Član 2

Pojedini termini u smislu ovog zakona imaju sledeće značenje: 1) informaciono-komunikacioni sistem (IKT sistem) je tehnološko-organizaciona celina koja obuhvata: (1) elektronske komunikacione mreže i usluge u smislu zakona koji uređuje elektronske komunikacije; (2) uređaje ili grupe međusobno povezanih uređaja, takvih da se u okviru uređaja, odnosno u okviru barem jednog iz grupe uređaja, vrši automatska obrada podataka korišćenjem računarskog programa; (3) podatke koji se vode, čuvaju, obrađuju, pretražuju ili prenose pomoću sredstava iz podtač. (1) i (2) ove tačke, a u svrhu njihovog rada, upotrebe, zaštite ili održavanja; (4) organizacionu strukturu putem koje se upravlja IKT sistemom; (5) sve tipove sistemskog i aplikativnog softvera i softverske razvojne alate; 2) operator IKT sistema je fizičko lice u svojstvu registrovanog subjekta, pravno lice, organ ili organizaciona jedinica organa koji koristi IKT sistem u okviru obavljanja svoje delatnosti, odnosno poslova iz svoje nadležnosti; 3) informaciona bezbednost predstavlja sposobnost informaciono- komunikacionih sistema i mreža da se odupru i/ili ublaže, uz određeni stepen pouzdanosti, svaki događaj koji bi mogao da ugrozi raspoloživost, integritet, autentičnost, neporecivost i poverljivost podataka koji se čuvaju, prenose ili obrađuju, kao i usluga koje se pružaju ili su dostupne putem tog IKT sistema; 4) integritet je svojstvo koje osigurava da podaci ili informacije nisu promenjeni ili uništeni na neovlašćeni način od kada su kreirani, preneti ili uskladišteni; 5) raspoloživost je svojstvo kojim se osigurava dostupnost i upotrebljivost IKT sistema na zahtev ovlašćenog subjekta ili procesa onda kada im je potreban; 6) autentičnost je svojstvo kojim se osigurava mogućnost da se proveri i potvrdi da je informaciju stvorio ili poslao onaj za koga se tvrdi da je tu radnju izvršio; 7) poverljivost je svojstvo kojim se osigurava da su informacije i funkcije IKT sistema dostupne samo ovlašćenim licima; 8) neporecivost predstavlja sposobnost dokazivanja da se dogodila određena radnja ili da je nastupio određeni događaj, tako da ga naknadno nije moguće poreći; 9) rizik predstavlja mogućnost gubitka ili poremećaja izazvanog incidentom i izražava se kao kombinacija veličine takvog gubitka ili poremećaja i verovatnoće nastanka incidenta; 10) ranjivost predstavlja slabost ili nedostatak u IKT proizvodima ili uslugama koji se mogu iskoristiti za realizaciju jedne ili više pretnji; 11) upravljanje rizikom je skup sistematičnih aktivnosti identifikacije, procene i uspostavljanje sistema kontrole rizika koji omogućava planiranje, organizovanje i usmeravanje mera zaštite kako bi se obezbedilo da rizici ostanu u propisanim i prihvatljivim okvirima; 12) izbegnuti incident predstavlja identifikovani događaj u IKT sistemu koji je mogao dovesti do značajnog ugrožavanja raspoloživosti, autentičnosti, integriteta, neporecivosti ili poverljivosti podataka, usluga ili sistema, ali je pravovremenom intervencijom ili zaštitnim merama sprečeno ostvarivanje štetnih posledica; 13) pretnja predstavlja svaku okolnost, događaj ili radnju koja može da ugrozi, poremeti ili na drugi način štetno utiče na IKT sistem, korisnike sistema i druga lica sa jasnom verovatnoćom nastajanja štete u slučaju da izostane reakcija; 14) ozbiljna pretnja predstavlja pretnju po informacionu bezbednost za koju se, s obzirom na njena tehnička svojstva, može pretpostaviti da ima potencijal da izazove značajne negativne posledice po IKT