PREDLOG NACIONALNIH STANOVIŠTA

PREDLOG NACIONALNIH STANOVIŠTA Naziv projekta - Resilience of Critical Infrastructure Protection in Europe (RECIPE) Projekat je finansiran od strane Mehanizma Unije za civilnu zaštitu, projekata pripravnosti i prevencije u civilnoj zaštiti i zagađenju mora 2014 Datum ažuriranja: 31. avgust 2015. godine

Humanitarian Aid and Civil Protection ECHO/SUB/2014/696006

1

PREDLOG NACIONALNIH STANOVIŠTA


SADRŽAJ

SKRAĆENICE ................................................................................................................................................. 2

1. OPIS PROJEKTA .................................................................................................................................... 3

2. SVRHA I CILJEVI PROJEKTA .......................................................................................................... 4

3. ANALIZA POSTOJEĆEG STANJA .......................................................................................... 7

4. DEFINICIJA, IDENTIFIKACIJA I ZAKONSKO REGULISANJE OBLASTI KRITIČNIH INFRASTRUKTURA U REPUBLICI SRBIJI .......................................................................9

5. JAVNO-PRIVATNO PARTNERSTVO U PODRUČJU ZAŠTITE KRITIČNIH INFRASTRUKTURA ................................................................................................................ 12

6. USPOSTAVLJANJE MEHANIZAMA ZA RAZMENU OSETLJIVIH INFORMACIJA / PODATAKA U SISTEMU ZAŠTITE KRITIČNIH INFRASTRUKTURA ....................... 22

7. USPOSTAVLJANJE PREDUSLOVA ZA RAZVOJ NACIONALNOG CENTRA ZA KRITIČNE INFRASTRUKTURE ............................................................................................ 27

8. ZAKLJUČAK ............................................................................................................................. 28

2



SKRAĆENICE

DUZS

EU

Državna uprava za zaštitu i spasavanje Republike Hrvatske

Evropska unija

EK Evropska komisija

FB

KI

NCKI

RECIPE

VVG

Fakultet bezbednosti, Univerzitet u Beogradu

Kritična infrastruktura

Nacionalni Centar za kritične infrastrukture

Resilience of Critical Infrastructure Protection in Europe

Veleučilište Velika Gorica

3



1. OPIS PROJEKTA

Koordinator projekta: Državna uprava za zaštitu i spašavanje (DUZS), Republika Hrvatska

Partneri u projektu:

Fakultet bezbednosti Univerziteta u Beogradu Veleučilište Velika Gorica (VVG), Republika Hrvatska Švedska agencija za vanredne situacije (Swedish Civil Contingencies Agency)

Područje implementacije:

Republika Hrvatska Republika Srbija Kraljevina Švedska

Cilj projekta: Osnaživanje otpornosti sistema zaštite kritičnih infrastruktura na nacionalnom i na evropskom nivou poboljšanjem načina upravljanja i zaštite kritičnih infrastruktura.

Izvor sufinansiranja: Evropska komisija - Glavna uprava za humanitarnu pomoć i civilnu zaštitu (DG ECHO http://ec.europa.eu/echo/).

U skladu sa Sporazumom o dodeli sredstava vrednost Projekta iznosi 408.675 €, sa stopom sufinansiranja od 75% (306.506 €).

Instrument finansiranja: Finansijski instrument za civilnu zaštitu - 2014 Poziv za podnošenje predloga za projekte spremnosti i prevencije.

Trajanje projekta: 01.01.2015. - 30.06.2016.

4



2. SVRHA I CILJEVI PROJEKTA

Neuspeh u funkcionisanju temeljnih sistema za podršku razvoju društva kao što su energija, saobraćajni sistemi i transport, sistemi telekomunikacija, životnih potreba za hranom i vodom, finansijski i zdravstveni sistem – navodimo samo neke, sadržava mogućnost masovnog štetnog uticaja na:

Dobrobit stanovništva i životne sredine, Funkcionisanje industrije i privrede, Slobodu i sposobnost vlada da funkcionišu i deluju.

Područje zaštite kritičnih infrastruktura jedno je od ključnih područja prioriteta Europske unije. Kritične infrastrukture s aspekta Europske unije definisane su kao: ''Imovina, sistem ili njihov deo koji se nalazi u državama članicama i neophodan je za održavanje vitalnih društvenih funkcija, zdravlja, sigurnosti, zaštite, ekonomskog i socijalnog blagostanja ljudi, čiji bi poremećaj rada ili čije bi uništenje, kao posledica neuspelog održavanja tih funkcija, moglo imati znatan uticaj u državi članici.''1

Republika Hrvatska je tokom 2013. godine donela propise u području zaštite kritičnih infrastruktura i to: Zakon o kritičnim infrastrukturama, Pravilnik o metodologiji za izradu analize rizika poslovanja kritičnih infrastruktura i Odluku o određivanju sektora iz kojih središnja tela državne uprave identifikuju nacionalne kritične infrastrukture, kao i liste redosleda sektora kritičnih infrastruktura.2

U maju 2014. godine, Konzorcijum sačinjen od partnera iz Republike Hrvatske, Republike Srbije i Kraljevine Švedske, učestvovao je na pozivu Europske komisije za projekte prevencije i pripravnosti u području civilne zaštite i iznenadnog zagađenja mora, s predlogom projekta na temu zaštite kritičnih infrastruktura pod nazivom „Resilience of Critical Infrastructure Protection in Europe“ ili skraćeno RECIPE.

Implementacija Projekta sprovodi se u Republici Hrvatskoj, Republici Srbiji i Kraljevini Švedskoj, a partneri su: Državna uprava za zaštitu i spašavanje kao koordinator, Veleučilište Velika Gorica iz Velike Gorice, Fakultet bezbednosti Univerziteta u Beogradu iz Srbije i Švedska

1 Član 2. Direktive Veća 2008/114/EC od 8. decembra 2008., godine o identifikaciji i određivanju evropskih

kritičnih infrastruktura i proceni potrebe za unapređenjem njihove zaštite (SL L 345/75, 23.12.2008.). 2 Zakon o kritičnim infrastrukturama Republike Hrvatske (Narodne novine, broj 56/13); Pravilnik o metodologiji

za izradu analize rizika poslovanja kritičnih infrastruktura (Narodne novine, broj 128/13); Odluka o određivanju sektora iz kojih središnja tijela državne uprave identificiraju nacionalne kritične infrastrukture te liste redosljeda sektora kritičnih infrastruktura (Narodne novine, broj 118/13).

