Akt o bezbednosti IKT sistema
Akt o bezbednosti IKT sistema podrazumeva zakonodavne i regulatorne mere koje se primenjuju unutar određenih zemalja ili organizacija radi obezbeđivanja zaštite informaciono-komunikacionih tehnologija. Akti predstavljaju okvir za upravljanje bezbednošću IKT sistema na način da definišu obaveze organizacije u vezi sa zaštitom podataka, prevencijom sajber napada i reagovanjem na incidente. U većini slučajeva zakoni i regualtive su usklađeni sa standardima poput NIS2 i ISO 27001.
U Srbiji, to je Zakon o informacionoj bezbednosti koji obuhvata nekoliko ključnih elemenata:
Obaveze operatora IKT sistema – vladine institucije, pružaoci javnih usluga, finansijske institucije, telekomunikacione kompanije moraju da primenjuju mere zaštite i redovno prate i procenjuju rizike po bezbednost njihovih sistema.
Nacionalni CERT (Centar za reagovanje na incidente u informaciono-komunikacionim sistemima) – pruža podršku u zaštiti IKT sistema. Odgovoran je za koordinaciju aktivnosti u vezi sa sajber bezbednošću, izveštavanje o incidentima i pružanje smernica operatorima kako da reaguju na pretnje.
Zaštita kritične infrastrukture – energetski sistemi, zdravstvene ustanove, finansijske institucije, i svi drugi sistemi od značaja za nacionalnu bezbednost i ekonomski razvoj, stoga su ove institucije su dužne da primene pojačane mere sajber bezbednosti.
Izveštavanje o incidentima – operatorima IKT sistema je naloženo da izveštavaju o svim relevantnim sajber incidentima Nacionalnom CERT-u ili nadležnim organima. Ovakvi izveštaji pomažu u praćenju trendova napada i planiranju odgovora na buduće pretnje.
Usklađenost sa međunarodnim standardima – ovaj zakon predviđa obavezu da se sistemi i prakse zaštite IKT-a usklađuju sa međunarodnim standardima sajber bezbednosti što obezbeđuje globalni nivo zaštite podataka i sistema.
Kaznene odredbe – kazne za neblagovremeno izveštavanje o incidentima, nepridržavanje propisa ili nedovoljnu zaštitu osetljivih sistema i podataka.
Međunarodna saradnja – Zakon predviđa i saradnju sa međunarodnim organizacijama kao što su Europol, ENISA (Agencija Evropske unije za sajber bezbednost) i druge organizacije koje se bave sajber kriminalom i zaštitom IKT sistema, čime se omogućava efikasniji odgovor na globalne pretnje.
Obuka i edukacija – Zakon takođe predviđa mere za podizanje svesti o bezbednosti informacionih sistema kroz edukaciju i obuku zaposlenih koji upravljaju kritičnim IKT sistemima.
Uspostavljanjem Akta o bezbednosti IKT sistema se na sistematski način rešava pitanje zakonske regulative i uvode poboljšanja u okviru informacionog sistema.