ODLUKA O USLOVIMA UPRAVLJANJA INFORMACIONO-KOMUNIKACIONIM SISTEMOM PRUŽAOCA USLUGA POVEZANIH S VIRTUELNIM VALUTAMA
(„Sl. glasnik RS“, br. 49/2021)
I UVODNE ODREDBE
- Ovom odlukom utvrđuju se uslovi stabilnog i sigurnog poslovanja koji se odnose na upravljanje informaciono-komunikacionim sistemom pružaoca usluga povezanih s digitalnom imovinom u delu poslovanja koji se odnosi na virtuelne valute (u daljem tekstu: pružalac usluga).
Ovom odlukom uređuju se i minimalni standardi za upravljanje kontinuitetom poslovanja i oporavak aktivnosti u slučaju katastrofe kod pružaoca usluga.
- Pojedini pojmovi, u smislu ove odluke, imaju sledeća značenja:
1) korisnik virtuelnih valuta označava fizičko lice, preduzetnika ili pravno lice koje koristi ili je koristilo uslugu povezanu s virtuelnim valutama ili se pružaocu usluga obratilo radi korišćenja te usluge;
2) transakcija s virtuelnim valutama označava kupovinu, prodaju, prihvatanje ili prenos virtuelne valute ili zamenu virtuelne valute za drugu virtuelnu valutu i/ili za drugu digitalnu imovinu;
3) platforma za trgovanje virtuelnim valutama je multilateralni sistem koji organizuje trgovanje virtuelnim valutama, kojim upravlja organizator platforme i koji omogućava i olakšava spajanje interesa trećih lica za kupovinu i/ili prodaju virtuelne valute i/ili zamenu virtuelne valute za drugu virtuelnu valutu i/ili za drugu digitalnu imovinu, u skladu sa njegovim obavezujućim pravilima i na način koji dovodi do zaključenja ugovora;
4) kriptomat jeste automatska mašina preko koje se obavljaju kupovina i prodaja virtuelnih valuta za novčana sredstva ili zamena virtuelne valute za drugu virtuelnu valutu i/ili za drugu digitalnu imovinu;
5) informaciono-komunikacioni sistem je sveobuhvatni skup tehnološke infrastrukture (hardverske i softverske komponente), organizacije, ljudi i postupaka za prikupljanje, smeštanje, obradu, čuvanje, prenos, prikazivanje i korišćenje podataka i informacija;
6) resursi informaciono-komunikacionog sistema obuhvataju softverske komponente, hardverske komponente i informaciona dobra;
7) softverske komponente obuhvataju sve tipove sistemskog i aplikativnog softvera, softverske razvojne alate, kao i ostali softver;
8) hardverske komponente obuhvataju računarsku opremu, komunikacionu opremu, medije za čuvanje podataka, kao i ostalu tehničku opremu koja služi kao podrška funkcionisanju informaciono-komunikacionog sistema;
9) informaciona dobra obuhvataju podatke u datotekama i bazama podataka, programski kôd, konfiguraciju hardverskih komponenata, tehničku i korisničku dokumentaciju, unutrašnje opšte akte, procedure i sl.;
10) korisnici informaciono-komunikacionog sistema su sva lica koja su ovlašćena da koriste informaciono-komunikacioni sistem (zaposleni kod pružaoca usluga, zaposleni u drugim licima koji pristupaju informaciono-komunikacionom sistemu pružaoca usluga, korisnici virtuelnih valuta koji informaciono-komunikacionom sistemu pružaoca usluga pristupaju preko elektronskih interaktivnih komunikacionih kanala i dr.);
11) rizik informaciono-komunikacionog sistema je mogućnost nastanka negativnih efekata na finansijski rezultat i kapital, ostvarivanje poslovnih ciljeva, poslovanje u skladu s propisima i reputaciju pružaoca usluga usled neadekvatnog upravljanja informaciono-komunikacionim sistemom ili druge slabosti u tom sistemu koja negativno utiče na njegovu funkcionalnost ili bezbednost, odnosno ugrožava kontinuitet poslovanja;
12) kontrole su politike, procedure, prakse, tehnologije i organizacione strukture koje se odnose na informaciono-komunikacioni sistem, utvrđene da bi se obezbedilo razumno uverenje da će poslovni ciljevi kod pružaoca usluga biti ostvareni i da će neželjeni događaji biti sprečeni ili otkriveni, a mogu se razlikovati prema načinu primene (upravljačke, tehničke i fizičke) i nameni (preventivne, detektivne i korektivne);
13) upravljačke kontrole obuhvataju donošenje i primenu politika, standarda, planova, procedura i drugih unutrašnjih akata, kao i uspostavljanje odgovarajuće organizacione strukture, a radi postizanja i održavanja adekvatnog nivoa funkcionalnosti i bezbednosti informaciono-komunikacionog sistema;
14) tehničke kontrole su kontrole primenjene u hardverskim i softverskim komponentama informaciono-komunikacionog sistema;
15) fizičke kontrole su kontrole kojima se resursi informaciono-komunikacionog sistema štite od neovlašćenog fizičkog pristupa, krađe, fizičkog oštećenja ili uništenja;
16) preventivne kontrole su kontrole namenjene sprečavanju nastanka problema i incidenata;
17) detektivne kontrole su kontrole namenjene otkrivanju i prepoznavanju problema i incidenata i ukazivanju na nastale probleme i incidente;
18) korektivne kontrole su kontrole namenjene ograničavanju i otklanjanju problema i posledica incidenata;
19) incident je svaki neplanirani i neželjeni događaj koji može narušiti bezbednost ili funkcionalnost informaciono-komunikacionog sistema;
20) bezbednost informaciono-komunikacionog sistema podrazumeva očuvanje poverljivosti, integriteta, raspoloživosti, autentičnosti, dokazivosti, neporecivosti i pouzdanosti u informaciono-komunikacionom sistemu;
21) poverljivost označava da podaci i informacije nisu otkriveni ili dostupni neovlašćenim licima;
