NIS2 i srpski Zakon o informacionoj bezbednosti: Da li domaći okvir prati evropsku evoluciju sajber odgovornosti?

Usvajanjem NIS2 Direktive, Evropska unija je ušla u novu fazu regulatornog razvoja u oblasti sajber bezbednosti. NIS2 ne predstavlja samo tehničku nadogradnju prethodnih propisa, već suštinsku promenu paradigme: sajber bezbednost postaje pitanje upravljačke odgovornosti, regulatornog nadzora i potencijalne odgovornosti za štetu.

U tom kontekstu, postavlja se pitanje u kojoj meri domaći regulatorni okvir, pre svega Zakon o informacionoj bezbednosti, prati ovu evoluciju.

Konceptualna razlika: tehnička bezbednost naspram upravljačke odgovornosti

Srpski Zakon o informacionoj bezbednosti zasniva se na modelu identifikovanja operatora IKT sistema od posebnog značaja i utvrđivanja obaveza u pogledu primene zaštitnih mera, prijavljivanja incidenata i saradnje sa nadležnim organima. Fokus je pre svega na tehničkoj i operativnoj bezbednosti sistema.

NIS2, međutim, uvodi širi koncept upravljanja rizicima koji prevazilazi tehnički nivo. Direktiva izričito zahteva da organi upravljanja odobravaju i nadziru mere upravljanja sajber rizicima, podižući bezbednost na nivo korporativnog upravljanja.

Domaće pravo ne sadrži jednako jasno definisanu ličnu odgovornost rukovodstva za propuste u upravljanju sajber bezbednošću. Iako se odgovornost može posredno izvesti iz opštih pravila o dužnoj pažnji, normativni tekst ne sadrži eksplicitan okvir kakav predviđa NIS2.

Obuhvat subjekata: uzak krug naspram sistemskog pristupa

Srpski zakon primenjuje se na operatore IKT sistema od posebnog značaja, identifikovane kroz određene sektore i kriterijume. Pristup je relativno restriktivan i formalno zasnovan.

NIS2 uvodi podelu na ključne i važne subjekte i značajno proširuje obuhvat, uključujući digitalne usluge, cloud infrastrukturu, data centre i druge subjekte od sistemskog značaja za tržište EU.

Razlika je suštinska: dok domaći okvir i dalje polazi od identifikacije kritične infrastrukture, NIS2 polazi od pretpostavke da digitalni rizik ima kaskadni efekat i da bezbednost mora obuhvatiti čitav ekosistem.

Upravljanje rizikom i lanac snabdevanja

Domaći zakon propisuje obaveze primene zaštitnih mera i prijavljivanja incidenata, ali je detaljno upravljanje rizicima prepušteno podzakonskim aktima i tehničkim smernicama.

NIS2 izričito naglašava upravljanje rizicima u lancu snabdevanja. To znači da subjekt nije odgovoran samo za sopstvene sisteme, već i za nivo bezbednosti svojih dobavljača i podizvođača.

Ova razlika ima direktne ugovorne implikacije. Prema NIS2, kompanije moraju precizno regulisati bezbednosne standarde u ugovorima sa IT dobavljačima, cloud provajderima i eksternim partnerima. U domaćim okvirima takva ugovorna refleksija još uvek nije snažno normativno podstaknuta.

Sankcije i regulatorna dinamika

Zakon o informacionoj bezbednosti predviđa upravnu odgovornost i novčane kazne, ali njihov obim i struktura ne dostižu nivo koji NIS2 uvodi u EU.

NIS2 uspostavlja kaznenu strukturu uporedivu sa režimom Opšte uredbe o zaštiti podataka (GDPR), sa kaznama vezanim za globalni promet subjekta. Sajber bezbednost se time izjednačava sa zaštitom podataka u pogledu regulatorne težine.

Ova razlika utiče i na percepciju rizika. U domaćem sistemu sajber incident se i dalje često posmatra kao operativni problem. U EU on predstavlja ozbiljan regulatorni i finansijski rizik.

Građanskopravna odgovornost i sudska praksa

Srpski zakon ne sadrži poseban režim građanskopravne odgovornosti za povrede u oblasti sajber bezbednosti. Eventualna odgovornost izvodi se iz opštih pravila obligacionog prava.

U EU se, međutim, razvija sudska praksa koja priznaje nematerijalnu štetu usled povrede bezbednosti podataka, što je potvrđeno odlukom nemačkog Saveznog suda pravde u predmetu br. VI ZR 10/23.

Sajber incidenti se sve češće reflektuju kroz privatne tužbe, a ne samo kroz regulatorne postupke.

Takva evolucija sudske prakse za sada nema direktan pandan u Srbiji, ali se može očekivati da će se kroz prekogranične sporove i uticaj evropskih standarda ovaj trend postepeno preliti i na domaće tržište.

Šta NIS2 poručuje domaćim kompanijama?

Uporedna analiza pokazuje da srpski Zakon o informacionoj bezbednosti pruža stabilan osnovni okvir, ali ne sadrži sve elemente sistemske upravljačke odgovornosti koje uvodi NIS2.

NIS2 pomera fokus sa tehničke zaštite na strateško upravljanje rizikom, sa operativnog nivoa na upravljačke strukture, i sa pojedinačnih incidenata na otpornost čitavog digitalnog ekosistema.

Za srpske kompanije koje posluju sa partnerima iz EU, razlika između ova dva režima nije teorijska. Ona će se manifestovati kroz:

• ugovorne zahteve evropskih klijenata,
• obaveze u lancu snabdevanja,
• strože bezbednosne provere,
• povećanu odgovornost upravljačkih struktura.

U tom smislu, pitanje više nije da li će domaći okvir evoluirati ka NIS2 modelu, već kada i u kojoj meri.

Sajber bezbednost postaje deo korporativne strategije i upravljanja pravnim rizicima, a ne samo IT funkcija.

Ovaj tekst je informativnog karaktera i ne predstavlja pravni savet. Za dodatne informacije, slobodno nas kontaktirajte.