AHK Odbor za digitalizaciju i sajber bezbednost organizovao je 23. decembra 2025. godine panel posvećen primeni novog Zakona o informacionoj bezbednosti. Događaj je okupio predstavnike poslovne zajednice, institucija i pravne struke, a domaćin panela bila je kompanija EneTel Solutions u prostoru Element 511 u Beogradu.
Panelom su stručno moderirali Ljubica Barbulj (generalna direktorka kompanije EneTel Solutions i zamenica predsednika Upravnog odbora AHK-a) i Zoran Jovanović (menadžer prodaje u kompaniji Siemens i predsednik Odbora za digitalizaciju i sajber bezbednost pri AHK), uz učešće istaknute grupe stručnjaka: Milana Vojvodića (predstavnik sektora za informaciono društvo i informacionu bezbednost, Ministarstvo informisanja i telekomunikacija), Andreja Nikitina (menadžer poslovnog razvoja, Sky Express IT Security), Marijane Zejaković (TSG Advokati) i Nebojše Cvijetića (Kinto Join Ltd).
Diskusija je istakla da se Srbija nalazi u tranzicionoj, ali veoma zahtevnoj fazi, u kojoj se zakonodavni okvir još uvek upotpunjuje, dok se od operatora već očekuje da se ozbiljno pripreme – naročito u oblastima upravljanja rizicima, kapaciteta SOC-a i odnosa sa dobavljačima.
Kategorizacija operatora: Prioritetni i važni
Jedna od centralnih novina Zakona je klasifikacija operatora na prioritetne ili važne, u zavisnosti od kritičnosti njihovih sistema i uticaja koji imaju na društvo i ekonomiju. Kako je naglasio Milan Vojvodić iz Ministarstva informisanja i telekomunikacija, sledeći ključni korak je Uredba o kriterijumima za kategorizaciju operatora, čije se usvajanje očekuje u januaru 2026. godine. Ova uredba će:
Definisati ko potpada pod zakon, a ko je izuzet (primenjujući princip da su mikro i mala preduzeća uglavnom isključena),
Razlikovati prioritetne sisteme (energetika, zdravstvo, bankarstvo, transport) od važnih sistema,
Utvrditi različite nivoe obaveza, nadzora i mera tehničke zaštite.
Prema navodima Ministarstva, prva godina implementacije zakona biće godina klasifikacije, usklađivanja i pripreme – a ne represije.
Registar IKT sistema od posebnog značaja
Posebno važna novina je Uredba o registru IKT sistema, koja uvodi obavezu operatorima da:
Registruju svoje IKT sisteme od posebnog značaja,
Dostave informacije o odgovornim licima,
Navedu lokacije sistema, IP adrese i osnovne tehničke karakteristike.
Ovaj registar čini osnovu za efikasniji nadzor, brži odgovor na incidente i koordinaciju sa Nacionalnim CERT-om i nadležnim organima.
SOC (Centar za bezbednosne operacije): Od opcionalnog do očekivanog
Tema koja je privukla posebnu pažnju bila je uloga SOC-a u okviru novog regulatornog okvira. Kako je istakao Andrej Nikitin (Sky Express), pružaoci usluga bezbednosti i IT usluga više nisu samo „partneri“; oni u praksi postaju operatori kritičnih delova informacionih sistema, sa visokim privilegijama i direktnim uticajem na bezbednost. U tom kontekstu:
SOC više nije „tehnički dodatak“, već centralna funkcija upravljanja bezbednošću,
Očekuje se da SOC učestvuje u analizi rizika, izboru tehnologija i praćenju incidenata,
Rad SOC-a mora biti dokumentovan, integrisan u procese i usklađen sa internim aktima (politikama, procedurama, planovima odgovora na incidente).
Naglašeno je da SOC ne može biti identičan za male kompanije i velika preduzeća, ali mora biti srazmeran riziku, formalizovan i podložan reviziji.
Upravljanje dobavljačima i lanac snabdevanja
Panelisti su se saglasili da je upravljanje rizicima u lancu snabdevanja jedan od najizazovnijih, ali i najvažnijih aspekata Zakona. Dobavljači:
Imaju privilegovan pristup sistemima,
Često upravljaju kritičnim uslugama,
Postaju izvor regulatornog i operativnog rizika.
Zakon zahteva da rizici dobavljača budu uključeni u Akt o proceni rizika, da se vrši testiranje i provera dobavljača, kao i da se odgovornost ne može u potpunosti preneti na treća lica. Kako je istakao Nebojša Cvijetić, najveći izazov ostaje odgovornost rukovodstva, jer se rizik ne može „autsorsovati“ ugovorima.
Pojačan inspekcijski i tehnički nadzor
Nova uloga države ogleda se i u ojačanom inspekcijskom i stručnom nadzoru koji sprovodi Kancelarija za informacionu bezbednost. Njene nadležnosti uključuju:
Sprovođenje tehničkih i stručnih pregleda,
Proveru primene mera tehničke zaštite,
Primenjivanje i praćenje metodologije za procenu rizika (očekuje se do jula 2026.),
Učestvovanje u rešavanju ozbiljnih incidenata i predlaganje korektivnih mera.
U slučaju incidenta, nadzor više neće biti čisto formalan, već operativan, fokusiran na sanaciju i prevenciju.
Očekivanja za prvu godinu implementacije
Prema zaključcima panela, prvu godinu će obeležiti:
Usvajanje ključnih podzakonskih akata,
Kategorizacija operatora,
Uspostavljanje registra IKT sistema,
Priprema i usklađivanje internih akata,
Postavljanje temelja za aktivniji nadzor od 2027. godine.
Iako kazneni okvir postoji (do 2.000.000 RSD za prioritetne operatore), fokus u početnoj fazi je jasno stavljen na prevenciju i podizanje svesti, a ne na sankcije.
Novi Zakon o informacionoj bezbednosti ne uvodi samo nove obaveze, već menja način na koji organizacije razmišljaju o bezbednosti: ona postaje pitanje upravljanja, odgovornosti i kontinuiteta poslovanja. SOC, procena rizika, dobavljači i državni registri sistema više nisu samo tehničke teme – to su strateška pitanja za svako ozbiljno preduzeće.
Contact us today to be a part of the future of cyber security.
Put your brand and expertise in the spotlight with one of our carefully crafted sponsorship packages. Whether it be a speaking role, a delegate package for your team, logo exposure, or the opportunity to bring your current and potential clients along to the event, we have got you covered with something that will genuinely help you get deals done at our events.
Join us in uniting for a safer tomorrow!