22) integritet označava da su podaci, informacije i procesi zaštićeni od neovlašćenog ili nepredviđenog menjanja, odnosno da eventualne takve promene ne ostaju neopažene;
23) raspoloživost označava da su podaci, informacije i procesi dostupni i upotrebljivi na zahtev ovlašćenog lica;
24) autentičnost označava da je identitet lica zaista onaj za koji se tvrdi da jeste;
25) dokazivost označava da svaka aktivnost u informaciono-komunikacionom sistemu može biti jednoznačno praćena do njenog izvora;
26) neporecivost označava nemogućnost poricanja aktivnosti izvršene u informaciono-komunikacionom sistemu ili prijema informacije;
27) pouzdanost označava da informaciono-komunikacioni sistem dosledno i očekivano vrši predviđene funkcije i pruža tačne informacije;
28) autorizacija je proces dodele prava pristupa korisnicima informaciono-komunikacionog sistema;
29) identifikacija je proces predstavljanja korisnika informaciono-komunikacionog sistema prilikom prijave i u toku izvođenja aktivnosti u tom sistemu;
30) autentifikacija je proces provere i potvrde korisničkog identiteta korišćenjem jednog od sledećih elemenata ili njihove kombinacije:
– nešto što samo korisnik zna (npr. lozinka, lični identifikacioni broj i sl.),
– nešto što samo korisnik poseduje (npr. magnetna kartica, čip kartica, token, kriptografski ključ i sl.),
– nešto što samo korisnik jeste (biometrijske karakteristike kao što su otisak prsta, očna dužica, glas, rukopis i sl.);
31) povlašćeni pristup informaciono-komunikacionom sistemu je pristup resursima informaciono-komunikacionog sistema koji ovlašćenim korisnicima (administratori sistemskog softvera, administratori mreže, administratori baza podataka i sl.) omogućava zaobilaženje tehničkih kontrola;
32) udaljeni pristup informaciono-komunikacionom sistemu je pristup resursima informaciono-komunikacionog sistema sa udaljene lokacije posredstvom telekomunikacione infrastrukture nad kojom pružalac usluga nema potpunu kontrolu;
33) operativni i sistemski zapisi označavaju hronološke zapise o događajima i aktivnostima na resursima informaciono-komunikacionog sistema (zapisi operativnih sistema, aplikativnog softvera, baza podataka, mrežnih uređaja i sl.);
34) maliciozni programski kôd je bilo koji oblik programskog kôda stvoren s namerom da se neovlašćeno ostvari pristup resursima informaciono-komunikacionog sistema, prikupe informacije, izazove neočekivano ponašanje ili prekid u funkcionisanju ovog sistema, odnosno da se na drugi način potencijalno naruši poverljivost, integritet ili raspoloživost tih resursa (npr. računarski virusi, tzv. crvi, trojanski konji i dr.);
35) kritični/ključni poslovni procesi su poslovni procesi ili funkcije čije neadekvatno funkcionisanje može značajno ugroziti poslovanje pružaoca usluga;
36) najduži prihvatljiv prekid (eng. MAO -Maximum Acceptable Outage) označava najduži prihvatljiv period neraspoloživosti poslovnog procesa, odnosno kritično vreme za oporavak tog procesa;
37) rezervna kopija podataka predstavlja kopiju najmanje onih izvornih podataka (softverske komponente i informaciona dobra) koji su potrebni za oporavak, odnosno za ponovno uspostavljanje poslovnih procesa;
38) elektronske usluge su usluge povezane s virtuelnim valutama iz člana 3. stav 1. Zakona o digitalnoj imovini koje korisnici virtuelnih valuta koriste sa udaljene lokacije, preko interneta, uključujući korišćenje tih usluga pomoću kriptomata, kao i druge aktivnosti kojima se pristupa podacima u vezi sa uslugama povezanim s virtuelnim valutama a koji bi mogli biti predmet prevarnih radnji ili drugih zloupotreba.
II UPRAVLJANJE INFORMACIONO-KOMUNIKACIONIM SISTEMOM
- Pružalac usluga dužan je da uspostavi adekvatan informaciono-komunikacioni sistem, koji ispunjava najmanje sledeće uslove:
1) poseduje funkcionalnosti, kapacitete i performanse koji omogućavaju pružanje odgovarajuće podrške poslovnim procesima u vezi s pružanjem usluga povezanih s virtuelnim valutama;
2) obezbeđuje blagovremene, tačne i potpune informacije značajne za donošenje poslovnih odluka, efikasno obavljanje poslovnih aktivnosti i upravljanje rizicima, odnosno za sigurno i stabilno poslovanje;
3) projektovan je sa odgovarajućim kontrolama za validaciju podataka na ulazu, u toku procesa obrade, kao i na izlazu iz tog sistema, radi sprečavanja netačnosti i nekonzistentnosti u podacima i informacijama;
4) poseduje odgovarajuće kontrole kako bi se sprečili incidenti koji nastaju zbog sajber napada, krađe ili druge neispravnosti, kao i kako bi se sačuvala bezbednost informaciono-komunikacionog sistema.
- Pružalac usluga dužan je da unutrašnjim opštim aktom, u skladu sa zakonom, utvrdi ovlašćenja i odgovornosti svojih organa upravljanja i nadzora koji se odnose na očuvanje bezbednosti i funkcionalnosti informaciono-komunikacionog sistema.
Pružalac usluga dužan je da nadzire, redovno revidira i unapređuje proces upravljanja informaciono-komunikacionim sistemom radi smanjenja izloženosti rizicima povezanim s tim sistemom.
- Pružalac usluga dužan je da donese strategiju razvoja informaciono-komunikacionog sistema, koja može biti sastavni deo njegove poslovne strategije.
Pružalac usluga dužan je da, po potrebi, menja strategiju razvoja informaciono-komunikacionog sistema, i to naročito ako to zahtevaju odgovarajuće izmene i/ili dopune strategije poslovanja.
