Закон о информационной безопасности («Официальный вестник РС», № 91/2025)

I ОБЩИЕ ПОЛОЖЕНИЯ

Предмет регулирования

Статья 1

Настоящим законом регулируются меры по защите информационно-коммуникационных систем от угроз и рисков информационной безопасности, определяется ответственность субъектов при управлении и использовании таких систем, устанавливаются процедуры и меры, направленные на обеспечение высокого общего уровня информационной безопасности, закрепляются компетентные органы, уполномоченные на реализацию мер защиты, координацию взаимодействия субъектов защиты, осуществление контроля за надлежащим применением установленных мер и надзор за соблюдением положений настоящего закона

Толкование отдельных терминов.

Статья 2.

Отдельные термины в смысле настоящего закона имеют следующее толкование:

1) Информационно-коммуникационная система (ИКТ-система) — технологически и организационно оформленная совокупность, включающая:

1. электронные коммуникационные сети и услуги в смысле закона, регулирующего электронные коммуникации;
2. устройство либо группа взаимосвязанных устройств, в рамках которых автоматизированная обработка данных осуществляется по меньшей мере в одном из устройств группы с использованием компьютерной программы;
3. данные, которые создаются, хранятся, обрабатываются, по которым осуществляется поиск либо которые передаются с использованием средств, указанных в подпунктах (1) и (2) настоящего пункта, в целях их функционирования, использования, защиты либо обслуживания;
4. организационную структуру, посредством которой осуществляется управление ИКТ-системой;
5. все виды системного и прикладного программного обеспечения, а также программные средства разработки;

2) Оператор ИКТ-системы — физическое лицо в статусе зарегистрированного субъекта, юридическое лицо, орган или структурное подразделение органа, использующие ИКТ-систему в рамках осуществления своей деятельности или полномочий.

3) Информационная безопасность — способность информационно-коммуникационных систем и сетей противостоять и/или минимизировать последствия, с определенной степенью надежности, любого события, которое может поставить под угрозу доступность, целостность, аутентичность, неотказуемость и конфиденциальность данных, которые хранятся, передаются или обрабатываются, а также услуг, которые предоставляются или доступны посредством этой ИКТ-системы;

4) Целостность — свойство, обеспечивающее неизменность и сохранность данных или информации, исключающее их несанкционированное изменение либо уничтожение с момента создания, передачи или хранения;

5) Доступность — свойство, обеспечивающее возможность доступа к ИКТ-системе и её использования по требованию уполномоченного субъекта либо автоматизированного процесса;

6) Аутентичность — свойство, обеспечивающее возможность проверки и подтверждения того, что информация создана либо направлена лицом, в отношении которого утверждается, что им совершено соответствующее действие;

7) Конфиденциальность — свойство, обеспечивающее доступность информации и функций ИКТ-системы исключительно уполномоченным лицам;

8) Неотказуемость — способность доказать, что произошло определённое действие или наступило определённое событие, так что впоследствии это не может быть оспорено;

9) риск — возможность наступления ущерба или нарушения вследствие инцидента, выражающаяся в совокупности величины такого ущерба или нарушения и вероятности наступления инцидента;

10) Уязвимость — слабость или недостаток в ИКТ-продуктах или услугах, которые могут быть использованы для реализации одной или нескольких угроз;

11) Управление риском — совокупность систематических действий по идентификации, оценке и установлению системы контроля рисков, которая обеспечивает планирование, организацию и направление мер защиты с целью того, чтобы риски оставались в установленных и допустимых пределах;

12) Предотвращённый инцидент — идентифицированное событие в ИКТ-системе, которое могло привести к значительному нарушению доступности, аутентичности, целостности, неотказуемости или конфиденциальности данных, услуг или системы, однако своевременным вмешательством или защитными мерами было предотвращено наступление вредных последствий;

13) Угроза — любое обстоятельство, событие или действие, которое может поставить под угрозу, нарушить или иным образом негативно повлиять на ИКТ-систему, её пользователей и других лиц при явной вероятности возникновения ущерба в случае отсутствия реакции;

14) Серьёзная угроза — угроза информационной безопасности, для которой, с учётом её технических характеристик, можно предположить, что она обладает потенциалом вызвать значительные негативные последствия для ИКТ-системы, её оператора или пользователей услуг данного оператора, вызывая значительный материальный или нематериальный ущерб;

15) Инцидент — любое событие, которое ставит под угрозу доступность, целостность, аутентичность, неотказуемость или конфиденциальность данных, которые хранятся, передаются или обрабатываются, либо услуг, которые предоставляются или доступны через ИКТ-систему;

16) Вредоносное программное обеспечение — программное обеспечение, намеренно созданное с целью повредить, нарушить работу, заблокировать или несанкционированно получить доступ к информационно-коммуникационным системам, и включающее различные типы вредоносных программ, включая вирусы, троянские программы, сетевых червей, вымогательское ПО и шпионское ПО;

17) Единая система приёма уведомлений об инцидентах — информационная система, в которую вводятся данные об инцидентах и предотвращённых инцидентах в ИКТ-системах особого значения, которые могут оказать значительное влияние на нарушение информационной безопасности;

18) Управление инцидентом — осуществление всех действий и процедур, направленных на предотвращение, выявление, анализ и прекращение инцидента, а также принятие иных мер для реагирования на инцидент и устранения его последствий;

19) Кризис информационной безопасности — событие или состояние, которое ставит под угрозу, препятствует функционированию или делает невозможной работу ИКТ-системы особого значения и при этом вызывает риски, угрозы или последствия для населения, материальных ценностей или окружающей среды чрезвычайно большого масштаба и интенсивности, которые невозможно предотвратить или устранить обычными действиями уполномоченных органов и служб, а реагирование на такое событие или состояние требует участия нескольких уполномоченных органов, а также применения соответствующих мер;

20) Меры защиты ИКТ-систем — технические, организационные, административные и физические меры для управления рисками безопасности ИКТ-систем;

21) Секретная информация — информация, которая в соответствии с нормативными актами о секретности данных определена и помечена соответствующей степенью секретности;

22) ИКТ-система для работы с секретной информацией — ИКТ-система, которая в соответствии с законом определена для работы с секретной информацией;

23) Орган — государственный орган, орган автономной области, единица местного самоуправления, организация или иное юридическое либо физическое лицо, которому поручено осуществление публичных полномочий;

24) Служба безопасности — служба безопасности в смысле закона, регулирующего основы системы безопасности и разведки Республики Сербия;

25) Самостоятельными операторами ИКТ-систем являются министерство, отвечающее за вопросы обороны, министерство, отвечающее за внутренние дела, министерство, отвечающее за иностранные дела, службы безопасности и Народный банк Сербии.

26) Центр по предотвращению рисков безопасности в ИКТ-системах (в дальнейшем — CERT) — функциональное подразделение в составе органа или юридического лица, которое охватывает совокупность задач, связанных с предотвращением и защитой от инцидентов;

27) Компрометирующее электромагнитное излучение (КЭМИ) — непреднамеренные электромагнитные излучения при передаче, обработке или хранении данных, при приёме и анализе которых может быть раскрыто содержание этих данных;

28) Криптобезопасность — компонент информационной безопасности, которая включает криптозащиту, управление криптоматериалами и разработку методов криптозащиты;

29) Криптозащита — применение методов, мер и процедур с целью преобразования данных в форму, которая на определённое время или постоянно делает их недоступными для несанкционированных лиц;

30) Криптографический продукт — программное обеспечение или устройство, посредством которых осуществляется криптозащита;

31) Криптоматериалы — криптографические продукты, данные, техническая документация криптографических продуктов, а также соответствующие криптографические ключи;

32) Зона безопасности — помещение или пространство, в котором, в соответствии с нормативными актами о секретности данных, обрабатываются и хранятся секретные данные, а также помещение или пространство, имеющее ключевое значение для сохранения информационной безопасности ИКТ-систем;

33)Информационные ресурсы охватывают информацию, которая обрабатывается в соответствии с функцией и назначением ИКТ-системы; электронные записи о конфигурации устройств и электронные коммуникационные сети; электронные записи о взаимодействиях в ИКТ-системах, доступе к ИКТ-системе и её использовании (так называемые лог-записи); программный код; техническую и пользовательскую документацию; электронные записи о взаимодействиях в электронной коммуникационной сети (так называемый сетевой трафик); информацию, которой регулируются назначение и использование ИКТ-системы, процессы и меры защиты.;

34) Услуга информационного общества — это услуга в смысле закона, регулирующего электронную торговлю;

35)Поставщик услуги информационного общества — юридическое лицо, являющееся поставщиком услуги в смысле закона, регулирующего электронную торговлю;

36) Сеть доставки контента (Content Delivery Network — CDN) обозначает сеть географически распределённых серверов, предназначенную для обеспечения высокой доступности, доступности и быстрой доставки цифрового контента и услуг пользователям интернета от имени поставщиков контента и услуг;

37) Точка обмена интернет-трафиком (англ. Internet Exchange Point) — сетевая структура, которая предоставляет возможность подключения двух или более независимых сетей (автономных систем) преимущественно с целью облегчения обмена интернет-трафиком, и которая обеспечивает межсоединение автономных систем, при этом интернет-трафик между автономными системами не требует прохождения через третью автономную систему и такая передача трафика не изменяет его и не влияет на него иным образом;

38) Система доменных имён (DNS) — распределённая, иерархически организованная система, которая связывает имена доменов с соответствующими IP-адресами, используемыми для маршрутизации и подключения пользовательских устройств к услугам и ресурсам в интернете;

39) Поставщик услуги DNS — субъект, который предоставляет услуги разрешения DNS-запросов пользователям интернета или оказывает услугу авторитетных серверов имён для доменных имён, используемых третьими лицами, за исключением корневых (англ. root) серверов имён;

40) Услуга доверия — услуга в смысле закона, регулирующего электронный документ, электронную идентификацию и услуги доверия в электронном бизнесе;

41) Поставщик услуги доверия — поставщик в смысле закона, регулирующего электронный документ, электронную идентификацию и услуги доверия в электронном бизнесе;

42) Квалифицированная услуга доверия — услуга в смысле закона, регулирующего электронный документ, электронную идентификацию и услуги доверия в электронном бизнесе;

43) Поставщик квалифицированной услуги доверия — поставщик в смысле закона, регулирующего электронный документ, электронную идентификацию и услуги доверия в электронном бизнесе;

44) Услуги облачных вычислений (англ. “cloud computing service”) — цифровые услуги, которые обеспечивают управление по требованию и широкий удалённый доступ к масштабируемому и эластичному набору совместно используемых вычислительных ресурсов, включая случаи, когда такие ресурсы распределены на нескольких локациях;

45) Услуга центра управления и хранения данных — услуга, предоставляемая с использованием структур или групп структур, предназначенных для централизованного размещения, межсоединения и функционирования вычислительного и сетевого оборудования с целью хранения, обработки и передачи данных, включая все объекты и инфраструктуру для распределения электроэнергии и контроля воздействия на окружающую среду;

46) Научно-исследовательская организация — организация в смысле закона, регулирующего науку и исследовательскую деятельность;

47) Публичная электронная коммуникационная сеть — электронная коммуникационная сеть в смысле закона, регулирующего электронные коммуникации;

48) Электронная коммуникационная услуга — услуга в смысле закона, регулирующего электронные коммуникации;

49) Поставщик управляемых услуг — субъект, предоставляющий услуги, связанные с установкой, управлением, эксплуатацией и обслуживанием ИКТ-продуктов, сетей, инфраструктуры, приложений или иной сети и информационной системы посредством предоставления помощи или активного управления, осуществляемого в помещениях пользователя услуги или удалённо;

50) Поставщик управляемых услуг безопасности — поставщик управляемых услуг, который выполняет или оказывает помощь в осуществлении деятельности, связанной с управлением рисками в области безопасности;

