Predlog zakona o informacionoj bezbjednosti u skupštinskoj proceduri, ali ima nedostataka

Reforma zakona o zaštiti podataka o ličnosti u Crnoj Gori predstavlja ne samo pravni i regulatorni imperativ, već i suštinsku potrebu za jačanjem institucionalnih kapaciteta u cilju efikasne zaštite prava građana u digitalnom prostoru, ocijenila je saradnica u nastavi na Pravnom fakultetu UCG Andreja Mihailović

16366 pregleda0 komentar(a)
Ilustracija, Foto: Shutterstock

Prije usvajanja Zakona o informacionoj bezbjednosti, koji je u skupštinskoj proceduri, trebalo je donijeti novi Zakon o zaštiti podataka o ličnosti, koji bi bio u skladu sa Opštom uredbom o zaštiti podataka (GDPR).

To je “Vijestima” rekla Andreja Mihailović, saradnica u nastavi na Pravnom fakultetu Univerziteta Crne Gore.

Mihailovićeva je predavač, istraživač i konsultant za oblast privrednog i krivičnog prava s posebnim fokusom na informacionu bezbjednost, sajber kriminalitet, digitalne istrage, elektronske dokaze, sajber diplomatiju i pravno-političke aspekte digitalne transformacije.

Pojašnjavajući zbog čega je neophodno, prije usvajanja novog Zakona o informacionoj bezbjednosti, donijeti novi Zakon o zaštiti podataka o ličnosti, ona je rekla da je to zato, jer je “aktuelni zakon deceniju stariji od Uredbe”.

“S posljednjim izmjenama iz 2017. godine, što znači da ne pruža adekvatnu pravnu osnovu za efikasnu implementaciju novog Zakona o informacionoj bezbjednosti. I sama NIS2 direktiva (EU Direktiva o mrežnoj i informacionoj bezbjednosti 2022/2555) eksplicitno referiše GDPR na više mjesta, ističući potrebu za koherentnošću između mjera informacione bezbjednosti i zaštite podataka o ličnosti”, rekla je ona za “Vijesti”.

Predlog zakona o informacionoj bezbjednosti Vlada je utvrdila u maju. Javna rasprava na Nacrt organizovana je prošle godine, u periodu od prvog do 20. marta, kada je devet učesnika dostavilo 96 primjedbi.

Prvi Zakon o informacionoj bezbjednosti u Crnoj Gori donijet je 2010, a šest godina kasnije usvojene su izmjene i dopune.

Sagovornica “Vijesti” kazala je da Predlog koji je u skupštinskoj proceduri, u odnosu na aktuelno rješenje uvodi određene promjene na bolje, ali i da ima nedostataka.

“Predlog uvodi značajne promjene s ciljem podizanja nacionalnih kapaciteta u oblasti sajber bezbjednosti i harmonizaciju sa NIS2 direktivom. U odnosu na prethodnu NIS direktivu iz 2016, NIS2 značajno proširuje oblast primjene, kako na planu identifikacije ključnih i važnih subjekata, tako i na planu propisanih obaveza, kao i kaznenih odredbi za njihovo nepoštovanje. NIS2 širi domen djelovanja s prvobitnih sedam na ukupno 15 sektora koji su, prema Predlogu zakona, kategorizovani na osnovne i važne subjekte”, rekla je Mihailović.

To, prema njenim riječima, predstavlja značajnu novinu u postojećem zakonodavnom okviru.

“Imajući u vidu da će po novom Zakonu svi državni organi, organi lokalne samouprave, kao i sva pravna i fizička lica koja upravljaju ili koriste mrežne i informacione sisteme, biti u obavezi da implementiraju set propisanih mjera informacione bezbjednosti i imenuju odgovorno lice za njihovu primjenu”, kazala je sagovornica “Vijesti”.

Strože mjere i za javni i za privatni sektor

Prema Predlogu zakona, kako je rekla, definicija “ključnih” i “važnih” subjekata obuhvata entitete iz kritičnih sektora od energetike i transporta, preko zdravstva, finansijskog tržišta, provajdera digitalnih usluga, sve do distribucije i proizvodnje hrane i upravljanja otpadom.

“Od kojih se očekuje da održavaju visok stepen informaciono-bezbjednosne pripravnosti u cilju minimizacije rizika i osiguranja kontinuiteta kritičnih usluga. Dakle, radi se o opsežnom rasponu koji uvodi nove obaveze gotovo svim subjektima javnog i privatnog sektora koji posluju u Crnoj Gori na planu usklađivanja svojih operacija sa strogim regulatornim zahtjevima informacione bezbjednosti”, kazala je ona.

Prvenstveno, dodala je Mihailović, zakon propisuje obaveznu implementaciju sveobuhvatnih tehničkih i organizacionih mjera zaštite mrežnih i informacionih sistema, koje uključuju upravljanje sajber bezbjednosnim rizicima, kriptovanu zaštitu podataka, i redovno ažuriranje bezbjednosnih politika u skladu sa ISO 27001 standardom.