sistem, njegovog operatora ili korisnike usluga tog operatora uzrokujući značajnu materijalnu ili nematerijalnu štetu; 15) incident je svaki događaj koji ugrožava raspoloživost, integritet, autentičnost, neporecivost ili poverljivost podataka koji se čuvaju, prenose ili obrađuju ili usluge koje se pružaju, odnosno koje su dostupne putem IKT sistema; 16) zlonamerni softver je softver namerno kreiran sa ciljem da ošteti, poremeti, onemogući ili neovlašćeno pristupi informaciono-komunikacionim sistemima i obuhvata različite tipove štetnih programa, uključujući viruse, trojance, crve, ransomver i špijunski softver; 17) jedinstveni sistem za prijem obaveštenja o incidentima je informacioni sistem u koji se unose podaci o incidentima i izbegnutim incidentima u IKT sistemima od posebnog značaja koji mogu da imaju značajan uticaj na narušavanje informacione bezbednosti; 18) upravljanje incidentom podrazumeva preduzimanje svih radnji i postupaka čiji je cilj sprečavanje, otkrivanje, analiza i prekid incidenta, kao i preduzimanje drugih mera radi odgovora na incident i otklanjanja njegovih posledica; 19) kriza informacione bezbednosti je događaj ili stanje koje ugrožava, ometa rad ili onemogućuje rad IKT sistema od posebnog značaja i pri tom izaziva rizike, pretnje ili posledice po stanovništvo, materijalna dobra ili životnu sredinu izuzetno velikog obima i intenziteta koje nije moguće sprečiti ili otkloniti redovnim delovanjem nadležnih organa i službi, a odgovor na takav događaj ili stanje zahteva učešće više nadležnih organa, kao i primenu odgovarajućih mera; 20) mere zaštite IKT sistema su tehničke, organizacione, administrativne i fizičke mere za upravljanje bezbednosnim rizicima IKT sistema; 21) tajni podatak je podatak koji je, u skladu sa propisima o tajnosti podataka, određen i označen određenim stepenom tajnosti; 22) IKT sistem za rad sa tajnim podacima je IKT sistem koji je u skladu sa zakonom određen za rad sa tajnim podacima; 23) organ je državni organ, organ autonomne pokrajine, jedinica lokalne samouprave, organizacija i drugo pravno ili fizičko lice kome je povereno vršenje javnih ovlašćenja; 24) služba bezbednosti je služba bezbednosti u smislu zakona kojim se uređuju osnove bezbednosno-obaveštajnog sistema Republike Srbije; 25) samostalni operatori IKT sistema su ministarstvo nadležno za poslove odbrane, ministarstvo nadležno za unutrašnje poslove, ministarstvo nadležno za spoljne poslove, službe bezbednosti i Narodna banka Srbije; 26) Centar za prevenciju bezbednosnih rizika u IKT sistemima (u daljem tekstu: CERT) je funkcionalna celina u okviru organa ili pravnog lica koja obuhvata skup poslova koji se odnose na prevenciju i zaštitu od incidenata; 27) kompromitujuće elektromagnetno zračenje (KEMZ) predstavlja nenamerne elektromagnetne emisije prilikom prenosa, obrade ili čuvanja podataka, čijim prijemom i analizom se može otkriti sadržaj tih podataka; 28) kriptobezbednost je komponenta informacione bezbednosti koja obuhvata kriptozaštitu, upravljanje kriptomaterijalima i razvoj metoda kriptozaštite; 29) kriptozaštita je primena metoda, mera i postupaka radi transformisanja podataka u oblik koji ih za određeno vreme ili trajno čini nedostupnim neovlašćenim licima; 30) kriptografski proizvod je softver ili uređaj putem koga se vrši kriptozaštita; 31) kriptomaterijali su kriptografski proizvodi, podaci, tehnička dokumentacija kriptografskih proizvoda, kao i odgovarajući kriptografski ključevi; 32) bezbednosna zona je prostor ili prostorija