51) Реестр доменных имён верхнего уровня (англ. TLD name registry) — субъект, которому присвоен определённый домен верхнего уровня и который отвечает за управление доменом верхнего уровня, включая регистрацию доменов под доменом верхнего уровня и техническое функционирование домена верхнего уровня, что охватывает работу его серверных имён, ведение баз данных и распределение зон домена верхнего уровня через серверные имена, независимо от того, выполняются ли эти действия самим субъектом или переданы третьим лицам, за исключением случаев, когда имена доменов верхнего уровня реестр использует исключительно для собственных нужд;

52) Поставщик услуги регистрации доменных имён — регистратор доменных имён или другой субъект, действующий от имени регистратора или за счёт регистратора;

53) ИКТ-продукт — элемент или группа элементов в составе информационно-коммуникационной системы;

54) ИКТ-услуга — услуга, которая полностью или преимущественно состоит из передачи, хранения, получения или обработки данных с использованием ИКТ-системы;

55) ИКТ-процесс — совокупность действий, выполняемых с целью разработки, эксплуатации, использования и поддержки ИКТ-продукта или ИКТ-услуги;

56) TLP (Traffic Light Protocol) — стандарт обмена информацией в области информационной безопасности, установленный с целью обеспечения эффективного сотрудничества и передачи информации от источника информации к одному или нескольким получателям. Протокол предоставляет простую и интуитивно понятную схему из четырёх меток, указывающих, с кем потенциально чувствительная информация может быть поделена;

57) Персональные данные — любые данные, относящиеся к физическому лицу, чья личность определена или может быть определена, прямо или косвенно, особенно на основе идентификационной отметки, такой как имя и идентификационный номер, данные о местоположении, идентификаторы в электронных коммуникационных сетях или одного либо нескольких признаков его физической, физиологической, генетической, психической, экономической, культурной и социальной идентичности;

58) Администратор — лицо, уполномоченное и ответственное за поддержку, управление и обеспечение функциональности и безопасности ИКТ-системы особого значения в соответствии с положениями настоящего закона и другими действующими нормативными актами;

59) Техническая спецификация — документ, устанавливающий технические требования, которые должен удовлетворять продукт, процесс или услуга, в соответствии с законом, регулирующим стандартизацию;

Термины, используемые в настоящем законе и нормативных актах, принимаемых на его основе, которые имеют родовое значение и выражены в грамматическом мужском роде, включают естественный женский и мужской пол лиц, к которым они относятся.

Принципы информационной безопасности

Статья 3

При планировании и применении мер защиты ИКТ-систем следует руководствоваться следующими принципами:

1) Принцип управления риском — выбор и уровень применения мер основываются на оценке риска, необходимости предотвращения рисков и устранения последствий реализовавшегося риска, включая все виды чрезвычайных обстоятельств;

2) Принцип комплексной защиты — меры применяются на всех организационных, физических и техническо-технологических уровнях, а также на протяжении всего жизненного цикла ИКТ-системы;

3) Принцип профессионализма и передовой практики — меры применяются в соответствии с профессиональными и научными знаниями и опытом в области информационной безопасности;

4) Принцип осведомлённости и компетентности — все лица, которые своим поведением фактически или потенциально влияют на информационную безопасность, должны быть осведомлены о рисках и обладать соответствующими знаниями и навыками;

5) Принцип непрерывного совершенствования — меры защиты и управления информационной безопасностью следует регулярно оценивать и совершенствовать, чтобы обеспечить их эффективность и адаптивность к новым угрозам и технологическим изменениям;

6) Принцип равноправия и недискриминации — меры защиты ИКТ-систем должны применяться таким образом, чтобы обеспечить равное обращение со всеми пользователями, без какой-либо дискриминации, в соответствии с законом.

Обработка персональных данных

Статья 4

Обработка персональных данных, необходимая для осуществления полномочий и исполнения обязанностей в соответствии с настоящим законом, осуществляется с применением положений настоящего закона, специальных законов, регулирующих соответствующие области, а также закона о защите персональных данных.

II БЕЗОПАСНОСТЬ ИКТ-СИСТЕМ ОСОБОГО ЗНАЧЕНИЯ

ИКТ-системы особого значения

Статья 5

ИКТ-системы особого значения — это ИКТ-системы, имеющие ключевое значение для обеспечения критически важных социальных и экономических видов деятельности, нарушение функционирования либо сбой в предоставлении услуг которых имеет или может иметь существенное влияние на общественную безопасность, охрану здоровья населения, функционирование других секторов либо создает или может создать значительный системный риск.

К ИКТ-системам особого значения относятся:

1. приоритетные ИКТ-системы;
2. важные ИКТ-системы.

Операторами приоритетных ИКТ-систем являются:

1. юридические лица и физические лица в статусе зарегистрированного субъекта, осуществляющие деятельность и иные функции в следующих областях:

(1) Энергетика и горнодобывающая промышленность:

• производство электрической энергии, за исключением производства, осуществляемого конечными потребителями в соответствии с законодательством об использовании возобновляемых источников энергии и об энергетике;

• комбинированное производство электрической и тепловой энергии;

• снабжение электрической энергией;

• передача электрической энергии и управление системой передачи электрической энергии;

• распределение электрической энергии и управление распределительной системой, включая закрытую распределительную систему;

• хранение электрической энергии, за исключением хранения, осуществляемого конечными потребителями в соответствии с законодательством об использовании возобновляемых источников энергии и об энергетике;

• организация и управление функционированием организованного рынка электрической энергии;

• производство, распределение и снабжение тепловой энергией;

• транспортировка нефти по нефтепроводам, нефтепродуктов по продуктопроводам, а также транспортировка нефти и нефтепродуктов иными видами транспорта;

• геологическое изучение, разведка и добыча нефти и природного газа;

• производство нефтепродуктов;

• хранение нефти и нефтепродуктов;

• транспортировка природного газа и управление системой его транспортировки;

• хранение природного газа и управление хранилищем природного газа;

• распределение природного газа и управление распределительной системой природного газа;

• снабжение, в том числе публичное снабжение, природным газом;

• добыча и переработка угля;

• добыча и переработка меди, золота, свинца, цинка, лития и бора; – производство, хранение и передача водорода.

(2) Транспорт:

• осуществление воздушных перевозок общего пользования при наличии действующей эксплуатационной лицензии;

• осуществление управления аэропортом;

• оказание услуг по управлению воздушным движением;

• осуществление управления инфраструктурой железнодорожного транспорта общего пользования;

• осуществление деятельности железнодорожных перевозчиков;

• осуществление перевозок пассажиров и грузов по внутренним водным путям;

• осуществление управления портами;

• осуществление управления движением судов (VTS);

• предоставление речных информационных служб (RIS);

• осуществление управления дорожной инфраструктурой;

• осуществление управления интеллектуальными транспортными системами (ITS).

(3) Банковская деятельность и финансовые рынки:

• осуществление деятельности финансовых учреждений и институтов рынка капитала, находящихся под надзором Народного банка Сербии или Комиссии по ценным бумагам;

• ведение реестров данных об обязательствах физических и юридических лиц перед финансовыми учреждениями;

• осуществление управления или деятельности, связанной с функционированием регулируемого рынка;

• осуществление клиринговых операций или расчетов по финансовым инструментам в соответствии с законом, регулирующим рынок капитала;

• осуществление деятельности поставщиков услуг, связанных с цифровыми активами, в соответствии с законами, регулирующими цифровые активы.

(4) Здравоохранение:

• предоставление медицинской помощи;

• деятельность национальных референтных лабораторий;

• научные исследования и разработка лекарственных средств;

• производство фармацевтических препаратов и лекарственных средств, предназначенных для медицинского применения;

• производство лекарственных средств и иных изделий, предназначенных для использования в здравоохранении, включая изделия, имеющие жизненно важное значение в условиях чрезвычайного положения в области общественного здоровья;

• обработка генетических, биомедицинских данных и иных данных, имеющих значение для исследований и разработок в области биотехнологий, биоинформатики, биоэкономики, генетики и медицины.

(5) Питьевая вода:

• обеспечение и распространение воды, предназначенной для потребления человеком, за исключением дистрибьюторов, для которых указанные виды деятельности не являются основными в рамках их деятельности.

(6) Сточные воды

• сбор, отведение или очистка коммунальных сточных вод, сточных вод населённых пунктов и хозяйственной деятельности, за исключением хозяйствующих субъектов, для которых указанные виды деятельности не являются преобладающими.

(7) Цифровая инфраструктура

• предоставление услуг облачных вычислений;
• предоставление услуг центра хранения и хранения данных;

(8) Управление ИКТ-услугами, предоставляемыми операторам приоритетных ИКТ-систем

•   предоставление управляемых услуг;

• предоставление управляемых услуг в области безопасности;

(9) Прочие области

• управление ядерными объектами;

• предоставление услуг доверия, включая квалифицированные услуги доверия, предоставление услуг системы доменных имен (DNS), управление реестром доменов верхнего уровня и предоставление услуг регистрации доменов, за исключением операторов корневых серверов имен;

• предоставление услуг сети доставки контента;

• осуществление деятельности в области электронных коммуникаций;

• точка обмена интернет-трафиком;

• издание «Службенного вестника Республики Сербия» и ведение Правово-информационной системы Республики Сербия;

• области, в которых в Республике Сербии существует только один поставщик услуги, необходимой для осуществления критически важных социальных и экономических функций.

2) органы;

3) субъекты, которые определены в качестве операторов критической инфраструктуры в соответствии с нормативными правовыми актами, регулирующими критическую инфраструктуру.

Помимо субъектов, указанных в пункте 3 настоящей статьи, в качестве операторов приоритетных ИКТ-систем могут быть определены субъекты, у которых прекращение функционирования ИКТ-системы либо нарушение функционирования ИКТ-системы:

1. может оказать существенное влияние на общественную безопасность, национальную безопасность или общественное здравоохранение;
2. может вызвать значительный системный риск, в особенности в секторах, в которых нарушение может иметь трансграничное воздействие.

Субъекты, указанные в пункте 4 настоящей статьи, определяются министерством, уполномоченным в сфере информационной безопасности, после получения заключения органа, в компетенцию которого входит область, в которой соответствующий субъект осуществляет деятельность.

К операторам приоритетных ИКТ-систем особого значения, осуществляющим деятельность в сфере банковской деятельности и финансовых рынков, указанным в пункте 3, подпункте 1), подпункте (3), абзацах первом, втором и пятом настоящей статьи, применяются специальные отраслевые нормативно-правовые акты, которыми более детально либо иным образом регулируются отдельные вопросы, предусмотренные настоящим Федеральным законом, при условии обеспечения не ниже установленного настоящим Федеральным законом уровня эффективности мер по управлению рисками безопасности указанных операторов в соответствии со статьёй 10 настоящего Федерального закона, а также обеспечения представления сообщений об инцидентах, представляющих кризис информационной безопасности, в порядке, установленном настоящим Федеральным законом.

Центральный банк Республики Сербии, являющийся уполномоченным органом надзора за деятельностью операторов приоритетных ИКТ-систем особого значения, осуществляющих деятельность в сфере банковской деятельности и финансовых рынков, указанных в пункте 3, подпункте 1), подпункте (3), абзацах первом, втором и пятом настоящей статьи (поднадзорные субъекты Центрального банка Республики Сербии), в соответствии с настоящим Федеральным законом и положениями специальных законов, регулирующих деятельность указанных субъектов, принимает нормативные правовые акты, которыми регулируются вопросы обеспечения информационной безопасности таких субъектов, а именно: меры по защите ИКТ-систем, принятие актов об оценке рисков и актов о безопасности ИКТ-систем, классификация инцидентов, направление уведомлений об инциденте, порядок реагирования на инциденты, представление отчётности в ходе инцидента и по его завершении, представление статистических данных об инцидентах, а также иные вопросы, имеющие значение для обеспечения безопасности информационных систем указанных субъектов, включая осуществление надзора за их деятельностью.

