office@instate.biz
Resavska 28, Vračar, 11000 Beograd
+381 63 77 09389
+381 64 11 689 15
sign in

Institut za standarde i tehnologije doo Beograd

Project management | IT & ISO konsalting | Auditi | IT revizije

Zakon o informacionoj bezbednosti

Usklađivanje sa Zakonom o informacionoj bezbednosti (2025) – Profesionalna podrška za kompanije u Srbiji

Novi Zakon o informacionoj bezbednosti, usvojen 23. oktobra 2025, donosi obaveze za javni i privatni sektor i predstavlja savremeni okvir zasnovan na evropskoj NIS2 direktivi, sa ciljem jačanja zaštite IKT sistema i otpornosti na sajber pretnje. Propisuje stroge zahteve za operatore IKT sistema, uključujući obavezan upis u Evidenciju i donošenje ključnih bezbednosnih akata.

Ako vaša organizacija spada u sektor energetike, telekomunikacija, finansija, bankarstva, zdravstva, saobraćaja, digitalne infrastrukture, vodosnabdevanja i drugih oblasti od posebnog značaja, dužni ste da implementirate napredne bezbednosne mere i procedure u skladu sa zakonom.

IST pruža stručnu, sveobuhvatnu podršku u procesu usklađivanja — od analize stanja do implementacije kompletnog seta zakonskih i tehničkih mera

Pozovite, pošaljite e-mail, zatražite PONUDU po meri Vaše organizacije, ODGOVOR očekujte istog dana!

Obavezne zakonske obaveze za operatore IKT sistema

Zakon uvodi jasne obaveze koje se odnose na sve operatore IKT sistema od posebnog značaja:

  • Upis u Evidenciju prioritetnih i važnih IKT sistema uz dostavljanje tehničkih i organizacionih podataka
  • Donošenje Akta o bezbednosti IKT sistema, usklađenog sa procenom rizika, sa obaveznom godišnjom proverom
  • Donošenje Akta o proceni rizika uz obaveznu godišnju reviziju, u skladu sa metodologijom Nacionalnog CERT‑a
  • Uspostavljanje obaveznih tehničkih, organizacionih i operativnih mera zaštite
  • Prijava bezbednosnih incidenata u zakonom propisanim rokovima — 24 sata za ozbiljne incidente, periodično izveštavanje tokom incidenta, završni izveštaj u roku od 15 dana.

Konsultantska podrška za pripremu organizacije za nadzor

Nova Kancelarija za informacionu bezbednost (državni organ) nadzire sprovođenje propisa, vodi bazu ranjivosti, obavlja poslove CERT‑a i izdaje minimalne mere za organe vlasti.

IST priprema za Vas:

  • tematske i vanredne kontrole,
  • provere dokumentacije,
  • tehničke provere mera zaštite.

Usluge usklađivanja sa Zakonom o informacionoj bezbednosti

1. Akt o bezbednosti IKT sistema

Ova usluga uključuje izradu Akta o bezbednosti IKT sistema sa svim tehničkim i organizacionim merama zaštite koje zakon propisuje. Zakon propisuje obavezu da svaki operator donese Akt o bezbednosti IKT sistema zasnovan na proceni rizika, uz obavezno godišnje preispitivanje.

Usluga obuhvata definisanje svih obaveznih mera informacione bezbednosti:

  • Definiciju tehničkih, organizacionih, operativnih i fizičkih mera
  • Uspostavljanje procedura u skladu sa zakonskim zahtevima
  • Politike kontrole pristupa, enkripcije, bezbednosnih kopija, zaštite mreža i sistema
  • Integraciju sa postojećim ISMS okvirom (ISO 27001).

2. Akt o proceni rizika informacione bezbednosti

Ova sekcija opisuje uslugu izrade Akta o proceni rizika informacione bezbednosti, uključujući identifikaciju, analizu i procenu rizika u skladu sa zakonskim zahtevima.

