BUDITE NA PRAVNOJ STRANI

online@paragraf.rs
www.paragraf.rs

Preuzeto iz elektronske pravne baze Paragraf Lex

Ukoliko ovaj propis niste preuzeli sa Paragrafovog sajta ili niste sigurni da li je u pitanju vaea verzija propisa,
poslednju verziju moete nai OVDE.

ZAKON
O INFORMACIONOJ BEZBEDNOSTI
("Sl. glasnik RS", br. 6/2016)

I OSNOVNE ODREDBE
Predmet ureivanja

lan 1
Ovim zakonom se ureuju mere zatite od bezbednosnih rizika u informaciono-komunikacionim sistemima, odgovornosti
pravnih lica prilikom upravljanja i korienja informaciono-komunikacionih sistema i odreuju se nadleni organi za
sprovoenje mera zatite, koordinaciju izmeu inilaca zatite i praenje pravilne primene propisanih mera zatite.

Znaenje pojedinih termina

lan 2
Pojedini termini u smislu ovog zakona imaju sledee znaenje:
1) informaciono-komunikacioni sistem (IKT sistem) je tehnoloko-organizaciona celina koja obuhvata:
(1) elektronske komunikacione mree u smislu zakona koji ureuje elektronske komunikacije;
(2) ureaje ili grupe meusobno povezanih ureaja, takvih da se u okviru ureaja, odnosno u okviru barem
jednog iz grupe ureaja, vri automatska obrada podataka korienjem raunarskog programa;
(3) podatke koji se pohranjuju, obrauju, pretrauju ili prenose pomou sredstava iz podta. (1) i (2) ove take, a
u svrhu njihovog rada, upotrebe, zatite ili odravanja;
(4) organizacionu strukturu putem koje se upravlja IKT sistemom;
2) operator IKT sistema je pravno lice, organ javne vlasti ili organizaciona jedinica organa javne vlasti koji koristi IKT sistem u
okviru obavljanja svoje delatnosti, odnosno poslova iz svoje nadlenosti;
3) informaciona bezbednost predstavlja skup mera koje omoguavaju da podaci kojima se rukuje putem IKT sistema budu
zatieni od neovlaenog pristupa, kao i da se zatiti integritet, raspoloivost, autentinost i neporecivost tih podataka, da bi
taj sistem funkcionisao kako je predvieno, kada je predvieno i pod kontrolom ovlaenih lica;
4) tajnost je svojstvo koje znai da podatak nije dostupan neovlaenim licima;
5) integritet znai ouvanost izvornog sadraja i kompletnosti podatka;
6) raspoloivost je svojstvo koje znai da je podatak dostupan i upotrebljiv na zahtev ovlaenih lica onda kada im je
potreban;
7) autentinost je svojstvo koje znai da je mogue proveriti i potvrditi da je podatak stvorio ili poslao onaj za koga je
deklarisano da je tu radnju izvrio;
8) neporecivost predstavlja sposobnost dokazivanja da se dogodila odreena radnja ili da je nastupio odreeni dogaaj, tako
da ga naknadno nije mogue porei;
9) rizik znai mogunost naruavanja informacione bezbednosti, odnosno mogunost naruavanja tajnosti, integriteta,
raspoloivosti, autentinosti ili neporecivosti podataka ili naruavanja ispravnog funkcionisanja IKT sistema;
10) upravljanje rizikom je sistematian skup mera koji ukljuuje planiranje, organizovanje i usmeravanje aktivnosti kako bi se
obezbedilo da rizici ostanu u propisanim i prihvatljivim okvirima;
11) incident je unutranja ili spoljna okolnost ili dogaaj kojim se ugroava ili naruava informaciona bezbednost;
12) mere zatite IKT sistema su tehnike i organizacione mere za upravljanje bezbednosnim rizicima IKT sistema;
13) tajni podatak je podatak koji je, u skladu sa propisima o tajnosti podataka, odreen i oznaen odreenim stepenom
tajnosti;
14) IKT sistem za rad sa tajnim podacima je IKT sistem koji je u skladu sa zakonom odreen za rad sa tajnim podacima;
15) organ javne vlasti je dravni organ, organ autonomne pokrajine, organ jedinice lokalne samouprave, organizacija kojoj je
povereno vrenje javnih ovlaenja, pravno lice koje osniva Republika Srbija, autonomna pokrajina ili jedinica lokalne
samouprave, kao i pravno lice koje se preteno, odnosno u celini finansira iz budeta;
16) sluba bezbednosti je sluba bezbednosti u smislu zakona kojim se ureuju osnove bezbednosno-obavetajnog sistema
Republike Srbije;
17) samostalni operatori IKT sistema su ministarstvo nadleno za poslove odbrane, ministarstvo nadleno za unutranje
poslove, ministarstvo nadleno za spoljne poslove i slube bezbednosti;
18) kompromitujue elektromagnetno zraenje (KEMZ) predstavlja nenamerne elektromagnetne emisije prilikom prenosa,
obrade ili uvanja podataka, ijim prijemom i analizom se moe otkriti sadraj tih podataka;
19) kriptobezbednost je komponenta informacione bezbednosti koja obuhvata kriptozatitu, upravljanje kriptomaterijalima i
razvoj metoda kriptozatite;
20) kriptozatita je primena metoda, mera i postupaka radi transformisanja podataka u oblik koji ih za odreeno vreme ili
trajno ini nedostupnim neovlaenim licima;
21) kriptografski proizvod je softver ili ureaj putem koga se vri kriptozatita;
22) kriptomaterijali su kriptografski proizvodi, podaci, tehnika dokumentacija kriptografskih proizvoda, kao i odgovarajui
kriptografski kljuevi;
23) bezbednosna zona je prostor ili prostorija u kojoj se, u skladu sa propisima o tajnosti podataka, obrauju i uvaju tajni
podaci;
24) informaciona dobra obuhvataju podatke u datotekama i bazama podataka, programski kd, konfiguraciju hardverskih
komponenata, tehniku i korisniku dokumentaciju, unutranje opte akte, procedure i slino.