- Pružalac usluga dužan je da, radi adekvatnog upravljanja informaciono-komunikacionim sistemom, obezbedi odgovarajuću organizacionu strukturu, s jasno utvrđenom podelom poslova i dužnosti zaposlenih, odnosno sa utvrđenim unutrašnjim kontrolama kojima se sprečava sukob interesa.
Pružalac usluga je u okviru podele poslova i dužnosti iz stava 1. ove tačke naročito dužan da jasno utvrdi poslove i dužnosti zaposlenih koji su u neposrednoj vezi sa efikasnim i odgovarajućim upravljanjem bezbednošću informaciono-komunikacionog sistema.
- Pružalac usluga dužan je da obezbedi primenu svih unutrašnjih opštih akata i procedura u vezi sa informaciono-komunikacionim sistemom, kao i da obezbedi da svi korisnici tog sistema budu upoznati sa sadržajem tih akata i procedura, u skladu s njihovim ovlašćenjima, odgovornostima i potrebama.
- Pružalac usluga dužan je da utvrdi kriterijume, način i postupke izveštavanja svog nadležnog organa o relevantnim činjenicama u vezi s funkcionalnošću i bezbednošću informaciono-komunikacionog sistema.
III UPRAVLJANJE RIZIKOM INFORMACIONO-KOMUNIKACIONOG SISTEMA
- Pružalac usluga dužan je da, u okviru sveobuhvatnog sistema upravljanja rizicima, uspostavi proces upravljanja rizikom informaciono-komunikacionog sistema koji obuhvata identifikovanje i merenje, odnosno procenu tog rizika, kao i njegovo ublažavanje, praćenje i kontrolu.
Pružalac usluga dužan je da redovno prati i ocenjuje adekvatnost primenjenih kontrola za ublažavanje identifikovanih rizika informaciono-komunikacionog sistema.
- Pružalac usluga dužan je da rizikom informaciono-komunikacionog sistema upravlja tako da omogući nesmetano upravljanje bezbednošću ovog sistema i upravljanje kontinuitetom svog poslovanja.
Upravljanje rizikom informaciono-komunikacionog sistema mora da obuhvati celokupan informaciono-komunikacioni sistem pružaoca usluga i da bude integrisano u sve faze razvoja tog sistema.
- Pružalac usluga dužan je da adekvatno upravlja rizicima koji proizlaze iz ugovornih odnosa s pravnim i fizičkim licima čije se aktivnosti odnose na njegov informaciono-komunikacioni sistem.
Pružalac usluga dužan je da kontinuirano nadzire način i kvalitet obavljanja ugovorenih aktivnosti iz stava 1. ove tačke.
- Odredbe propisa kojima se uređuju opšti uslovi i način upravljanja rizicima u poslovanju pružaoca usluga primenjuju se i na upravljanje rizikom informaciono-komunikacionog sistema.
IV UNUTRAŠNJA REVIZIJA INFORMACIONO-KOMUNIKACIONOG SISTEMA
- Pružalac usluga dužan je da metodologijom rada unutrašnje revizije obuhvati kriterijume, način i postupke unutrašnje revizije informaciono-komunikacionog sistema zasnovane na rezultatima procene rizika.
- Unutrašnja revizija informaciono-komunikacionog sistema obavlja se u skladu s propisima kojima se uređuje poslovanje pružaoca usluga.
V BEZBEDNOST INFORMACIONO-KOMUNIKACIONOG SISTEMA
- Pružalac usluga dužan je da donese unutrašnji opšti akt kojim će se uspostaviti okvir za upravljanje bezbednošću informaciono-komunikacionog sistema (u daljem tekstu: politika bezbednosti).
Politikom bezbednosti naročito se uređuju principi, način i procedure postizanja i održavanja adekvatnog nivoa bezbednosti informaciono-komunikacionog sistema, kao i ovlašćenja i odgovornosti u vezi sa ovom bezbednošću i resursima tog sistema.
Pružalac usluga dužan je da politiku bezbednosti usklađuje s promenama u okruženju i u samom informaciono-komunikacionom sistemu.
- Pružalac usluga dužan je da proces upravljanja bezbednošću informaciono-komunikacionog sistema uspostavi kao kontinuirani proces identifikovanja potreba za ovom bezbednošću i postizanja i održavanja adekvatnog nivoa te bezbednosti, i to najmanje na osnovu rezultata procene rizika tog sistema i obaveza koje proizlaze iz propisa, unutrašnjih opštih akata, ugovornih odnosa i sl.
- Pružalac usluga dužan je da, radi postizanja i održavanja adekvatnog nivoa bezbednosti informaciono-komunikacionog sistema, uspostavi odgovarajuće kontrole.
- Pružalac usluga dužan je da sprovodi odgovarajuću kontrolu pristupa resursima informaciono-komunikacionog sistema, kao i da s tim u vezi uspostavi adekvatan sistem upravljanja korisničkim pravima pristupa.
Sistemom upravljanja korisničkim pravima pristupa naročito se obuhvataju procesi evidentiranja korisnika informaciono-komunikacionog sistema, autorizacije, identifikacije i autentifikacije, kao i nadzor nad korisničkim pravima pristupa.
Pružalac usluga dužan je da obezbedi da se autorizacija korisnika informaciono-komunikacionog sistema zasniva na principu dodele najmanjih mogućih prava pristupa resursima tog sistema koja omogućuju efikasno obavljanje poslova.
Pružalac usluga dužan je da periodično i po potrebi, a najmanje jednom godišnje, revidira korisnička prava pristupa.
Pri upravljanju korisničkim pravima pristupa, pružalac usluga je dužan da posebno uredi povlašćeni i udaljeni pristup informaciono-komunikacionom sistemu.
- Pružalac usluga dužan je da, na osnovu rezultata procene rizika informaciono-komunikacionog sistema, uspostavi adekvatan sistem nadgledanja tog sistema i generisanja operativnih i sistemskih zapisa, i da obezbedi odgovarajuću zaštitu tih zapisa, kao i da utvrdi vreme čuvanja, te učestalost, opseg i način praćenja tih zapisa.