Операторы важных ИКТ-систем

Статья 6

Операторами важных ИКТ-систем являются:

1) юридические лица и физические лица в качестве зарегистрированного субъекта, осуществляющие деятельность в следующих сферах:

• оказание почтовых услуг в соответствии с законом, регулирующим сферу почтовых услуг;

• управление отходами в соответствии с законом, регулирующим управление отходами, за исключением хозяйствующих субъектов, для которых указанная деятельность не является преобладающей;

• управление упаковочными отходами в соответствии с законом, регулирующим управление упаковочными отходами;

• производство и поставка химических веществ в соответствии с законом, регулирующим оборот химических веществ;

• производство, переработка и распределение пищевых продуктов в сегментах оптовой торговли и промышленного производства и переработки;

• производство компьютеров, электронных и оптических изделий;

• производство электрического оборудования;

• производство машин и устройств;

• производство моторных транспортных средств, прицепов и полуприцепов, а также производство прочего оборудования для транспорта;

• производство медицинских изделий и производство in vitro диагностических медицинских средств;

• услуги информационного общества в соответствии с законом о электронной торговле;

• производство, оборот и транспортировка вооружений и военной техники;

• космические услуги, опирающиеся на наземную инфраструктуру, в частности управление контрольными центрами, объектами слежения и связи, а также оказание услуг по запуску космических средств.

2) научно-исследовательские организации;

3) юридические и физические лица в качестве зарегистрированного субъекта, а также органы, указанные в статье 5 настоящего закона, которые не относятся к операторам приоритетных ИКТ-систем в соответствии с критериями их определения.

Помимо субъектов, указанных в пункте 1 настоящей статьи, в качестве операторов важных ИКТ-систем могут быть определены субъекты, у которых прекращение функционирования ИКТ-системы либо нарушение функционирования ИКТ-системы:

1. может оказать существенное влияние на общественную безопасность, национальную безопасность или общественное здравоохранение;
2. может вызвать значительный системный риск, особенно в секторах, где нарушение может иметь трансграничное воздействие.

Субъекты, указанные в пункте 2 настоящей статьи, определяются министерством, уполномоченным в сфере информационной безопасности, после получения заключения органа государственной власти, в компетенцию которого входит область, в которой соответствующий субъект осуществляет деятельность.

Подзаконный нормативный акт, которым устанавливаются условия, общие и отраслевые критерии, включая критерии, касающиеся размера хозяйствующих субъектов, для определения операторов приоритетных и важных ИКТ-систем, принимается Правительством по предложению министерства, уполномоченного в сфере информационной безопасности.

Министерство, в чьей компетенции находится область деятельности операторов приоритетных и важных ИКТ-систем, а также Центральный банк Республики Сербии, обязано в ходе подготовки подзаконного нормативного акта, указанного в пункте 4 настоящей статьи, представить министерству, уполномоченному в сфере информационной безопасности, предложения отраслевых критериев для определения операторов ИКТ-систем особого значения.

Обязанности операторов ИКТ-систем особого значения

Статья 7

Оператор ИКТ-системы особого значения в соответствии с настоящим законом обязан:

1. Подать заявку на внесение в реестр ИКТ-систем особого значения;
2. Принять соответствующие технические, операционные, организационные и физические меры по защите ИКТ-системы особого значения, управлению рисками, а также по предотвращению и снижению ущерба от инцидентов;
3. Провести оценку рисков и принять акт об оценке рисков;
4. Принять акт о безопасности ИКТ-системы особого значения;
5. Осуществлять проверку соответствия применяемых мер защиты ИКТ-системы требованиям акта о безопасности ИКТ-системы не реже одного раза в год;
6. Установить отношения с третьими лицами таким образом, чтобы обеспечить принятие мер по защите ИКТ-системы в соответствии с законом, в случае передачи деятельности, связанной с ИКТ-системой особого значения, третьим лицам;
7. Незамедлительно направлять уведомления о каждом инциденте, который существенно нарушает безопасность ИКТ-системы особого значения;
8. Сообщать о предотвращённых инцидентах, представляющих серьёзную угрозу, в соответствии с настоящим законом;
9. Предоставлять статистические данные о инцидентах и предотвращённых инцидентах в ИКТ-системах;

Статья 8.

Обязанности самостоятельных операторов

Самостоятельный оператор в соответствии с настоящим законом обязан:

1. Подать заявку на внесение в реестр ИКТ-систем особого значения.
2. Принять соответствующие технические, операционные, организационные и физические меры по защите ИКТ-системы особого значения, управлению рисками, а также по предотвращению и снижению ущерба от инцидентов;
3. Принять акт о безопасности ИКТ-системы;
4. Осуществлять проверку соответствия применяемых мер защиты ИКТ-системы требованиям акта о безопасности ИКТ-системы в соответствии с собственными правилами проверки соответствия мер защиты, не реже одного раза в год;
5. Установить отношения с третьими лицами таким образом, чтобы обеспечить принятие мер по защите ИКТ-системы в соответствии с законом, в случае передачи деятельности, связанной с ИКТ-системой особого значения, третьим лицам;
6. Создать собственный CERT для управления инцидентами в своих системах.

Самостоятельные операторы могут взаимно обмениваться информацией об инцидентах с Офисом по информационной безопасности, а при необходимости — с другими организациями.

Самостоятельные операторы могут самостоятельно и в координации с управлением по информационной безопасности осуществлять проактивное сканирование собственных ИКТ-систем, подключённых к Единой информационно-коммуникационной сети электронной администрации, с целью выявления уязвимостей.

Самостоятельные операторы ИКТ-систем определяют ответственных лиц или структурные подразделения для внутреннего контроля собственных ИКТ-систем.

Лица, осуществляющие внутренний контроль у самостоятельных операторов ИКТ-систем, подают отчёт о проведённой внутренней проверке руководителю самостоятельного оператора ИКТ-систем.

Реестр операторов ИКТ-систем особого значения

Статья 9.

Министерство, уполномоченное в сфере информационной безопасности (далее — «Министерство»), создаёт и ведёт реестр приоритетных и важных ИКТ-систем (далее — «Реестр»), который содержит следующие сведения:

1. Наименование, идентификационный номер и место нахождения оператора ИКТ-системы особого значения;
2. Фамилию, имя, служебный адрес для получения электронной почты и служебный контактный телефон администратора, ответственного за обслуживание и управление ИКТ-системой особого значения;
3. Фамилию, имя, служебный адрес для получения электронной почты и служебный контактный телефон ответственного лица ИКТ-системы особого значения;
4. Сведения о типе ИКТ-системы особого значения, а именно о том, относится ли система к приоритетным или к важным;
5. Сведения о деятельности оператора ИКТ-системы особого значения;
6. Диапазон интернет-протоколов (IP-адресов), принадлежащих ИКТ-системе особого значения, включая сведения о публичных статических IP-адресах;
7. Веб-презентацию оператора ИКТ-системы особого значения;
8. Количество локаций, на которых расположена ИКТ-система особого значения.

Помимо сведений, указанных в пункте 1 настоящей статьи, Реестр может содержать и другие дополнительные данные об ИКТ-системе особого значения.

Самостоятельные операторы ИКТ-систем освобождены от обязанности предоставления данных, указанных в пункте 1 подпунктах 4, 5, 6 и 8 настоящей статьи.

Подзаконный нормативный акт, которым уточняются содержание и структура Реестра, а также порядок подачи заявок на внесение и изменение данных в Реестре, принимается Министерством.

Оператор ИКТ-системы особого значения обязан предоставить Министерству данные, указанные в пунктах 1 и 2 настоящей статьи, не позднее чем через 90 дней со дня принятия подзаконного акта, указанного в пункте 4 настоящей статьи, либо через 90 дней со дня создания ИКТ-системы особого значения.

Оператор ИКТ-системы особого значения обязан в случае изменения сведений, указанных в пункте 1 настоящей статьи, уведомить об этом Министерство в течение 15 дней со дня возникновения изменений.

Данные, указанные в пункте 1 подпунктах 2 и 3 настоящей статьи, обрабатываются в целях исполнения положений настоящего закона относительно направления уведомлений и предупреждений, имеющих значение для безопасности ИКТ-системы особого значения, а также для установления коммуникации и осуществления сотрудничества с целью устранения последствий инцидентов и проведения профилактических мероприятий.

Данные, указанные в пункте 1 подпунктах 2 и 3 настоящей статьи, обрабатываются в соответствии с законом, регулирующим защиту персональных данных, и хранятся до прекращения обработки или до внесения изменений в данные в соответствии с пунктом 6 настоящей статьи.

Министерство предоставляет в распоряжение Бюро информационной безопасности актуальные записи для исполнения положений настоящего закона в части сбора и обмена информацией об угрозах, уязвимостях и инцидентах, а также для оказания поддержки, предупреждения и консультирования лиц, управляющих ИКТ-системами.

Запись является секретной информацией в смысле закона, регулирующего охрану секретных данных.

Меры по защите ИКТ-систем особого значения

Статья 10

Оператор ИКТ-системы особого значения несёт ответственность за обеспечение безопасности ИКТ-системы и принятие мер по её защите.

Мерами по защите ИКТ-системы обеспечивается предотвращение инцидентов, а также предотвращение и снижение ущерба от инцидентов, которые создают угрозу осуществлению полномочий и выполнению деятельности, в особенности при оказании услуг другим лицам.

Меры по защите ИКТ-системы включают:

1. Создание организационной структуры с определением функций, знаний, компетенций, опыта и ответственности работников, обеспечивающей управление информационной безопасностью в рамках деятельности оператора ИКТ-системы;
2. Сбор данных об угрозах информационной безопасности ИКТ-системы;
3. Обеспечение безопасности при осуществлении удалённой работы и использовании мобильных устройств;
4. Обеспечение того, чтобы лица, использующие ИКТ-систему или управляющие ИКТ-системой, обладали необходимой квалификацией для выполнения своих обязанностей и осознавали свою ответственность, а также обеспечение проведения базового и при необходимости углублённого обучения в сфере информационных технологий для всех работников и привлечённых лиц, имеющих доступ к ИКТ-системам, обучения для руководителей и органов управления оператора ИКТ-системы особого значения, а также специализированного профессионального обучения для работников, ответственных за управление информационной безопасностью, в целях обеспечения непрерывного повышения квалификации.
5. Обеспечение достаточных ресурсов для надлежащего управления информационной безопасностью;
6. Защиту от рисков, возникающих при изменении должностных обязанностей или прекращении трудовых либо иных договорных отношений с лицами, работающими у оператора ИКТ-системы;
7. Идентификацию информационных активов и определение ответственности за их защиту;
8. Классификацию данных таким образом, чтобы уровень их защиты соответствовал значимости данных в соответствии с принципом управления рисками, предусмотренным статьёй 3 настоящего закона;
9. Защиту носителей данных;
10. Ограничение доступа к данным и средствам обработки данных;
11. Предоставление санкционированного доступа и предотвращение несанкционированного доступа к ИКТ-системе и к услугам, предоставляемым посредством ИКТ-системы;
12. Установление ответственности пользователей за защиту собственных средств аутентификации;
13. Обеспечение использования криптографических средств защиты и иных методов сокрытия данных для защиты конфиденциальности, подлинности и целостности данных;
14. Применение мер по защите с целью предотвращения утечки данных;
15. Физическую защиту объектов, помещений, зон, в которых находятся средства и документы ИКТ-системы, а также осуществление обработки данных в ИКТ-системе;
16. Защиту от утраты, повреждения, кражи или иных форм угрозы безопасности средств, составляющих ИКТ-систему;
17. Обеспечение корректного и безопасного функционирования средств обработки данных;
18. Применение соответствующих процедур и мер защиты при использовании услуг облачных вычислений;
19. Мониторинг ИКТ-системы с целью выявления уязвимостей и угроз;
20. Ограничение доступа к веб-презентациям, которые потенциально могут нарушить безопасность ИКТ-системы;
21. Защиту данных и средств их обработки от вредоносного программного обеспечения;
22. Защиту от утраты данных путём регулярного создания резервных копий данных, программного обеспечения и систем с использованием надлежащих средств передачи и обмена информацией;
23. хранение данных о событиях, имеющих значение для безопасности ИКТ-системы;
24. обеспечение целостности программного обеспечения и операционных систем;
25. Защиту от эксплуатации технических уязвимостей ИКТ-системы;
26. Обеспечение защиты ИКТ-системы при проведении аудиторских проверок и тестирования;
27. Защиту данных в коммуникационных сетях, включая устройства и линии связи;
28. Обеспечение безопасности данных, передаваемых внутри оператора ИКТ-системы, а также между оператором ИКТ-системы и третьими лицами;
29. Соблюдение требований информационной безопасности на всех этапах жизненного цикла ИКТ-системы или её компонентов;
30. Защиту данных, используемых для целей тестирования ИКТ-системы или её компонентов;
31. Установление процедур хранения и удаления информации в ИКТ-системах в соответствии с законодательством;
32. Защиту средств оператора ИКТ-системы, доступных поставщикам услуг;
33. Поддержание согласованного уровня информационной безопасности и предоставляемых услуг в соответствии с условиями, установленными в договорах с поставщиками услуг;
34. Предотвращение и реагирование на инциденты информационной безопасности, что включает надлежащий обмен информацией о уязвимостях ИКТ-системы, инцидентах и угрозах, а также применение мер по устранению последствий инцидентов;
35. меры, обеспечивающие непрерывность осуществления деятельности в чрезвычайных обстоятельствах, определяемых планом обеспечения непрерывности деятельности;
36. принятие внутренних документов, устанавливающих процедуры проверки достаточности и эффективности мер защиты;
37. использование многофакторной аутентификации либо решений непрерывной проверки подлинности, защищённой голосовой, видео- и текстовой коммуникации, а также безопасных систем связи в экстренных случаях внутри оператора ИКТ-системы.

