U slučaju sajber napada kompanije imaju rok od 24 sata da obaveste nadležne organe

Novi Zakon o informacionoj bezbednosti, koji je Skupština Srbije nedavno usvojila, usklađen je sa principima NIS2 direktive Evropske unije i uspostavlja pravni okvir za jačanje sajber bezbednosti, uvodeći strože i obimnije obaveze koje se odnose na znatno širi krug kompanija nego do sada.

“Konkretno, novi zakon se primenjuje na državne organe i na sektore koji su već bili pokriveni i prethodnim zakonom, kao što su energetika, saobraćaj, zdravstvo, elektronske komunikacije, bankarstvo i digitalna infrastruktura, ali sada obuhvata i dodatne delatnosti u okviru tih sektora. U njegovu primenu sada su uvedeni i brojni novi sektori, poput proizvodnje kritičnih proizvoda (hrane, računara, elektronske opreme, lekova i medicinskih sredstava, motornih vozila), kurirske usluge, dodatne digitalne usluge poput društvenih mreža, kao i naučno-istraživačka delatnost”, kaže u razgovoru za Biznis.rs Goran Radošević, advokat i partner u advokatskoj kancelariji Karanović & Partners.

Ova lista, prema njegovim rečima, nije nužno konačna, jer nadležno ministarstvo može odrediti i druge subjekte kao obveznike primene zakona, ako proceni da bi poremećaj u njihovom radu mogao značajno da utiče na vitalne javne interese.

“Prateći strukturu NIS2 direktive, i naš novi zakon uvodi razliku između takozvanih ‘prioritetnih’ i ‘važnih’ operatera, zavisno od sektora u kojem posluju. Međutim, za razliku od NIS2 direktive u kojoj ova podela ima nešto veći značaj, po našem zakonu oba tipa operatera podležu suštinski istim obavezama u oblasti sajber bezbednosti, dok je glavna razlika u visini zaprećene kazne, čiji je maksimum dvostruko viši za prioritetne operatere – do dva miliona dinara”, ističe naš sagovornik.

Kako kaže, novčane kazne su predviđene i za odgovorna lica kompanija – do 50.000 dinara, ali novina je mogućnost da se njima izrekne i privremena zabrana obavljanja upravljačkih funkcija, čime zakon podiže informacionu bezbednost sa tehničkog nivoa na strateški – u nadležnost samog menadžmenta kompanija.

Zakon takođe pooštrava obaveze u vezi sa upravljanjem rizicima i izveštavanjem o incidentima, uvodi niz novih obaveza i menja strukturu i nadležnosti državnih organa zaduženih za njegovu primenu.

Kako će novi zakon uticati na privredne subjekte i građane?

Za očekivati je da će uticaj novog zakona na privredu biti neposredan i značajan, jer je on već stupio na snagu 31. oktobra, iako se deo obaveza odlaže u iščekivanju donošenja podzakonskih akata, smatra Radošević.

“Za početak, ključno je da privredni subjekti utvrde da li su obveznici zakona – što na prvi pogled deluje jednostavno, ali je u praksi često složeno. Ako jesu, sledi priprema plana i strategije za usklađivanje internih politika, IT infrastrukture i ugovornih odnosa sa dobavljačima. Neke obaveze, poput registracije i donošenja internih akata o proceni rizika i bezbednosti informacionih sistema, kao i njihovo ažuriranje jednom godišnje, primenjivaće se tek po donošenju podzakonskih akata koji će ih detaljnije regulisati. Međutim, najvažnija obaveza – sprovođenje tehničkih, operativnih, organizacionih i fizičkih mera zaštite – već je na snazi”, ističe Radošević.

Prema njegovim rečima, primena zahteva ozbiljna ulaganja u analizu postojećeg stanja i unapređivanje nivoa zaštite u skladu sa savremenim rizicima i specifičnostima svake kompanije.

“I obaveza obaveštavanja nadležnih organa o značajnim bezbednosnim incidentima, uključujući i one koji su izbegnuti, već je na snazi. Kompanije moraju biti spremne da o incidentu obaveste nadležne organe najkasnije u roku od 24 sata od saznanja za incident, kao i periodično tokom trajanja i nakon okončanja samog incidenta. U određenim slučajevima biće nužno obavestiti i korisnike usluga kompanije, što može biti posebno osetljivo iz reputacionog ugla”, ocenjuje Radošević.

Kompanije su, kako ističe, dužne da bez odlaganja urede i odnos sa svojim pružaocima usluga (uključujući cloud servise, IT održavanje i slično), putem ugovornih odredaba koje obezbeđuju bezbedno rukovanje podacima i efikasnu saradnju u slučaju incidenata.