u kojoj se, u skladu sa propisima o tajnosti podataka, obrađuju i čuvaju tajni podaci, kao i prostor ili prostorija koja je od ključnog značaja za očuvanje informacione bezbednosti IKT sistema; 33) informaciona dobra obuhvataju informacije koje se obrađuju u skladu sa funkcijom i namenom IKT sistema; elektronske zapise o konfiguraciji uređaja i elektronske komunikacione mreže; elektronske zapise o interakcijama u IKT sistemima, pristupu i upotrebi IKT sistema (tzv. log zapise); programski kôd; tehničku i korisničku dokumentaciju; elektronske zapise o interakcijama u elektronskoj komunikacionoj mreži (tzv. mrežni saobraćaj); informacije kojima se regulišu namena i korišćenje IKT sistema, procesi, mere zaštite i sl.; 34) usluga informacionog društva je usluga u smislu zakona kojim se uređuje elektronska trgovina; 35) pružalac usluge informacionog društva je pravno lice koje je pružalac usluge u smislu zakona kojim se uređuje elektronska trgovina; 36) mreža za isporuku sadržaja (Content Delivery Network – CDN) označava mrežu geografski raspoređenih servera koja je osmišljena da obezbedi visoku dostupnost, pristupačnost i brzu isporuku digitalnog sadržaja i usluga korisnicima interneta, u ime pružalaca sadržaja i usluga; 37) tačka za razmenu internet saobraćaja (engl. internet exchange point) je mrežna struktura koja pruža mogućnost povezivanja dve ili više nezavisnih mreža (autonomnih sistema) prvenstveno u svrhu olakšavanja razmene internet saobraćaja, i koja omogućuje međupovezivanje autonomnih sistema, u kom slučaju nije potrebno da internet saobraćaj između autonomnih sistema prođe kroz treći autonomni sistem, te koja takav saobraćaj ne menja i ne utiče na njega na drugi način; 38) sistem naziva domena (DNS) je distribuirani, hijerarhijski organizovan sistem koji povezuje nazive domena sa odgovarajućim IP adresama koje se koriste za usmeravanje i povezivanje korisničkih uređaja sa uslugama i resursima na internetu; 39) pružalac usluge DNS-a je subjekat koji pruža usluge razrešavanja DNS upita korisnicima interneta ili pruža uslugu autoritativnih servera imena za nazive domena koje koriste treća lica, sa izuzetkom korenskih (engl. root) servera imena; 40) usluga od poverenja je usluga u smislu zakona kojim se uređuje elektronski dokument, elektronska identifikacija i usluge od poverenja u elektronskom poslovanju; 41) pružalac usluge od poverenja je pružalac u smislu zakona kojim se uređuje elektronski dokument, elektronska identifikacija i usluge od poverenja u elektronskom poslovanju; 42) kvalifikovana usluga od poverenja je usluga u smislu zakona kojim se uređuje elektronski dokument, elektronska identifikacija i usluge od poverenja u elektronskom poslovanju; 43) pružalac kvalifikovane usluge od poverenja je pružalac u smislu zakona kojim se uređuje elektronski dokument, elektronska identifikacija i usluge od poverenja u elektronskom poslovanju; 44) usluge računarstva u klaudu (engl. „cloud computing service”) su digitalne usluge koje omogućavaju upravljanje na zahtev i široki daljinski pristup nadogradivom i elastičnom skupu deljivih računarskih resursa, uključujući i situacije kada su takvi resursi raspoređeni na nekoliko lokacija; 45) usluga centra za upravljanje i čuvanje podataka je usluga koja se pruža korišćenjem struktura ili grupa struktura namenjenih za centralizovano smeštanje, međupovezivanje i funkcionisanje računarske i mrežne opreme radi čuvanja, obrade i prenosa podataka, uključujući sve objekte i infrastrukturu za distribuciju