Svi operatori IKT sistema od posebnog značaja obavezni su da izrade Akt o proceni rizika na osnovu metodologije Nacionalnog CERT‑a, uz obaveznu godišnju reviziju.

IST za Vas izrađuje:

  • Identifikaciju rizika u skladu sa zakonskom definicijom rizika (verovatnoća × posledica)
  • Analizu i vrednovanje rizika
  • Predlog tretmana rizika i prioritizaciju mera
  • Reviziju postojećih akata i integraciju sa ISO 27005 metodologijom (opciono).

3. Upis u Evidenciju IKT sistema

Priprema kompletne dokumentacije za upis u Evidenciju prioritetnih i važnih IKT sistema, u skladu sa obavezama iz Zakona.

Obaveza operatora je da dostave:

  • podatke o administratorima,
  • IP opsezima,
  • lokacijama sistema,
  • sistemskim komponentama,
  • drugim elementima koje zakon zahteva.

Evidencija se tretira kao tajni podatak i zahteva preciznu pripremu dokumentacije.

IST vodi ceo proces od identifikacije obaveza do tehničke pripreme podataka.

4. Upravljanje bezbednosnim incidentima

Postavljanje procesa i procedura za prijavu, upravljanje i izveštavanje o bezbednosnim incidentima, uključujući zakonske rokove.

Operatori moraju:

  • prijaviti incident u roku od 24 sata,
  • prijavljivati i izbegnute incidente,
  • izveštavati tokom trajanja incidenta (3 dana za srednji rizik, 24 sata za visok)
  • dostaviti završni izveštaj u roku od 15 dana.

Usluga IST uključuje:

  • definisanje procedura reagovanja,
  • incident response playbook,
  • integraciju sa SIEM/NOC/SOC procesima,
  • obuku zaposlenih.

5. Implementacija mera bezbednosti

Implementacija tehničkih, operativnih i organizacionih mera bezbednosti, uključujući monitoring, enkripciju, kontrolu pristupa i dr.

Zakon propisuje obavezu primene širokog spektra mera, uključujući:

  • upravljanje rizicima,
  • prevenciju i detekciju incidenata,
  • kontrolu pristupa,
  • enkripciju,
  • zaštitu od malvera,
  • praćenje ranjivosti,
  • kontinuitet poslovanja,
  • backup i disaster recovery Planove.

IST implementira kompletan set mera usklađen sa zakonom i NIS2 direktivom.

U skladu sa zahtevima ISO standarda termin procedura koristimo jer ga koriste sve verzije ISO SRPS standarda.

Izrađujemo:

  • procedure kontrole pristupa,
  • procedure upravljanja incidentima,
  • procedure klasifikacije informacija,
  • procedure kontinuiteta poslovanja,
  • procedure upravljanja promenama.

6. Integracija sa ISO 27001

Integracija zakonskih obaveza sa ISO 27001 standardom i podrška pri sertifikaciji.

Novi zakon je u potpunosti kompatibilan sa ISO 27001 i ISO 27005 pristupima upravljanja rizicima i prirodno se integriše sa ISO standardima.

IST ima u ponudi:

  • implementaciju ISMS-a,
  • integraciju zakonskih obaveza u ISMS dokumentaciju,
  • pripremu za sertifikaciju.

7. Obuke i podizanje svesti zaposlenih

S obzirom na rastuće pretnje poput DoS/DDoS, ransomware, socijalni inženjering, malveri itd. neophodno je sprovoditi obuke u planiranim intervalima.

IST izvodi obuke i sertifikaciju osoba u svojstvu partnera PECB Kanada za različite oblasti informacione bezbednosti, cyber bezbednosti, rizika i privatnosti za sledeće profile zaposlenih:

  • menadžment,
  • administratore IKT sistema,
  • tehničko osoblje,
  • sve zaposlene (end‑user security awareness).