“Iz ugla građana kao krajnjih korisnika IT usluga, ali i kao lica čiji su lični podaci rasuti po bazama podataka raznih državnih organa, banaka, zdravstvenih ustanova, novi zakon bi trebalo da donese isključivo koristi – viši nivo zaštite podataka i manji rizik od incidenata, kako u javnom tako i u privatnom sektoru. To podrazumeva i veću sposobnost operatera da brzo prepoznaju i otklone bezbednosne pretnje, čime se smanjuje mogućnost prekida usluga ili kompromitovanja podataka. Iako će deo troškova usklađivanja neminovno pasti na krajnje korisnike, to je ulaganje koje bi, barem u teoriji, trebalo da se višestruko isplati”, navodi on.

Radošević ocenjuje da će novi zakon doprineti većem stepenu sajber bezbednosti, ali ukazuje da je on samo podloga za društvenu promenu i da je upitno kakav će biti njen smer i intenzitet, koji zavisi od više faktora.

“Ključni faktori su politička volja za primenom zakona, efikasan nadzor nad primenom i dosledna kaznena politika. Umereni optimizam daje činjenica da u privatnom sektoru strah od inspekcija i kazni nije jedini i najveći motiv za usklađivanje sa zakonom, već su to i očuvanje poverenja klijenata i tržišta, zahtevi partnera u lancu snabdevanja, kao i bazična ekonomska logika – ulaganje u prevenciju sprečava realne gubitke od sve češćih sajber napada”, smatra on.

Sa druge strane, Radošević ukazuje da za mnoge kompanije usklađivanje sa zakonom predstavlja veliku glavobolju, koja se povećava kada shvate šta to sve podrazumeva, koliko košta i šta treba uraditi u kratkim rokovima.

“Ako se već sa prevencijom zakasnilo, potrebno je delovati bez odlaganja – polazeći od popularne krilatice da, sa brzinom razvoja tehnologije kojoj svedočimo, više nije pitanje da li će neka kompanija biti žrtva sajber incidenta, već kada će se to desiti i koliko će je to koštati”, navodi naš sagovornik.

NIS2 direktiva utiče i na kompanije u Srbiji

Kada je reč o povezanosti sa NIS2 direktivom, Radošević objašnjava da ona ima posredan uticaj i na kompanije izvan EU, uključujući i one iz Srbije koje pružaju digitalne usluge na tržištu EU. Budući da se radi o direktivi, sve države članice EU su morale do 18. oktobra 2024. godine da usvoje nacionalne zakone za njeno sprovođenje.

“Iako se NIS2 prvenstveno odnosi na subjekte unutar EU, ova direktiva može imati dejstvo i na kompanije iz drugih zemalja (na pružaoce cloud usluga, internet pretraživače, digitalne posredničke platforme ili društvene mreže), uključujući i Srbiju, ako pružaju usluge na EU tržištu. Takve kompanije su dužne da poštuju, pored svojih nacionalnih propisa, i NIS2 direktivu, što podrazumeva i obavezu da imenuju svog predstavnika u EU. Isto tako, NIS2 ima posredan uticaj na srpske kompanije i kroz zahteve multinacionalnih kompanija da i njihova lokalna zavisna društva ispunjavaju iste standarde, a po prirodi stvari nešto slično zahtevaju i EU klijenti srpskih firmi”, kaže Radošević.

Međutim, on ističe da je mnogo značajniji i sveobuhvatniji uticaj koji NIS2 ima na naše zakonodavstvo, budući da je naš novi zakon donet prvenstveno radi usklađivanja sa tom direktivom, čije principe i ključne mehanizme nastoji da implementira i prilagodi srpskim uslovima.

“Sličan uticaj je NIS2 imao ne samo na naš zakon, već i na zakonodavstva brojnih drugih država u svetu, slično onome što je GDPR (General Data Protection Regulation) izazvao pre nekoliko godina. Takav uticaj se često naziva ‘Briselskim efektom’ – kada EU propisi postanu globalni standard, jer države i kompanije izvan EU svoje propise i prakse dobrovoljno usklađuju sa evropskim pravilima”, ukazuje Radošević.

Bitna razlika našeg zakona u odnosu na NIS2 direktivu je što on po automatizmu važi i za mala i mikro preduzeća u konkretnim sektorima, dok se obaveze u samoj direktivi uglavnom odnose na srednje i velike kompanije, dok su mala i mikro preduzeća generalno izuzeta, osim ako spadaju u posebno rizične kategorije.

“Vreme će pokazati da li će se to promeniti. Čini se da trenutno Srbija nema dovoljno kadrovskih, tehničkih ni finansijskih kapaciteta da nadzirе sve kompanije – od velikih do malih – u pogledu poštovanja naviših standarda sajber bezbednosti. Čak i da ima sve potrebne kapacitete, pitanje je koliko bi to donelo stvarne koristi. Zbog toga se čini da je mnogo bolji izbor fokusirati se na velike i srednje kompanije, koje nose najveće rizike, jer bi to omogućilo pravi fokus resursa i bolje šanse za obezbeđivanje poštovanja tih standarda u praksi”, zaključuje Goran Radošević, advokat i partner u advokatskoj kancelariji Karanović & Partners.