Naela

lan 3
Prilikom planiranja i primene mera zatite IKT sistema treba se rukovoditi naelima:
1) naelo upravljanja rizikom - izbor i nivo primene mera se zasniva na proceni rizika, potrebi za prevencijom rizika i
otklanjanja posledica rizika koji se ostvario, ukljuujui sve vrste vanrednih okolnosti;
2) naelo sveobuhvatne zatite - mere se primenjuju na svim organizacionim, fizikim i tehniko-tehnolokim nivoima, kao i
tokom celokupnog ivotnog ciklusa IKT sistema;
3) naelo strunosti i dobre prakse - mere se primenjuju u skladu sa strunim i naunim saznanjima i iskustvima u oblasti
informacione bezbednosti;
4) naelo svesti i osposobljenosti - sva lica koja svojim postupcima efektivno ili potencijalno utiu na informacionu
bezbednost treba da budu svesna rizika i poseduju odgovarajua znanja i vetine.

Nadleni organ

lan 4
Organ dravne uprave nadlean za bezbednost IKT sistema je ministarstvo nadleno za poslove informacione bezbednosti
(u daljem tekstu: Nadleni organ).

Telo za koordinaciju poslova informacione bezbednosti

lan 5
U cilju ostvarivanja saradnje i usklaenog obavljanja poslova u funkciji unapreenja informacione bezbednosti, kao i
iniciranja i praenja preventivnih i drugih aktivnosti u oblasti informacione bezbednosti Vlada osniva Telo za koordinaciju
poslova informacione bezbednosti (u daljem tekstu: Telo za koordinaciju), kao koordinaciono telo Vlade, u iji sastav ulaze
predstavnici ministarstava nadlenih za poslove informacione bezbednosti, odbrane, unutranjih poslova, spoljnih poslova,
pravde, predstavnici slubi bezbednosti, Kancelarije Saveta za nacionalnu bezbednost i zatitu tajnih podataka, Generalnog
sekretarijata Vlade, Uprave za zajednike poslove republikih organa i Nacionalnog CERT-a.
U funkciji unapreenja pojedinih oblasti informacione bezbednosti formiraju se strune radne grupe Tela za koordinaciju u
koje se ukljuuju i predstavnici drugih organa javne vlasti, privrede, akademske zajednice i nevladinog sektora.
Odlukom kojom osniva Telo za koordinaciju Vlada odreuje i njegov sastav, zadatke, rok u kome ono podnosi izvetaje Vladi
i druga pitanja koja su vezana za njegov rad.

II BEZBEDNOST IKT SISTEMA OD POSEBNOG ZNAAJA

IKT sistemi od posebnog znaaja

lan 6
IKT sistemi od posebnog znaaja su sistemi koji se koriste:
1) u obavljanju poslova u organima javne vlasti;
2) za obradu podataka koji se, u skladu sa zakonom koji ureuje zatitu podataka o linosti, smatraju naroito osetljivim
podacima o linosti;
3) u obavljanju delatnosti od opteg interesa i to u oblastima:
(1) proizvodnja, prenos i distribucija elektrine energije;
(2) proizvodnja i prerada uglja;
(3) istraivanje, proizvodnja, prerada, transport i distribucija nafte i prirodnog i tenog gasa;
(4) promet nafte i naftnih derivata; eleznikog, potanskog i vazdunog saobraaja;
(5) elektronska komunikacija;
(6) izdavanje slubenog glasila Republike Srbije;
(7) upravljanje nuklearnim objektima;
(8) korienje, upravljanje, zatita i unapreivanje dobara od opteg interesa (vode, putevi, mineralne sirovine,
ume, plovne reke, jezera, obale, banje, divlja, zatiena podruja);
(9) proizvodnja, promet i prevoz naoruanja i vojne opreme;
(10) upravljanje otpadom;
(11) komunalne delatnosti;
(12) poslovi finansijskih institucija;
(13) zdravstvena zatita;
(14) usluge informacionog drutva namenjene drugim pruaocima usluga informacionog drutva u cilju
omoguavanja pruanja njihovih usluga.
Vlada, na predlog ministarstva nadlenog za poslove informacione bezbednosti, utvruje listu poslova i delatnosti iz stava 1.
taka 3) ovog lana.