5



agencija za vanredne situacije. Projekat je započeo 1. januara 2015. godine, s predviđenim završetkom 30. juna 2016. godine. Web stranica projekta www.recipe2015.eu

Budući da kritične infrastrukture čine okosnicu razvoja savremenog društva, njihova nedovoljna ili neodgovarajuća zaštita predstavlja izazov, kako nacionalnoj, tako i bezbednosti, ekonomiji i stabilnosti evropskih država i Evropske unije u celini. Uprkos naporima Evropske komisije i država članica, na nivou Evropske unije ne postoji jedinstven nivo razvoja ni saglasnosti o načinima zaštite evropskih kritičnih infrastruktura.

Svrha projekta RECIPE je omogućavanje uspostavljanja platforme za razmenu iskustava i najboljih praksi između stručnjaka i država koje se nalaze na različitim nivoima razvoja u zaštiti kritičnih infrastruktura.

Navedeno se planira ostvariti kroz: unapređenje komunikacije i saradnje između relevantnih učesnika javnog i privatnog sektora, aktivnije uključivanje akademske zajednice kao i poboljšanje uslova za intenzivnije naučno-istraživačke aktivnosti u području upravljanja rizicima kritičnih infrastruktura.

Glavni ciljevi i interes partnera u ovom projektu je razvijanje nekoliko primenljivih i efikasnih modela za:

Javno-privatno partnerstvo u području zaštite kritičnih infrastruktura, Uspostavljanje mehanizma za razmenu osetljivih informacija/podataka između

strana u sistemu zaštite kritičnih infrastruktura, Uspostavljanje preduslova za razvoj nacionalnog Centra za kritične infrastrukture.

Pristup projektnom zadatku i očekivani rezultati

Projekat „Resilience of Critical Infrastructure Protection in Europe“ podeljen je u četiri komponente/aktivnosti i to:

Panel diskusije, Zajedničke radionice, Međunarodna naučna konferencija, Strategija za nastavak – follow up strategy.

Tokom trajanja projekta organizovane su dve jednodnevne panel diskusije – dve u Zagrebu i dve u Beogradu, koje su kao rezultat predstavile moguće nacionalne stavove nacionalni stavovi u vezi procene sadašnje nacionalne legislative i prakse, njihova uporišta i nedostaci, zatim mogućnosti za poboljšanje kao i analize propisa i prakse u području identifikacije i međuzavisnosti kritičnih infrastruktura u odnosu na zahteve Direktive 2008/114/EC.

6



Zajedničke radionice partnera u okviru projekta – na kojima će učesnici na temelju nacionalnih stavova, formiranih na panel diskusijama, razmenjivati iskustva i dobru praksu, što na kraju treba rezultirati Uputstvima/Smernicama za bolje i efikasnije upravljanje kritičnim infrastrukturama.

Međunarodna naučna konferencija objedinjuje postignute rezultate i osigurava zaključke za razvoj politika zaštite kritičnih infrastruktura uopšte, s naglaskom na javno-privatno partnerstvo u području zaštite kritičnih infrastruktura, izazove i mehanizme za razmenu osetljivih podataka/informacija između učesnika u sistemu zaštite kritičnih infrastruktura te uspostavu preduslova za razvoj nacionalnih centara za kritične infrastrukture.

Kroz strategiju za nastavak – follow up strategy definisaće se budući oblici saradnje i rešenja za druge potrebe u sistemu upravljanja kritičnim infrastrukturama, na primer obuka i osposobljavanje.

Sveukupni očekivani rezultati projekta su:

Kontinuirana i sveobuhvatna razmena znanja i iskustava kroz aktivnu promociju primera dobre prakse između zemalja.

Unapređenje znanja, stavova i ponašanja u odnosu na rizike koji prete kritičnim infrastrukturama.

Široka baza znanja o prevenciji katastrofalnih događaja. Unapređena komunikacija između nacionalnih i međunarodnih strana. Obezbeđivanje uzajamne podrške i razvijanje novih mehanizama saradnje između svih

relevantnih partnera iz javnog i privatnog sektora. Omogućavanje boljih uslova za podršku naučnoj i istraživačkoj aktivnosti u području

upravljanja rizicima kritičnih infrastruktura. Smernice za uspostavljanje optimalnog sistema upravljanja rizikom kritičnih

infrastruktura u državama partnerima. Smernice stavljene na raspolaganje Evropskoj komisiji za dalju diseminaciju i upotrebu. Povećana otpornost i nivo zaštite evropskih kritičnih infrastruktura kao rezultat

poboljšane koordinacije i saradnje između učesnika. Uspostavljena metodologija procene zaštite sistema na temelju sistemskog pristupa. Definisana dugoročna strategija o upravljanju kritičnim infrastrukturama u obuhvaćenim

državama. Utvrđene i definisane potrebe za daljim obrazovanjem i obukom javnog i privatnog

sektora (obrazovni programi, razmena stručnjaka).

7



3. ANALIZA POSTOJEĆEG STANJA

Kritična infrastruktura je relativno nov pojam u Srbiji, budući da se kao termin prvi put pominje tek 2011. godine u Uredbi o sadržaju i načinu izrade plana zaštite i spasavanja u vanrednim situacijama (Službeni glasnik RS, br 8/2011). Naime, Uredba u članu 8 ističe procenu kritične infrastrukture sa gledišta elementarnih nepogoda i drugih većih nesreća, ali ne pruža tumačenje definicije ovog pojma.

Takođe, Uputstvom o metodologiji za izradu procene ugroženosti i planova zaštite i spasavanja utvrđuju se kriterijumi za procenu deset sektora kritičnih insfrastruktura sa stanovišta nihove ugroženosti od elementarnih nepogoda i drugih nesreća. Iako metodologija sadrži najsveobuhvatniji pristup u zaštiti kritičnih infrastruktura u domaćem zakonodavstvu, on je orijentisan na identifikovanje izvora opasnosti i posledica koje poremećaji i prekid u funkcionisanju infrastruktura ima po ekonomiju i ekologiju. Pristup sadržan u metodologiji ne obuhvata procenu ranjivosti i otpornosti kritičnih infrastruktura na sve vrste pretnji, kao i mere povećanja otpornosti koje treba da umanje štetne posledice elementarnih i drugih nesreća na same infrastrukture, uključujući i efekte međuzavisnosti. Posebno se ukazuje potreba da se razviju modeli i metode za podizanje otpornosti sistema kritičnih infrastruktura u cilju unapređenja kapaciteta kojima se amortizuju efekti pretnji na štićene vrednosti. Iz navedenog razloga, potrebno je definisati kriterijume za identifikaciju potencijalnih pretnji/opasnosti i generisanje opasnosti i međuzavisnosti prilagođene različitim sektorima kritičnih infrastruktura u skladu sa međunarodnim, evropskim i nacionalnim standardima.