Подзаконный нормативный акт, которым детализируются меры защиты приоритетных и важных ИКТ-систем с учётом принципов, установленных статьёй 3 настоящего закона, национальных и международных стандартов, стандартов, применяемых в соответствующих сферах деятельности, а также релевантных технических спецификаций, принимается Правительством по представлению Министерства.

Акт об оценке рисков ИКТ-системы особого значения

Статья 11

Оператор ИКТ-системы особого значения обязан принять акт об оценке рисков ИКТ-систем (далее — акт об оценке рисков), которыми он управляет.

Актом об оценке рисков осуществляется оценка рисков для ИКТ-системы особого значения с учетом степени подверженности рискам, размера оператора, вероятности наступления инцидента и степени его тяжести, а также его потенциального социального и экономического воздействия.

Акт об оценке рисков подлежит пересмотру не реже одного раза в год.

Акт об оценке рисков разрабатывается в соответствии с общей методологией оценки рисков в приоритетных и важных ИКТ-системах особого значения, утверждаемой органом либо организацией, в которой осуществляются функции Национального CERT.

Оператор ИКТ-системы особого значения вправе не принимать акт, указанный в абзаце первом настоящей статьи, если оценка рисков определена в иных действующих внутренних документах оператора и   требования общей методологии, указанной в абзаце четвертом настоящей статьи.

Акт о безопасности ИКТ-системы особого значения.

Статья 12.

Оператор ИКТ-системы особого значения обязан принять акт о безопасности ИКТ-системы (далее — акт о безопасности)

Актом о безопасности определяются меры защиты, в частности принципы, порядок и процедуры достижения и поддержания надлежащего уровня безопасности системы, а также полномочия и ответственность, связанные с обеспечением безопасности и использованием ресурсов ИКТ-системы особого значения.

Акт о безопасности ИКТ-системы особого значения основывается на акте об оценке рисков, предусмотренном статьёй 11 настоящего закона. Применение мер защиты ИКТ-системы должно осуществляться в соответствии с оценёнными рисками в целях обеспечения надлежащей защиты системы и минимизации воздействия потенциальных инцидентов.

Акт о безопасности должен быть согласован с изменениями в окружающей среде и в самой системе ИКТ.

Оператор ИКТ-системы особого значения обязан самостоятельно либо с привлечением внешних экспертов осуществлять проверку, указанную в предыдущем абзаце, не реже одного раза в год и составлять об этом отчёт.

Подзаконный нормативный акт, которым детально регулируются содержание акта о безопасности, порядок проверки ИКТ-системы особого значения и содержание отчёта о проверке, а также представление отчёта уполномоченному органу, принимается Правительством по представлению Министерства.

Обязанность уведомления о инцидентах, существенно нарушающих информационную безопасность

Статья 13.

Операторы ИКТ-системы особого значения обязаны безотлагательно, но не позднее чем в течение 24 часов с момента, когда им стало известно о событии, предоставить уведомление об инциденте, который может оказать значительное влияние на нарушение информационной безопасности

К инцидентам, которые могут оказать значительное влияние на нарушение информационной безопасности, относятся:

1. инциденты, приводящие к нарушению непрерывного выполнения работ и предоставления услуг либо к значительным затруднениям в их выполнении.
2. инциденты, затрагивающие большое число пользователей услуг или продолжающиеся в течение длительного времени;
3. инциденты, приводящие к нарушению непрерывного выполнения работ или затруднениям в их выполнении, которые влияют на выполнение работ и оказание услуг другими операторами ИКТ-системы особого значения или оказывают влияние на общественную безопасность;
4. инциденты, приводящие к прерыванию непрерывного выполнения работ или затруднениям в их выполнении и оказывающие влияние на значительную часть территории Республики Сербия;
5. инциденты, приводящие к несанкционированному доступу к данным, раскрытие которых может поставить под угрозу права и интересы субъектов данных;
6. инциденты, возникшие как следствие инцидента в ИКТ-системе операторов приоритетных ИКТ-систем, осуществляющих деятельность в области цифровой инфраструктуры, указанных в статье 5, пункт 3, подпункт 1, подпункт 7 настоящего закона, когда ИКТ-система особого значения использует информационные услуги в области цифровой инфраструктуры в своей деятельности;
7. инциденты, вызывающие или способные вызвать значительный материальный или нематериальный ущерб оператору ИКТ-системы особого значения и другим физическим и юридическим лицам.

Операторы ИКТ-системы особого значения обязаны также уведомлять о предотвращённых инцидентах, представляющих серьёзную угрозу, и которые могли бы привести к обстоятельствам, аналогичным тем, что описаны в пункте 2 настоящей статьи. В случае инцидентов в ИКТ-системах, используемых для работы с секретными данными, операторы таких ИКТ-систем действуют в соответствии с нормативными актами, регулирующими область защиты секретных данных.

Направление уведомлений о инцидентах

Статья 14.

Операторы ИКТ-системы особого значения обязаны направлять уведомления об инцидентах в Единый системный центр приёма уведомлений об инцидентах посредством веб-презентации Министерства либо Офиса по информационной безопасности.

Операторы приоритетных ИКТ-систем особого значения, осуществляющие деятельность в сфере банковского дела и финансовых рынков, указанные в статье 5, пункт 3, подпункт 1, подпункт (3) настоящего закона, обязаны направлять уведомление об инциденте в Народный банк Сербии, а если они являются операторами приоритетных ИКТ-систем в области финансовых рынков, находящихся под надзором Комиссии по ценным бумагам, уведомление направляется также в Комиссию по ценным бумагам.

Операторы приоритетных ИКТ-систем, осуществляющие деятельность в области электронных коммуникаций, указанные в статье 5, пункт 3, подпункт 1, подпункт (9), абзац четвёртый настоящего закона, и операторы важных ИКТ-систем особого значения, осуществляющие деятельность в сфере почтовых услуг, указанные в статье 6, пункт 1, подпункт 1, абзац первый настоящего закона, обязаны направлять уведомление об инциденте в Регуляторный орган по электронным коммуникациям и почтовым услугам.

Народный банк Сербии, Регуляторный орган по электронным коммуникациям и почтовым услугам, а также Комиссия по ценным бумагам обязаны передавать полученные уведомления, указанные в пунктах 2 и 3 настоящей статьи, в Единый системный центр приёма уведомлений об инцидентах.

Операторы ИКТ-систем особого значения, за исключением операторов ИКТ-систем, указанных в пунктах 2 и 3 настоящей статьи, обязаны посредством соответствующих каналов связи незамедлительно уведомлять пользователей, которым они предоставляют услуги, о происшедшем инциденте, если он может вызвать или вызывает вредоносное воздействие на предоставление и использование услуг, а также о мерах, которые пользователи могут предпринять для уменьшения или устранения негативных последствий инцидента.

Операторы ИКТ-систем особого значения, указанные в пунктах 2 и 3 настоящей статьи, уведомляют пользователей об инцидентах в соответствии с специальными нормативными актами.

Орган, которому в соответствии с настоящим законом направлено уведомление о инциденте, если речь идёт об ИКТ-системе особого значения, определённой как критическая инфраструктура в соответствии с законом, регулирующим критическую инфраструктуру, направляет эту информацию в министерства, отвечающие за соответствующие секторы критической инфраструктуры.

Органы, указанные в пунктах 1–3 настоящей статьи, которым направлено уведомление об инциденте, обязаны в случае инцидента, возникшего в ИКТ-системе оператора критической инфраструктуры, определённой в соответствии с законом, регулирующим критическую инфраструктуру, безотлагательно передавать полученную информацию в компетентные министерства, отвечающие за соответствующие секторы критической инфраструктуры, в соответствии с нормативными актами о защите секретных данных.

Содержание уведомления об инциденте

Статья 15

Уведомление об инциденте должно содержать следующие сведения:

1. сведения о заявителе;
2. вид и описание инцидента, а также оценку того, является ли инцидент следствием уголовного преступления;
3. дату и время начала инцидента, либо дату и время, когда стало известно об инциденте, а также продолжительность инцидента;
4. последствия, вызванные инцидентом;
5.  принятые меры по смягчению последствий инцидента;
6. первоначальную оценку уровня опасности и влияния инцидента на ИКТ-систему особого значения, а также индикаторы компрометации;
7. сведения о возможных трансграничных последствиях инцидента;
8. сведения о ранее зарегистрированных аналогичных инцидентах, если такие имелись, включая время и характер этих инцидентов, а также меры, принятые в этих случаях;
9. иные релевантные сведения по мере необходимости.

Классификация инцидентов по уровню опасности

Статья 16

Инциденты в ИКТ-системах особого значения, которые могут оказать существенное влияние на нарушение информационной безопасности, классифицируются по уровню опасности с учетом последствий инцидента следующим образом:

1. низкий;
2. средний;
3. высокий;
4. очень высокий.

Подзаконный акт, регулирующий порядок уведомления об инцидентах, формы уведомлений, перечень инцидентов по видам и классификацию инцидентов по уровню опасности, принимается Правительством по представлению министерства.

Оперативная группа реагирования на инциденты

Статья 17

В целях координированного реагирования на инциденты высокого и очень высокого уровня канцелярия по информационной безопасности формирует постоянную оперативную группу.

Офис по информационной безопасности устанавливает критерии назначения членов, а также порядок исполнения обязанностей и задачи постоянной оперативной группы.

Офис по информационной безопасности может, в зависимости от характера и последствий инцидента, привлекать к работе оперативной группы другие органы в пределах их компетенции.

При необходимости на заседание оперативной группы могут быть приглашены представители самостоятельных операторов, лица, участвующие в работе органа координации дел по информационной безопасности, а также представители специальных CERT.

Лица, участвующие в работе постоянной оперативной группы, обязаны пройти сертификацию для работы с секретными данными.

План реагирования на инциденты высокого уровня и кризисы информационной безопасности

Статья 18

Правительство принимает план реагирования на инциденты высокого уровня и кризисы информационной безопасности по предложению Офиса по информационной безопасности.