Mere zatite IKT sistema od posebnog znaaja

lan 7
Operator IKT sistema od posebnog znaaja odgovara za bezbednost IKT sistema i preduzimanje mera zatite IKT sistema.
Merama zatite IKT sistema se obezbeuje prevencija od nastanka incidenata, odnosno prevencija i minimizacija tete od
incidenata koji ugroavaju vrenje nadlenosti i obavljanje delatnosti, a posebno u okviru pruanja usluga drugim licima.
Mere zatite IKT sistema se odnose na:
1) uspostavljanje organizacione strukture, sa utvrenim poslovima i odgovornostima zaposlenih, kojom se ostvaruje
upravljanje informacionom bezbednou u okviru operatora IKT sistema;
2) postizanje bezbednosti rada na daljinu i upotrebe mobilnih ureaja;
3) obezbeivanje da lica koja koriste IKT sistem odnosno upravljaju IKT sistemom budu osposobljena za posao koji rade i
razumeju svoju odgovornost;
4) zatitu od rizika koji nastaju pri promenama poslova ili prestanka radnog angaovanja lica zaposlenih kod operatora IKT
sistema;
5) identifikovanje informacionih dobara i odreivanje odgovornosti za njihovu zatitu;
6) klasifikovanje podataka tako da nivo njihove zatite odgovara znaaju podataka u skladu sa naelom upravljanja rizikom iz
lana 3. ovog zakona;
7) zatitu nosaa podataka;
8) ogranienje pristupa podacima i sredstvima za obradu podataka;
9) odobravanje ovlaenog pristupa i spreavanje neovlaenog pristupa IKT sistemu i uslugama koje IKT sistem prua;
10) utvrivanje odgovornosti korisnika za zatitu sopstvenih sredstava za autentikaciju;
11) predvianje odgovarajue upotrebe kriptozatite radi zatite tajnosti, autentinosti odnosno integriteta podataka;
12) fiziku zatitu objekata, prostora, prostorija odnosno zona u kojima se nalaze sredstva i dokumenti IKT sistema i obrauju
podaci u IKT sistemu;
13) zatitu od gubitka, oteenja, krae ili drugog oblika ugroavanja bezbednosti sredstava koja ine IKT sistem;
14) obezbeivanje ispravnog i bezbednog funkcionisanja sredstava za obradu podataka;
15) zatitu podataka i sredstva za obradu podataka od zlonamernog softvera;
16) zatitu od gubitka podataka;
17) uvanje podataka o dogaajima koji mogu biti od znaaja za bezbednost IKT sistema;
18) obezbeivanje integriteta softvera i operativnih sistema;
19) zatitu od zloupotrebe tehnikih bezbednosnih slabosti IKT sistema;
20) obezbeivanje da aktivnosti na reviziji IKT sistema imaju to manji uticaj na funkcionisanje sistema;
21) zatitu podataka u komunikacionim mreama ukljuujui ureaje i vodove;
22) bezbednost podataka koji se prenose unutar operatora IKT sistema, kao i izmeu operatora IKT sistema i lica van
operatora IKT sistema;
23) pitanja informacione bezbednosti u okviru upravljanja svim fazama ivotnog ciklusa IKT sistema odnosno delova sistema;
24) zatitu podataka koji se koriste za potrebe testiranja IKT sistema odnosno delova sistema;
25) zatitu sredstava operatora IKT sistema koja su dostupna pruaocima usluga;
26) odravanje ugovorenog nivoa informacione bezbednosti i pruenih usluga u skladu sa uslovima koji su ugovoreni sa
pruaocem usluga;
27) prevenciju i reagovanje na bezbednosne incidente, to podrazumeva adekvatnu razmenu informacija o bezbednosnim
slabostima IKT sistema, incidentima i pretnjama;
28) mere koje obezbeuju kontinuitet obavljanja posla u vanrednim okolnostima.
Vlada, na predlog Nadlenog organa, blie ureuje mere zatite IKT sistema uvaavajui naela iz lana 3. ovog zakona,
nacionalne i meunarodne standarde i standarde koji se primenjuju u odgovarajuim oblastima rada.

