Нови Закон о информационој безбедности

Указом Председника Републике, Александра Вучића, 23.10.2025., по законској процедури, ступио је на снагу нови Закон о информационој безбедности.
Сви субјекти јавног сектора, као и привредни субјекти, дужни су да изврше усклађивања и прилагођавања по основу новог Закона а у складу са врстом и обимом свог пословања.

Нови закон предвиђа оснивање Канцеларије за информациону безбедност која почиње своје пуне активности од 01.01.2027. године, проширује секторе под регулативом, редефинише статус оператора ИКТ система и уводи обавезу годишње процене ризика и пријаве инцидената у року од 24 сата.

нови закон

Пример измене Закона, члан 13:

Обавеза обавештавања о инцидентима који значајно нарушавају информациону безбедност

Члан 13.

Оператори ИКТ система од посебног значаја дужни су да доставе обавештење о инциденту који може да има значајан утицај на нарушавање информационе безбедности, без одлагања, а најкасније у року од 24 сата од када су сазнали за инцидент.

Инциденти који могу да имају значајан утицај на нарушавање информационе безбедности су:

1) инциденти који доводе до прекида континуитета вршења послова и пружања услуга, односно знатних тешкоћа у вршењу послова и пружању услуга;

2) инциденти који утичу на велики број корисника услуга, или трају дужи временски период;

3) инциденти који доводе до прекида континуитета, односно тешкоћа у вршењу послова и пружања услуга, који утичу на обављање послова и вршење услуга других оператора ИКТ система од посебног значаја или утичу на јавну безбедност;

4) инциденти који доводе до прекида континуитета, односно тешкоћа у вршењу послова и пружању услуга и имају утицај на већи део територије Републике Србије;

5) инциденти који доводе до неовлашћеног приступа подацима чије откривање може угрозити права и интересе оних на које се подаци односе;

6) инциденти који су настали као последица инцидента у ИКТ систему оператора приоритетних ИКТ система који обављају делатности у области дигиталне инфраструктуре, из члана 5. став 3. тачка 1) подтачка (7) овог закона, када ИКТ систем од посебног значаја у свом пословању користи информационе услуге у области дигиталне инфраструктуре;

7) инциденти који изазивају или могу да изазову знатну материјалну или нематеријалну штету оператору ИКТ система од посебног значаја и другим физичким и правним лицима.

Оператори ИКТ система од посебног значаја дужни су да пријаве и избегнуте инциденте који представљају озбиљну претњу и који би могли довести до околности сличних онима описаним у ставу 2. овог члана. У случају инцидената у ИКТ системима за рад са тајним подацима оператори тих ИКТ система поступају у складу са прописима којима се уређује област заштите тајних података.