Član 12

Operator IKT sistema od posebnog značaja dužan je da donese akt o bezbednosti IKT sistema (u daljem tekstu: akt o bezbednosti). Aktom o bezbednosti određuju se mere zaštite, a naročito principi, način i procedure postizanja i održavanja adekvatnog nivoa bezbednosti sistema, kao i ovlašćenja i odgovornosti u vezi sa bezbednošću i resursima IKT sistema od posebnog značaja. Akt o bezbednosti IKT sistema od posebnog značaja zasniva se na Aktu o proceni rizika iz člana 11. ovog zakona. Primena mera zaštite IKT sistema mora biti u skladu sa procenjenim rizicima, kako bi se obezbedila adekvatna zaštita sistema i minimizirao uticaj potencijalnih incidenata. Akt o bezbednosti mora da bude usklađen s promenama u okruženju i u samom IKT sistemu. Operator IKT sistema od posebnog značaja dužan je da, samostalno ili uz angažovanje spoljnih eksperata, vrši proveru iz prethodnog stava najmanje jednom godišnje i da o tome sačini izveštaj. Podzakonski akt kojim se bliže uređuje sadržaj akta o bezbednosti, način provere IKT sistema od posebnog značaja i sadržaj izveštaja o proveri, kao i dostavljanje izveštaja nadležnom organu, donosi Vlada na predlog Ministarstva.