Dakle, oblast ZKI je još uvek zakonski neuređena, te je prvenstveno neophodno doneti Zakon o zaštiti kritične infrastrukture čime bi se uspostavio normativni okvir za definisanje, identifikaciju, određivanje i zaštitu nacionalne i evropske kritične infrastrukture. Nakon usvajanja Zakona o KI biće potrebno usvojiti i podzakonska akta koja će obezbediti praktična rešenja i kriterijume za identifikaciju KI i sektora KI.

Ipak, identifikacija KI neće krenuti od nule, jer ju je moguće zasnivati na nekim drugim postojećim pravnim aktima. Naročito treba uvažiti Zakon o odbrani (kao i njemu pripadajuća podzakonska akta) ("Sl. glasnik RS", br. 116/2007, 88/2009, 88/2009 - dr. zakon, 104/2009 - dr. zakon i 10/2015), koji daje definiciju objekata od posebnog značaja za odbranu, za koje se smatraju: veliki tehničko-tehnološki sistemi, objekti u kojima se proizvode, skladište ili čuvaju predmeti ili vrše usluge za potrebe odbrane, objekti u kojima su smešteni državni organi i pravna lica od posebnog značaja za odbranu zemlje, kao i određeni infrastrukturni objekti. Pre svega reč je o odbrambenoj (namenskoj) industriji Srbije, ali i drugim industrijskim i infrastrukturnim objektima koji za vreme ratnog ili vanrednog stanja, kao i pri mobilizaciji Vojske Srbije prvenstveno vrše usluge koje utvrdi Ministarstvo odbrane.

8



Zakon o privatnom obezbeđenju ("Sl. glasnik RS", br. 104/2013), u članovima 4 i 5 definiše pojam “obavezno obezbeđenih objekata”, kao “objekata od strateškog značaja za Republiku Srbiju i njene građane, kao i objekata od posebnog značaja čijim oštećenjem ili uništenjem bi mogle nastupiti teže posledice po život ili zdravlje ljudi ili koji su od interesa za odbranu zemlje.” Takođe, pod obavezno obezbeđenim objektima podrazumeva se i prostor na kome se oni nalaze, kao i prateći objekti. Pored ova dva zakona, drugi najvažniji zakoni i strateški dokumenti kojima se direktno i inderektno štiti KI su: Zakon o vanrednim situacijama (Službeni glasnik Republike Srbije, broj 111/2009), Nacionalna strategija zaštite i spasavanja u vanrednim sitaucijama, (Službeni glasnik Republike Srbije, broj 86/2011), Zakon o zaštiti životne sredine ("Sl. glasnik RS", br. 135/2004, 36/2009, 36/2009 - dr. zakon, 72/2009 - dr. zakon i 43/2011 - odluka US), Zakon o tajnosti podataka ("Sl. glasnik RS", br. 104/2009), Zakon o planiranju i izgradnji (“Sl. glasnik RS“, br. 72/2009), Zakon o vodama (Sl. glasnik RS br. 30/10 , 93/12 ) i drugi relevantni dokumenti. Kao sledeće korake potrebno je izvršiti prioritizaciju identifikovane KI, a zatim regulisati one aspekte zaštite kritične infrastrukture koji su se u dosadašnjoj evropskoj i globalnoj praksi pokazali kao naročito problematični a to su javno-privatno partnerstvo i razmena osetljivih informacija.

9



4. Definicija, identifikacija i zakonsko regulisanje oblasti kritičnih infrastruktura u Republici Srbiji Analizom međunarodnih iskustava u oblasti identifikovanja i zaštite kritične infrastrukture utvrđeno je da definicija kritične infrastrukture i njen sadržaj ne mogu biti identični u svakoj državi ponaosob pa je logično da se ta definicija i sadržaj moraju utvrditi na nacionalnom nivou što važi i za R.Srbiju.

Da bismo bili sigurni na koji sadržaj pojma KI se oslanjamo i koje su njegove okvirne granice, potrebno je doneti Zakon o zaštiti kritične infrastrukture čime bi se uspostavio normativni okvir za definisanje, identifikaciju, određivanje i zaštitu nacionalne i evropske kritične infrastrukture; kao i podzakonskih akata koji će obezbediti praktična rešenja i kriterijume za identifikaciju KI.

Donošenje Zakona o ZKI obaveza je Republike Srbije u procesu pridruživanja Evropskoj uniji. Akcioni plan o poglavlju 24 za pridruživanje EU prepoznaje Ministarstvo unutrašnjih poslova Republike Srbije kao nosioca budućeg zakona. U okviru MUP-a, Sektor za vanredne situacije R.Srbije je telo koje je dužno da koordinira aktivnosti na uspostavljanju međuresorne radne grupe koja će imati za cilj definisanje nacionalne politike u oblasti zaštite kritične infrastrukture.

U budući Zakon o ZKI, ali i u druge zakone relevantne za ZKI treba preuzeti odredbe sadržane u Direktivi EU o zaštiti kritičnih infrastruktura (Direktiva 2008/114/EC). U tom smislu, neophodno je izvršiti izmene i dopune Strategije zaštite i spasavanja u vanrednim situacijama i Zakona o vanrednim situacijama u delu koji bi se odnosio na oblast ZKI. Radi efikasne zaštite kritične infrastrukture i sveobuhvatnog pravnog regulisanja ove oblasti biće potrebno implementirati postojeći Zakon o tajnosti podataka, koji po mišljenju stručnjaka, postoji samo na papiru. Zatim, treba konačno doneti Zakon o informacionoj bezbednosti (na čijem se Nacrtu radi već više od tri godine), Uredbe o kriptozaštiti, kao i Strategije sajber bezbednosti.

