Član 8

Samostalni operator dužan je da: 1) podnese prijavu za upis u evidenciju IKT sistema od posebnog značaja; 2) preduzme odgovarajuće tehničke, operativne, organizacione i fizičke mere zaštite IKT sistema od posebnog značaja, upravljanje rizicima i prevenciju i smanjenje štetnih posledica incidenata; 3) donese akt o bezbednosti IKT sistema; 4) vrši proveru usklađenosti mera zaštite IKT sistema koje se primenjuju sa aktom o bezbednosti IKT sistema u skladu sa sopstvenim pravilima za proveru usklađenosti mera zaštite, a najmanje jednom godišnje; 5) uredi odnos sa trećim licima na način koji obezbeđuje preduzimanje mera zaštite tog IKT sistema u skladu sa zakonom, ukoliko poverava aktivnosti u vezi sa IKT sistemom od posebnog značaja sa trećim licima; 6) formira sopstveni CERT radi upravljanja incidentima u svojim sistemima. Samostalni operatori mogu da međusobno razmenjuju informacije o incidentima sa Kancelarijom za informacionu bezbednost, a po potrebi i sa drugim organizacijama. Na samostalne operatore ne primenjuju se odredbe ovog zakona o prijavljivanju incidenata koji značajno ugrožavaju informacionu bezbednost, odredbe o dostavljanju statističkih podataka o incidentima i odredbe o proaktivnom skeniranju mreže operatora IKT sistema od posebnog značaja. Samostalni operatori, mogu samostalno i u koordinaciji sa Kancelarijom za informacionu bezbednost, radi otkrivanja ranjivosti da vrše proaktivno skeniranje sopstvenih IKT sistema povezanih na Jedinstvenu informaciono-komunikacionu mrežu elektronske uprave. Samostalni operatori IKT sistema odrediće posebna lica, odnosno organizacione jedinice za internu kontrolu sopstvenih IKT sistema. Lica za internu kontrolu samostalnih operatora IKT sistema izveštaj o izvršenoj internoj kontroli podnose rukovodiocu samostalnog operatora IKT sistema.