Company logo
Company banner
Kneza Miloša 10, 11000 Beograd, Srbija

Tel/Fax: (+381 11) 334-55-44; 334-52-52; 334-55-66

Change language

NOVI ZAKON O INFORMACIONOJ BEZBEDNOSTI - STUPIO NA SNAGU 31.10.2025.

Narodna skupština Republike Srbije usvojila je 22. oktobra 2025. novi Zakon o informacionoj bezbednosti1 (dalje: novi Zakon), kojim se domaći pravni okvir usklađuje sa NIS2 Direktivom Evropske Unije. U odnosu na prethodni Zakon o informacionoj bezbednosti2, novi Zakon obuhvata širi krug obveznika, uvodi dodatne obaveze, predviđa osnivanje nove institucije, te donosi stroži nadzor i novi sistem novčanih kazni.

Iako je Zakon već stupio na snagu, njegova puna primena u praksi još uvek nije potpuno jasna. Dok se za pojedine kategorije subjekata jasno može utvrditi da potpadaju pod primenu Zakona, za druge će biti moguće utvrditi da li i u kom obimu potpadaju pod njegove odredbe tek donošenjem podzakonskih akata.

Ko su obveznici novog Zakona?

Prethodni Zakon je pod operatorom informaciono-komunikacionih (IKT) sistema podrazumevao pravno lice, organ vlasti ili organizacionu jedinicu organa vlasti koji koristi IKT sistem u okviru obavljanja svoje delatnosti, odnosno poslova iz svoje nadležnosti.

Novi Zakon proširuje ovu definiciju i na fizička lica u svojstvu registrovanih subjekata koja koriste IKT sistem u okviru obavljanja svoje delatnosti. Pored toga, novi Zakon, u skladu sa NIS2 Direktivom, uvodi podelu IKT sistema od posebnog značaja na prioritetne i važne, uz detaljno navedene oblasti koje svaka od kategorija obuhvata.

  1. Operatori prioritetnih IKT sistema su:

    1. pravna lica i fizička lica u svojstvu registrovanog subjekta, koja obavljaju poslove i delatnosti u oblastima: energetike i rudarstva; saobraćaja; bankarstva i finansijskih tržišta; zdravstva; vode za piće; otpadnih voda; digitalne infrastrukture; upravljanja IKT uslugama i ostalim oblastima koje, između ostalog, obuhvataju: upravljanje nuklearnim objektima; pružanje kvalifikovanih usluga od poverenja, pružanje usluga DNS-a; obavljanje delatnosti elektronskih komunikacija i dr.

    2. organi;

    3. operatori kritične infrastrukture.

  2. Operatori važnih IKT sistema su:

    1. pravna lica i fizička lica u svojstvu registrovanog subjekta, koja obavljaju poslove i delatnosti u oblastima: poštanskih usluga; upravljanja otpadom; upravljanja ambalažnim otpadom; proizvodnje i snabdevanja hemikalijama; proizvodnje, prerade i distribucije hrane; proizvodnje računara, elektronskih i optičkih proizvoda; proizvodnje električne opreme; proizvodnje mašina i uređaja; proizvodnje motornih vozila, prikolica i poluprkolica; proizvodnje medicinskih uređaja; usluga informacionog društva; proizvodnje, prometa i prevoza naoružanja i vojne opreme.
    2. naučnoistraživačke institucije;
    3. pravna i fizička lica i organi navedeni u tački 1 podtač. 1. i 2. a koji ne spadaju u operatore prioritetnih IKT sistema prema kriterijumima za određivanje operatora.

Pored jasno nabrojanih oblasti, odnosno sektora, nadležno ministarstvo ima ovlašćenje da dodatno odredi subjekte koji se smatraju operatorima prioritetnih ili važnih IKT sistema. Ovo se odnosi na one subjekte kod kojih bi prekid ili poremećaj rada IKT sistema mogao da ima ozbiljne posledice po javnu ili nacionalnu bezbednost, javno zdravlje, ili da izazove značajan sistemski rizik – naročito u sektorima u kojima bi takve posledice mogle imati i prekogranični uticaj.

Ipak, novi Zakon ne sadrži potpune parametre i kriterijume za određivanje svojstva operatora prioritetnih i važnih IKT sistema, već je to pitanje ostavljeno da se bliže uredi podzakonskim aktom Vlade. Tim aktom biće precizno utvrđeni uslovi, opšti i sektorski kriterijumi, uključujući i kriterijume koji se odnose na veličinu privrednih subjekata. Sve do donošenja navedenog akta ostaje neizvesno na koje će se subjekte tačno primenjivati odredbe novog Zakona.

Koje su nove obaveze operatora?

Novi Zakon o informacionoj bezbednosti proširuje listu obaveza za operatore IKT sistema od posebnog značaja. Operatori, pored postojećih, imaju i obaveze da:

  • preduzmu strože tehničke, operativne, organizacione i fizičke mere, upravljaju rizicima i obezbede prevenciju i smanjenje štetnih posledica incidenata;
  • izvrše procenu rizika i donesu akt o proceni rizika, te da isti revidiraju najmanje jednom godišnje;
  • prijave ne samo incidente, već i izbegnute incidente koji predstavljaju ozbiljnu pretnju;
  • dostave statističke podatke kako o incidentima, tako i izbegnutim incidentima u IKT sistemima.

