Na osnovu člana 112. stav 1. tačka 2. Ustava Republike Srbije, donosim
Ukaz o proglašenju Zakona o kritičnoj infrastrukturi
Proglašava se Zakon o kritičnoj infrastrukturi, koji je donela Narodna skupština Republike Srbije, na Trećoj sednici Drugog redovnog zasedanja, 9. novembra 2018. godine.
PR broj 160
U Beogradu, 13. novembra 2018. godine
Predsednik Republike,
Aleksandar Vučić, s.r.
Zakon o kritičnoj infrastrukturi
Zakon je objavljen u "Službenom glasniku RS", br. 87/2018 od 13.11.2018. godine, a stupio je na snagu 21.11.2018.
I. OSNOVNE ODREDBE
Predmet zakona
Član 1.
Ovim zakonom uređuje se nacionalna i evropska kritična infrastruktura, identifikacija i određivanje kritične infrastrukture Republike Srbije (u daljem tekstu: kritična infrastruktura), zaštita kritične infrastrukture, nadležnost i odgovornost organa i organizacija u oblasti kritične infrastrukture (u daljem tekstu: nadležni organi i organizacije) i informacije, izveštavanje, pružanje podrške odlučivanju, zaštita podataka, upravljanje i nadzor u oblasti kritične infrastrukture.
Značenje izraza
Član 2.
Pojedini izrazi upotrebljeni u ovom zakonu imaju sledeće značenje:
1) sektori kritične infrastrukture su oblasti određene ovim zakonom, u kojima se vrši postupak identifikacije i određivanja kritične infrastrukture;
2) identifikacija kritične infrastrukture je postupak utvrđivanja sistema, mreža, objekata ili njihovih delova u određenom sektoru koji se, u skladu sa utvrđenim kriterijumima, identifikuju kao kritična infrastruktura;
3) određivanje kritične infrastrukture podrazumeva postupak utvrđivanja sistema, mreža, objekata, ili njihovih delova kao kritične infrastrukture u skladu sa ovim zakonom;
4) zaštita kritične infrastrukture predstavlja skup aktivnosti i mera koje imaju za cilj osiguranje funkcionisanja kritične infrastrukture u slučaju ometanja ili uništenja, odnosno zaštitu u slučaju pretnji i sprečavanje nastanka posledice ometanja ili uništenja;
5) operatori kritične infrastrukture su državni organi, organi autonomne pokrajine, organi jedinice lokalne samouprave, javna preduzeća, privredna društva ili druga pravna lica koja upravljaju sistemima, mrežama, objektima ili njihovim delovima koji su određeni kao kritična infrastruktura;
6) Bezbednosni plan operatora za upravljanje rizikom je plan koji izrađuje operator kritične infrastrukture, kojim se definišu bezbednosni ciljevi i mere operatora na osnovu analize rizika koju plan sadrži;
7) oficir za vezu je lice zaposleno kod operatora kritične infrastrukture, a koje je kontakt između operatora kritične infrastrukture i ministarstva nadležnog za unutrašnje poslove (u daljem tekstu: Ministarstvo);
8) evropska kritična infrastruktura podrazumeva kritičnu infrastrukturu koja se nalazi na teritoriji zemlje članice Evropske unije, čije bi ometanje ili uništenje imalo značajan uticaj na najmanje dve zemlje članice.
Načela delovanja
Član 3.
Nadležni organi i organizacije, građani i drugi subjekti dužni su da se u preduzimanju mera i aktivnosti utvrđenih ovim i drugim zakonom, programima, planovima i drugim dokumentima u oblasti kritične infrastrukture rukovode sledećim načelima:
1) načelo integrisanog pristupa – u zaštiti kritične infrastrukture pre, za vreme i posle ometanja ili prekida u funkcionisanju kritične infrastrukture, učestvuju svi nadležni organi i organizacije, građani i drugi subjekti uzimajući u obzir različite vrste opasnosti koje proističu iz analize rizika, i uzimajući u obzir međuzavisnost sektora kritične infrastrukture i njihovu interakciju;
2) načelo odgovornosti – za funkcionisanje kritične infrastrukture direktno su odgovorni operatori kritične infrastrukture, a za unapređenje zaštite kritične infrastrukture, pored operatora, i svi nadležni organi i organizacije, građani i drugi subjekti;
3) načelo zaštite od raznih vrsta pretnji – operatori, nadležni organi i organizacije, građani i drugi subjekti u obezbeđivanju kontinuiranog rada kritične infrastrukture dužni su da uzmu u obzir različite vrste rizika;
4) načelo kontinuiranog planiranja zaštite kritične infrastrukture – zaštita kritične infrastrukture zasniva se na stalnom procesu analize rizika po funkcionisanje kritične infrastrukture i procene adekvatnosti mera zaštite;
5) načelo razmene podataka i informacija i zaštite podataka – operatori, nadležni organi i organizacije, građani i drugi subjekti dužni su da blagovremeno i kontinuirano razmenjuju potrebne podatke i informacije istovremeno štiteći podatke vezane za kritičnu infrastrukturu, u skladu sa propisima kojima se uređuje zaštita tajnih podataka.