План, указанный в пункте 1 настоящей статьи, включает:

1.  цели мер и действий по реагированию на инциденты высокого уровня и кризисы информационной безопасности;
2. действия компетентных органов для реализации плана;
3. описание процедур в случае инцидентов высокого уровня и кризисов информационной безопасности;
4. мероприятия по повышению способности реагирования на инциденты, в первую очередь планы соответствующих учений и обучения;
5. модели взаимодействия с частным, неправительственным и академическим сектором;
6. взаимное сотрудничество компетентных органов.

Действия при получении уведомления о инциденте

Статья 19

После получения уведомления об инциденте в ИКТ-системе особого значения, Офис по информационной безопасности действует в соответствии с полномочиями, установленными законом, то есть собирает, анализирует и обменивается информацией о рисках для безопасности ИКТ-систем, а также об инциденте, и в связи с этим информирует, оказывает поддержку, предупреждает и консультирует оператора ИКТ-системы особого значения и выполняет другие задачи в рамках своей компетенции.

Офис по информационной безопасности после проведённого анализа определяет уровень опасности инцидента.

Когда необходимо, чтобы общественность была уведомлена о инциденте, или когда инцидент представляет интерес для общества, Офис по информационной безопасности публикует информацию об инциденте после консультации с оператором ИКТ-системы особого значения, в которой произошёл инцидент.

В исключительных случаях, несмотря на положения абзаца 3 настоящей статьи, Офис по информационной безопасности может опубликовать информацию об инциденте, произошедшем у оператора приоритетной ИКТ-системы особого значения, осуществляющего деятельность в области банковского дела и финансовых рынков, указанного в статье 5, пункт 3, подпункт 1, под подпунктом (3) настоящего закона, при условии предварительного согласия Народного банка Сербии или Комиссии по ценным бумагам.

Офис по информационной безопасности, Народный банк Сербии, Комиссия по ценным бумагам и Регуляторный орган по электронным коммуникациям и почтовым услугам обязаны передавать уведомления о инцидентах:

1. компетентной прокуратуре либо министерству, ответственному за внутренние дела, в случае если инцидент связан с совершением уголовных преступлений, преследуемых по служебной обязанности;
2. органу, ответственному за вопросы безопасности и контрразведки, имеющему значение для обороны Республики Сербии, либо органу, ответственному за национальную безопасность, в случае если инцидент связан со значительным нарушением информационной безопасности, которое имеет или может иметь последствия в виде угрозы для обороны или национальной безопасности Республики Сербии.

При управлении инцидентом Офис по информационной безопасности, Народный банк Сербии, Комиссия по ценным бумагам и Регуляторный орган по электронным коммуникациям и почтовым услугам маркируют уведомление об инциденте, а также информацию об инциденте в соответствии с законодательными актами и протоколом TLP (англ. «traffic light protocol»).

Действия в случае инцидента уровня опасности «низкий»

Статья 20

В случае инцидентов, которым в соответствии с классификацией установлен уровень опасности «низкий», Офис по информационной безопасности при необходимости предоставляет оператору ИКТ-системы особого значения рекомендации по дальнейшим действиям.

Действия в случае инцидента уровня опасности «средний»

Статья 21

В случае инцидентов, которым в соответствии с классификацией установлен уровень опасности «средний», Офис по информационной безопасности дает рекомендации по порядку действий оператору ИКТ-системы особого значения.

Действия в случае инцидента уровня опасности «высокий»

Статья 22

В случае инцидентов, которым в соответствии с классификацией установлен уровень опасности «высокий», Офис по информационной безопасности обязана уведомить об этом Министерство.

Офис по информационной безопасности в сотрудничестве с оперативной группой подготавливает рекомендации и меры по урегулированию инцидента.

Министерство после получения уведомления, указанного в пункте 1 настоящей статьи, созывает заседание Координационного органа по вопросам информационной безопасности.

После завершения инцидента Офис по информационной безопасности в сотрудничестве с оперативной группой составляет итоговый отчёт, который направляет в Министерство в срок 30 дней со дня завершения инцидента.

Действия в случае инцидента уровня опасности «очень высокий »

Статья 23

В случае инцидента, которому в соответствии с классификацией установлен уровень опасности «очень высокий» и который представляет собой кризис информационной безопасности, руководство и координацию осуществления мер и задач принимает на себя Правительство.

Офис по информационной безопасности в сотрудничестве с оперативной группой разрабатывает предложение о объявлении кризиса информационной безопасности в соответствии с Планом реагирования в случае инцидента высокого уровня и кризиса информационной безопасности, которое содержит:

1. сведения об инциденте;
2. информацию о принятых мерах;
3. основания для объявления кризиса информационной безопасности;
4. .  поручения органам о принятии мер в соответствии с их компетенцией;
5. меры по разрешению кризиса.

Предложение о объявлении кризиса информационной безопасности направляется в Министерство, которое по его получении безотлагательно созывает заседание Органа по координации деятельности в сфере информационной безопасности.

Правительство по предложению Министерства принимает решение об объявлении кризиса информационной безопасности и поручает органам действовать в соответствии с предложенными мерами в пределах их компетенции.

Офис по информационной безопасности в сотрудничестве с оперативной группой координирует разрешение кризиса информационной безопасности и не реже одного раза в неделю представляет Министерству и Правительству отчёт о всех предпринимаемых действиях.

Предложение о объявлении завершения кризиса информационной безопасности направляется в Министерство.

Решение об объявлении завершения кризиса информационной безопасности принимается Правительством по предложению Министерства.

После завершения кризиса информационной безопасности, Офис по информационной безопасности составляет итоговый отчёт и направляет его в Министерство и Правительство в течение 30 дней со дня завершения кризиса.

Отчётность в ходе инцидента и после его завершения

Статья 24

Операторы ИКТ-систем особого значения обязаны:

1. представлять отчёт об инциденте в период его протекания с описанием мер, принятых для его устранения, в Единый системный центр приёма уведомлений об инцидентах, а именно:
   • (1) каждые три дня — в случае инцидента среднего уровня;
   • (2) каждые 24 часа — в случае инцидентов высокого и очень высокого уровня;
2. представлять уведомления и дополнительные отчёты о существенных событиях, связанных с инцидентом, а также о предпринимаемых мерах — по требованию Канцелярии;
3. представлять итоговый отчёт об инциденте в срок не позднее 15 дней со дня прекращения инцидента, который должен содержать следующие сведения:
   • (1) вид и подробное описание инцидента;
   • (2) вид угрозы и причину, повлекшую возникновение инцидента;
   • (3) время начала и продолжительность инцидента;
   • (4) масштаб и степень воздействия инцидента (реализованный риск), то есть последствия, вызванные инцидентом;
   • (5) информацию о возможном трансграничном воздействии инцидента;
   • (6) принятые меры по устранению последствий инцидента и, при необходимости, иные сведения, имеющие значение для учёта инцидента и его статистической обработки.

После завершения инцидента Офис по информационной безопасности подготавливает рекомендации и консультационные заключения по защите от потенциальных рисков на основании проведённого анализа произошедшего инцидента.

Подача статистических данных об инцидентах

Статья 25

Оператор ИКТ-системы особого значения обязан, помимо уведомления о инцидентах, предусмотренного статьёй 13 настоящего закона, предоставлять органу или организации, отвечающей за вопросы Национального CERT, статистические данные обо всех инцидентах в ИКТ-системе, включая предотвращённые инциденты, за предыдущий год не позднее 28 февраля текущего года.

Орган или организация, указанные в пункте 1 настоящей статьи, направляют отчёты о статистических данных в Министерство и публикуют их на своей веб-презентации.

Вид, форма и порядок предоставления статистических данных, указанных в пункте 1 настоящей статьи, определяются органом или организацией, указанными в пункте 1 настоящей статьи.

III ОРГАНЫ, ОТВЕТСТВЕННЫЕ ЗА ПРОФИЛАКТИКУ И ЗАЩИТУ ОТ РИСКОВ БЕЗОПАСНОСТИ В ИКТ-СИСТЕМАХ В РЕСПУБЛИКЕ СЕРБИЯ.

Компетентный орган

Статья 26

Органом государственной администрации, ответственным за информационную безопасность, является министерство, уполномоченное на ведение дел в области информационной безопасности.

В рамках своих полномочий Министерство:

1. разрабатывает и вносит предложения по нормативным актам и плановым документам в области информационной безопасности в соответствии с настоящим законом;
2. ведет учет операторов ИКТ-систем особого значения;
3. осуществляет контроль за деятельностью Офиса информационной безопасности при выполнении им функций, в отношении которых оно компетентно в соответствии с настоящим законом;
4. осуществляет инспекционный надзор за применением настоящего закона и деятельностью операторов ИКТ-систем особого значения, за исключением самостоятельных операторов ИКТ-систем и ИКТ-систем для работы с секретными данными;
5. осуществляет международное сотрудничество в рамках своих полномочий.

Орган по координации вопросов информационной безопасности.

Статья 27.

В целях обеспечения сотрудничества и согласованного выполнения задач по повышению уровня информационной безопасности, а также инициирования и мониторинга профилактических и иных мероприятий в области информационной безопасности, Правительство учреждает Орган по координации вопросов информационной безопасности (далее – «Орган по координации») как координационный орган Правительства, в состав которого входят представители министерств, ответственных за вопросы информационной безопасности, обороны, внутренних дел, иностранных дел, юстиции, представители служб безопасности, Офиса по информационной безопасности, Офиса по информационным технологиям и электронной администрации, Офиса Совета по национальной безопасности и защите секретных данных, Генерального секретариата Правительства, Народного банка Сербии и Регуляторного органа по электронным коммуникациям и почтовым услугам.

В целях совершенствования отдельных областей информационной безопасности формируются специализированные рабочие группы Органа по координации, в которые также привлекаются представители других органов, бизнеса, академического сообщества и неправительственного сектора.

Решением о создании Органа по координации Правительство определяет его состав, задачи, сроки предоставления отчетов Правительству и иные вопросы, связанные с его деятельностью.

Офис по информационной безопасности

Статья 28

В целях осуществления задач по предотвращению и защите от рисков безопасности и инцидентов в ИКТ-системах на территории Республики Сербия учреждается Офис по информационной безопасности (далее – «Офис») как отдельная организация в смысле закона, регулирующего положение органов государственной администрации.

Офис обладает статусом юридического лица.

Деятельностью Офиса руководит директор, который должен быть лицом соответствующей квалификации с не менее чем пятигодичным опытом работы в области информационной безопасности и назначается Правительством в соответствии с законом, регулирующим положение государственных служащих.

Офис имеет заместителя директора, который также должен быть лицом соответствующей квалификации с не менее чем пятигодичным опытом работы в области информационной безопасности, назначается в соответствии с правилами, регулирующими положение государственных служащих, и обладает полномочиями в соответствии с положениями о государственной администрации.

Контроль за деятельностью Офиса

Статья 29

Контроль за деятельностью Офиса при выполнении им своих задач осуществляет Министерство в соответствии с законом, регулирующим государственную администрацию.

Полномочия Офиса

Статья 30

В пределах своей компетенции офис выполняет следующие функции:

1. осуществляет профилактику и защиту от рисков безопасности на национальном уровне в соответствии с настоящим законом (функции Национального CERT);
2. осуществляет сотрудничество на национальном уровне в области информационной безопасности;
3. выполняет функции единой контактной точки;
4. осуществляет сертификацию ИКТ-систем, ИКТ-продуктов, ИКТ-процессов и ИКТ-услуг, за исключением систем, продуктов, процессов и услуг, предназначенных для нужд обороны и безопасности, а также ИКТ-систем для работы с секретными данными;
5. устанавливает минимальные меры защиты ИКТ-систем органов, учитывая принципы, предусмотренные в статье 3 настоящего закона, меры защиты из статьи 10 настоящего закона, национальные и международные стандарты, а также стандарты, применяемые в соответствующих сферах деятельности;
6. в сотрудничестве с компетентными органами и другими субъектами из государственного, академического, коммерческого и неправительственного секторов участвует в разработке и реализации программ обучения и профессиональной подготовки лиц, работающих в сфере информационной безопасности;
7. осуществляет сотрудничество и обмен информацией на международном уровне в области информационной безопасности с целью мониторинга и приведения в соответствие с международными нормативными актами и стандартами;
8. осуществляет профессиональный надзор за деятельностью операторов ИКТ-систем особого значения;
9. ведёт базу уязвимостей ИКТ-продуктов и ИКТ-услуг;
10. ежеквартально информирует Министерство о предпринятых действиях;
11. выполняет иные функции в соответствии с настоящим законом.