Prilikom identifikacije kritičnih infrastruktura i sektora kritičnih infrastruktura poželjno bi bilo krenuti od međunarodnog, u najmanju ruku od regionalnog nivoa. Iako jedan broj razvijenih zemalja identifikuje preko deset sektora (uključujući Republiku Hrvatsku, koja je identifikovala jedanaest sektora) treba biti realističan i ne praviti previše detaljan popis objekata usled ograničenosti budžeta, koji se usled toga ne bi mogli zaštititi na optimalan način. U narednom koraku, praktično bi bilo identifikovati KI na različitim nivoima, osim regionalnog i nacionalnog. KI se mogu identifikovati i na gradskom, lokalnom, pa i na sektorskom nivou.Preliminarnu identifikaciju i klasifikaciju KI moguće je uraditi i bez važećih zakonskih akata, ukoliko se definišu kriterijumi i resorne sektorske analize.

10



Izdvajanjem onih infrastruktura koje se pojavlјuju u skoro svim zemlјama sa definisanom politikom zaštite kritične infrastrukture dobija se sledeći predlog šireg spiska kritičnih infrastruktura u Srbiji:

• Energetika (proizvodnja, prenos distribucija i skladištenje energenata (gasa i nafte) i električne energije),

• Informacione, digitalne i komunikacione tehnologije (elektronska komunikacija, prenos podataka, informacioni sistemi, pružanje audio i multimedijalnih usluga),

• Transport (drumski, železnički, vazdušni, vodni), • Zdravstvo (bolnice, proizvodnja lekova), • Vode (snabdevanje pijaćom vodom, brane, obrada otpadnih voda, zaštita voda), • Hrana (proizvodnja, snabdevanje hranom, bezbednost hrane, robne zalihe), • Finansije (bankarstvo, berze, investicije, sistemi osiguranja i plaćanja) i • Javne službe (očuvanje javnog reda i mira, zaštita i spasavanje, hitna medicinska

pomoć).

Različita ministarstva, sektori i resori poseduju zasebne kriterijume i klasifikacije objekata pod njihovom ingerencijom. Zakon o odbrani daje definiciju objekata od posebnog značaja za odbranu, za koje se smatraju: veliki tehničko-tehnološki sistemi, objekti u kojima se proizvode, skladište ili čuvaju predmeti ili vrše usluge za potrebe odbrane, objekti u kojima su smešteni državni organi i pravna lica od posebnog značaja za odbranu zemlje, kao i određeni infrastrukturni objekti. U Planu odbrane donetom krajem 2013. godine navedeno je na stotine tehničko-tehnoloških sistema, i za sve njih postoje planovi odbrane, a Uputstvo o izradi planova odbrane 2013. godine daje metodologiju na osnovu koje su ti tehničko-tehnološki sistemi identifikovani. Stoga je moguće da se budući planovi zaštite kritičnih infrastruktura uvrste u planove odbrane. Pored zakona i planova odbrane za buduću identifikaciju i klasifikaciju KI u Srbiji relevantna su i sledeća podzakonska akta:

• Odluka o objektima od posebnog značaja za odbranu (“Sl. glasnik RS”, br. 112/2008),

• Odluka o određivanju velikih tehničkih sistema od značaja za odbranu (“Sl. glasnik RS”, br.41/2014 i 35/2015),

• Odluka o određivanju proizvoda i usluga od posebnog značaja za odbranu Republike Srbije (“Sl. glasnik RS”, br.58/2008) i

• Odluka o vrstama investicionih objekata i prostornih i urbanističkih planova značajnih za odbranu zemlje (“Sl. Glasnik SRJ”, br. 39/95).

Navedena dokumenta pre svega pominju odbrambenu (namensku) industriji Srbije, ali i druge industrijske i infrastrukturne objekte koji za vreme ratnog ili vanrednog stanja, kao i pri mobilizaciji Vojske Srbije prvenstveno vrše usluge koje utvrdi Ministarstvo odbrane.

11



Takođe, za identifikaciju KI relevantan je i Zakon o planiranju i izgradnji (Sl. glasnik RS", br. 72/2009, 81/2009 - ispr., 64/2010 - odluka US, 24/2011, 121/2012, 42/2013 - odluka US, 50/2013 - odluka US, 98/2013 - odluka US, 132/2014 i 145/2014), kao i pripadajući planovi: Prostorni plan RS, zatim regionalni i lokalni planovi. Posebno su značajni prostorni planovi područja posebne namene, jer se ona gotovo u potpunosti poklapaju sa kritičnim infrastrukturama. Zaključak poglavlja U cilju pojmovnog određenja, identifikacije, uspostavljanja sistema zaštite i unapređenja otpornosti kritičnih infrastruktura ovu oblast potrebno je zakonski regulisati. Pre svega, neophodno je doneti Zakon o zaštiti kritičnih infrastruktura, podzakonska akta koja će preciznije regulisati posebne izazove kao što su: identifikacija sektora kritičnih infrastruktura, identifikacija kritičnih infastruktura u posebnim sektorima, klasifikacija i prioritizacija identifikovanih kritičnih infrastruktura, javno-privatno partnerstvo, zaštita osetljivih informacija. U ovom postupku neće se krenuti od nule, jer postojeći pravni okvir pruža solidnu osnovu za uključivanje pojedinih odredbi u novi zakon i pripadajuća podzakonska akta. U postojeće referentne zakone i podzakonska akta treba uključiti novi termin “kritična infrastruktura” i uskladiti ih sa Zakonom o KI kada bude stupio na snagu.

Iako nije direktno vezano za regulisanje oblasti KI neophodno je izvršiti pojmovna određenja i razgraničenja vanrednog i ratnog stanja u odnosu na vanredne situacije.

12



4. JAVNO-PRIVATNO PARTNERSTVO U PODRUČJU ZAŠTITE KRITIČNIH INFRASTRUKTURA

Apstrakt

Cilj projektnog predloga jeste uspostavljanje platforme za javno-privatno partnerstvo u području jačanja otpornosti i zaštite kritičnih infrastruktura koja će pružiti logiku i načela za sledeća područja interesa: koncept saradnje; projekti; sigurnost; kreiranje novog i unapređenje postojećeg normativnog okvira; identifikacija kritičnih infrastruktura; prioritizacija vitalnih kritičnih infrastruktura; razvoj programa i alata za postizanje i unapređenje otpornosti i zaštite. Javno-privatno partnerstvo (u daljem tekstu - JPP) je jedan od ključnih činilaca procesa zaštite kritične infrastrukture (u daljem tekstu - ZKI). U većini razvijenih zemalja sveta KI su uglavnom u privatnom vlasništvu (procenjuje se na 80%). Premda precizni podaci ne postoje, taj procenat je u Srbiji i regionu Zapadnog Balkana niži, međutim može se očekivati njegovo povećanje uzevši u obzir globalne trendove liberalizacije tržišta. Prema Saopštenju Evropske Komisije o načelima razvoja JPP „Javno-privatno partnerstvo omogućava efikasan način sprovođenja infrastrukturnih projekata i pružanja javnih usluga te promoviše inovativan pristup u primeni mera ekonomskog oporavka“.3