Kritična infrastruktura
Član 4.
Kritična infrastruktura su sistemi, mreže, objekti ili njihovi delovi, čiji prekid funkcionisanja ili prekid isporuke roba odnosno usluga može imati ozbiljne posledice na nacionalnu bezbednost, zdravlje i živote ljudi, imovinu, životnu sredinu, bezbednost građana, ekonomsku stabilnost, odnosno ugroziti funkcionisanje Republike Srbije.
Ministarstvo uređuje, planira, koordinira, kontroliše aktivnosti, komunicira i daje informacije u vezi sa kritičnom infrastrukturom.
II. IDENTIFIKACIJA I ODREĐIVANjE KRITIČNE INFRASTRUKTURE
Identifikacija kritične infrastrukture
Član 5.
Identifikacija kritične infrastrukture vrši se sektorski u skladu sa utvrđenim kriterijumima.
Za sprovođenje postupka identifikacije kritične infrastrukture u određenom sektoru zadužena su ministarstva nadležna za određene oblasti.
Kriterijume za identifikaciju kritične infrastrukture i način izveštavanja, propisuje Vlada.
Sektori kritične infrastrukture
Član 6.
Sektori u kojima se vrši identifikacija i određivanje kritične infrastrukture jesu:
1) energetika;
2) saobraćaj;
3) snabdevanje vodom i hranom;
4) zdravstvo;
5) finansije;
6) telekomunikacione i informacione tehnologije;
7) zaštita životne sredine;
8) funkcionisanje državnih organa.
Osim sektora iz stava 1. ovog člana, kritična infrastruktura može se odrediti i u drugim sektorima, na predlog ministarstva nadležnog za određenu oblast, u skladu sa ovim zakonom.
Utvrđivanje sektora iz stava 2. ovog člana i kriterijume za identifikaciju kritične infrastrukture u tim sektorima, propisuje Vlada aktom iz člana 5. stav 3. ovog zakona.
Određivanje kritične infrastrukture
Član 7.
Kritičnu infrastrukturu na predlog Ministarstva određuje Vlada.
Ministarstva zadužena za sektore kritične infrastrukture dužna su da u roku od šest meseci od donošenja akta iz člana 5. stav 3. ovog zakona, a nakon završenog postupka identifikacije u skladu sa utvrđenim kriterijumima, Ministarstvu dostave predloge kritične infrastrukture u svom sektoru.
Ministarstva zadužena za sektore kritične infrastrukture dužna su da redovno, a najmanje jednom kvartalno izveštavaju Ministarstvo o novonastalim promenama u svom sektoru.
Ministarstva zadužena za sektore kritične infrastrukture dužna su da nakon završenog postupka identifikacije Ministarstvu svake godine, najkasnije do 31. oktobra, dostave predloge izmena i dopuna kritične infrastrukture u svom sektoru.
Ministarstvo može ukazati ministarstvima zaduženim za sektore kritične infrastrukture na potencijalne kritične infrastrukture.
Zaštita, čuvanje, korišćenje, kontrola i nadzor kritične infrastrukture u nadležnosti Ministarstva odbrane i Vojske Srbije sprovodi se u skladu sa Zakonom o odbrani i Zakonom o vojsci Srbije.
Akt o određivanju kritične infrastrukture ažurira se svake godine, najkasnije do 31. decembra.
III. ZAŠTITA KRITIČNE INFRASTRUKTURE
Bezbednosni plan operatora za upravljanje rizikom
Član 8.
Bezbednosni plan operatora za upravljanje rizikom je dokument kojim se utvrđuju mere smanjenja rizika, definišu odgovornosti i određuju dužnosti, te uspostavlja okvir za postupanje u cilju otklanjanja, odnosno smanjenja posledica bezbednosnih pretnji definisanih u analizi rizika, koja je sastavni deo plana.
Operatori kritične infrastrukture dužni su da izrade Bezbednosni plan operatora za upravljanje rizikom i na isti pribave saglasnost Ministarstva odmah, a najkasnije šest meseci po određivanju sistema, mreža, objekata ili njihovih delova za kritičnu infrastrukturu.
Metodologiju, način izrade i sadržaj Bezbednosnog plana operatora za upravljanje rizikom propisuje ministar nadležan za unutrašnje poslove (u daljem tekstu: ministar).
