Нови Закон о информационој безбедности, који је Скупштина Србије недавно усвојила, усклађен је са принципима НИС2 директиве Европске уније и успоставља правни оквир за јачање сајбер безбедности, уводећи строже и обимније обавезе које се односе на знатно шири круг компанија него до сада.
“Конкретно, нови закон се примењује на државне органе и на секторе који су већ били покривени и претходним законом, као што су енергетика, саобраћај, здравство, електронске комуникације, банкарство и дигитална инфраструктура, али сада обухвата и додатне делатности у оквиру тих сектора. У његову примену сада су уведени и бројни нови сектори, попут производње критичних производа (хране, рачунара, електронске опреме, лекова и медицинских средстава, моторних возила), курирске услуге, додатне дигиталне услуге попут друштвених мрежа, као и научно-истраживачка делатност”, каже у разговору за Бизнис.рс Горан Радошевић, адвокат и партнер у адвокатској канцеларији Карановић & Партнерс.
Ова листа, према његовим речима, није нужно коначна, јер надлежно министарство може одредити и друге субјекте као обвезнике примене закона, ако процени да би поремећај у њиховом раду могао значајно да утиче на виталне јавне интересе.
“Пратећи структуру НИС2 директиве, и наш нови закон уводи разлику између такозваних ‘приоритетних’ и ‘важних’ оператера, зависно од сектора у којем послују. Међутим, за разлику од НИС2 директиве у којој ова подела има нешто већи значај, по нашем закону оба типа оператера подлежу суштински истим обавезама у области сајбер безбедности, док је главна разлика у висини запрећене казне, чији је максимум двоструко виши за приоритетне оператере – до два милиона динара”, истиче наш саговорник.
Како каже, новчане казне су предвиђене и за одговорна лица компанија – до 50.000 динара, али новина је могућност да се њима изрекне и привремена забрана обављања управљачких функција, чиме закон подиже информациону безбедност са техничког нивоа на стратешки – у надлежност самог менаџмента компанија.
Закон такође пооштрава обавезе у вези са управљањем ризицима и извештавањем о инцидентима, уводи низ нових обавеза и мења структуру и надлежности државних органа задужених за његову примену.
Како ће нови закон утицати на привредне субјекте и грађане?
За очекивати је да ће утицај новог закона на привреду бити непосредан и значајан, јер је он већ ступио на снагу 31. октобра, иако се део обавеза одлаже у ишчекивању доношења подзаконских аката, сматра Радошевић.
“За почетак, кључно је да привредни субјекти утврде да ли су обвезници закона – што на први поглед делује једноставно, али је у пракси често сложено. Ако јесу, следи припрема плана и стратегије за усклађивање интерних политика, ИТ инфраструктуре и уговорних односа са добављачима. Неке обавезе, попут регистрације и доношења интерних аката о процени ризика и безбедности информационих система, као и њихово ажурирање једном годишње, примењиваће се тек по доношењу подзаконских аката који ће их детаљније регулисати. Међутим, најважнија обавеза – спровођење техничких, оперативних, организационих и физичких мера заштите – већ је на снази”, истиче Радошевић.
Према његовим речима, примена захтева озбиљна улагања у анализу постојећег стања и унапређивање нивоа заштите у складу са савременим ризицима и специфичностима сваке компаније.
“И обавеза обавештавања надлежних органа о значајним безбедносним инцидентима, укључујући и оне који су избегнути, већ је на снази. Компаније морају бити спремне да о инциденту обавесте надлежне органе најкасније у року од 24 сата од сазнања за инцидент, као и периодично током трајања и након окончања самог инцидента. У одређеним случајевима биће нужно обавестити и кориснике услуга компаније, што може бити посебно осетљиво из репутационог угла”, оцењује Радошевић.
Компаније су, како истиче, дужне да без одлагања уреде и однос са својим пружаоцима услуга (укључујући цлоуд сервисе, ИТ одржавање и слично), путем уговорних одредаба које обезбеђују безбедно руковање подацима и ефикасну сарадњу у случају инцидената.
