U digitalnom dobu, gde podaci postaju najvredniji resurs, informaciona bezbednost više nije samo tehničko pitanje — već pravna obaveza. U Srbiji, ovu oblast reguliše Zakon o informacionoj bezbednosti, koji definiše mere, pravila i odgovornosti organizacija koje prikupljaju, čuvaju i obrađuju podatke.
U nastavku donosimo pregled najvažnijih stvari koje treba da znate o ovom zakonu, bilo da ste vlasnik firme, IT menadžer, developer ili preduzetnik.
Šta je Zakon o informacionoj bezbednosti?
Zakon o informacionoj bezbednosti predstavlja pravni okvir koji uređuje:
zaštitu informacionih sistema,
sprečavanje i reagovanje na sajber napade,
obaveze organa vlasti i kompanija koje pružaju javne usluge,
nacionalni sistem upravljanja informacionom bezbednošću.
Njegov cilj je da obezbedi da kritični informacioni sistemi u Srbiji budu sigurni, stabilni i otporni na pretnje.
Profesionalna izrada dokumentacije i usklađivanje sa Zakonom o informacionoj bezbednosti
Ko mora da poštuje ovaj zakon?
Zakon se primenjuje na:
državne organe, lokalne samouprave i javna preduzeća,
operatere informacionih sistema od posebnog značaja,
pružaoce usluga informacionog društva,
sve pravne subjekte koje zakon posebno prepoznaje kao nosioce važnih digitalnih usluga (npr. banke, telekom operateri, energetske kompanije).
U novijim izmenama, sve više firmi potpada pod obaveze — naročito ako pružaju digitalne usluge ili obrađuju osetljive podatke korisnika.
Koje su ključne obaveze kompanija?
1. Procena rizika
Svaki obveznik mora redovno da radi procenu rizika i analizu bezbednosnih pretnji u svom informacionom sistemu.
2. Uvođenje bezbednosnih mera
To uključuje:
sigurnosne politike,
antivirus zaštitu,
firewall-e,
kontrolu pristupa,
redovne sigurnosne provere.
3. Izrada akta o bezbednosti
Dokument koji sadrži sve procedure, protokole i mere zaštite.
4. Izveštavanje o incidentima
Svaki ozbiljan bezbednosni incident mora se prijaviti:
Nacionalnom CERT-u ili
Posebnom CERT-u sektora, ako postoji.
Rokovi i način prijave su striktno definisani.
5. Kontinuitet poslovanja
Kompanija mora da ima plan kako da nastavi rad i u slučaju ozbiljnog sajber napada.
Zašto je ovaj zakon važan?
Sprečava curenje podataka korisnika.
Usklađuje Srbiju sa regulativama EU, poput NIS direktive.
Obezbeđuje stabilnost kritične infrastrukture.
Smanjuje rizik finansijske štete i gubitka reputacije.
Podstiče kompanije da uspostave profesionalne bezbednosne standarde (ISO 27001, ISO 22301 itd.).
Kazne za nepoštovanje zakona
Kazne mogu ići:
od 100.000 RSD do preko 2.000.000 RSD za pravna lica,
odgovorne osobe takođe mogu biti kažnjene,
u težim slučajevima — privremena zabrana rada informacionog sistema.
Kazne su značajno pooštrene poslednjih godina jer se broj sajber napada povećao za preko 40% godišnje.
Kako se uskladiti sa Zakonom o informacionoj bezbednosti?
1. Uraditi procenu rizika
Prvi korak uvek je jasna slika stanja sistema.
2. Uvesti tehničke i organizacione mere zaštite
To obuhvata IT zaštitu, ali i ljudski faktor (obuke zaposlenih).
3. Definisati bezbednosne politike
Dokumenta, procedure i protokole za zaštitu podataka i reagovanje na incidente.
4. Imati CERT kontakt tačku
Obavezno za operatere informacionih sistema od posebnog značaja.
5. Redovno raditi revizije i ažuriranje sistema
Svakih 6–12 meseci preporučuje se kompletna bezbednosna provera.
Zaključak
Zakon o informacionoj bezbednosti predstavlja stub digitalne zaštite u Srbiji. Njegovo poštovanje nije samo zakonska obaveza — već i poslovna nužnost. Svaka organizacija, bez obzira na veličinu, mora ozbiljno da pristupi sigurnosti svojih informacionih sistema, jer je cena neodgovornog postupanja danas veća nego ikada.
