Član 31

U okviru poslova prevencije i zaštite od bezbednosnih rizika i incidenata Kancelarija vrši poslove Nacionalnog CERT-a, i to: 1) prikuplja i razmenjuje informacije o pretnjama, ranjivostima, izbegnutim incidentima i incidentima i pruža podršku, upozorava i savetuje lica koja upravljaju IKT sistemima u Republici Srbiji, kao i javnost; 2) prati stanje o incidentima u Republici Srbiji; 3) pruža rana upozorenja, uzbune i najave i informiše relevantna lica o pretnjama, ranjivostima i incidentima; 4) reaguje bez odlaganja po prijavljenim ili na drugi način otkrivenim incidentima u IKT sistemima od posebnog značaja, kao i po prijavama fizičkih i pravnih lica, tako što pruža savete i preporuke na osnovu raspoloživih informacija o incidentima i preduzima druge potrebne mere iz svoje nadležnosti na osnovu dobijenih saznanja; 5) na zahtev operatora IKT sistema od posebnog značaja, pruža pomoć u praćenju stanja bezbednosti IKT sistema u realnom vremenu ili približno realnom vremenu; 6) na zahtev operatora IKT sistema od posebnog značaja, vrši proaktivno skeniranje IKT sistema u cilju utvrđivanja ranjivosti koje mogu da potencijalno znatno naruše bezbednost IKT sistema, pri čemu takvo skeniranje ne sme imati štetan uticaj na poslove i delatnosti operatora; 7) postupa kao koordinator za potrebe koordiniranog otkrivanja ranjivosti, u skladu sa ovim zakonom; 8) učestvuje u razvoju i korišćenju tehnoloških alata za razmenu informacija sa operatorima IKT sistema od posebnog značaja i drugih subjekata sa kojima sarađuje; 9) kontinuirano izrađuje analize rizika i incidenata, na osnovu prikupljenih informacija; 10) podiže svest kod građana, privrednih subjekata i organa o značaju informacione bezbednosti, o rizicima i merama zaštite, uključujući sprovođenje kampanja u cilju podizanja te svesti; 11) vodi Evidenciju posebnih CERT-ova; 12) priprema izveštaje na kvartalnom nivou o preduzetim aktivnostima; 13) pruža podršku u prikupljanju i analiziranju forenzičkih podataka i pruža dinamičke analize rizika i incidenata u skladu sa propisima; 14) sarađuje sa CERT-ovima stranih država i na njihov zahtev pruža uzajamnu pomoć u skladu sa svojim kapacitetima i nadležnostima. Kancelarija podstiče primenu i korišćenje propisanih i standardizovanih procedura za: 1) upravljanje incidentima; 2) klasifikaciju informacija o incidentima, odnosno klasifikaciju prema nivou opasnosti incidenata; 3) upravljanje kriznim situacijama; 4) koordinirano otkrivanje ranjivosti. Kancelarija je ovlašćena da vrši obradu podataka o licu koje prijavi incident, pri čemu obrada podataka o licu obuhvata ime, prezime i broj telefona i/ili adresu elektronske pošte i vrši se u svrhu evidentiranja podnetih prijava, informisanja podnosioca prijave o statusu predmeta i, u slučaju potrebe, upućivanja prijave nadležnim organima radi daljeg postupanja, u skladu sa zakonom. Kancelarija obezbeđuje neprekidnu dostupnost svojih usluga putem različitih sredstava komunikacije. U okviru obavljanja poslova Nacionalnog CERT-a potrebno je obezbediti sledeće zahteve: 1) visok nivo dostupnosti komunikacionih kanala izbegavanjem jedinstvenih tačaka prekida i korišćenje više sredstava za dvosmerno kontaktiranje; 2) prostorije Nacionalnog CERT-a i informacioni sistemi za podršku treba da budu smešteni na sigurnim lokacijama; 3) upotrebu odgovarajućeg sistema za upravljanje zahtevima i njihovo usmeravanje, posebno kako bi se olakšala efikasna i efektivna razmena informacija; 4) obezbeđivanje poverljivosti i pouzdanosti svojih aktivnosti; 5) postojanje adekvatnih kadrovskih kapaciteta; 6) opremljenost redundantnim sistemima i rezervnim radnim prostorom kako bi se osigurao kontinuitet usluga. Podzakonski akt kojim se bliže uređuje postupak proaktivnog skeniranja IKT sistema iz stava 1. tačka 6) ovog člana, zaštitni, tehnički i bezbednosni uslovi i mere koje mora da ispuni subjekat koji neposredno vrši skeniranje, kao i procedura kojom se utvrđuju uslovi u cilju zaštite bezbednosti sistema, mreža i podataka kojima se pristupa i način izveštavanja nadležnog organa, donosi Vlada na predlog Ministarstva.