U savremenom društvu „rizika“ koje je izloženo sve većem broju bezbednosnih pretnji i izazova – od klimatskih promena do organizovanog kriminala i terorizma, saradnja, uključujući i razmenu znanja i iskustava, između privatnog i javnog sektora je od ključnog značaja. Naime, države i državne institucije „sile“ nemaju kapaciteta za samostalno zadovoljavanje bezbednosnih potreba društva, što je posebno primetno u sferi zaštite. Glavni mehanizam saradnje između činilaca koji mogu uticati na efikasnije rešavanje bezbednosnih problema jeste JPP. Javno-privatno partnerstvo, kao model odnosa između javnog i privatnog sektora, utemeljuje se na uočavanju i primeni koristi koje javni i privatni sektor mogu imati od udruživanja sredstava, ali i ekspertize (znanja), u svrhu poboljšanja i ispunjenja potreba zajednice. Takvo partnerstvo kombinuje znanje, sredstva i prednosti oba sektora, usklađujući društvenu i javnu odgovornost te efikasno upravljanje, finansijske mogućnosti i „preduzetnički duh“ svojstven privatnom sektoru. Navedeno može rezultirati kvalitetnijom i efikasnijom zaštitom javnog interesa u području kritičnih infrastruktura.

3 Saopštenje Komisije Evropskom parlamentu, Veću, Evropskom ekonomskom i socijalnom odboru te Odboru

regija (2009) "Pokretanje privatnog i javnog ulaganja za oporavak i dugoročnu strukturalnu promenu: Razvoj javno-privatnih partnerstava".

13



U području zaštite i otpornosti kritičnih infrastruktura treba težiti onim zajedničkim inicijativama javnog i profitnog sektora u kojima će svaki subjekt doprineti određenim resursima i sarađivati u procesima planiranja i odlučivanja.

Naravno, treba uzeti u obzir da u javno-privatnom partnerstvu postoje određene razlike u „pristupu“ konceptu saradnje između navedenih partnera. Na primer, može doći do manifestacije „profitnih motiva“ privatnih preduzeća, dok javni sektor može nametati „birokratizovano“ razmišljanje i odlučivanje te tako demotivisati drugu stranu. Kako bi se moguće razlike prevladale, bitno je koncentrisati se na širi cilj koji treba postići, a to je zaštita kritične infrastrukture uz svest da saradnja „javnog i privatnog“ uprkos potencijalnim otežavajućim faktorima donosi prednosti, kao što je, na primer, efikasnija implementacija – privatni sektor ima znanje i resurse da u kratkom vremenskom razdoblju sprovede postavljene ciljeve, što ponekad predstavlja poteškoće javnom sektoru koji raspolaže ograničenim budžetom.

CoESS (Confederation of European Security Services) identifikovala je bitne primere javnih i privatnih organizacije koje zajedno rade na obezbeđivanju i zaštiti kritične infrastrukture. Prema ovim primerima “dobre prakse”, kvalitetno JPP treba da ispunjava sledeće kriterijume: otvoren dijalog između odgovornih javnih organa i pružaoca usluga privatnog obezbeđenja, jasna uputstva o ulozi svakog partnera, jasni pravni i ugovorni okvir, redovne procene momenata i neophodne ispravke i poboljšanja kada i gde je to potrebno. Interakcija mora da postoji u okviru dobro formalno obavezanih zajedničkih struktura koje su posebno uspostavljene u smislu datog partnerstva.

Kako bi se ispunili ti kriterijumi i optimizovao uspeh i efikasnost partnerstva između javnog sektora za obezbeđenje i privatnog sektora za obezbeđenje i zaštitu kritične infrastrukture, od vitalnog je značaja da svaki partner u potpunosti razume svoju ulogu, odgovornosti i ograničenja. CoESS smatra da usled nedostatka poznavanja ovih elemenata, partnerstvo između javnog i privatnog sektora na polju obezbeđenja i zaštite kritične infrastrukture širom Evrope nije i dalje dovoljno razvijeno i ne koristi se kako bi se dostigao njegov maksimalni potencijal.

Firme iz sektora privatne bezbednosti angažuju se na ZKI putem javnih nabavki. Od ključne je važnosti da privatno obezbeđenje dostigne određen nivo kompetentnosti za te poslove, a isto je neophodno i u slučaju državnih bezbednosnih institucija – vojske i policije. Uočeno je da se veliki problemi javljaju u procesu javnih nabavki usluga privatnog obezbeđenja, jer je jedini kriterijum najniža ponuđena cena, iako Direktive EU daju jasne smernice da se obavezno primenjuje kriterijum ekonomski najpovoljnije ponude, kao i konkurentni dijalog. Kako je cena usluga privatnog obezbeđenja u Srbiji najniža u Evropi, postavlja se veliko pitanje kvaliteta usluga ako se u takvim uslovima bira najjeftinija ponuda. To može imati ozbiljne posledice po zaštitu krtičnih infrastruktura, budući da veliki broj njih obezbeđuju firme koje karakteriše nizak nivo kvaliteta usluga, obučenosti kadra, opreme i dr.