Zapisi iz stava 1. ove tačke moraju sadržati dovoljnu količinu informacija za identifikovanje problema, rekonstruisanje događaja i otkrivanje neovlašćenih pristupa i aktivnosti na resursima informaciono-komunikacionog sistema, kao i za utvrđivanje odgovornosti s tim u vezi.
- Pružalac usluga dužan je da, primenom odgovarajućih kontrola, resurse informaciono-komunikacionog sistema i druge sisteme koji su podrška funkcionisanju informaciono-komunikacionog sistema zaštiti od neovlašćenog fizičkog pristupa, od krađe, kao i od fizičkog oštećenja ili uništenja izazvanog ljudskim ili prirodnim faktorom.
U slučaju da iznajmi računarski centar, pružalac usluga dužan je da utvrdi da su primenjene odgovarajuće kontrole iz stava 1. ove tačke.
- Pružalac usluga je naročito dužan da obezbedi integritet podataka o transakcijama s virtuelnim valutama koje se izvršavaju na osnovu naloga korisnika virtuelnih valuta, kao i pri njihovoj obradi, čuvanju i preduzimanju svih drugih radnji u vezi s tim podacima.
- Pružalac usluga dužan je da, primenom odgovarajućih kontrola i tehničkih rešenja, resurse informaciono-komunikacionog sistema zaštiti od zlonamernog softvera i sajber napada.
VI KONTINUITET POSLOVANJA I OPORAVAK AKTIVNOSTI U SLUČAJU KATASTROFE
- Pružalac usluga dužan je da, radi obezbeđivanja nesmetanog i kontinuiranog funkcionisanja svih svojih značajnih sistema i procesa, kao i ograničavanja gubitaka u vanrednim situacijama, uspostavi proces upravljanja kontinuitetom poslovanja.
- Pružalac usluga dužan je da obezbedi da upravljanje kontinuitetom poslovanja bude zasnovano na analizi uticaja na poslovanje i na proceni rizika.
Analiza uticaja na poslovanje naročito obuhvata:
1) utvrđivanje resursa i sistema potrebnih za odvijanje pojedinačnih poslovnih procesa, kao i njihove međuzavisnosti i povezanosti;
2) procenu rizika u vezi s pojedinačnim poslovnim procesima, uključujući i verovatnoću nastanka neželjenih događaja i njihov potencijalni uticaj na kontinuitet poslovanja, finansijsko stanje i reputaciju pružaoca usluga;
3) utvrđivanje prihvatljivih nivoa rizika i tehnika za ublažavanje identifikovanih rizika;
4) utvrđivanje kritičnih/ključnih poslovnih procesa i aktivnosti;
5) utvrđivanje najdužeg prihvatljivog prekida (MAO) pojedinačnih poslovnih procesa.
- Nadležni organ pružaoca usluga dužan je da, na osnovu aktivnosti sprovedenih u skladu s tačkom 24. ove odluke, donese plan kontinuiteta poslovanja (eng. Business Continuity Plan), kao i plan oporavka aktivnosti u slučaju katastrofe (eng. Disaster Recovery Plan) kojim se prevashodno uređuje stvaranje uslova za oporavak i raspoloživost resursa informaciono-komunikacionog sistema potrebnih za odvijanje kritičnih/ključnih poslovnih procesa.
Plan kontinuiteta poslovanja naročito sadrži:
1) opis procedura u slučaju prekida poslovanja;
2) ažuran spisak svih resursa neophodnih za ponovno uspostavljanje kontinuiteta poslovanja;
3) podatke o timovima koji će biti odgovorni za ponovno uspostavljanje poslovanja u slučaju nastanka nepredviđenih događaja i o imenovanim članovima tih timova, uključujući i njihove jasno utvrđene dužnosti i odgovornosti, kao i plan unutrašnjih i spoljnih linija komunikacije;
4) rezervnu lokaciju – u slučaju prekida poslovanja i nemogućnosti ponovnog uspostavljanja poslovnih procesa na primarnoj lokaciji.
Plan oporavka aktivnosti u slučaju katastrofe naročito sadrži:
1) procedure za oporavak informaciono-komunikacionog sistema kad nastupe katastrofalni događaji;
2) prioritete oporavka resursa informaciono-komunikacionog sistema;
3) podatke o timovima koji će biti odgovorni za oporavak informaciono-komunikacionog sistema i o imenovanim članovima tih timova, uključujući i njihove jasno utvrđene dužnosti i odgovornosti;
4) rezervnu lokaciju za oporavak informaciono-komunikacionog sistema, odnosno lokaciju rezervnog računarskog centra.
Pružalac usluga dužan je da, radi efikasnog sprovođenja planova iz stava 1. ove tačke, obezbedi da svi zaposleni budu upoznati sa svojim ulogama i odgovornostima u slučaju nastupanja vanrednih situacija.
Pružalac usluga dužan je da preduzima sve neophodne aktivnosti radi usklađivanja planova iz stava 1. ove tačke s poslovnim promenama, uključujući i promene u proizvodima, aktivnostima, procesima i sistemima, s promenama u okruženju, kao i s poslovnom politikom i strategijom poslovanja.
Pružalac usluga dužan je da periodično i posle nastanka značajnih promena, a najmanje jednom godišnje, testira planove iz stava 1. ove tačke, kao i da dokumentuje rezultate tih testiranja i obezbedi njihovo uključivanje u izveštavanje nadležnog organa pružaoca usluga.
Za sprovođenje planova iz stava 1. ove tačke odgovoran je nadležni organ pružaoca usluga.
- Pružalac usluga dužan je da, pri upravljanju kontinuitetom poslovanja, uzme u obzir i aktivnosti poverene trećim licima i zavisnost od usluga tih lica.