Akt o bezbednosti IKT sistema od posebnog znaaja

lan 8
Operator IKT sistema od posebnog znaaja duan je da donese akt o bezbednosti IKT sistema.
Aktom iz stava 1. ovog lana odreuju se mere zatite, a naroito principi, nain i procedure postizanja i odravanja
adekvatnog nivoa bezbednosti sistema, kao i ovlaenja i odgovornosti u vezi sa bezbednou i resursima IKT sistema od
posebnog znaaja.
Akt iz stava 1. ovog lana mora da bude usklaen s promenama u okruenju i u samom IKT sistemu.
Operator IKT sistema od posebnog znaaja je duan da samostalno ili uz angaovanje spoljnih eksperata vri proveru
usklaenosti primenjenih mera IKT sistema sa aktom iz stava 1. ovog lana i to najmanje jednom godinje i da o tome saini
izvetaj.
Blii sadraj akta iz stava 1. ovog lana, nain provere IKT sistema od posebnog znaaja i sadraj izvetaja o proveri ureuje
Vlada na predlog Nadlenog organa.

Poveravanje aktivnosti u vezi sa IKT sistemom od posebnog znaaja treim licima

lan 9
Operator IKT sistema od posebnog znaaja moe poveriti aktivnosti u vezi sa IKT sistemom treim licima, u kom sluaju je
obavezan da uredi odnos sa tim licima na nain koji obezbeuje preduzimanje mera zatite tog IKT sistema u skladu sa
zakonom.
Aktivnostima iz stava 1. ovog lana (u daljem tekstu: poverene aktivnosti) smatraju se sve aktivnosti koje ukljuuju obradu,
uvanje, odnosno mogunost pristupa podacima kojima raspolae operator IKT sistema od posebnog znaaja, a odnose se
na njegovo poslovanje, kao i aktivnosti razvoja, odnosno odravanja softverskih i hardverskih komponenti od kojih
neposredno zavisi njegovo ispravno postupanje prilikom vrenja poslova iz nadlenosti, odnosno pruanja usluga.
Pod treim licem iz stava 1. ovog lana smatra se i privredni subjekat koji je imovinskim i upravljakim odnosima (lica sa
ueem, lanice grupe drutava kojoj taj privredni subjekt pripada i dr.) povezan sa operatorom IKT sistema od posebnog
znaaja.
Poveravanje aktivnosti vri se na osnovu ugovora zakljuenog izmeu operatora IKT sistema od posebnog znaaja i lica
kome se te aktivnosti poveravaju ili posebnim propisom.

lan 10
Izuzetno od odredaba lana 9. ovog zakona, ukoliko su aktivnosti u vezi sa IKT sistemom poverene propisom, tim propisom
se mogu drugaije urediti obaveze i odgovornosti operatora IKT sistema od posebnog znaaja u vezi poverenih aktivnosti.

Obavetavanje Nadlenog organa o incidentima

lan 11
Operatori IKT sistema od posebnog znaaja obavezni su da obaveste Nadleni organ o incidentima u IKT sistemima koji
mogu da imaju znaajan uticaj na naruavanje informacione bezbednosti.
Izuzetno od stava 1. ovog lana, finansijske institucije obavetenja upuuju Narodnoj banci Srbije, telekomunikacioni
operatori regulatornom telu za elektronske komunikacije, a operatori IKT sistema za rad sa tajnim podacima postupaju u
skladu sa propisima kojima se ureuje oblast zatite tajnih podataka.
Odredbe st. 1 i 2. ovog lana ne odnose se na samostalne operatore IKT sistema.
Postupak dostavljanja podataka, listu, vrste i znaaj incidenata i postupak obavetavanja iz stava 1. ovog lana ureuje
Vlada.
Ako je incident od interesa za javnost, Nadleni organ, odnosno organ iz stava 2. ovog lana kome se upuuju obavetenja o
incidentima, moe naloiti njegovo objavljivanje.
Ako je incident vezan za izvrenje krivinih dela koja se gone po slubenoj dunosti, Nadleni organ, odnosno organ iz stava
2. ovog lana kome se upuuju obavetenja o incidentima, obavetava nadleno javno tuilatvo, odnosno ministarstvo
nadleno za unutranje poslove.
Ako je incident povezan sa naruavanjem prava na zatitu podataka o linosti, Nadleni organ, odnosno organ iz stava 2.
ovog lana kome se upuuju obavetenja o incidentima i samostalni operator IKT sistema, o tome obavetavaju i Poverenika
za informacije od javnog znaaja i zatitu podataka o linosti.

Meunarodna saradnja i rana upozorenja o rizicima i incidentima

lan 12
Nadleni organ ostvaruje meunarodnu saradnju u oblasti bezbednosti IKT sistema, a naroito prua upozorenja o rizicima i
incidentima koji ispunjavaju najmanje jedan od sledeih uslova:
1) brzo rastu ili imaju tendenciju da postanu visoki rizici;
2) prevazilaze ili mogu da prevaziu nacionalne kapacitete;
3) mogu da imaju negativan uticaj na vie od jedne drave.
Ukoliko je incident u vezi sa izvrenjem krivinog dela, po dobijanju obavetenja od Nadlenog organa, ministarstvo nadleno
za unutranje poslove e u zvaninoj proceduri proslediti prijavu u skladu sa potvrenim meunarodnim ugovorima.
 lan 13
Samostalni operatori IKT sistema odredie posebna lica, odnosno organizacione jedinice za internu kontrolu sopstvenih IKT
sistema.
Lica za internu kontrolu samostalnih operatora IKT sistema izvetaj o izvrenoj internoj kontroli podnose rukovodiocu
samostalnog operatora IKT sistema.