14



Iako mnogi nacionalni propisi o privatnom obezbeđenju teže da garantuju u najmanju ruku minimalan nivo kvaliteta kroz stoge kriterijume za osnivanje kompanije za privatno obezbeđenje ili za rad sa službenicima privatnog obezbeđenja, posebna pažnja treba da se posveti pojedinostima kritične infrastrukture. CoESS stoga predlaže da nacionalni propisi koji se tiču privatnog obezbeđenja uključe posebne licence ili ovlašćenja kada je reč o obezbeđenju i zaštiti kritične infrastrukture. To se može postići kroz dodatno licenciranje i kriterijume rada za kompanije za privatno obezbeđenje u želji da se obezbedi kritična infrastruktura ili kroz obavezne posebne programe obuke za službenike privatnog obezbeđenja u ovoj oblasti. Strategija nacionalne bezbednosti RS i javno-privatno partnerstvo Strategija nacionalne bezbednosti Republike Srbije doneta 2009. godine identifikuje javno-privatno partnerstvo kao pitanje od veoma velike važnosti za nacionalnu bezbednost: “Važnu pretpostavku ostvarivanja i unapređenja zaštite života i imovine građana, ljudskih i manjinskih prava čini saradnja državnih organa sa subjektima iz oblasti privatnog obezbeđenja i drugim institucijama, ustanovama, lokalnim samoupravama, strukovnim udruženjima, crkvama i verskim zajednicama, medijima, manjinskim zajednicama, organizacijama civilnog društva i građanima, čime se razvijaju odnosi poverenja, izgrađuje i jača bezbednost i rešavaju bezbednosni problemi” Posebno pitanje koje treba biti obuhvaćeno ovom problematikom jeste uloga privatnog obezbeđenja koje ima sve veću ulogu u sprovođenju politike unutrašnje bezbednosti. U Strategiji nacionalne bezbednosti Republike Srbije navodi se sledeće: “Sve veću odgovornost u sprovođenju politike unutrašnje bezbednosti, zajedno sa državnim i ostalim organima i institucijama, imaju subjekti iz oblasti privatnog obezbeđenja čija delatnost obuhvata zaštitu bezbednosti pojedinaca, objekata i drugih materijalnih dobara koja nije obuhvaćena zaštitom nadležnih državnih organa. Od posebnog društvenog značaja je da delatnost subjekata iz oblasti privatnog obezbeđenja bude u celosti normativno i doktrinarno uređena.” Zakon o javno-privatnom partnerstvu i kritična infrastruktura

Može se očekivati da će se pojedine odredbe budućeg Zakona o KI zasnivati na Zakonu o javno-privatnom partnerstvu (u daljem tekstu JPP) donet 2011 godine („Službeni glasnik RS br.88/2011“). Zakon o JPP ne prepoznaje termin kritična infrastruktura, usled nepostojeće zakonske regulative o KI. Međutim, jasno je da će se mnogi objekti i usluge od javnog značaja koje ovaj zakon pominje ući u okvir budućeg Zakona o KI i podzakonskih akata iz te oblasti.

Prema ovom Zakonu, JPP je dugoročna saradnja između javnog i privatnog partnera radi obezbeđivanja finansiranja, izgradnje, rekonstrukcije, upravljanja ili održavanja infrastrukturnih i drugih objekata od javnog značaja i pružanja usluga od javnog značaja, koje može biti ugovorno ili institucionalno. (član 7) Rok saradnje ne može biti kraći od pet, niti duži od pedeset godina (član 18).

15



Član 4 Zakona o JPP definiše javnog partnera kao jedno ili više javnih tela, odnosno pravno lice koje je, u skladu sa ovim zakonom nadležno za davanje koncesije, koje sa privatnim partnerom ili društvom za posebne namene zaključuje javni ugovor, ili jedno ili više javnih tela koje je sa privatnim partnerom povezano članstvom u zajedničkom privrednom društvu.

Privatni partner definisan je kao fizičko ili pravno lice, domaće ili strano, sa domaćim ili stranim učešćem ili bez njega, ili konzorcijum jednog ili više takvih fizičkih ili pravnih lica koja su odabrana u postupku javne nabavke ili postupku davanja kocesije i koji sa javnim partnerom zaključuje javni ugovor ili u tu svrhu osniva društvo za posebne namene, ili sa javnim partnerom osniva zajedničko privredno društvo.

Zanimljivo je napomenuti da se u članu 3 pomenutog zakona navodi da se on ne primenjuje na JPP ako je predmet tog partnerstva eksploatacija javne telekomunikacione mreže, odnosno pružanje telekomunikacionih usluga. Stav 2 istog člana, takođe ističe neprimenjivanje zakona u slučaju da bi predmet uspostavljanja jpp zahtevao stavljanje na uvid informacija čije bi otkrivanje ugrozilo bezbednost Republike Srbije.

Član 5 Zakona ističe Načelo o zaštiti životne sredine kao jedno od osnovnih načela zaključivanja javnih ugovora, a to Načelo definisano je u Članu 6 kao skup načela definisanih zakonom kojim se uređuje zaštita životne sredine: načelo integralnosti, načelo prevencije i predostrožnosti, načelo očuvanja prirodnih vrednosti, održivog razvoja, odgovornosti zagađivača i dr.

Privatni partner ima obavezu da od javnog partnera preuzme projektovanje, izgradnju, odnosno rekonstrukciju javne infrastrukture, odnosno objekta od javnog značaja, kao i održavanje javne infrastrukture, odnosno obavljanje usluga od javnog značaja, sa jednom ili više obaveza kao što su: finansiranje, upravljanje i održavanje, u cilju pružanja usluga od javnog značaja krajnjim korisnicima iz okvira nadležnosti javnog partnera, ili u cilju obezbeđivanja neophodnih preduslova javnom partneru za pružanje usluga od javnog značaja iz okvira njegovih nadležnosti, ili pružanje usluga od javnog značaja iz okvira nadležnosti javnog partnera krajnjim korisnicima.

Takođe, obavezno je preuzimanje odgovornosti svakog partnera za rizik kojim može na bolji način da upravlja, odnosno na koji može da utiče, ili se rizici dele u izbalansiranom odnosu, u cilju optimalnog upravljanja rizikom tokom trajanja projekta JPP, uz korišćenje upravljačkih, tehničkih, finansijskih i inovativnih sposobnosti privatnog partnera, kao i unapređenjem razmene veština i znanja između javnog i privatnog partnera.

Za buduće definisanje JPP u sferi zaštite kritične infrastrukture važan je i pojam koncesije kojim se uređuju odnosi u pojedinim sektorima koji će zasigurno ući na spisak sektora KI. Prema ovom Zakonu koncesija je ugovorno JPP u kome je javnim ugovorom uređeno komercijalno korišćenje prirodnog bogatstva, odnosno dobra u opštoj upotrebi koja su u javnoj svojini ili obavljanja delatnosti od opšteg interesa, koje nadležno javno telo ustupa domaćem ili stranom licu, na određeno vreme, pod posebno propisanim uslovima, uz plaćanje koncesione naknade od strane

16



privatnog, odnosno javnog partnera, pri čemu privatni partner snosi rizik vezan za komercijalno korišćenje predmeta koncesije. (Član 10)

Između ostalog, koncesije se mogu davati za istraživanje i eksploataciju mineralnih sirovina i drugih geoloških resursa, u oblasti energetike, za luke, javne puteve, javni prevoz, aerodrome, železnice, zdravstvo itd (član 11). Treba napomenuti da nisu sve oblasti od javnog interesa eksplicitno navedene u Zakonu, pa se neke od njih ostale predmetima tumačenja. Davalac koncesije može biti Vlada Republike Srbije, Vlada autonomne pokrajine, skupština jedinica lokalne samouprave ili javno preduzeće. (član 13) Što se tiče privatnog partnera, učesnik u postupku dodele javnog ugovora može biti svako domaće ili strano fizičko, odnosno pravno lice (član 14).