Pored toga, prema njenim riječima, zakon uvodi i obavezu izvještavanja nadležnim organima o detektovanim sajber prijetnjama i incidentima, uz dostavljanje redovnih izveštaja i ažurno informisanje korisnika o rizicima i preduzetim mjerama u cilju njihovog otklanjanja i minimizacije štetnih posljedica.

Možda je trebalo zadržati sadašnji model CIRT-a

“Zakon uvodi i inovirani institucionalni okvir, u smislu uspostavljanja Agencije za sajber bezbjednost, kao centralnog tijela nadležnog za ključne i važne subjekte i formiranja CIRT-a državnih organa unutar Ministarstva javne uprave, umjesto postojećeg nacionalnog CIRT-a koji je uspostavljen 2012, u saradnji s Međunarodnom unijom za telekomunikacije (ITU). U svjetlu zahtjeva NIS2 direktive i preciznije demarkacije nadležnosti je bilo možda pragmatičnije zadržati model nacionalnog CIRT-a, kao organizacione Agencije za sajber bezbjednost, budući da bi se time postigla veća operativna autonomija i fleksibilnost CIRT-a, bez administrativne opterećenosti, imajući u vidu brojne nadležnosti Ministarstva”, rekla je Mihailović.

Pored toga, kako je dodala, a imajući u vidu prekogranični karakter sajber prijetnji i nezaobilaznu potrebu za razmjenom informacija, time bi se postigla i efikasnija koordinacija s drugim nacionalnim i međunarodnim tijelima u ovoj oblasti, te dosljedna implementacija nacionalne strategije sajber bezbjednosti.

Andreja Mihailovićfoto: Boris Pejović

(Ne)spremni kadrovski za ovakav propis

Sagovornica “Vijesti” kazala je da, iako transpozicija NIS2 direktive u nacionalni zakonodavni okvir donosi brojne benefite za Crnu Goru, u smislu strateškog podizanja kolektivnog nivoa sajber odbrane i zaštite kritične infrastrukture, postoje i potencijalni izazovi prilikom implementacije.

“Imajući u vidu nacionalni indeks sajber bezbjednosti, koji je značajno ispod EU prosjeka, tradicionalni nedostatak finansijskih, tehničkih i ljudskih resursa, pitanje je da li je realno očekivati da su kapaciteti državnog i privatnog sektora u Crnoj Gori zaista spremni za apsorbovanje ovako ambicioznog propisa”, rekla je ona.

Pojašnjavajući taj stav, ona je dodala da je primarni razlog donošenja NIS2 direktive bila neadekvatna implementacija inicijalne NIS direktive iz 2016, koja je predviđala daleko blaže zahtjeve, imajući u vidu da su samo 23 države EU uspjele da do kraja implementiraju propisane mjere.

“Ovakva neusklađenost rezultirala je neodrživom fragmentacijom u sistemu sajber odbrane EU u vidu različitih standarda od strane određenih država, što dovoljno govori o zahtjevnosti ovog akta. Zato, kada govorimo o usklađivanju nacionalnog zakonodavstva sa NIS2 direktivom, treba imati u vidu da se radi o do sada najopsežnijoj evropskoj direktivi o sajber bezbjednosti sa rigoroznim zahtjevima upravljanja rizicima, izvještavanjem o incidentima, obavezom implementacije ISO 27001 standarda, koja obuhvata sve vertikale društvenog i ekonomskog funkcionisanja”, rekla je Mihailović.

Široka ovlašćenja za nadzor

Dovoljno je, kako je dodala, istaći pojačane nadzorne mehanizme u vidu inspekcijskog i stručnog nadzora, koji uključuju politike i procedure u vezi s upravljanjem informacionom bezbjednošću sa širokim ovlašćenjima nadležnih organa.

“Konkretno, članom 54 novog Zakona propisana je obaveza da subjekata prilikom vršenja stručnog nadzora nadzorniku omoguće pristup prostoru, računarskoj opremi i uređajima, kao i da bez odlaganja stave na uvid ili dostave potrebne podatke i dokumentaciju u vezi s predmetom nadzora”, rekla je Mihailović i dodala da su takva ovlašćenja neophodna za osiguranje efikasnog nadzora, ali da istovremeno stvaraju potencijalne rizike za zloupotrebu pristupa i narušavanje privatnosti, “naročito imajući u vidu značajan obim senzitivnih podataka kojima operišu ključni i važni subjekti”.

“Uzimajući u obzir sve pozitivne i negativne implikacije tako postavljenog rješenja, prije njegovog usvajanja u Crnoj Gori bilo je potrebno pristupiti donošenju novog Zakona o zaštiti podataka o ličnosti, koji bi bio u skladu s Opštom Uredbom o zaštiti podataka, imajući u vidu da je aktuelni zakon deceniju stariji od Uredbe, s posljednjim izmjenama iz 2017, što znači da ne pruža adekvatnu pravnu osnovu za efikasnu implementaciju novog Zakona. I sama NIS2 direktiva eksplicitno referiše GDPR na više mjesta, ističući potrebu za koherentnošću između mjera informacione bezbjednosti i zaštite podataka o ličnosti”, rekla je ona.