Oficir za vezu
Član 9.
Operatori kritične infrastrukture moraju imati oficira za vezu, odnosno lice koje služi kao kontakt između operatora i Ministarstva, koje obezbeđuje stalnu kontrolu rizika i pretnji, obaveštava o promenama u odnosu na kritičnu infrastrukturu, obaveštava Ministarstvo o evaluaciji rizika, pretnji i ranjivosti, koordinira Bezbednosnim planom operatora za upravljanje rizikom, vrši testiranja kroz vežbe i druge aktivnosti predviđene planom i obavlja sve druge poslove vezane za kritičnu infrastrukturu.
Oficira za vezu imenuje Ministarstvo na predlog operatora kritične infrastrukture iz redova zaposlenih.
Operator kritične infrastrukture Ministarstvu dostavlja predlog za imenovanje oficira za vezu najkasnije tri meseca po određivanju sistema, mreža, objekata ili njihovih delova za kritičnu infrastrukturu.
Predloženo lice mora posedovati licencu za oficira za vezu.
Ministarstvo izdaje licencu iz stava 4. ovog člana licu koje ima:
1) visoko obrazovanje (master akademske studije, specijalističke akademske ili specijalističke strukovne studije, odnosno osnovne studije u trajanju od najmanje četiri godine po propisu koji je uređivao visoko obrazovanje do 10. septembra 2005. godine);
2) položen poseban stručni ispit za oficira za vezu.
Polaganje posebnog stručnog ispita iz tačke 2) ovog člana organizuje i sprovodi Ministarstvo.
Način i program za polaganje posebnog stručnog ispita propisuje ministar.
Operatori kritične infrastrukture obezbeđuju kontinuitet vršenja funkcije oficira za vezu u slučaju njegovog odsustva obaveštavanjem Ministarstva o privremenom obavljanju ovih poslova od strane drugog lica, sa svim potrebnim podacima.
Kritična infrastruktura u planskim dokumentima
Član 10.
Prilikom izrade planskih dokumenata u oblasti prostornog i urbanističkog planiranja, dokumenata iz oblasti nacionalne bezbednosti i oblasti smanjenja rizika i upravljanja vanrednim situacijama, kritična infrastruktura mora se tretirati na poseban način, naročito u delu preventivnih aktivnosti i aktivnosti vezanih za odgovor na vanredne situacije u kojima mora imati prioritet.
Republički štab za vanredne situacije
Član 11.
U slučaju nastupanja okolnosti ugrožavanja, ometanja rada ili uništenja kritične infrastrukture rukovođenje i koordinaciju sprovođenja mera i zadataka u navedenim okolnostima preduzima Republički štab za vanredne situacije, u skladu sa zakonom.
Ministarstvo pruža stručnu podršku štabu iz stava 1. ovog člana i dostavlja sve neophodne podatke i informacije u cilju nesmetanog obavljanja aktivnosti na sprovođenju utvrđenih zadataka.
IV. EVROPSKA KRITIČNA INFRASTRUKTURA
Pojam
Član 12.
Evropska kritična infrastruktura je kritična infrastruktura od interesa za najmanje dve države članice Evropske unije.
Određivanje evropske kritične infrastrukture
Član 13.
Evropska kritična infrastruktura može se odrediti u sektorima koje određuje Evropska komisija.
Evropsku kritičnu infrastrukturu na teritoriji Republike Srbije, na predlog Ministarstva, određuje Vlada, na zahtev i u saglasnosti sa zainteresovanim državama članicama Evropske unije i obaveštava zainteresovane države članice o određivanju evropske kritične infrastrukture na teritoriji Republike Srbije.
Ako se kritična infrastruktura od značaja za Republiku Srbiju nalazi na području druge države članice Evropske unije, Vlada predlaže nadležnom telu te države određivanje evropske kritične infrastrukture.
Zaštita evropske kritične infrastrukture
Član 14.
Evropska kritična infrastruktura na teritoriji Republike Srbije štiti se na isti način kao i kritična infrastruktura Republike Srbije, osim kada je to propisima Evropske unije drugačije uređeno.
Izveštavanje o evropskoj kritičnoj infrastrukturi
Član 15.
Vlada usvaja godišnji izveštaj o broju evropske kritične infrastrukture po sektoru i broju zainteresovanih država na koje svaka određena kritična infrastruktura ima uticaj, na predlog Ministarstva.
Izveštaj iz stava 1. ovog člana dostavlja se Evropskoj komisiji i zainteresovanim državama na koje svaka određena kritična infrastruktura ima uticaj.