električne energije i kontrolu uticaja na životnu sredinu; 46) naučnoistraživačka organizacija je organizacija u smislu zakona kojim se uređuju nauka i istraživanje; 47) javna elektronska komunikaciona mreža je elektronska komunikaciona mreža u smislu zakona kojim se uređuju elektronske komunikacije; 48) elektronska komunikaciona usluga je usluga u smislu zakona kojim se uređuju elektronske komunikacije; 49) pružalac upravljanih usluga je subjekt koji pruža usluge u vezi sa postavljanjem, upravljanjem, radom i održavanjem IKT proizvoda, mreža, infrastrukture, aplikacija ili druge mreže i informacionog sistema putem pružanja pomoći ili aktivnog upravljanja koje se sprovodi u prostorijama korisnika usluge ili na daljinu; 50) pružalac upravljanih bezbednosnih usluga je pružalac upravljanih usluga koji sprovodi ili pruža pomoć u sprovođenju aktivnosti u vezi sa upravljanjem rizikom u oblasti bezbednosti; 51) registar naziva domena najvišeg nivoa (engl. TLD name registry) označava subjekta kojem je dodeljen određeni domen najvišeg nivoa i koji je odgovoran za upravljanje domenom najvišeg nivoa, uključujući registraciju domena pod domenom najvišeg nivoa i tehničko funkcionisanje domena najvišeg nivoa, što obuhvata rad njegovih serverskih imena, održavanje baza podataka i distribuciju zona domena najvišeg nivoa preko serverskih imena, bez obzira na to da li se te aktivnosti obavljaju od strane samog subjekta ili su poverene trećim licima, osim u situacijama kada nazive domena najvišeg nivoa registar koristi isključivo za sopstvene potrebe; 52) pružalac usluge registracije naziva domena je registrator naziva domena ili drugi subjekt koji deluje u ime registratora ili za račun registratora; 53) IKT proizvod je element ili grupa elemenata u okviru informaciono-komunikacionog sistema; 54) IKT usluga je usluga koja se u potpunosti ili u većoj meri sastoji iz prenosa, čuvanja, preuzimanja ili obrade podataka korišćenjem IKT sistema; 55) IKT proces je skup aktivnosti koji se obavlja u cilju izrade, razvoja, korišćenja i održavanja IKT proizvoda ili IKT usluge; 56) TLP (Traffic Light Protocol) predstavlja standard za deljenje informacija u oblasti informacione bezbednosti, koji je uspostavljen u cilju obezbeđivanja efektivne saradnje i deljenja informacija od izvora informacije do jednog ili više primalaca. Protokol pruža jednostavnu i intuitivnu šemu od četiri oznake za upućivanje na to sa kim se potencijalno osetljive informacije mogu podeliti; 57) podatak o ličnosti je svaki podatak koji se odnosi na fizičko lice čiji je identitet određen ili odrediv, neposredno ili posredno, posebno na osnovu oznake identiteta, kao što je ime i identifikacioni broj, podataka o lokaciji, identifikatora u elektronskim komunikacionim mrežama ili jednog, odnosno više obeležja njegovog fizičkog, fiziološkog, genetskog, mentalnog, ekonomskog, kulturnog i društvenog identiteta; 58) administrator je lice koje je ovlašćeno i odgovorno za održavanje, upravljanje i obezbeđivanje funkcionalnosti i bezbednosti IKT sistema od posebnog značaja, u skladu sa odredbama ovog zakona i drugim važećim propisima. 59) tehnička specifikacija je dokument kojim se utvrđuju tehnički zahtevi koje treba da ispuni proizvod, proces ili usluga, u skladu sa zakonom kojim se uređuje standardizacija. Termini koji se koriste u ovom zakonu i propisima koji se donose na osnovu njega, a koji imaju rodno značenje, izraženi u gramatičkom muškom rodu, podrazumevaju prirodni ženski i muški pol lica na koja se odnose.