III PREVENCIJA I ZATITA OD BEZBEDNOSNIH RIZIKA U IKT SISTEMIMA U

REPUBLICI SRBIJI
Nacionalni centar za prevenciju bezbednosnih rizika u IKT sistemima (Nacionalni CERT)

lan 14
Nacionalni centar za prevenciju bezbednosnih rizika u IKT sistemima (u daljem tekstu: Nacionalni CERT) obavlja poslove
koordinacije prevencije i zatite od bezbednosnih rizika u IKT sistemima u Republici Srbiji na nacionalnom nivou.
Za poslove Nacionalnog CERT-a nadlena je Regulatorna agencija za elektronske komunikacije i potanske usluge.

lan 15
Nacionalni CERT prikuplja i razmenjuje informacije o rizicima za bezbednost IKT sistema, kao i dogaajima koji ugroavaju
bezbednost IKT sistema i u vezi toga obavetava, upozorava i savetuje lica koja upravljaju IKT sistemima u Republici Srbiji,
kao i javnost, a posebno:
1) prati stanje o incidentima na nacionalnom nivou,
2) prua rana upozorenja, uzbune i najave i informie relevantna lica o rizicima i incidentima,
3) reaguje po prijavljenim ili na drugi nain otkrivenim incidentima, tako to prua savete na osnovu raspoloivih informacija
licima koja su pogoena incidentom i preduzima druge potrebne mere iz svoje nadlenosti na osnovu dobijenih saznanja,
4) kontinuirano izrauje analize rizika i incidenata,
5) podie svest kod graana, privrednih subjekata i organa javne vlasti o znaaju informacione bezbednosti, o rizicima i
merama zatite, ukljuujui sprovoenje kampanja u cilju podizanja te svesti,
6) vodi evidenciju Posebnih CERT-ova.
Evidencija iz stava 1. taka 6) ovog lana od podataka o linosti sadri podatke o odgovornim licima, i to: ime, prezime,
funkciju i kontakt podatke kao to su adresa, broj telefona i adresa elektronske pote.
Nacionalni CERT neposredno sarauje sa Nadlenim organom, Posebnim CERT-ovima u Republici Srbiji, slinim
organizacijama u drugim zemljama, sa javnim i privrednim subjektima, CERT-ovima samostalnih operatora IKT sistema, kao i
sa CERT-om republikih organa.
Nacionalni CERT promovie usvajanje i korienje propisanih i standardizovanih pravila za:
1) upravljanje i saniranje rizika i incidenata;
2) klasifikaciju informacija o rizicima i incidentima;
3) klasifikaciju ozbiljnosti incidenata i rizika;
4) definiciju formata i modela podataka za razmenu informacija o rizicima i incidentima i definiciju pravila po kojima e se
imenovati znaajni sistemi.

lan 16
Nadzor nad radom Nacionalnog CERT-a u vrenju poslova poverenih ovim zakonom vri Nadleni organ, koji periodino, a
najmanje jednom godinje, proverava da li Nacionalni CERT raspolae odgovarajuim resursima, vri poslove u skladu sa
lanom 15. ovog zakona i kontrolie uinak uspostavljenih procesa za upravljanje sigurnosnim incidentima.

Posebni centri za prevenciju bezbednosnih rizika u IKT sistemima

lan 17
Poseban centar za prevenciju bezbednosnih rizika u IKT sistemima (u daljem tekstu: Poseban CERT) obavlja poslove
prevencije i zatite od bezbednosnih rizika u IKT sistemima u okviru odreenog pravnog lica, grupe pravnih lica, oblasti
poslovanja i slino.
Poseban CERT je pravno lice ili organizaciona jedinica u okviru pravnog lica, koje je upisano u evidenciju posebnih CERT-
ova koju vodi Nacionalni CERT.
Upis u evidenciju posebnih CERT-ova vri se na osnovu prijave pravnog lica u okviru koga se nalazi poseban CERT.
Evidencija posebnih CERT-ova od podataka o linosti sadri podatke o odgovornim licima, i to: ime, prezime, funkciju i
kontakt podatke kao to su adresa, broj telefona i adresa elektronske pote.
Blie uslove za upis u evidenciju iz stava 3. ovog lana donosi Nadleni organ.