“Из угла грађана као крајњих корисника ИТ услуга, али и као лица чији су лични подаци расути по базама података разних државних органа, банака, здравствених установа, нови закон би требало да донесе искључиво користи – виши ниво заштите података и мањи ризик од инцидената, како у јавном тако и у приватном сектору. То подразумева и већу способност оператера да брзо препознају и отклоне безбедносне претње, чиме се смањује могућност прекида услуга или компромитовања података. Иако ће део трошкова усклађивања неминовно пасти на крајње кориснике, то је улагање које би, барем у теорији, требало да се вишеструко исплати”, наводи он.
Радошевић оцењује да ће нови закон допринети већем степену сајбер безбедности, али указује да је он само подлога за друштвену промену и да је упитно какав ће бити њен смер и интензитет, који зависи од више фактора.
“Кључни фактори су политичка воља за применом закона, ефикасан надзор над применом и доследна казнена политика. Умерени оптимизам даје чињеница да у приватном сектору страх од инспекција и казни није једини и највећи мотив за усклађивање са законом, већ су то и очување поверења клијената и тржишта, захтеви партнера у ланцу снабдевања, као и базична економска логика – улагање у превенцију спречава реалне губитке од све чешћих сајбер напада”, сматра он.
Са друге стране, Радошевић указује да за многе компаније усклађивање са законом представља велику главобољу, која се повећава када схвате шта то све подразумева, колико кошта и шта треба урадити у кратким роковима.
“Ако се већ са превенцијом закаснило, потребно је деловати без одлагања – полазећи од популарне крилатице да, са брзином развоја технологије којој сведочимо, више није питање да ли ће нека компанија бити жртва сајбер инцидента, већ када ће се то десити и колико ће је то коштати”, наводи наш саговорник.
НИС2 директива утиче и на компаније у Србији
Када је реч о повезаности са НИС2 директивом, Радошевић објашњава да она има посредан утицај и на компаније изван ЕУ, укључујући и оне из Србије које пружају дигиталне услуге на тржишту ЕУ. Будући да се ради о директиви, све државе чланице ЕУ су морале до 18. октобра 2024. године да усвоје националне законе за њено спровођење.
“Иако се НИС2 првенствено односи на субјекте унутар ЕУ, ова директива може имати дејство и на компаније из других земаља (на пружаоце цлоуд услуга, интернет претраживаче, дигиталне посредничке платформе или друштвене мреже), укључујући и Србију, ако пружају услуге на ЕУ тржишту. Такве компаније су дужне да поштују, поред својих националних прописа, и НИС2 директиву, што подразумева и обавезу да именују свог представника у ЕУ. Исто тако, НИС2 има посредан утицај на српске компаније и кроз захтеве мултинационалних компанија да и њихова локална зависна друштва испуњавају исте стандарде, а по природи ствари нешто слично захтевају и ЕУ клијенти српских фирми”, каже Радошевић.
Међутим, он истиче да је много значајнији и свеобухватнији утицај који НИС2 има на наше законодавство, будући да је наш нови закон донет првенствено ради усклађивања са том директивом, чије принципе и кључне механизме настоји да имплементира и прилагоди српским условима.
“Сличан утицај је НИС2 имао не само на наш закон, већ и на законодавства бројних других држава у свету, слично ономе што је ГДПР (Генерал Дата Протецтион Регулатион) изазвао пре неколико година. Такав утицај се често назива ‘Бриселским ефектом’ – када ЕУ прописи постану глобални стандард, јер државе и компаније изван ЕУ своје прописе и праксе добровољно усклађују са европским правилима”, указује Радошевић.
Битна разлика нашег закона у односу на НИС2 директиву је што он по аутоматизму важи и за мала и микро предузећа у конкретним секторима, док се обавезе у самој директиви углавном односе на средње и велике компаније, док су мала и микро предузећа генерално изузета, осим ако спадају у посебно ризичне категорије.
“Време ће показати да ли ће се то променити. Чини се да тренутно Србија нема довољно кадровских, техничких ни финансијских капацитета да надзире све компаније – од великих до малих – у погледу поштовања навиших стандарда сајбер безбедности. Чак и да има све потребне капацитете, питање је колико би то донело стварне користи. Због тога се чини да је много бољи избор фокусирати се на велике и средње компаније, које носе највеће ризике, јер би то омогућило прави фокус ресурса и боље шансе за обезбеђивање поштовања тих стандарда у пракси”, закључује Горан Радошевић, адвокат и партнер у адвокатској канцеларији Карановић & Партнерс.