- Pružalac usluga dužan je da, u slučaju nastanka okolnosti koje zahtevaju primenu plana kontinuiteta poslovanja i plana oporavka aktivnosti u slučaju katastrofe, obavesti o tome Narodnu banku Srbije, i to najkasnije narednog dana od dana nastanka tih okolnosti. Narodna banka Srbije može zahtevati dodatnu dokumentaciju u vezi s relevantnim činjenicama o ovim okolnostima i odrediti rok za dostavljanje te dokumentacije.
- Pružalac usluga dužan je da uspostavi proces upravljanja incidentima koji će omogućiti blagovremen i efikasan odgovor u slučaju narušavanja bezbednosti ili funkcionalnosti resursa informaciono-komunikacionog sistema.
Pružalac usluga dužan je da Narodnu banku Srbije obavesti o incidentu koji je ozbiljno ugrozio ili narušio njegovo poslovanje, odnosno koji bi mogao ozbiljno ugroziti ili narušiti njegovo poslovanje, i to:
1) ako je nastao usled narušavanja funkcionalnosti resursa informaciono-komunikacionog sistema – odmah po utvrđivanju okolnosti o nastanku tog incidenta;
2) ako je nastao kao posledica narušavanja bezbednosti informaciono-komunikacionog sistema – odmah po saznanju o tom incidentu;
3) ako je nastao kod trećeg lica u smislu tačke 37. stav 5. ove odluke a imao je ili je mogao imati značajan uticaj na informaciono-komunikacioni sistem pružaoca usluga – odmah po utvrđivanju okolnosti o nastanku tog incidenta, odnosno saznanju o tom incidentu.
Nakon obaveštenja iz stava 2. ove tačke, ako je incident i dalje u toku, pružalac usluga je dužan da Narodnu banku Srbije kontinuirano obaveštava o bitnim događajima i drugim relevantnim informacijama u vezi sa incidentom iz tog stava (status incidenta), kao i o aktivnostima preduzetim radi ublažavanja tog incidenta i o njegovim posledicama. Ovo obaveštenje sadrži i detaljan opis incidenta, informacije o proceni broja korisnika virtuelnih valuta na koje je incident uticao, okvirno vreme potrebno da se incident reši, potencijalni uticaj na druge pružaoce usluga, kao i bitne događaje i druge relevantne informacije od nastanka incidenta (npr. informacije o tome da li je incident eskalirao, da li su otkriveni novi uzroci i o efikasnosti primenjenih aktivnosti).
Pružalac usluga dužan je da Narodnoj banci Srbije dostavi završni izveštaj o nastalom incidentu iz stava 2. ove tačke u roku od 15 dana od dana prestanka tog incidenta, odnosno od dana kada proceni da su uspostavljeni njegovo redovno poslovanje i stabilan rad informaciono-komunikacionog sistema. Ovaj izveštaj sadrži konačne informacije o incidentu – datum početka i datum okončanja incidenta, dužinu trajanja incidenta, vrstu incidenta (nedostupnost hardverskih komponenti, problemi u radu softverskih komponenti ili bezbednosni incident), opis incidenta, uzroke nastanka i posledice incidenta, aktivnosti koje je sprovodio tokom incidenta, plan aktivnosti kojima će preventivno delovati i sprečiti ponovne pojave istog incidenta, broj korisnika virtuelnih valuta na koje je incident uticao, finansijske troškove nastale u vezi sa incidentom, uticaj na druge pružaoce usluga i, po potrebi, druge relevantne informacije.
Pružalac usluga dužan je da u skladu sa st. 1. i 2. ove tačke izveštava Narodnu banku Srbije o incidentima koji su povezani sa zloupotrebom osetljivih podataka korisnika virtuelnih valuta, neodobrenim transakcijama s virtuelnim valutama, tehničkim manipulacijama na kriptomatima, prevarnim radnjama i zloupotrebama korisnika virtuelnih valuta, zloupotrebama faktora autentifikacije i sistema za autentifikaciju i sl. a koji nisu imali direktan uticaj na njegov informaciono-komunikacioni sistem.
Narodna banka Srbije može zahtevati dodatnu dokumentaciju u vezi s relevantnim činjenicama o okolnostima i posledicama nastalog incidenta i odrediti rok za dostavljanje te dokumentacije.
- Pružalac usluga dužan je da uspostavi proces upravljanja rezervnim kopijama podataka, te da u tu svrhu utvrdi detaljne procedure i odgovornosti.
Upravljanje rezervnim kopijama podataka mora da obuhvati postupke izrade, čuvanja i testiranja ovih kopija, kao i oporavka podataka i softverskih komponenata, kako bi se omogućilo ponovno uspostavljanje poslovnih procesa.
Pružalac usluga dužan je da obezbedi da su rezervne kopije podataka ažurne i adekvatno zaštićene, a postupci oporavka testirani i uspešni.
Najmanje jedna ažurna i kompletna rezervna kopija podataka mora biti adekvatno uskladištena na udaljenoj i bezbednoj lokaciji.
VII RAZVOJ I ODRŽAVANJE INFORMACIONO-KOMUNIKACIONOG SISTEMA
- Pružalac usluga dužan je da proces razvoja informaciono-komunikacionog sistema sprovodi u skladu sa strategijom razvoja informaciono-komunikacionog sistema, uzimajući u obzir funkcionalne zahteve i potrebe za bezbednošću.
Pružalac usluga dužan je da, tokom samostalnog razvoja informaciono-komunikacionog sistema, uspostavi i dokumentuje proces tog razvoja, koji obuhvata analizu i projektovanje, programiranje, testiranje i uvođenje u produkciju.
Pružalac usluga dužan je da uspostavi i na odgovarajući način razdvoji testno i produkciono okruženje.
U slučaju samostalnog razvoja informaciono-komunikacionog sistema, pružalac usluga dužan je da, pored okruženja iz stava 3. ove tačke, uspostavi i razvojno okruženje.
- Pružalac usluga dužan je da uspostavi proces upravljanja hardverskim i softverskim komponentama u svim fazama njihovog životnog ciklusa – od nabavke ili razvoja do povlačenja iz upotrebe.