Centar za bezbednost IKT sistema u republikim organima (CERT republikih organa)

lan 18
Centar za bezbednost IKT sistema u republikim organima (u daljem tekstu: CERT republikih organa) obavlja poslove koji
se odnose na zatitu od incidenata u IKT sistemima republikih organa, izuzev IKT sistema samostalnih operatora.
Poslove CERT-a republikih organa obavlja Uprava za zajednike poslove republikih organa.
Poslovi CERT-a republikih organa obuhvataju:
1) zatitu IKT sistema Raunarske mree republikih organa (u daljem tekstu: RMRO);
2) koordinaciju i saradnju sa operatorima IKT sistema koje povezuje RMRO u prevenciji incidenata, otkrivanju incidenata,
prikupljanju informacija o incidentima i otklanjanju posledica incidenata;
3) izdavanje strunih preporuka za zatitu IKT sistema republikih organa, osim IKT sistema za rad sa tajnim podacima.

lan 19
Samostalni operatori IKT sistema su u obavezi da formiraju sopstvene centre za bezbednost IKT sistema radi upravljanja
incidentima u svojim sistemima.
Centri iz stava 1. ovog lana meusobno razmenjuju informacije o incidentima, kao i sa nacionalnim CERT-om i sa CERT-om
republikih organa, a po potrebi i sa drugim organizacijama.
Delokrug centra za bezbednost IKT sistema, kao organizacione jedinice samostalnog operatora IKT sistema, pored poslova
iz st. 1. i 2. ovog lana, moe obuhvatati:
1) izradu internih akata u oblasti informacione bezbednosti;
2) izbor, testiranje i implementaciju tehnikih, fizikih i organizacionih mera zatite, opreme i programa;
3) izbor, testiranje i implementaciju mera zatite od KEMZ;
4) nadzor implementacije i primene bezbednosnih procedura;
5) upravljanje i korienje kriptografskih proizvoda;
6) analizu bezbednosti IKT sistema u cilju procene rizika;
7) obuku zaposlenih u oblasti informacione bezbednosti.

IV KRIPTOBEZBEDNOST I ZATITA OD KOMPROMITUJUEG

ELEKTROMAGNETNOG ZRAENJA
Nadlenost

lan 20
Ministarstvo nadleno za poslove odbrane je nadleno za poslove informacione bezbednosti koji se odnose na odobravanje
kriptografskih proizvoda, distribuciju kriptomaterijala i zatitu od kompromitujueg elektromagnetnog zraenja i poslove i
zadatke u skladu sa zakonom i propisima donetim na osnovu zakona.

Poslovi i zadaci

lan 21
U skladu sa ovim zakonom, ministarstvo nadleno za poslove odbrane:
1) organizuje i realizuje naunoistraivaki rad u oblasti kriptografske bezbednosti i zatite od KEMZ;
2) razvija, implementira, verifikuje i klasifikuje kriptografske algoritme;
3) istrauje, razvija, verifikuje i klasifikuje sopstvene kriptografske proizvode i reenja zatite od KEMZ;
4) verifikuje i klasifikuje domae i strane kriptografske proizvode i reenja zatite od KEMZ;
5) definie procedure i kriterijume za evaluaciju kriptografskih bezbednosnih reenja;
6) vri funkciju nacionalnog organa za odobrenja kriptografskih proizvoda i obezbeuje da ti proizvodi budu odobreni u
skladu sa odgovarajuim propisima;
7) vri funkciju nacionalnog organa za zatitu od KEMZ;
8) vri proveru IKT sistema sa aspekta kriptobezbednosti i zatite od KEMZ;
9) vri funkciju nacionalnog organa za distribuciju kriptomaterijala i definie upravljanje, rukovanje, uvanje, distribuciju i
evidenciju kriptomaterijala u skladu sa propisima;
10) planira i koordinira izradu kriptoparametara (parametara kriptografskog algoritma), distribuciju kriptomaterijala i zatite od
kompromitujueg elektromagnetnog zraenja u saradnji sa samostalnim operatorima IKT sistema;
11) formira i vodi centralni registar verifikovanog i distribuiranog kriptomaterijala;
12) formira i vodi registar izdatih odobrenja za kriptografske proizvode;
13) izrauje elektronske sertifikate za kriptografske sisteme zasnovane na infrastrukturi javnih kljueva (Public Key
Infrastructure - PKI);
14) predlae donoenje propisa iz oblasti kriptobezbednosti i zatite od KEMZ na osnovu ovog zakona;
15) vri poslove strunog nadzora u vezi kriptobezbednosti i zatite od KEMZ;
16) prua strunu pomo nosiocu inspekcijskog nadzora informacione bezbednosti u oblasti kriptobezbednosti i zatite od
KEMZ;
17) prua usluge uz naknadu pravnim i fizikim licima, izvan sistema javne vlasti, u oblasti kriptobezbednosti i zatite od
KEMZ prema propisu Vlade na predlog ministra odbrane;
18) sarauje sa domaim i meunarodnim organima i organizacijama u okviru nadlenosti ureenih ovim zakonom.
Sredstva ostvarena od naknade za pruanje usluga iz stava 1. taka 17) ovog lana su prihod budeta Republike Srbije.

