoj bezbednosti?
Prema rečima ministra, donošenjem ovog zakona stvaraju se dodatni uslovi za uspostavljanje još bolje informacione bezbednosti.
U skladu sa tim, planira se i otvaranje posebne kancelarije (Kancelarija za informacionu bezbednosti), koja će imati status posebne organizacije. Njen zadatak će biti da kroz koordinaciju i upravljanje odgovorom na incidente poboljša reakciju naše zemlje, i naravno – da reaguje hitno i učestvuje u otklanjanju posledica.
Zakonom se propisuju i kazne za različite vrste prekršaja – od nedonošenja akta o proceni rizika ili akta o bezbednosti, preko propusta u primeni mera predviđenih ovim aktima, pa sve do nedostatka informacija i izveštavanja o incidentima. Kazne idu od 50.000 dinara, pa sve do dva miliona dinara.
Novi nacrt ovog zakona svakako obećava nova poboljšanja kada je reč o informacionoj bezbednosti, a kako će to sve izgledati u praksi, ostaje da se vidi.
