Novi Zakon o informacionoj bezbednosti: koga obuhvata i šta se stvarno traži
18. jul 2026. · 7 min čitanja · INTO MSP tim
U oktobru 2025. Srbija je dobila novi Zakon o informacionoj bezbednosti, usklađen sa evropskom NIS2 direktivom. Zakon je stupio na snagu odmah, 23. oktobra, a tokom 2026. stižu podzakonski akti koji će precizno odrediti ko sve potpada pod njega. Drugim rečima: ovo je godina u kojoj mnoge firme saznaju da su postale obveznici, a da to još ne znaju.
Ako ste do sada mislili da je informaciona bezbednost zakonska tema samo za banke i telekome, novi zakon je pisan upravo da tu pretpostavku promeni.
Šta se promenilo u odnosu na stari zakon
Stari zakon iz 2016. pokrivao je relativno uzak krug: državne organe, operatore takozvanih IKT sistema od posebnog značaja, finansije, energetiku i slično. Novi zakon, po ugledu na NIS2, širi obuhvat na sektore za koje se ranije nije razmišljalo u ovim kategorijama: zdravstvo, proizvodnju hrane, automobilsku industriju, upravljanje otpadom, poštanske usluge, proizvodnju računara, elektronske opreme, mašina i vozila, medicinskih uređaja, kao i usluge informacionog društva.
Obveznici se dele u dve kategorije, prioritetne i važne operatore IKT sistema od posebnog značaja. Prioritetni nose strože obaveze i stroži nadzor: imenovanje odgovornog lica za bezbednost, planove za odgovor na incidente, saradnju sa nacionalnim telima za sajber bezbednost.
Ključne obaveze, prevedeno na običan jezik
Kada se skine pravnički sloj, zakon od obveznika traži ono što bi svaka ozbiljna firma ionako trebalo da ima:
- Godišnju procenu rizika: šta vam je kritično, šta može da pukne i koliko bi to koštalo
- Tehničke i organizacione mere zaštite, primerene riziku, i dokaz da postoje
- Plan za reagovanje na incidente: ko šta radi kada se nešto desi
- Prijavu ozbiljnog incidenta nadležnima bez odlaganja, a najkasnije u roku od 24 sata
Poslednja tačka je najveća praktična promena. Rok od 24 sata znači da firma mora unapred da zna kako prepoznaje incident, ko ga procenjuje i ko ga prijavljuje. To se ne improvizuje u toku noći u kojoj vam sistemi ne rade.
Kazne su manje od evropskih, ali nisu poenta
Predviđene novčane kazne idu do 2.000.000 dinara za prioritetne, odnosno do 1.000.000 dinara za važne operatore. U poređenju sa evropskim NIS2 kaznama, koje se mere u milionima evra, to zvuči blago. Ali kazna je najmanji deo računa: pravi trošak incidenta su zastoj, oporavak, izgubljeni klijenti i godine pravnih repova, o čemu smo detaljno pisali u tekstu o ceni data breach-a. Zakon samo dodaje još jedan sloj: sada postoji i formalna odgovornost, sa nadzorom i evidencijom.
Ko još ne zna da li je obuhvaćen, i zašto to nije izgovor
Zakon je krug obveznika opisao po sektorima, ali potpune kriterijume, uključujući i veličinu firme, ostavio je podzakonskim aktima koje Vlada donosi u roku od godinu dana od stupanja na snagu. To znači da se tokom 2026. tačno saznaje ko ulazi u koju kategoriju.
Ali čekati taj spisak je pogrešna strategija, iz dva razloga. Prvo, mere koje zakon traži se ne postavljaju za nedelju dana, pa ko krene kad izađe spisak, kasni. Drugo, i firma koja sama ne bude direktan obveznik radi za nekoga ko jeste: veliki partneri i klijenti već prenose bezbednosne obaveze ugovorima na svoje dobavljače, jer i njih NIS2 logika tera da odgovaraju za svoj lanac snabdevanja. Pitanje "da li ste usklađeni" stiže pre od klijenta nego od inspekcije.
Šta ima smisla uraditi sada
Za malu i srednju firmu razuman redosled je sledeći:
- Proverite sektor: ako radite u zdravstvu, proizvodnji, transportu, hrani, otpadu ili IT uslugama, pratite podzakonske akte jer je verovatno da ste obuhvaćeni
- Napravite popis: koji sistemi i podaci su vam kritični i ko im pristupa
- Postavite osnovne mere: MFA, bekap koji je testiran, kontrola pristupa, evidencija
- Napišite plan za incidente na jednoj strani: ko procenjuje, ko prijavljuje, ko komunicira
- Ako ste nečiji dobavljač, pripremite odgovore na bezbednosne upitnike pre nego što stignu
Dobra vest: ovo je istovremeno i lista koja štiti firmu nezavisno od zakona. Usklađenost tada nije poseban projekat, nego nusproizvod sređenog IT-ja. Ako ne znate odakle da krenete, kratak pregled stanja pokazuje gde ste u odnosu na ove zahteve i šta se prvo zatvara.
Treba vam ovo sređeno, bez drame?
INTO MSP vodi bezbednost, backup i IT za male i srednje firme. Prvi korak je kratak pregled stanja, bez obaveze.
IT Consulting & vCIO → Kontakt