Razlozi za donošenje novog Zakona o informacionoj bezbednosti 

Donošenjem novog Zakona o informacionoj bezbednosti („Sl. glasnik RS“ br. 91/2025, u daljem tekstu: Novi zakon) nastoji se obezbediti viši nivo opšte informacione (sajber) bezbednosti u uslovima sve veće digitalizacije i sve složenijeg sajber okruženja. 

Drugi razlog za donošenje Novog zakona jeste usklađivanje domaće regulative sa evropskom, konkretno sa NIS2 Direktivom EU kojom je upotpunjen i revidiran regulatorni okvir u oblasti informacione bezbednosti na nivou EU.

Uopšteno, razlozi za donošenje Novog zakona jesu i unapređenje institucionalnog okvira sa ciljem da se on osposobi da pravilno primenjuje novouspostavljene obaveze i nadležnosti kao i potreba da se unaprede rešenja i otklone nedostaci iz ranijeg zakona koji su uočeni kroz njegovu primenu, uz organizaciono i strukturalno unapređenje samog zakonskog teksta.

Širi krug subjekata koji su obuhvaćeni Novim zakonom i njihova podela

Prema Novom zakonu, operatori informaciono-komunikacionih sistema (u daljem tekstu: IKT sistemi) pored pravnih lica, organa ili organizacionih jedinica vlasti, sada mogu biti i fizička lica u svojstvu registrovanih subjekata. 

Takođe, Novim zakonom su IKT sistemi od posebnog značaja podeljeni u dve kategorije – prioritetni IKT sistemi i važni IKT sistemi:

Prioritetni IKT sistemi – sistemi od ključnog značaja za održavanje kritičnih društvenih i ekonomskih aktivnosti čiji bi prekid ili poremećaj u pružanju usluga mogao imati ozbiljan uticaj na javnu bezbednost, javno zdravlje, proizvodnju i snabdevanje energentima i električnom energijom, snabdevanje pijaćom vodom, bezbednost i odvijanje saobraćaja, finansijsku stabilnost…

  • Operatori prioritetnih IKT sistema jesu pravna lica i fizička lica u svojstvu registrovanog subjekta iz oblasti koje su vitalne za funkcionisanje društva: energetika i rudarstvo, saobraćaj, bankarstvo, zdravstvo itd. – ovi subjekti su bili obuhvaćeni i ranijim zakonom. 

Važni IKT sistemi – sistemi koji nisu bili obuhvaćeni ranijim zakonom. Odnose se na sektore pružanja poštanskih usluga, istraživačke institucije, sektore proizvodnje hrane, elektronike, računara, mašina i uređaja, motornih vozila, medicinskih sredstava…

  • Operatori važnih IKT sistema jesu pravna lica i fizička lica u svojstvu registrovanih subjekata iz oblasti pružanja poštanskih usluga, upravljanja ambalažnim otpadom, naučnoistraživačke institucije, subjekti iz oblasti proizvodnje hemikalija, hrane, računara, električne opreme, mašina i uređaja, motornih vozila, naoružanja, kao i subjekti koji pružaju usluge informacionog društva.

Dakle, mnogo je širi krug subjekata (kako iz državnog, a naročito iz privatnog sektora) koji su adresati obaveza iz oblasti informacione bezbednosti u skladu sa Novim zakonom.

Nove obaveze – akt o proceni rizika, novi akt o bezbednosti, rokovi za prijavu incidenata i izveštavanje tokom incidenta

Novi zakon uvodi obimniji i precizniji skup obaveza za operatore IKT sistema od posebnog značaja:

  • akt o proceni rizika – prema Novom zakonu svi operatori IKT sistema od posebnog značaja imaju obavezu da izvrše procenu rizika i donesu akt o proceni rizika IKT sistema od posebnog značaja u roku od 18 meseci od dana stupanja na snagu Novog zakona (30. april 2027. godine);
  • akt o bezbednosti svi operatori IKT sistema od posebnog značaja imaju obavezu da u skladu sa aktom o proceni rizika, u istom roku do 30. aprila 2027. godine, donesu akt o bezbednosti IKT sistema od posebnog značaja;
  • godišnje revizije i usklađivanja nakon donošenja, akt o proceni rizika kao i akt o bezbednosti moraju se redovno revidirati, najmanje jednom godišnje; 
  • rok za prijavljivanje incidenta Novim zakonom uvodi se rok od 24 sata od saznanja za incident koji značajno narušava informacionu bezbednost u kom je operator dužan da dostavi obaveštenje o incidentu;
  • obaveza prijavljivanja izbegnutih incidenata predviđena je obaveza za operatore da dostave obaveštenje i o izbegnutim incidentima koji su predstavljali ozbiljnu pretnju po informacionu bezbednost;
  • izveštavanje tokom incidenta pored konkretnog roka za dostavljanje obaveštenja o incidentu, Novim zakonom su predviđeni i konkretni rokovi za izveštavanje tokom incidenta – na svaka tri dana u slučaju incidenta srednjeg nivoa, odnosno na svaka 24 sata u slučaju incidenta visokog i veoma visokog nivoa, uz zadržavanje od ranije postojeće obaveze dostavljanja završnog izveštaja o incidentu u roku od 15 dana od dana prestanka incidenta.