- Pružalac usluga dužan je da obezbedi adekvatno održavanje hardverskih i softverskih komponenata informaciono-komunikacionog sistema prema preporukama proizvođača i da čuva zapise o tom održavanju, kao i da se stara o tome da se pritom ne ugrozi bezbednost ili funkcionalnost ovog sistema.
Pružalac usluga dužan je da u skladu sa stavom 1. ove tačke adekvatno nadzire poverene aktivnosti u vezi sa održavanjem hardverskih i softverskih komponenata informaciono-komunikacionog sistema.
- Pružalac usluga dužan je da uspostavi proces upravljanja promenama hardverskih i softverskih komponenata informaciono-komunikacionog sistema, kako bi se izbeglo da one dovedu do neočekivanog i neželjenog ponašanja ovog sistema, odnosno da naruše njegovu bezbednost ili funkcionalnost.
Pružalac usluga dužan je da obezbedi da sve promene hardverskih i softverskih komponenata, uključujući i nove komponente i sisteme, budu testirane i odobrene pre puštanja u produkcijski rad, kao i da utvrdi plan vraćanja na prethodno stanje.
Pružalac usluga dužan je da unutrašnjim opštim aktom uredi proces upravljanja hitnim promenama hardverskih i softverskih komponenata informaciono-komunikacionog sistema.
- Pružalac usluga koji planira migraciju podataka na novu platformu za trgovanje virtuelnim valutama, uvođenje nove platforme za trgovanje virtuelnim valutama ili migraciju podataka u drugi računarski centar, odnosno koji vrši promenu lokacije računarskog centra – dužan je da o tome obavesti Narodnu banku Srbije najkasnije 30 dana pre početka testiranja planiranog u vezi s tom migracijom.
Obaveštenje iz stava 1. ove tačke naročito sadrži:
1) detaljne opise sistema između kojih se podaci prenose, odnosno opis nove platforme za trgovanje virtuelnim valutama;
2) plan, dinamiku i opis aktivnosti u vezi s prelaskom na novu platformu za trgovanje virtuelnim valutama, ili u vezi s prelaskom u drugi računarski centar;
3) rezultate procene rizika i opis kontrola koje će se primeniti tokom migracije podataka s ciljem očuvanja poverljivosti, integriteta i raspoloživosti podataka;
4) plan vraćanja na stanje pre migracije podataka, koji uključuje dinamiku tog vraćanja i opis aktivnosti, kao i kriterijume za donošenje odluke za primenu tog plana.
Izuzetno od stava 1. ove tačke, pružalac usluga koji planira migraciju podataka zbog statusne promene za koju je dužan da pribavi saglasnost, odnosno dozvolu Narodne banke Srbije – dužan je da, istovremeno sa zahtevom za davanje te saglasnosti, odnosno dozvole, Narodnoj banci Srbije dostavi i obaveštenje s podacima iz stava 2. ove tačke.
Narodna banka Srbije može zahtevati dodatnu dokumentaciju u vezi s relevantnim činjenicama o okolnostima migracije iz st. 1. i 3. ove tačke.
- Pružalac usluga dužan je da obezbedi izradu, čuvanje i redovno održavanje dokumentacije koja se odnosi na informaciono-komunikacioni sistem, kako bi ta dokumentacija u svakom trenutku bila tačna, potpuna i ažurna.
Pružalac usluga dužan je da svim korisnicima informaciono-komunikacionog sistema obezbedi pristup odgovarajućim dokumentima u skladu s potrebama posla.
- Pružalac usluga dužan je da obezbedi adekvatno i kontinuirano stručno osposobljavanje i obučavanje zaposlenih za korišćenje informaciono-komunikacionog sistema i očuvanje njegove bezbednosti i funkcionalnosti.
VIII POVERAVANJE AKTIVNOSTI U VEZI SA INFORMACIONO-KOMUNIKACIONIM SISTEMOM TREĆIM LICIMA
- Poveravanje aktivnosti u vezi sa informaciono-komunikacionim sistemom pružaoca usluga trećim licima (u daljem tekstu: poveravanje aktivnosti) obavlja se u skladu s propisima kojima se uređuje poslovanje pružalaca usluga i ovom odlukom.
Aktivnostima iz stava 1. ove tačke smatraju se sve aktivnosti koje obuhvataju obradu, čuvanje i/ili pristup podacima kojima raspolaže pružalac usluga a odnose se na njegovo poslovanje, kao i aktivnosti razvoja i/ili održavanja glavnih poslovnih aplikacija i platformi za trgovanje virtuelnim valutama.
Poveravanje aktivnosti uključuje i poveravanje aktivnosti licima povezanim s pružaocem usluga imovinskim i upravljačkim odnosima (lica sa učešćem, članovi grupe društava kojoj taj pružalac usluga pripada i dr.) koja posluju u Republici Srbiji ili u inostranstvu.
Poveravanjem aktivnosti ne smatra se korišćenje standardizovanih servisa ili telekomunikacionih usluga, kao ni nabavka softvera koji je kao gotovo rešenje komercijalno dostupan na tržištu (eng. off-the-shelf) i sl.
Poveravanje aktivnosti vrši se na osnovu ugovora zaključenog između pružaoca usluga i lica kome se te aktivnosti poveravaju (u daljem tekstu: treće lice).
Poveravanje aktivnosti u smislu ove odluke ne odnosi se na aktivnosti pružaoca usluga koje se neposredno odnose na pružanje usluga povezanih s virtuelnim valutama iz člana 3. stav 1. Zakona o digitalnoj imovini.
- Pružalac usluga koji namerava da poveri određene aktivnosti dužan je da uredi:
1) proces odlučivanja o poveravanju aktivnosti i kriterijume za donošenje te odluke;
2) način uključivanja tih aktivnosti u proces upravljanja rizicima i u sistem internog izveštavanja o rizicima;
3) način na koji obezbeđuje kontinuitet obavljanja aktivnosti koje je poverio i mere koje preduzima u slučaju raskida ugovornog odnosa s trećim licima, kao i u slučaju privremenog zastoja ili prestanka pružanja usluga trećih lica;
4) način vršenja nadzora nad obavljanjem aktivnosti koje je poverio, uključujući i nadzor nad usklađenošću tih aktivnosti s propisima, dobrim poslovnim običajima i opšteprihvaćenim standardima iz odgovarajuće oblasti.