Подзаконный акт, которым детально регулируется порядок проведения сертификации ИКТ-систем, ИКТ-продуктов, ИКТ-процессов и ИКТ-услуг, указанных в пункте 5 настоящей статьи, принимается Правительством по предложению Министерства.

Деятельность по предупреждению и защите от угроз безопасности на национальном уровне (Национальный CERT)

Статья 31

В рамках деятельности по предотвращению и защите от рисков безопасности и инцидентов Офис выполняет функции Национального CERT, а именно:

 Офис стимулирует применение и использование предписанных и стандартизированных процедур для:

1. управления инцидентами;
2. классификации информации об инцидентах, а именно классификации по уровню опасности инцидентов;
3. управления кризисными ситуациями;
4. координированного выявления уязвимостей.
5. наличия адекватных кадровых ресурсов;
6. оснащённости резервными системами и резервного рабочего помещения для обеспечения непрерывности услуг.

Подзаконный акт, которым более подробно регулируется порядок проактивного сканирования ИКТ-систем, предусмотренного пунктом 6 части 1 настоящей статьи, защитные, технические и безопасные условия и меры, которые должен выполнить субъект, непосредственно осуществляющий сканирование, а также процедура, которой определяются условия в целях защиты безопасности систем, сетей и данных, к которым осуществляется доступ, и порядок отчётности компетентному органу, принимает Правительство по предложению Министерства.

Превентивные и реактивные меры в целях защиты Единой

Статья 32

В рамках принятия превентивных и реактивных мер в целях защиты Единой информационно-коммуникационной сети электронного управления (далее: сеть eUprave) Офис осуществляет следующие функции:

1. осуществляет защиту сети eUprave;
2. осуществляет координацию и сотрудничество с операторами ИКТ-систем, которые соединяет сеть eUprave, в целях предотвращения инцидентов;
3. активно участвует в выявлении инцидентов, сборе информации об инцидентах и устранении последствий инцидентов;
4. осуществляет проактивное сканирование сети оператора ИКТ-системы особого значения, которые являются пользователями сети, при этом такое сканирование не должно оказывать вредного воздействия на деятельность и операции оператора;
5. в случае выявленной уязвимости:

• (1) уведомляет операторов ИКТ-систем, которые являются пользователями сети eUprave, об этом;

• (2) предписывает операторам ИКТ-систем особого значения, которые являются пользователями сети, принять адекватные меры защиты в целях предотвращения, уменьшения и устранения последствий инцидента;

6. издаёт профессиональные рекомендации по защите ИКТ-систем органов, за исключением ИКТ-систем для работы с секретными данными;

7. принимает акт, которым регулируется порядок действий операторов ИКТ-систем особого значения, использующих сеть, в случае инцидента;

8. в сотрудничестве с компетентными органами осуществляет оценку необходимости профессионального повышения квалификации работников операторов ИКТ-систем особого значения, использующих сеть;

9. планирует и организует процедурные и практические учения в области информационной безопасности для работников операторов ИКТ-систем особого значения, использующих сеть;

10. разрабатывает предложения по совершенствованию характеристик безопасности сети eUprave;

11. разрабатывает анализы рисков и инцидентов в рамках сети eUprave;

12. осуществляет иные функции в соответствии с законом в целях совершенствования информационной безопасности сети eUprave.

Подзаконный акт, которым более подробно регулируются порядок проактивного сканирования ИКТ-систем, предусмотренного пунктом 4 части 1 настоящей статьи, защитные и технические условия и меры безопасности, которые должен выполнить субъект, непосредственно осуществляющий сканирование, а также процедура, которой устанавливаются условия в целях защиты безопасности систем, сетей и данных, к которым осуществляется доступ, и порядок отчётности компетентному органу, принимает Правительство по предложению Министерства.

Сотрудничество на национальном уровне

Статья 33

Офис непосредственно сотрудничает с Министерством, Регуляторным органом по электронным коммуникациям и почтовым услугам, Специальными CERT в Республике Сербии, с государственными и хозяйствующими субъектами, а также с CERT самостоятельных операторов ИКТ-систем.

CERT могут, в соответствии со своими полномочиями и протоколами безопасности, самостоятельно устанавливать сотрудничество с соответствующими участниками из государственного и частного секторов, с обязательством уведомления Офиса для координации и обмена информацией, имеющей значение для национальной системы информационной безопасности.

Офис и CERT самостоятельных операторов ИКТ-систем проводят взаимные совещания, организуемые Офисом, как минимум три раза в год, а также по необходимости в случае инцидентов, существенно угрожающих информационной безопасности в Республике Сербии.

В совещаниях, указанных в части 3 настоящей статьи, участвуют также представители Министерства, а по приглашению могут присутствовать представители специальных CERT, а также иные лица.

При сотрудничестве с субъектами, указанными в части 1 настоящей статьи, Офис обязан обеспечить эффективный, результативный и безопасный обмен информацией с применением соответствующих процедур, включая «traffic light protocol» (TLP), с соблюдением нормативных актов о защите персональных данных.

Международное сотрудничество и функции единой контактной точки

Статья 34

Офис осуществляет международное сотрудничество в области безопасности ИКТ-систем, а именно предоставляет предупреждения о рисках и инцидентах, которые соответствуют хотя бы одному из следующих условий:

1. быстро развиваются или имеют тенденцию стать высокорисковыми;
2. превышают или могут превысить национальные возможности;
3. могут оказывать негативное влияние на более чем одно государство.

При обмене данными, указанными в части 1 настоящей статьи, Офис обязан действовать таким образом, чтобы не была нарушена конфиденциальность данных, а также чтобы такой обмен данными не способствовал потенциальному нарушению безопасности ИКТ-систем.

Обмен данными, указанными в части 1 настоящей статьи, предполагает передачу или обработку данных, необходимых для оценки и реагирования на риски безопасности и инциденты в соответствии с настоящим законом. В случае, если обмен касается персональных данных, Офис обязан обеспечить, чтобы такая передача или обработка соответствовали нормативным актам, регулирующим защиту персональных данных, включая правила, касающиеся передачи данных в другие государства или международные организации.

Если инцидент связан с совершением уголовного преступления, подлежащего преследованию по служебной линии, Офис уведомляет об этом компетентную государственную прокуратуру, которая самостоятельно или через Министерство, ответственное за внутренние дела, в установленном порядке направляет сообщение в соответствии с ратифицированными международными договорами.

Офис выполняет функции единой контактной точки по информационной безопасности в случае трансграничных угроз безопасности и инцидентов и сотрудничает с едиными контактными точками других государств.

Специальные центры по предотвращению рисков безопасности в ИКТ-системах

Статья 35

Специальный центр по предотвращению рисков безопасности в ИКТ-системах (далее: Специальный CERT) выполняет функции по предотвращению и защите от рисков безопасности в ИКТ-системах в рамках определённого юридического лица, группы юридических лиц, сферы деятельности и аналогично.

Специальный CERT является юридическим лицом или организационной единицей в составе юридического лица с местом нахождения на территории Республики Сербия, которое внесено в реестр специальных CERT, ведение которого осуществляется органом или организацией, уполномоченной по вопросам Национального CERT, и публикуется в открытом доступе.

Внесение в реестр специальных CERT, ведение которого осуществляет Канцелярия, производится на основании заявления юридического лица, в составе которого находится специальный CERT.

Реестр специальных CERT, помимо персональных данных, содержит сведения об ответственных лицах, а именно: имя, фамилию, должность и контактные данные, такие как адрес, номер телефона и адрес электронной почты, с целью привлечения специальных CERT в случае рисков безопасности и инцидентов в ИКТ-системах.

Орган или организация, указанные в части 2 настоящей статьи, определяют содержание, порядок внесения и ведения реестра, указанного в части 3 настоящей статьи.

База уязвимостей

Статья 36

Орган или организация, уполномоченные по вопросам Национального CERT, создают и поддерживают базу уязвимостей ИКТ-продуктов и ИКТ-услуг в Республике Сербия и предоставляют физическим и юридическим лицам, а также производителям, поставщикам и предоставителям услуг в ИКТ-системе возможность на добровольной основе сообщать об уязвимостях в ИКТ-продуктах или ИКТ-услугах, при этом такие сообщения могут подаваться анонимно.

База уязвимостей ИКТ-продуктов и ИКТ-услуг содержит:

1. сведения об уязвимости;
2. сведения об уязвимостях ИКТ-продуктов или ИКТ-услуг.

Правительство по предложению Министерства устанавливает содержание, процедуры верификации уязвимостей, процедуры управления техническими уязвимостями ИКТ-продуктов и ИКТ-услуг, порядок внесения в реестр и его ведения.

База данных о регистрации доменов

Статья 37

Организация, уполномоченная на управление реестром доменов верхнего уровня, ведёт перечень уполномоченных регистраторов для регистрации доменов в Республике Сербия.

Перечень, указанный в части 1 настоящей статьи, обязательно содержит следующие данные:

1. наименование уполномоченного регистратора;
2. место нахождения и актуальные контактные данные уполномоченного регистратора (адрес электронной почты, служебный телефон);
3. диапазон адресов интернет-протокола (англ. «IP address range»), принадлежащий уполномоченному регистратору, который включает сведения о публичных статических IP-адресах.

Уполномоченный регистратор обязан в случае изменения данных, указанных в части 2 настоящей статьи, уведомить об этом организацию, уполномоченную на управление реестром доменов верхнего уровня, в срок 15 дней со дня возникновения изменения.

Организации, уполномоченные на управление реестром доменов верхнего уровня и предоставление услуг DNS, обязаны собирать, хранить и поддерживать точные и полные данные о регистрации доменов в специальной базе данных с должной осмотрительностью и с применением технических, организационных и мер безопасности по защите данных в соответствии с нормативными актами о защите персональных данных.

База данных, указанная в части 4 настоящей статьи, должна содержать как минимум следующие данные:

1. наименование домена;
2. дату регистрации домена;
3. сведения о лице, на имя которого зарегистрирован домен, а именно: имя и фамилию физического лица либо наименование юридического лица, контактный адрес электронной почты и номер телефона;
4. контактный адрес электронной почты и номер телефона лица, ответственного за администрирование домена, если они отличаются от данных лица, на имя которого зарегистрирован домен.

Организации, указанные в части 4 настоящей статьи, обязаны принять и применять акты и процедуры для проверки точности и полноты данных в базе данных. Эти процедуры должны быть общедоступны.

Организации, указанные в части 4 настоящей статьи, обязаны обеспечить общедоступность данных, не являющихся персональными, сразу после регистрации домена, в соответствии с правилами и условиями регистрации национальных интернет-доменов.

Организации, указанные в части 4 настоящей статьи, обязаны предоставить доступ к данным о регистрации доменов, которые не являются общедоступными, на основании законных и обоснованных запросов уполномоченных лиц или органов, в соответствии с полномочиями, предоставленными нормативными актами, регулирующими сферу их деятельности, и в соответствии с нормативными актами о защите персональных данных.

Ответ на запрос, указанный в части 7 настоящей статьи, должен быть предоставлен безотлагательно, но не позднее чем в течение 72 часов с момента получения запроса.