Institucionalne promene – osnivanje Kancelarije za informacionu bezbednost 

Novi zakon predviđa osnivanje Kancelarije za informacionu bezbednost – nova institucija zadužena za prevenciju i zaštitu od bezbednosnih rizika, koordinaciju, nadzor i reagovanje u slučaju incidenata. Kancelarija će preuzeti ulogu nacionalnog CERT-a, a početak rada Kancelarije je predviđen od 1. januara 2027. godine. 

Do tada poslove iz domena zaštite informacione bezbednosti koje je obavljao Nacionalni CERT obavljaće Regulatorno telo za elektronske komunikacije i poštanske usluge, a ostale poslove Kancelarije za informacionu bezbednost predviđene Novim zakonom obavljaće Kancelarija za informacione tehnologije i elektronsku upravu.   

Novi zakon takođe pojačava ulogu države u nadzoru – uz inspekcijski nadzor koji vrši inspekcija za informacionu bezbednost, čija ovlašćenja su proširena, uvodi se i stručni nadzor nad primenom Novog zakona kao i radom operatora IKT sistema od posebnog značaja koji će vršiti Kancelarija za informacionu bezbednost.

To znači da zaštita IKT sistema više nije stvar isključivo “internih procedura” subjekata državnog i privatnog sektora, već deo institucionalnog sistema, sa državnom podrškom i nadzorom.

Novi prekršaji i sankcije 

Za nepoštovanje novih obaveza kao i za nove subjekte koji su nosioci obaveza propisani su novi prekršaji i sankcije. 


Nedonošenje akta o proceni rizika:

  • pravno lice koje je operator prioritetnog IKT sistema – 50.000 do 500.000 dinara;
  • odgovorno lice u pravnom licu koje je operator prioritetnog IKT sistema – 5.000 do 50.000 dinara;
  • fizičko lice u svojstvu registrovanog subjekta koje je operator prioritetnog IKT sistema – 10.000 do 500.000 dinara.

Nedostavljanje obaveštenja i izveštaja tokom i nakon završetka incidenta:

  • pravno lice koje je operator prioritetnog IKT sistema – 50.000 do 2.000.000 dinara;
  • odgovorno lice u pravnom licu koje je operator prioritetnog IKT sistema – 5.000 do 50.000 dinara;
  • fizičko lice u svojstvu registrovanog subjekta koje je operator prioritetnog IKT sistema – 10.000 do 500.000 dinara.

Propisane kazne za prekršaje za operatore važnih IKT sistema: 

  • Učinilac prekršaja sada može biti i operator važnih IKT sistema, a propisani raspon novčanih kazni za ove subjekte iznosi od 50.000 do 1.000.000 dinara.

Šta Novi zakon zapravo znači u praksi – za državu, kompanije, građane

Šira odgovornost i transparentnost – više subjekata, kako državnih tako i privatnih, mora da uspostavi interne procedure zaštite, procene rizika i bezbednosti – što znači proširenje i jačanje kulture bezbednosti u IKT sferi.

Brža reakcija i bolja koordinacija – u slučaju incidenta – hitna prijava u roku od 24 sata, odgovornost države kroz novu instituciju, Kancelariju za informacionu bezbednost, bolja komunikacija sa korisnicima i javnošću, koordinacija sa regulatorima i drugim učesnicima u postupku zaštite informacione bezbednosti.

Veće troškove, ali i veću sigurnost – subjekti koji spadaju pod operatore IKT sistema od posebnog značaja moraće da investiraju u procenu rizika, bezbednosne politike, revizije i procedure — ali time podižu ukupni nivo stabilnosti, bezbednosti i zaštite podatka.

Podsticaj za digitalno poslovanje i investicije – pouzdan i stabilan regulatorni okvir je preduslov za rast IKT sektora, jaču digitalizaciju i poverenje investitora.

Veća odgovornost prema građanima – Novi zakon omogućava bolju zaštitu podataka i veću bezbednost komunikacija i sektora privrede od kojih građani zavise — posebno u oblastima zdravstva, energetike, proizvodnje hrane, snabdevanja vodom, bankarstva, državnih servisa…

Zaključak i značaj za privredu, državu i građane

Novi zakon predstavlja kvalitativni iskorak – unapređuje regulativu sa nivoa „osnovnih mera zaštite” i afirmiše strog, sistemski pristup koji sada obuhvata širok spektar subjekata. Uvođenje obaveze procene rizika, donošenja akta o proceni rizika i akta o bezbednosti, redovnih (godišnjih) revizija tih akata, hitnog prijavljivanja incidenata, kao i uspostavljanje institucije sa konkretnim nadležnostima u smislu koordinacije i nadzora, na normativnom planu odražavaju ozbiljan pristup izazovima modernih IKT sistema i sajber pretnji.

Za privredne subjekte Novi zakon donosi dodatne obaveze – ali zasnovane na realnim potrebama i u najboljem interesu svih učesnika u digitalnom prostoru koji postaje dominantan poslovni habitat.

Za državu i građane, nova regulativa znači bolju zaštitu podataka, veću otpornost sistema i transparentniji odgovor na incidente. To je važno i za digitalizaciju javnih servisa i usluga u kom smeru se kreće celokupno društvo, zaštitu kritične infrastrukture i uspostavljanje stabilnog okvira za budući digitalni razvoj.