- Pružalac usluga dužan je da obezbedi da treće lice njemu, spoljnom revizoru i Narodnoj banci Srbije omogući blagovremen i neograničen pristup dokumentaciji i podacima u vezi s poverenim aktivnostima.
Pružalac usluga dužan je da obezbedi da svaki ugovor zaključen s trećim licem sadrži odredbu kojom se treće lice obavezuje da ispuni obavezu iz stava 1. ove tačke, kao i odredbu koja pružaocu usluga omogućava da taj ugovor jednostrano raskine ako to naloži Narodna banka Srbije i u skladu s tim nalogom.
Pružalac usluga dužan je da Narodnoj banci Srbije omogući i nesmetano vršenje neposredne kontrole obavljanja poverenih aktivnosti u prostorijama trećeg lica, odnosno na lokaciji na kojoj se poverene aktivnosti obavljaju.
- Pružalac usluga dužan je da obezbedi da se poveravanjem aktivnosti ne ugrozi bezbednost ili funkcionalnost informaciono-komunikacionog sistema, kao i da podaci ostanu u njegovom posedu.
Pružalac usluga dužan je da obezbedi da treće lice poverene aktivnosti obavlja u skladu s politikom bezbednosti pružaoca usluga, kao i aktima i profesionalnim standardima kojima se uređuje bezbednost njegovog informaciono-komunikacionog sistema.
Pružalac usluga i treće lice dužni su da pri poveravanju aktivnosti, odnosno obavljanju poverenih aktivnosti postupaju u skladu sa zakonom kojim se uređuje zaštita podataka o ličnosti, kao i drugim propisima kojima se uređuje čuvanje tajne nastale u poslovanju pružaoca usluga.
- Pružalac usluga može određene aktivnosti da poveri, odnosno treće lice da promeni samo ako o tome obavesti Narodnu banku Srbije najkasnije 30 dana pre zaključenja ugovora o poveravanju aktivnosti.
Ako se ugovor iz stava 1. ove tačke menja a da se pritom ne menja poverena aktivnost, odnosno opseg poverenih aktivnosti (dodavanje novih funkcionalnosti, modula i sl.) ili se ne menja treće lice – pružalac usluga dužan je da najkasnije 15 dana pre zaključenja aneksa tog ugovora o tome obavesti Narodnu banku Srbije i dostavi joj nacrt tog aneksa.
Obaveštenje iz stava 1. ove tačke naročito sadrži:
1) odluku nadležnog organa pružaoca usluga o poveravanju aktivnosti, odnosno o promeni trećeg lica;
2) opis aktivnosti koje pružalac usluga namerava da poveri, obaveze i uslove koje je treće lice dužno da ispuni, kao i rok na koji će aktivnosti biti poverene;
3) osnovne podatke o trećem licu (poslovno ime, sedište, matični broj i PIB, odnosno drugi odgovarajući podaci za strano lice);
4) nacrt ugovora o poveravanju aktivnosti;
5) rezultate analize potencijalnog trećeg lica koja se odnosi na njegovu sposobnost pružanja usluga, finansijsko stanje i poslovnu reputaciju;
6) izlaznu strategiju kojom je pružalac usluga procenio moguće poteškoće i vreme potrebno za izbor novog trećeg lica ili mogućnost nastavka samostalnog obavljanja tih aktivnosti u slučaju prestanka pružanja ugovorenih usluga, koja mora da sadrži spisak mera i aktivnosti koje je potrebno preduzeti, kao i dinamiku njihovog sprovođenja od trenutka prestanka pružanja ugovorenih usluga do izbora novog trećeg lica ili potpunog uspostavljanja samostalnog procesa obavljanja tih aktivnosti;
7) rezultate procene uticaja poveravanja aktivnosti na kontinuitet poslovanja, reputaciju, troškove, finansijski rezultat i rizični profil pružaoca usluga;
8) dokaz o tome da propisi države, odnosno država u kojima treće lice posluje omogućavaju Narodnoj banci Srbije da nesmetano vrši neposrednu kontrolu poslovanja u delu koji se odnosi na obavljanje poverenih aktivnosti ili je u vezi s njima – ako treće lice ima sedište izvan Republike Srbije ili je ugovoreno da poverene aktivnosti obavlja izvan Republike Srbije.
Rok iz stava 1. ove tačke računa se od dana dostavljanja uredne dokumentacije iz ove tačke.
- Treće lice može drugom licu poveriti aktivnosti koje je pružalac usluga poverio njemu ili druge poslove koji su u vezi s tim aktivnostima, i to samo uz prethodnu saglasnost pružaoca usluga, koju on daje u svakom pojedinačnom slučaju, uz shodnu primenu odredaba tač. 38. do 40. ove odluke.
Pružalac usluga može saglasnost iz stava 1. ove tačke dati samo ako je najkasnije 30 dana pre toga obavestio Narodnu banku Srbije o nameravanom poveravanju aktivnosti ili poslova iz tog stava.