Kompromitujue elektromagnetno zraenje

lan 22
Mere zatite od KEMZ za rukovanje sa tajnim podacima u IKT sistemima primenjuju se u skladu sa propisima kojima se
ureuje zatita tajnih podataka.
Mere zatite od KEMZ mogu primenjivati na sopstvenu inicijativu i operatori IKT sistema kojima to nije zakonska obaveza.
Za sve tehnike komponente sistema (ureaje, komunikacione kanale i prostore) kod kojih postoji rizik od KEMZ, a to bi
moglo dovesti do naruavanja informacione bezbednosti iz stava 1. ovog lana, vri se provera zatienosti od KEMZ i
procena rizika od neovlaenog pristupa tajnim podacima putem KEMZ.
Proveru zatienosti od KEMZ vri ministarstvo nadleno za poslove odbrane.
Samostalni operatori IKT sistema mogu vriti proveru KEMZ za sopstvene potrebe.
Blie uslove za proveru KEMZ i nain procene rizika od oticanja podataka putem KEMZ ureuje Vlada, na predlog
ministarstva nadlenog za poslove odbrane.

Mere kriptozatite

lan 23
Mere kriptozatite za rukovanje sa tajnim podacima u IKT sistemima primenjuju se u skladu sa propisima kojima se ureuje
zatita tajnih podataka.
Mere kriptozatite se mogu primeniti i prilikom prenosa i uvanja podataka koji nisu oznaeni kao tajni u skladu sa zakonom
koji ureuje tajnost podataka, kada je na osnovu zakona ili drugog pravnog akta potrebno primeniti tehnike mere
ogranienja pristupa podacima i radi zatite integriteta, autentinosti i neporecivosti podataka.
Vlada, na predlog ministarstva nadlenog za poslove odbrane ureuje tehnike uslove za kriptografske algoritme, parametre,
protokole i informaciona dobra u oblasti kriptozatite koji se u Republici Srbiji koriste u kriptografskim proizvodima radi zatite
tajnosti, integriteta, autentinosti, odnosno neporecivosti podataka.

Odobrenje za kriptografski proizvod

lan 24
Kriptografski proizvodi koji se koriste za zatitu prenosa i uvanja podataka koji su odreeni kao tajni, u skladu sa zakonom,
moraju biti verifikovani i odobreni za korienje.
Vlada, na predlog ministarstva nadlenog za poslove odbrane, blie ureuje uslove koje moraju da ispunjavaju kriptografski
proizvodi iz stava 1. ovog lana.

Izdavanje odobrenja za kriptografski proizvod

lan 25
Odobrenje za kriptografski proizvod izdaje ministarstvo nadleno za poslove odbrane, na zahtev operatora IKT sistema,
proizvoaa kriptografskog proizvoda ili drugog zainteresovanog lica.
Odobrenje za kriptografski proizvod se moe odnositi na pojedinani primerak kriptografskog proizvoda ili na odreeni model
kriptografskog proizvoda koji se serijski proizvodi.
Odobrenje za kriptografski proizvod moe imati rok vaenja.
Ministarstvo nadleno za poslove odbrane reava po zahtevu za izdavanje odobrenja za kriptografski proizvod u roku od 45
dana od dana podnoenja urednog zahteva, koji se moe produiti u sluaju posebne sloenosti provere najvie za jo 60
dana.
Protiv reenja iz stava 4. ovog lana alba nije doputena, ali moe da se pokrene upravni spor.
Ministarstvo nadleno za poslove odbrane vodi registar izdatih odobrenja za kriptografski proizvod.
Registar iz stava 6. ovog lana od podataka o linosti sadri podatke o odgovornim licima, i to: ime, prezime, funkcija i
kontakt podatke kao to su adresa, broj telefona i adresa elektronske pote.
Ministarstvo nadleno za poslove odbrane objavljuje javnu listu odobrenih modela kriptografskih proizvoda za sve modele
kriptografskih proizvoda za koje je u zahtevu za izdavanje odobrenja naglaeno da model kriptografskog proizvoda treba da
bude na javnoj listi i ako je zahtev podneo proizvoa ili lice ovlaeno od strane proizvoaa predmetnog kriptografskog
proizvoda.
Ministarstvo nadleno za poslove odbrane prethodno izdato odobrenje za kriptografski proizvod moe povui ili promeniti
uslove iz st. 2. i 3. ovog lana iz razloga novih saznanja vezanih za tehnika reenja primenjena u proizvodu, a koja utiu na
ocenu stepena zatite koji prua proizvod.
Vlada, na predlog ministarstva nadlenog za poslove odbrane, blie ureuje sadraj zahteva za izdavanje odobrenja za
kriptografski proizvod, uslove za izdavanje odobrenja za kriptografski proizvod, nain izdavanja odobrenja i sadraj registra
izdatih odobrenja za kriptografski proizvod.