U kontekstu usklađivanja crnogorskog zakonodavstva sa GDPR-om, prema njenim riječima, ključno je naglasiti značaj prava subjekta podataka i transparentnosti u obradi tih podataka, uz regulisanje njihovog prenosa, kao suštinskim elementima koji doprinose povećanju nivoa privatnosti i zaštite građana u digitalnom okruženju.

“Prava subjekta podataka, koja su detaljno razrađena u GDPR-u, uključujući pravo na pristup, ispravku, brisanje i prenosivost podataka, potrebno je da budu ekvivalentno zaštićena i u crnogorskom zakonodavstvu. Imajući u vidu potencijalne zloupotrebe koje mogu proizaći iz široko postavljenih nadležnosti u postupku nadzora, ključna je i uloga DPO u organizacijama, kao odgovornog lica za monitoring usklađenosti obrade podataka sa zakonom”, rekla je ona.

Pored toga, dodaje sagovornica “Vijesti”, proces procjene uticaja na zaštitu podataka (DPIA) ističe se kao neophodan instrument za identifikaciju, analizu i minimizaciju rizika koji proizlaze iz obrade ličnih podataka unutar inspekcijskih i nadzornih aktivnosti.

“Ovaj proces je obavezan po GDPR-u kada operacije obrade podataka nose visok rizik za prava i slobode pojedinaca, što je često slučaj u kontekstu nadzora nad ključnim i važnim subjektima, koji obuhvataju sektore poput energetike, zdravstva, finansija i digitalne infrastrukture, gdje neadekvatna zaštita podataka može imati ozbiljne posljedice po privatnost i bezbjednost građana”, kazala je Mihailović.

DPIA, pojasnila je ona, “nije samo proceduralni zahtjev, već i ključna komponenta korporativne odgovornosti i upravljanja rizicima, “što nadležnim organima omogućava da ostvare dvostruki cilj: efikasno sprovođenje nadzora uz istovremeno osiguranje da se poštuju prava i slobode pojedinaca u skladu sa zakonom”.

“U tom smislu, bilo bi cjelishodno propisati obavezu nadležnih organa da u postupku nadzora evidentiraju sve radnje obrade podataka koje preduzimaju, naročito: unos, izmjenu, pristup, otkrivanje (uključujući prenos), upoređivanje i brisanje podataka. Ova evidencija treba omogućiti identifikaciju razloga za svaku radnju obrade, datuma i vremena preduzimanja tih radnji, kao i identiteta lica koje je izvršilo uvid ili otkrilo podatke, te identiteta primaoca podataka”, rekla je Mihailović i dodala da bi se time omogućilo da građani i organizacije imaju kontrolu nad zakonitošću obrade svojih podataka, što je osnova za zaštitu njihove privatnosti i izgradnje povjerenja između korisnika i onih koji dolaze u kontakt s njihovim podacima.

“Reforma zakona o zaštiti podataka o ličnosti u Crnoj Gori predstavlja ne samo pravni i regulatorni imperativ, već i suštinsku potrebu za jačanjem institucionalnih kapaciteta u cilju efikasne zaštite prava građana u digitalnom prostoru. Takođe, podizanje nivoa zaštite podataka na nacionalnom nivou i usklađenost sa GDPR-om bi pozicioniralo Crnu Goru kao pouzdanog partnera u međunarodnim odnosima i ekonomskim transakcijama gdje je zaštita ličnih podataka globalni prioritet”, poručila je Mihailović.

Sam zakon ne čuva nikoga, mora stalno da se uči o sajber prijetnjama

Nedostatak adekvatne edukacije i svijesti o bezbjednosnim prijetnjama, osnovni je izazov u oblasti informacione bezbjednosti i u tom smislu, neophodno je stalno ulaganje u edukaciju svih - institucija, privrede i građana.

“Kao i jačanje infrastrukture i resursa za odgovor na incidente. Smatramo da je stalna edukacija i podizanje svijesti ključni element za unapređenje sigurnosti na svim nivoima društva”, rekli su “Vijestima” iz kompanije “One”, govoreći o Nacrtu zakona o informacionoj bezbjednosti.

U vezi s Nacrtom, pitanja su upućena i drugim telekomunikacionim kompanijama, Centralnoj banci Crne Gore... Iz CBCG su rekli da u ovoj fazi ne žele da komentarišu taj tekst. Iz ugla kompanije “One”, koja je, pored ostalih, uputila i sugestije na predloženi tekst u fazi javne rasprave, osnivanje Agencije i CIRT-a je “značajan korak ka poboljšanju koordinacije i efikasnosti u odgovoru na incidente u oblasti informacione bezbjednosti”.

“Naše dosadašnje iskustvo sa postojećim CIRT-om je pozitivno, ali smatramo da će struktura i ingerencije državnih organa odgovornih za informacionu bezbjednost kakva je definisana Predlogom zakona omogućiti još efikasniju i sveobuhvatniju sajber bezbjednost, ne samo u državnim organima i institucijama, već i u okviru privrednih društava”, rekli su “Vijestima”. Dodali su i da je “važno kontinuirano raditi na usklađivanju zakona sa drugim relevantnim propisima kako bi se osigurala njegova potpuna i efikasna primjena”.