Obaveštenje iz stava 2. ove tačke naročito sadrži:
1) nacrt odluke nadležnog organa upravljanja pružaoca usluga o davanju saglasnosti iz stava 1. ove tačke;
2) opis aktivnosti koje treće lice namerava da poveri, kao i obaveza i uslova koje je drugo lice iz stava 1. ove tačke dužno da ispuni;
3) osnovne podatke o drugom licu iz stava 1. ove tačke (poslovno ime, sedište, matični broj i PIB, odnosno drugi odgovarajući podaci za strano lice);
4) nacrt ugovora između trećeg lica i drugog lica iz stava 1. ove tačke o poveravanju aktivnosti iz tog stava;
5) rezultate analize potencijalnog drugog lica iz stava 1. ove tačke koja se odnosi na njegovu sposobnost pružanja usluga, finansijsko stanje i poslovnu reputaciju;
6) revidiranu izlaznu strategiju kojom je pružalac usluga obuhvatio i drugo lice iz stava 1. ove tačke;
7) rezultate procene uticaja poveravanja aktivnosti iz stava 1. ove tačke na kontinuitet poslovanja, reputaciju, troškove, finansijski rezultat i rizični profil pružaoca usluga;
8) dokaz o tome da propisi države, odnosno država u kojima drugo lice iz stava 1. ove tačke posluje omogućavaju Narodnoj banci Srbije nesmetano vršenje neposredne kontrole poslovanja u delu koji se odnosi na obavljanje poverenih aktivnosti ili je u vezi s njima – ako to lice ima sedište izvan Republike Srbije ili je ugovoreno da poverene aktivnosti obavlja izvan Republike Srbije.
Rok iz stava 2. ove tačke računa se od dana dostavljanja uredne dokumentacije iz ove tačke.
- Pružalac usluga odgovara u celini za aktivnosti koje je poverio trećim licima.
Pružalac usluga dužan je da kontinuirano vrši nadzor nad pruženim uslugama, kao i proveru kvaliteta pruženih usluga u vezi s poverenim aktivnostima, naročito u delu koji se odnosi na bezbednost informaciono-komunikacionog sistema.
Ako u postupku kontrole, odnosno nadzora utvrdi da pružalac usluga, zbog propusta u radu trećeg lica ili drugog lica iz tačke 42. ove odluke, ne postupa u skladu sa ovom odlukom i drugim propisima – Narodna banka Srbije može pružaocu usluga naložiti da raskine ugovor o poveravanju aktivnosti zaključen s trećim licem i preduzeti druge mere u postupku nadzora nad poslovanjem pružaoca usluga.
- Pružalac usluga dužan je da Narodnoj banci Srbije dostavi ugovor iz tačke 37. stav 5. ove odluke, uključujući i anekse tog ugovora – u roku od 15 dana od dana zaključenja tog ugovora, odnosno aneksa.
U slučaju raskida ugovora iz stava 1. ove tačke, pružalac usluga dužan je da o tome bez odlaganja obavesti Narodnu banku Srbije.
IX ELEKTRONSKE USLUGE
- Pružalac usluga koji pruža elektronske usluge (u daljem tekstu: pružalac elektronskih usluga) dužan je da, kao sastavni deo upravljanja rizikom informaciono-komunikacionog sistema, uspostavi proces upravljanja rizicima koji proizlaze iz pružanja elektronskih usluga.
- Pružalac elektronskih usluga dužan je da pri pružanju elektronskih usluga primeni bezbedne i efikasne metode za proveru i potvrdu identiteta i ovlašćenja lica, procesa i sistema.
Pružalac elektronskih usluga dužan je da korisnicima virtuelnih valuta pri korišćenju elektronskih usluga obezbedi autentifikaciju koja uključuje kombinaciju najmanje dva međusobno nezavisna elementa za potvrđivanje korisničkog identiteta.
Izuzetno od stava 2. ove tačke, pružalac elektronskih usluga može primeniti autentifikaciju korisnika virtuelnih valuta koja se vrši korišćenjem jednog elementa za potvrđivanje korisničkog identiteta, u slučaju usluga koje su na osnovu analize rizika procenjene kao niskorizične.
Pružalac elektronskih usluga može da primeni autentifikaciju korisnika virtuelnih valuta iz stava 3. ove tačke samo ako je najmanje 30 dana pre dana početka pružanja usluge iz tog stava o tome obavestio Narodnu banku Srbije i uz to obaveštenje dostavio sveobuhvatnu i detaljnu analizu rizika i načina upravljanja rizicima.
Rok iz stava 4. ove tačke računa se od dana dostavljanja uredne dokumentacije iz tog stava.
- Pružalac elektronskih usluga dužan je da usvoji i primeni pravila kojima se na odgovarajući način, u skladu s procenom rizika i prihvaćenim standardima, ograničava broj pokušaja prijave na sistem za pružanje elektronskih usluga, odnosno pokušaja autentifikacije, da odredi najduže vreme bez aktivnosti korisnika virtuelnih valuta nakon prijave na taj sistem, kao i da utvrdi rokove važenja parametara autentifikacije.
Pri korišćenju jednokratnih lozinki radi autentifikacije (npr. One Time Password – OTP), pružalac elektronskih usluga dužan je da obezbedi da vremensko važenje te lozinke bude ograničeno na period koji je potreban za obavljanje autentifikacije.
Pružalac elektronskih usluga dužan je da utvrdi najveći mogući broj neuspešnih pokušaja prijave na sistem za pružanje elektronskih usluga nakon kojih će taj sistem biti trajno ili privremeno blokiran, kao i da uspostavi procedure za bezbedno ponovno aktiviranje ovog sistema.
Pružalac elektronskih usluga dužan je da utvrdi najduže moguće vreme bez aktivnosti korisnika virtuelnih valuta na sistemu za pružanje elektronskih usluga po prijavljivanju u taj sistem nakon kojeg dolazi do automatskog odjavljivanja korisnika iz ovog sistema (tzv. završetak sesije).
Pružalac elektronskih usluga dužan je da obezbedi odgovarajuću potvrdu svog identiteta na distributivnom kanalu za pružanje elektronskih usluga, kako bi korisnici mogli da provere pružaoca elektronskih usluga.
Pružalac elektronskih usluga dužan je da obezbedi postojanje operativnih i sistemskih zapisa kako bi se u odgovarajućoj meri obezbedila neporecivost i dokazivost radnji u vezi s pružanjem elektronskih usluga.
X ZAVRŠNA ODREDBA
- Ova odluka stupa na snagu osmog dana od dana objavljivanja u „Službenom glasniku Republike Srbije“, a primenjuje se od 29. juna 2021. godine.