Организации, указанные в части 4 настоящей статьи, обязаны принять и опубликовать общедоступно политики и процедуры по обработке запросов на раскрытие данных о регистрации доменов в соответствии с настоящим законом и нормативными актами о защите персональных данных. В соответствии с настоящей статьёй сбор данных о регистрации доменов не должен приводить к дублированию данных. Организации, указанные в части 4 настоящей статьи, обязаны сотрудничать для предотвращения дублирования и обеспечения соответствия закону.

Министр, уполномоченный в сфере информационной безопасности, устанавливает более детальные условия для сбора, хранения, проверки и публикации данных, предусмотренных настоящей статьёй, в соответствии с лучшей практикой регистраторов национальных интернет-доменов Европейского Союза, а также Корпорации Интернета по присвоению имён и номеров (ICANN).

Защита детей при использовании информационно-коммуникационных технологий

Статья 38

Министерство принимает превентивные меры по обеспечению безопасности и защите детей в интернете как мероприятия общественного интереса посредством обучения и информирования детей, родителей и педагогов о преимуществах, рисках и способах безопасного пользования интернетом, а также через создание единой точки для предоставления консультаций и приёма сообщений о вопросах безопасности детей в интернете и направляет такие сообщения компетентным органам для дальнейшего рассмотрения.

Оператор электронных коммуникаций, предоставляющий общедоступные телефонные услуги, обязан обеспечить всем абонентам возможность бесплатного звонка на единую точку для предоставления консультаций и приёма сообщений о безопасности детей в интернете.

В случае, если сведения, содержащиеся в сообщении, указывают на наличия уголовного преступления, нарушения прав, состояния здоровья, благополучия и/или физической и психической целостности ребёнка, а также риск формирования зависимости от использования интернета, сообщение направляется компетентному органу для принятия мер в соответствии с установленными полномочиями.

Министерство уполномочено осуществлять обработку данных о лице, обратившемся в Министерство, в соответствии с законом, регулирующим защиту персональных данных, и иными нормативными актами.

Обработка данных о лице, указанная в части 4 настоящей статьи, включает имя, фамилию и номер телефона и/или адрес электронной почты и осуществляется с целью регистрации поданных сообщений, информирования заявителя о статусе дела и, при необходимости, направления сообщения компетентным органам для дальнейшего рассмотрения в соответствии с законом.

Персональные данные, указанные в части 5 настоящей статьи, хранятся в сроки, предусмотренные нормативными актами, регулирующими делопроизводство.

Подзаконный акт, которым более подробно регулируется порядок осуществления мер по обеспечению безопасности и защите детей в интернете, предусмотренных частями 1 и 3 настоящей статьи, принимается Правительством по предложению Министерства.

IV. КРИПТОБЕЗОПАСНОСТЬ И ЗАЩИТА ОТ КОМПРОМЕТИРУЮЩЕГО ЭЛЕКТРОМАГНИТНОГО ИЗЛУЧЕНИЯ

Полномочия

Статья 39

Министерство, уполномоченное по вопросам обороны, отвечает за информационную безопасность в части, касающейся утверждения криптографических продуктов, используемых для защиты передачи и хранения данных, отнесённых к категории секретных, распределения криптоматериалов, защиты от компрометирующего электромагнитного излучения, а также выполнения функций и задач в соответствии с законом и нормативными актами, принятыми на его основании.

Функции и задачи

Статья 40

В соответствии с настоящим законом Министерство, уполномоченное по вопросам обороны:

1. организует и осуществляет научно-исследовательскую работу в области криптографической безопасности и защиты от компрометирующего электромагнитного излучения (KEMZ);
2. разрабатывает, внедряет, проверяет и классифицирует криптографические алгоритмы;
3. исследует, разрабатывает, проверяет и классифицирует собственные криптографические продукты и решения по защите от KEMZ;
4. проверяет и классифицирует отечественные и иностранные криптографические продукты и решения по защите от KEMZ;
5. определяет процедуры и критерии для оценки криптографических решений по безопасности;
6. выполняет функции национального органа по утверждению криптографических продуктов и обеспечивает их одобрение в в соответствии с применимыми нормативными актами;
7. выполняет функции национального органа по защите от KEMZ;
8. проводит проверку ИКТ-систем с точки зрения криптобезопасности и защиты от KEMZ;
9. выполняет функции национального органа по распределению криптоматериалов и определяет порядок управления, обращения, хранения, распределения и учёта криптоматериалов в соответствии с нормативными актами;
10. планирует и координирует разработку криптопараметров (параметров криптографического алгоритма), распределение криптоматериалов и защиту от компрометирующего электромагнитного излучения в сотрудничестве с самостоятельными операторами ИКТ-систем;
11. формирует и ведёт центральный реестр проверенных и распределённых криптоматериалов;
12. формирует и ведёт реестр выданных одобрений для криптографических продуктов;
13. издаёт электронные сертификаты для криптографических систем, основанных на инфраструктуре открытых ключей (Public Key Infrastructure — PKI)
14. предлагает принятие нормативных актов в области криптобезопасности и защиты от KEMZ на основе настоящего закона;
15. выполняет функции профессионального надзора в области криптобезопасности и защиты от KEMZ;
16. оказывает экспертную помощь органу, осуществляющему инспекционный надзор за информационной безопасностью, в области криптобезопасности и защиты от KEMZ;
17. предоставляет на платной основе услуги юридическим и физическим лицам вне системы органов государственной власти в области криптобезопасности и защиты от KEMZ в соответствии с нормативным актом Правительства по предложению Министра обороны;
18. сотрудничает с национальными и международными органами и организациями в рамках полномочий, установленных настоящим законом.

Средства, полученные от оказания услуг на платной основе, указанных в части 1 пункта 17 настоящей статьи, относятся к доходам бюджета Республики Сербии.

Компрометирующее электромагнитное излучение

Статья 41

Меры защиты от KEMZ в ИКТ-системах, предназначенных для работы с секретными данными, применяются в соответствии с нормативными актами, регулирующими защиту секретной информации.

Меры защиты от KEMZ могут применяться по собственной инициативе и операторами ИКТ-систем, для которых это не является законной обязанностью.

Для всех технических компонентов системы (устройств, коммуникационных каналов и помещений), у которых существует риск KEMZ, способный привести к нарушению информационной безопасности, указанной в части 1 настоящей статьи, проводится проверка защищённости от KEMZ и оценка риска несанкционированного доступа к секретным данным посредством KEMZ.

Проверку защищённости от KEMZ осуществляет Министерство, уполномоченное по вопросам обороны.

Самостоятельные операторы ИКТ-систем могут проводить проверку KEMZ для собственных нужд.

Подзаконный акт, которым более подробно регулируются условия проверки KEMZ и порядок оценки риска утечки данных посредством КЕМЗ, принимается Правительством по предложению Министерства, уполномоченного по вопросам обороны.

Меры криптозащиты

Статья 42

Меры криптозащиты при работе с секретными данными в ИКТ-системах применяются в соответствии с нормативными актами, регулирующими защиту секретной информации.

Меры криптозащиты могут применяться и при передаче и хранении данных, которые не отнесены к категории секретных в соответствии с законом, регулирующим секретность данных, когда на основании закона или иного нормативного акта требуется применение технических мер ограничения доступа к данным и для обеспечения защиты целостности, подлинности и непротиворечивости данных.

Подзаконный акт, которым устанавливаются технические условия для криптографических алгоритмов, параметров, протоколов и информационных объектов в области криптозащиты, используемых в Республике Сербия в криптографических продуктах для обеспечения секретности, целостности, подлинности и непротиворечивости данных, принимается Правительством по предложению Министерства, уполномоченного по вопросам обороны.

Одобрение криптографического продукта

Статья 43

Криптографические продукты, используемые для защиты передачи и хранения данных, отнесённых к категории секретных в соответствии с законом, должны быть проверены и одобрены для использования.

Подзаконный акт, которым более подробно устанавливаются требования к криптографическим продуктам, указанным в части 1 настоящей статьи, принимается Правительством по предложению Министерства, уполномоченного по вопросам обороны.

Выдача одобрения криптографического продукта

Статья 44

Одобрение криптографического продукта выдаётся Министерством, уполномоченным по вопросам обороны, по запросу оператора ИКТ-системы, производителя криптографического продукта или иного заинтересованного лица.

Одобрение криптографического продукта может относиться к отдельному экземпляру криптографического продукта либо к определённой модели криптографического продукта, выпускаемой серийно.

Одобрение криптографического продукта может иметь срок действия.

Министерство, уполномоченное по вопросам обороны, принимает решение по запросу на выдачу одобрения криптографического продукта в течение 45 дней с момента подачи надлежащим образом оформленного запроса, который может быть продлён в случае особой сложности проверки, но не более чем на 60 дней.

Против решения, принятого по части 4 настоящей статьи, жалоба не допускается, однако может быть инициировано административное судебное разбирательство.

Министерство, уполномоченное по вопросам обороны, ведёт реестр выданных одобрений криптографических продуктов.

Реестр, указанный в части 6 настоящей статьи, в части персональных данных содержит сведения об ответственных лицах, а именно: имя, фамилию, должность и контактные данные, такие как адрес, номер телефона и адрес электронной почты. Министерство, уполномоченное по вопросам обороны, публикует публичный список одобренных моделей криптографических продуктов для всех моделей, по которым в запросе на выдачу одобрения было указано, что модель должна быть включена в публичный список, при условии, что запрос подан производителем или лицом, уполномоченным производителем соответствующего криптографического продукта.

Министерство, уполномоченное по вопросам обороны, может отозвать ранее выданное одобрение криптографического продукта или изменить условия, указанные в частях 2 и 3 настоящей статьи, по причине появления новых сведений о технических решениях, применённых в продукте, которые влияют на оценку уровня защиты, обеспечиваемой продуктом.

Подзаконный акт, которым более подробно регулируются содержание запроса на выдачу одобрения криптографического продукта, условия выдачи одобрения, порядок выдачи одобрения и ведение реестра выданных одобрений криптографических продуктов, принимается Правительством по предложению Министерства, уполномоченного по вопросам обороны.

Общее разрешение на использование криптографических продуктов

Статья 45

Самостоятельные операторы ИКТ-систем обладают общим разрешением на использование криптографических продуктов.

Оператор ИКТ-системы, указанный в части 1 настоящей статьи, самостоятельно оценивает степень защиты, обеспечиваемую каждым отдельным используемым криптографическим продуктом, в соответствии с установленными требованиями.

Регистры в области криптозащиты

Статья 46

Самостоятельные операторы ИКТ-систем, обладающие общим разрешением на использование криптографических продуктов, создают и ведут регистры криптографических продуктов, криптоматериалов, правил и нормативных актов, а также лиц, выполняющих работы в области криптозащиты.

Реестр лиц, выполняющих работы в области криптозащиты, в части персональных данных содержит следующие сведения о таких лицах: фамилия, имя и отчество, дата и место рождения, идентификационный номер, телефон, адрес электронной почты, уровень образования, сведения о пройденной профессиональной подготовке для выполнения работ в области криптозащиты, наименование должности, даты начала и окончания работы в области криптозащиты.

Реестр криптоматериалов для работы с иностранными секретными данными ведёт Канцелярия Совета по национальной безопасности и защите секретной информации в соответствии с ратифицированными международными соглашениями.

Подзаконный акт, которым более подробно регулируется ведение регистров, указанных в части 1 настоящей статьи, принимается Правительством по предложению Министерства, уполномоченного по вопросам обороны.

ОТВЕТСТВЕННОСТЬ И ПОЛНОМОЧИЯ СУБЪЕКТОВ, КОНТРОЛИРУЮЩИХ ИСПОЛНЕНИЕ НАСТОЯЩЕГО ЗАКОНА

Инспекция по информационной безопасности

Статья 47

Инспекция по информационной безопасности осуществляет контроль за применением настоящего закона и деятельностью операторов ИКТ-систем особой важности, за исключением самостоятельных операторов ИКТ-систем и ИКТ-систем для работы с секретными данными, в соответствии с законом, регулирующим инспекционный надзор.