Stručnu pomoć pri realizaciji projekata JPP i koncesija u skladu sa ovim zakonom vrši devetočlana Komisija za JPP. Predsednik Komisije je predstavnik ministarstva za ekonomiju i regionalni razvoj, a njegov zamenik je predstavnik ministarstva finansija (član 65). Komisija, kao najvažniji državni organ za odobravanje projekata JPP utvrđuje da li je predlog projekta u javnom interesu i da li je podnet od strane javnog tela. Kako je Komisija sačinjena od predstavnika raznih ministarstava koje pod svojom ingerencijom imaju oblasti koje će pripadati budućim sektorima KI – poput ministarstava energetike, saobraćaja, rudarstva itd, njihovi predstavnici biće direktno uključeni u projekte koji se tiču KI u njihovoj nadležnosti.

Kao važnog aktera u projektima JPP u ZKI identifikovana je Komisija za JPP u sektoru bezbednosti, organizovana pri Privrednoj komori Srbije, a čiji su članovi predstavnici udruženja i kompanija koje se bave privatnom bezbednošću, predstavnici ministarstava koja u vršenju poslova državne uprave imaju interes da sarađuju sa privanim obezbeđenjem, predstavnici akademske zajednice i zainteresovana udruženja građana (NVO).

Međunarodni standardi

Pri budućem rešavanju problema JPP u ZKI, svakako treba uzeti u obzir odredbe međunarodnih i nacionalnih standarda koji daju uvid u “dobru praksu“. Nacrt međunarodnog ISO standarda 22397 (Societal security — Public private partnership — Guidelines for establishing partnership agreements among organizations ) iz 2012. godine govori o kritičnim štićenim vrednostima i remetilačkim događajima.

Prema ovom dokumentu, prvi parametri za uspostavljanje partnerskog ugovora jesu identifikacija i klasifikacija zajedničkih kritičnih štićenih vrednosti, kao i identifikacija i evaluacija potencijalno remetilačkih događaja. Predloženo je da se ove aktivnosti izvršavaju u skladu sa smernicama ISO 31000:2010 standarda o upravljanju rizikom. U Srbiji bi se u istom cilju moglo koristiti nacionalnim standardom SRPS A.L2.003:2010, Društvena bezbednost- Procena rizika u zaštiti lica, imovine i poslovanja (Službeni glasnik RS, br. 92/2010).

17



Prilikom identifikacije kritičnih štićenih vrednosti, ugovorne strane treba da obezbede sveobuhvatne liste svih referentnih dobara, a takođe i naznačiti sve potencijalna ranjive mete. Informacije o kritičnim štićenim dobrima (objekti, sistemi, oprema, usluge, procesi, lica itd.) biće sačinjene u skladu sa misijom, poverljivošću i očekivanjima navedenim u partnerskom ugovoru. Analiza i rangiranje identifikovanih štićenih vrednosti može biti koristan input u narednoj fazi klasifikacije.

Prilikom klasifikacije ugovorne strane treba da zajednički formiraju spisak identifikovanih kritičnih vrednosti. Ugovorne strane treba da definišu i metodu evaluacije, koja može uključiti korelacije između štićenih vrednosti. Nivo detalja matematičkog modeliranja treba da bude određen očekivanjima ugovornih strana. Revizija (audit) i procena na terenu mogu se takođe koristiti za sticanje uvida o posebnim štićenim vrednostima i/ili za validaciju prethodnih procena kritičnosti.

Identifikacija remetilačkih događaja uključuje identifikovanje i opisivanje izvora rizika, kao i potencijalne posledice po identifikovane kritične štićene vrednosti. Identifikacija rizika mora da bude sveobuhvatna i da uključuje kaskadne i kumulativne efekte, kao i da razmotri posledice događaja čiji izvori rizika nisu evidentirani. U slučaju kompleksnih partnerskih ugovora, sa više ugovornih strana, zainteresovanih strana i štićenih vrednosti, ugovorne strane treba da razmotre višestruke uzroke i scenarije i posebnu pažnju posvete potencijalnim korelacijama između izvora rizika i međuzavisnostima.

Koncept saradnje javnog i privatnog sektora u jačanju otpornosti i zaštiti kritičnih infrastruktura

Nakon definisanja vizije o tome šta podrazumeva i šta treba da postigne zaštita i otpornost kritičnih infrastrukutra, nužno je napraviti strategiju za njeno sprovođenje i obezbediti političku volju da se ciljevi sprovedu u delo. Sledeći korak jeste unapređenje znanja, stavova i ponašanja među svim zainteresovanim stranama, a naročito među vlasnicima i operatorima kritičnih infrastruktura. Ukoliko se prethodni koraci realizuju, potrebno je uspostaviti temelj saradnje javnog i privatnog sektora koji obuhvata sledeće:

1. Razvoj standarda i razmenu najboljih praksi 2. Promocija edukacije i treninga 3. Promocija razvoja i istraživanja 4. Razmena informacija/podataka

Tokom realizacije projekta Fakultet bezbednosti, kao nosilac projekta u Republici Srbiji, treba da obezbedi učešće, kako predstavnika relevantnih ministarstava, agencija, sektora i drugih tela državne uprave, tako i predstavnike najznačajnijih privrednih subjekata (potencijalno identifikovanih kao kritične infrastrukture), stručne i akademske zajednice, Srpske asocijacije menadžera korporativne bezbednosti, Udruženja za privatno obezbeđenje Privredne komore Srbije, Komisije za javno-privatno partnerstvo i brojne druge sagovornike kako bi se raspravio i predložio optimalan koncept saradnje.