Razmena informacija o evropskoj kritičnoj infrastrukturi
Član 16.
Kontakt tačka za potrebe razmene informacija i koordinaciju aktivnosti u vezi sa evropskom kritičnom infrastrukturom sa drugim državama članicama i telima Evropske unije je Ministarstvo.
V. POSTUPANjE SA TAJNIM PODACIMA
Određivanje i razmena
Član 17.
Određeni podaci u vezi sa kritičnom infrastrukturom mogu se odrediti kao tajni podaci u skladu sa propisima kojima se uređuje tajnost podataka.
Tajni podaci koji se odnose na Evropsku kritičnu infrastrukturu razmenjuju se sa stranim državama i organima Evropske unije u skladu sa zakonom kojim je uređena tajnost podataka i potpisanim međunarodnim sporazumima o razmeni tajnih podataka.
VI. NADZOR
Nadležnost
Član 18.
Nadzor nad primenom ovog zakona i propisa donetih na osnovu njega vrši Ministarstvo.
Ministarstvo vrši inspekcijski nadzor preko inspektora.
Ovlašćenja inspektora
Član 19.
U vršenju inspekcijskog nadzora, inspektor ima pravo da:
1) utvrdi stanje izvršavanja obaveza predviđenih ovim zakonom, upozori na uočene nepravilnosti i odredi mere i rokove za njihovo otklanjanje;
2) vrši uvid u dokumenta koja se odnose na kritičnu infrastrukturu;
3) proverava sprovođenje izdatih naredbi i zaključaka i naloži mere za izvršenje;
4) naloži izradu, donošenje i ažuriranje dokumenata predviđenih ovim zakonom;
5) naloži obustavu mera i radnji koje nisu u skladu sa Bezbednosnim planom operatora za upravljanje rizikom;
6) naloži otklanjanje utvrđenih nedostataka u sprovođenju propisanih mera utvrđenih Bezbednosnim planom operatora za upravljanje rizikom;
7) podnese predlog za pokretanje postupaka za utvrđivanje prekršajne odgovornosti protiv pravnih i odgovornih lica;
8) naredi preduzimanje hitnih mera;
9) preduzme i druge mere za koje je ovlašćen zakonom.
Protiv rešenja inspektora može se izjaviti žalba u roku od osam dana od dana dostavljanja rešenja.
Žalba protiv rešenja inspektora donetog na osnovu stava 1. tač. 5) i 8) ovog člana ne odlaže izvršenje rešenja.
VII. KAZNENE ODREDBE
Član 20.
Novčanom kaznom u iznosu od 100.000 do 1.000.000 dinara kazniće se za prekršaj javno preduzeće, privredno društvo ili drugo pravno lice koje upravlja sistemima, mrežama, objektima ili njihovim delovima koji su određeni kao kritična infrastruktura ako:
1) ne pribavi saglasnost Ministarstva na Bezbednosni plan operatora za upravljanje rizikom (član 8. stav 2);
2) ne dostavi Ministarstvu predlog za imenovanje oficira za vezu (član 9. stav 3);
3) ne postupi po nalogu inspektora (član 19. stav 1).
Član 21.
Novčanom kaznom od 50.000 do 100.000 dinara kazniće se za prekršaj odgovorno lice u nadležnom državnom organu, organu teritorijalne autonomije ili organu jedinice lokalne samouprave, ako:
1) ne dostavi Ministarstvu predloge kritične infrastrukture u svom sektoru (član 7. stav 2);
2) ne izveštava Ministarstvo o novonastalim promenama u svom sektoru (član 7. stav 3);
3) ne dostavi Ministarstvu predloge izmena i dopuna kritične infrastrukture u svom sektoru (član 7. stav 4);
4) ne postupi po nalogu inspektora (član 19. stav 1).
VIII. PRELAZNE I ZAVRŠNE ODREDBE
Rok za donošenje podzakonskih akata
Član 22.
Podzakonski akti za sprovođenje ovog zakona doneće se u roku od šest meseci od dana stupanja na snagu ovog zakona.
Rok za usaglašavanje opšteg akta
Član 23.
Izmene akta o unutrašnjem uređenju i sistematizaciji radnih mesta u Ministarstvu unutrašnjih poslova doneće ministar u roku od 30 dana od dana stupanja na snagu ovog zakona.
Primena odredaba o evropskoj kritičnoj infrastrukturi
Član 24.
Odredbe ovog zakona koje se odnose na evropsku kritičnu infrastrukturu počinju da se primenjuju danom pristupanja Republike Srbije Evropskoj uniji.
Stupanje na snagu
Član 25.
Ovaj zakon stupa na snagu osmog dana od objavljivanja u „Službenom glasniku Republike Srbijeˮ.