Za razliku od prethodnog Zakona, novi Zakon uvodi kratak rok za dostavljanje obaveštenja o incidentima, pa operatori moraju da dostave obaveštenje o incidentu koji može imati značajan uticaj na narušavanje informacione bezbednosti bez odlaganja, a najkasnije u roku od 24 sata od kada su saznali za incident.

Pored toga, za donošenje akta o proceni rizika i akta o bezbednosti IKT sistema od posebnog značaja predviđen je rok od 18 meseci od dana stupanja na snagu novog Zakona.

Klasifikacija incidenata: četiri nivoa opasnosti

Jedna od važnih novina jeste klasifikacija incidenata prema nivou opasnosti. Incidenti u IKT sistemima od posebnog značaja koji mogu imati značajan uticaj na narušavanje informacione bezbednosti svrstavaju se prema nivou opasnosti, imajući u vidu posledice incidenta, u četiri nivoa opasnosti: nizak, srednji, visok i veoma visok. Vlada će podzakonskim aktom urediti, između ostalog, listu incidenata i način njihove klasifikacije prema nivou opasnosti.

Nova Kancelarija za informacionu bezbednost

Novim Zakonom predviđeno je osnivanje Kancelarije za informacionu bezbednost koja će početi sa radom 1. januara 2027. Njena uloga biće prevencija i zaštita od bezbednosnih rizika i incidenata u IKT sistemima u Republici Srbiji. Kancelarija će preuzeti i poslove Nacionalnog Centra za prevenciju bezbednosnih rizika u IKT sistemima (CERT) i imati brojne druge nadležnosti usmerene na obezbeđivanje jedinstvenog i visokog nivoa zaštite informacionih sistema, kao i jačanje poverenja u digitalne usluge.

Poseban zadatak Kancelarije biće i stručni nadzor nad primenom zakona i radom operatora IKT sistema od posebnog značaja. To obuhvata proveru procene rizika, nivoa tehničke zaštite i sprovođenja bezbednosnih mera, kao i reagovanje na incidente. Ako se tokom stručnog nadzora utvrde nepravilnosti, Kancelarija nalaže njihovo otklanjanje u određenom roku, a ukoliko se one ne otklone, o tome obaveštava inspekciju.

Proširena ovlašćenja inspektora

Nadzorna uloga inspektora za informacionu bezbednost značajno je ojačana. Za razliku od prethodnog Zakona, gde je inspektor mogao da naloži samo otklanjanje nepravilnosti i da zabrani korišćenje nesigurnih postupaka i tehničkih sredstava, novi Zakon znatno proširuje njegova ovlašćenja.

U skladu s tim, inspektor je ovlašćen da: zahteva od operatora IKT sistema testiranje sistema radi otkrivanja ranjivosti; naloži objavljivanje informacija od javnog interesa u vezi nepoštovanja odredbi zakona; naloži određivanje odgovornog lica za nadzor usklađenosti; predloži privremenu suspenziju ili povlačenje sertifikata ili dozvole u slučaju neotklanjanja nepravilnosti; pokrene odgovarajući postupak radi utvrđivanja privremene mere zabrane obavljanja upravljačkih funkcija.

Novčane kazne za nepoštovanje obaveza

Novim Zakonom predviđen je novi sistem novčanih kazni za prekršaje, a njihova visina zavisi od toga da li je obveznik operator prioritetnog ili važnog IKT sistema, kao i od toga da li je u pitanju pravno, fizičko ili odgovorno lice.

Za pravna lica – operatore prioritetnih IKT sistema, kazne se kreću od 50.000 do 2.000.000 dinara, dok su za obaveze koje se odnose na prijavljivanje i postupanje po incidentima predviđene kazne do 50.000 do 500.000 dinara. Za fizička lica – operatore prioritetnih IKT sistema, novčane kazne iznose od 10.000 do 500.000 dinara, a za odgovorna lica u pravnim licima od 5.000 do 50.000 dinara.

Za pravna lica - operatore važnih IKT sistema, kazne se kreću od 50.000 do 1.000.000 dinara, dok su za obaveze u vezi sa incidentima predviđene kazne od 50.000 do 500.000 dinara. Za fizička lica – operatore važnih IKT sistema, novčane kazne iznose od 10.000 do 250.000 dinara, a za odgovorna lica u pravnim licima takođe od 5.000 do 50.000 dinara.

Podzakonski akti

Novi Zakon ostavlja niz otvorenih pitanja, budući da će brojna pitanja biti detaljnije uređena podzakonskim aktima. Ovi akti će, između ostalog, precizirati kriterijume za određivanje operatora prioritetnih i važnih IKT sistema (uključujući i kriterijume vezane za veličinu subjekata), sadržaj i način vođenja evidencije, obavezne mere zaštite i sadržaj akta o bezbednosti, postupak obaveštavanja i klasifikacije incidenata, kao i pravila za sertifikaciju, proaktivno skeniranje i testiranja IKT sistema.

Drugim rečima, sve dok ne budu doneti podzakonski akti, ostaje neizvesno ne samo kako će se novi Zakon primenjivati u praksi, već i da li će pojedini subjekti, koji za sada nisu izričito obuhvaćeni, biti obavezani njegovim odredbama.

Odricanje od odgovornosti: Tekst je informativnog karaktera i ne predstavlja pravni savet.

Footnotes

  1. "Službeni glasnik Republike Srbije" br. 91/2025

  2. "Službeni glasnik Republike Srbije" br. 6/2016, 94/2017 i 77/2019