Opte odobrenje za korienje kriptografskih proizvoda

lan 26
Samostalni operatori IKT sistema imaju opte odobrenje za korienje kriptografskih proizvoda.
Operator IKT sistema iz stava 1. ovog lana samostalno ocenjuje stepen zatite koji prua svaki pojedinani kriptografski
proizvod koji koristi, a u skladu sa propisanim uslovima.

Registri u kriptozatiti

lan 27
Samostalni operatori IKT sistema koji imaju opte odobrenje za korienje kriptografskih proizvoda ustrojavaju i vode registre
kriptografskih proizvoda, kriptomaterijala, pravila i propisa i lica koja obavljaju poslove kriptozatite.
Registar lica koja obavljaju poslove kriptozatite od podataka o linosti sadri sledee podatke o licima koja obavljaju poslove
kriptozatite: prezime, ime oca i ime, datum i mesto roenja, matini broj, telefon, adresu elektronske pote, kolsku spremu,
podatke o zavrenom strunom osposobljavanju za poslove kriptozatite, naziv radnog mesta, datum poetka i zavretka
rada na poslovima kriptozatite.
Registar kriptomaterijala za rukovanje sa stranim tajnim podacima vodi Kancelarija Saveta za nacionalnu bezbednost i
zatitu tajnih podataka, u skladu sa ratifikovanim meunarodnim sporazumima.
Vlada, na predlog ministarstva nadlenog za poslove odbrane, blie ureuje voenje registara iz stava 1. ovog lana.

V INSPEKCIJA ZA INFORMACIONU BEZBEDNOST

Poslovi inspekcije za informacionu bezbednost

lan 28
Inspekcija za informacionu bezbednost vri inspekcijski nadzor nad primenom ovog zakona i radom operatora IKT sistema
od posebnog znaaja, osim samostalnih operatora IKT sistema i IKT sistema za rad sa tajnim podacima, a u skladu sa
zakonom kojim se ureuje inspekcijski nadzor.
Poslove inspekcije za informacionu bezbednost obavlja ministarstvo nadleno za poslove informacione bezbednosti preko
inspektora za informacionu bezbednost.
U okviru inspekcijskog nadzora rada operatora IKT sistema, inspektor za informacionu bezbednost utvruje da li su ispunjeni
uslovi propisani ovim zakonom i propisima donetim na osnovu ovog zakona.

Ovlaenja inspektora za informacionu bezbednost

lan 29
Inspektor za informacionu bezbednost je ovlaen da u postupku sprovoenja nadzora, pored nalaganja mera za koje je
ovlaen inspektor u postupku vrenja inspekcijskog nadzora utvrenih zakonom:
1) naloi otklanjanje utvrenih nepravilnosti i za to ostavi rok;
2) zabrani korienje postupaka i tehnikih sredstava kojima se ugroava ili naruava informaciona bezbednost i za to ostavi
rok.

VI KAZNENE ODREDBE
lan 30
Novanom kaznom u iznosu od 50.000,00 do 2.000.000,00 dinara kaznie se za prekraj pravno lice ako:
1) ne donese Akt o bezbednosti IKT sistema iz lana 8. stav 1. ovog zakona;
2) ne primeni mere zatite odreene Aktom o bezbednosti IKT sistema iz lana 8. stav 2. ovog zakona;
3) ne izvri proveru usklaenosti primenjenih mera iz lana 8. stav 4. ovog zakona;
4) ne postupi po nalogu inspektora za informacionu bezbednost u ostavljenom roku iz lana 29. stav 1. taka 1. ovog zakona.
Za prekraj iz stava 1. ovog lana kaznie se i odgovorno lice u pravnom licu novanom kaznom u iznosu od 5.000,00 do
50.000,00 dinara.

lan 31
Novanom kaznom u iznosu od 50.000,00 do 500.000,00 dinara kaznie se za prekraj pravno lice ako o incidentima u IKT
sistemu ne obavesti Nadleni organ, odnosno organ nadlean za obezbeenje primene standarda u oblasti zatite tajnih
podataka, Narodnu banku Srbije ili regulatorno telo za elektronske komunikacije (lan 11. st. 1. i 2.).
Za prekraj iz stava 1. ovog lana kaznie se i odgovorno lice u pravnom licu novanom kaznom u iznosu od 5.000,00 do
50.000,00 dinara.

VII PRELAZNE I ZAVRNE ODREDBE

Rokovi za donoenje podzakonskih akata

lan 32
Podzakonska akta predviena ovim zakonom donee se u roku od est meseci od dana stupanja na snagu ovog zakona.

lan 33
Operatori IKT sistema od posebnog znaaja su duni da donesu akt o bezbednosti IKT sistema od posebnog znaaja u roku
od 90 dana od dana stupanja na snagu podzakonskog akta iz lana 10. ovog zakona.

Stupanje na snagu

lan 34
Ovaj zakon stupa na snagu osmog dana od dana objavljivanja u "Slubenom glasniku Republike Srbije".