Функции инспекции по информационной безопасности выполняет Министерство через инспекторов по информационной безопасности.

В рамках инспекционного контроля деятельности операторов ИКТ-систем инспектор по информационной безопасности устанавливает, соблюдены ли условия, предусмотренные настоящим законом и нормативными актами, принятыми на его основе.

Полномочия инспектора по информационной безопасности

Статья 48

Инспектор по информационной безопасности уполномочен в ходе осуществления контроля, помимо применения мер, на которые он имеет полномочия в рамках инспекционного надзора, предусмотренных законом:

1. обязать устранить выявленные нарушения и установить для этого разумный срок;
2. запретить использование процедур и технических средств, которые ставят под угрозу или нарушают информационную безопасность, с указанием срока исполнения;
3. потребовать от оператора ИКТ-системы особой важности проведения сканирования, настройки и тестирования на проникновение ИКТ-систем с целью выявления возможных уязвимостей, в соответствии с оценкой рисков
4. обязать контролируемый субъект предоставить общественности информацию о нарушениях положений настоящего закона, в отношении которых существует обоснованный общественный интерес, в установленном порядке;
5. обязать контролируемый субъект назначить лицо с точно определёнными полномочиями, которое в установленный срок будет осуществлять контроль и отслеживать соблюдение положений настоящего закона и предписанных мер;
6. направить соответствующему органу, органу по оценке соответствия или другому уполномоченному органу предложение о временном приостановлении действия или отзыве выданного сертификата, разрешения или иного акта, подтверждающего соблюдение условий, если контролируемый субъект не устранит нарушения в установленный срок;
7. инициировать процедуру в компетентном суде или другом уполномоченном органе с целью установления временной меры запрета на выполнение управленческих функций лицом, осуществляющим руководящие обязанности от имени контролируемого субъекта, если его действия препятствовали приведению деятельности в соответствие с настоящим законом и предписанными мерами.

Подзаконный акт, которым более подробно регулируются процедуры сканирования, настройки и тестирования на проникновение ИКТ-систем с целью выявления возможных уязвимостей, защитные, технические и меры безопасности, которые должен соблюдать субъект, непосредственно выполняющий действия, указанные в части 1 пункта 3 настоящей статьи, а также процедуры установления условий для защиты безопасности систем, сетей и данных, к которым осуществляется доступ, и порядок информирования уполномоченного органа, принимается Правительством по предложению Министерства.

Профессиональный контроль

Статья 49

Профессиональный контроль за применением настоящего закона и деятельностью операторов ИКТ-систем особой важности, за исключением самостоятельных операторов ИКТ-систем и ИКТ-систем для работы с секретными данными, осуществляет Канцелярия в соответствии с законом, регулирующим инспекционный надзор.

Функции профессионального контроля выполняет уполномоченное лицо, работающее в Канцелярии (далее — уполномоченное лицо).

В ходе профессионального контроля уполномоченное лицо имеет право и обязанность проверять:

1. соответствие оценённых рисков уровню подверженности риску, размеру оператора, вероятности возникновения инцидента и его серьёзности, а также потенциальному общественному и экономическому воздействию;
2. уровень безопасности технологических процедур и технических средств, используемых оператором ИКТ-системы особой важности для реализации мер защиты;
3. надлежащее проведение процесса проверки соответствия применённых мер ИКТ-системы требованиям акта о безопасности;
4. применение рекомендаций и мер в случае инцидентов, существенно угрожающих информационной безопасности

Если в ходе профессионального контроля Канцелярия выявляет нарушения, недостатки или упущения в применении настоящего закона и нормативных актов, принятых на его основании, она уведомляет контролируемый субъект и устанавливает срок, в течение которого он обязан их устранить.

Если в ходе профессионального контроля Канцелярия выявляет нарушения, недостатки или упущения в применении настоящего закона и нормативных актов, принятых на его основании, она уведомляет контролируемый субъект и устанавливает срок, в течение которого он обязан их устранить.

Срок, указанный в части 4 настоящей статьи, не может быть короче восьми дней с даты получения уведомления, за исключением случаев, требующих незамедлительных действий.

Если Канцелярия установит, что контролируемый субъект в установленный срок не устранил выявленные нарушения, недостатки или упущения в применении настоящего закона и нормативных актов, принятых на его основании, она направляет жалобу в инспекцию.

Канцелярия обязана по требованию инспектора по информационной безопасности провести профессиональный контроль и предоставить информацию о фактическом состоянии.

Форма удостоверения и порядок его выдачи уполномоченному лицу устанавливаются Канцелярией.

Удостоверение уполномоченного лица обязательно содержит: герб Республики Сербия и название Канцелярии, имя и фамилию уполномоченного лица, фотографию уполномоченного лица, служебный номер удостоверения, дату выдачи, печать Канцелярии, подпись директора Канцелярии, а также отпечатанный текст следующего содержания: «Владелец данного удостоверения обладает полномочиями в соответствии с положениями статьи 49, частей 3 и 4 Закона об информационной безопасности».

VI. УГОЛОВНЫЕ ПОЛОЖЕНИЯ

Статья 50

Юридическое лицо, являющееся оператором приоритетной ИКТ-системы, за совершение административного правонарушения подлежит наказанию в виде денежного штрафа в размере от 50 000,00 до 2 000 000,00 динаров, если оно:

1. не соблюдает положения о внесении в реестр в соответствии со статьей 9 настоящего закона;
2. не принимает Акт об оценке рисков согласно статье 11, пункт 1 настоящего закона;
3. не принимает Акт о безопасности ИКТ-системы в соответствии со статьей 12, пункт 1 настоящего закона;
4. не применяет меры защиты, установленные Актом о безопасности ИКТ-системы по статье 12, пункт 2 настоящего закона
5. не проводит проверку соответствия применённых мер, предусмотренных статьёй 12, пунктом 5 настоящего закона;
6. не предоставляет статистические данные согласно статье 25, пункт 1 настоящего закона;
7. не выполняет предписание инспектора по информационной безопасности в установленный срок согласно статье 48, пункт 1, подпункт 1 настоящего закона.

За правонарушение, указанное в пункте 1 настоящей статьи, физическое лицо, являющееся зарегистрированным субъектом — оператором приоритетной ИКТ-системы, подлежит наказанию в виде денежного штрафа в размере от 10 000,00 до 500 000,00 динаров.

За правонарушение, указанное в пункте 1 настоящей статьи, также подлежит наказанию ответственное лицо в юридическом лице или органе, являющемся оператором приоритетной ИКТ-системы, денежным штрафом в размере от 5 000,00 до 50 000,00 динаров.

Статья 51

Юридическое лицо, являющееся оператором важной ИКТ-системы, за совершение административного правонарушения подлежит наказанию в виде денежного штрафа в размере от 50 000,00 до 1 000 000,00 динаров, если оно:

1. не соблюдает положения о внесении в реестр в соответствии со статьей 9 настоящего закона;
2. не принимает Акт об оценке рисков согласно статье 11, пункт 1 настоящего закона;
3. не принимает Акт о безопасности ИКТ-системы в соответствии со статьей 12, пункт 1 настоящего закона;
4. не применяет меры защиты, установленные Актом о безопасности ИКТ-системы по статье 12, пункт 2 настоящего закона;
5. не проводит проверку соответствия применённых мер, предусмотренных статьёй 12, пункт 5 настоящего закона;
6. не предоставляет статистические данные согласно статье 25, пункт 1 настоящего закона;
7. не выполняет предписание инспектора по информационной безопасности в установленный срок согласно статье 48, пункт 1, подпункт 1 настоящего закона.

За правонарушение, указанное в пункте 1 настоящей статьи, физическое лицо, являющееся зарегистрированным субъектом — оператором важной ИКТ-системы, подлежит наказанию в виде денежного штрафа в размере от 10 000,00 до 250 000,00 динаров.

За правонарушение, указанное в пункте 1 настоящей статьи, также подлежит наказанию ответственное лицо в юридическом лице или органе, являющемся оператором важной ИКТ-системы, денежным штрафом в размере от 5 000,00 до 50 000,00 динаров.

VII ПЕРЕХОДНЫЕ И ЗАКЛЮЧИТЕЛЬНЫЕ ПОЛОЖЕНИЯ

Сроки для принятия подзаконных актов

Статья 54

Подзаконные акты, предусмотренные настоящим законом, должны быть приняты в течение 12 месяцев со дня вступления настоящего закона в силу.

План реагирования в случае инцидента высокого уровня и кризиса информационной безопасности, предусмотренный статьёй 18 настоящего закона, должен быть принят в течение 18 месяцев со дня вступления настоящего закона в силу.

Статья 55

Операторы ИКТ-систем особого значения, определённые Законом об информационной безопасности («Официальный вестник Республики Сербии», № 6/16, 94/17 и 77/19), продолжают действовать в соответствии с обязательствами, установленными статьями 6a–11b указанного закона, до 31 декабря 2025 года.

К операторам ИКТ-систем особого значения, определённым Законом об информационной безопасности («Официальный вестник Республики Сербии», № 6/16, 94/17 и 77/19), до даты, указанной в части 1 настоящей статьи, применяются положения о наказаниях, предусмотренные статьями 30 и 31 указанного закона.

Операторы ИКТ-систем особого значения обязаны принять акт, предусмотренный статьёй 11, частью 1 настоящего закона, в течение 18 месяцев со дня вступления настоящего закона в силу.

Орган, либо организация, в которой осуществляются функции Национального CERT, обязаны в течение девяти месяцев со дня вступления настоящего закона в силу утвердить общую методологию оценки рисков в ИКТ-системах особого значения, предусмотренную статьёй 11, частью 4 настоящего закона.

Оператор ИКТ-системы особого значения обязан принять акт, предусмотренный статьёй 12 настоящего закона, в течение 18 месяцев со дня вступления настоящего закона в силу.

Статья 56

Канцелярия по информационной безопасности создаётся и начинает осуществлять полномочия, предусмотренные настоящим законом, с 1 января 2027 года.

Функции Канцелярии по информационной безопасности, предусмотренные настоящим законом, за исключением функций Национального CERT, осуществляет Канцелярия по информационным технологиям и электронному управлению в период, начинающийся по истечении шести месяцев со дня вступления настоящего закона в силу и продолжающийся до 1 января 2027 года.

Регуляторный орган по электронным коммуникациям и почтовым услугам осуществляет функции Национального CERT, установленные настоящим законом, до создания Канцелярии по информационной безопасности, то есть до 1 января 2027 года.

Канцелярия по информационной безопасности принимает на себя права, обязанности, работников, дела, оборудование, средства труда и архив Регуляторного органа по электронным коммуникациям и почтовым услугам, возникшие в связи с осуществлением функций Национального CERT и необходимые для выполнения профессиональных задач, установленных настоящим законом.

Канцелярия по информационной безопасности, начиная с даты, указанной в части 1 настоящей статьи, принимает на себя права, обязанности, работников, дела, оборудование, средства труда и архив Канцелярии по информационным технологиям и электронному управлению, возникшие в связи с осуществлением функций, предусмотренных настоящим законом и отнесённых к компетенции Канцелярии по информационной безопасности.

Прекращение действия Закона об информационной безопасности

Статья 57

Со дня вступления настоящего закона в силу прекращает действовать Закон об информационной безопасности («Официальный вестник Республики Сербии», № 6/16, 94/17 и 77/19), за исключением положений статей 6a–11b и статей 30 и 31, которые действуют до 31 декабря 2025 года.

Подзаконные акты, принятые на основании Закона об информационной безопасности («Официальный вестник Республики Сербии», № 6/16, 94/17 и 77/19), применяются до вступления в силу подзаконных актов, принимаемых в соответствии с настоящим законом.

Вступление в силу

Статья 58

Настоящий закон вступает в силу на восьмой день со дня его публикации в «Официальном вестнике Республики Сербии», за исключением статьи 29 настоящего закона, которая начинает применяться с 1 января 2027 года.