18



Projekti javno-privatnog partnerstva u jačanju otpornosti i zaštiti kritičnih infrastruktura

Premda javno-privatno partnerstvo nije idealan model za sve infrastrukturne projekte, potrebno je razmotriti svaku mogućnost zajedničkog delovanja gde je god to moguće i obostrano opravdano. Izgradnju nedostajućih, održavanje i poboljšanje otpornosti postojećih te zaštitu kritičnih infrastruktura lakše je ostvariti putem javno-privatnog partnerstva u odnosu na mogućnosti samo javnog sektora.

Javni sektor treba težiti većem, inovativnijem i dugoročnom finansiranju infrastrukturnih projekata od strane privatnog sektora, ali je potrebno s velikim pažnjom sagledati i razmotriti interese privatnog sektora, kako se ne bi stekao utisak jednosmernog partnerstva. Takođe, neophodno je definisati kriterijume i odgovornosti partnera pri sklapanju ugovora za poslovnu saradanju partnera u JPP.

Javno-privatno partnerstvo omogućava transfer projektnih rizika s javnog na privatni sektor. Takav pristup donosi obostrane prednosti koje uključuju razvoj, modernizaciju i održavanje velikih infrastruktura kroz privatno finansiranje. U ovom cilju predlaže se usvajanje sledećih predloga: ugovaranje od strane javnog sektora dugoročnih projekata; zajedničko javno i privatno finansiranje; uključivanje privatnog sektora u obaveze javnog sektora (nabavka, izgradnja, upravljanje, održavanje i slično); uspostava modela podele rizika i odgovornosti tokom partnerstva.4

U sklopu JPP u sektoru bezbednosti R. Srbije u toku je razmatranje inicijative da se, pored drugih javnih službi, i privatno obezbeđenje uključi u zaštićenu mrežu komunikacije TETRA, u okviru Službe 112.

Tokom projekta FB organizovaće sastanke i raspravu oko potencijalnih modela saradnje između najznačajnijih zainteresovanih strana u ovoj oblasti, a prikupiće i analizirati najbolje dostupne prakse i modele za njihovu primenu.

Uspostavljanje i unapređenje normativnog okvira delovanja javno-privatnog partnerstva u jačanju otpornosti i zaštiti kritičnih infrastruktura

Uspostavljanje normativnog okvira je izuzetno zahtevan posao koji treba omogućiti regulaciju određenog područja, ali i otvoriti prostor za daljnje delovanje, nove ideje i načine sprovođenja zakonskih odredbi. Isto tako, normativni okvir trebao bi omogućiti stimulativan pristup za nove investicije i izgradnju novih vrednosti.

Ovde pre svega mislimo na donošenje Zakona o kritičnim infrastrukturama koje bi regulisalo ovu oblast, kao i podzakonskih akata u okviru ovog zakona, ali i donošenje i izmene i dopune drugih zakona (Zakon o javno-privatnom partnerstvu, Zakon o privatnom obezbeđenju, Zakon o 4 John Forrer, James Edwin Kee, Kathryn E. Newcomer and Eric Boyer “Public Private Partnerships and the

Public Accountability Question” u: Boyer E. et al. (2014:4).

19



odbrani, Zakon o tajnosti podataka, Zakon o informacionoj bezbednosti itd.) i strategija (Strategija nacionalne bezbednosti, Strategija sajber bezbednosti, Strategija za prevenciju terorizma, Strategija društveno odgovornog poslovanja...) koje bi se direktno i indirektno bavile zaštitom i otpornošću kritičnih infrastruktura, a takođe i regulisale pitanja javno-privatnog partnerstva u ovoj oblasti.

Kod uspostavljanja normativnog okvira za novo područje zakonodavac najčešće preuzima pravnu tekovinu Europske unije (govoreći u kontekstu Europske unije) i otvara javnu raspravu sa svim zainteresovanim stranama. Kako je priprema i usvajanje Zakona o kritičnim infrastrukturama (obaveza Republike Srbije u procesu pridruživanja Evropskoj Uniji) najavljena za 2016. godinu, značajan deo će biti posvećen regulisanju JPP u zaštiti KI. Fakultet bezbednosti će proširiti javnu raspravu o navedenom u cilju dobijanja što kvalitetnijih predloga za unapređenje normativnog okvira, kako bi on bio što jasniji, fleksibilan i otvoren za nove investicije i što veću saradnju javnog i privatnog sektora.

Identifikacija i prioritizacija kritičnih infrastruktura putem javno-privatnog partnerstva

U Republici Srbiji svakako je prvi korak donošenje zakona o kritičnoj infrastrukturi i podzakonskih akata kojima bi se identifikovali sektori i objekti kritične infrastrukture. Drugi korak jeste prioritizacija, jer sva kritična infrastruktura nije jednako važna s aspekta prekida delovanja ili prekida isporuke roba ili usluga, a što može imati ozbiljne posledice na nacionalnu bezbednost, zdravlje i živote ljudi, imovinu i životnu sredinu, ekonomsku stabilnost i neprekidno funkcionisanje vlasti.

Naime, s obzirom na brojnost kritičnih infrastruktura te iskustva država koje se već dugo bave ovom tematikom, zaključeno je da je neizvodljivo jednako pristupiti zaštiti i izgradnji otpornosti svih kritičnih infrastruktura. Privatni akteri, pre svega vlasnici i operatori onih kritičnih infrastruktura koje su u privatnom vlasništvu, mogu dati veoma vredan doprinos u ovom procesu.

Projektni partneri će pribaviti i podeliti najbolju inostranu praksu sa svim zainteresovanim stranama nacionalnog procesa te osigurati tokom trajanja projekta platformu za javno-privatno partnerstvo u spomenutom području.

Razvoj programa i alata za postizanje i unapređenje otpornosti i zaštite kritičnih infrastruktura putem javno-privatnog partnerstva

Zaštita kritičnih infrastruktura pre svega podrazumeva prevenciju i procenu rizika kritičnih infrastruktura. S druge strane, otpornost (ili rezilijentnost) označava sposobnost sistema da nastavi izvršavanje kritičnih funkcija neophodnih za ispunjavanje svoje misije u slučaju izbijanja remetilačkog događaja. Drugim rečima, u pitanju je sposobnost sistema da umanji magnitudu i trajanje odstupanja od ciljnog nivoa performanse sistema (Biringer B. et al, 2013:107). Kako je u

20



pitanju složen koncept koji se mora sagledati holistički, javno-privatno partnerstvo jeste veoma pogodno za jačanje otpornosti kritičnih infrastruktura.

Tokom trajanja projekta nacionalni partneri će realizovati potrebna istraživanja kako bi unapredili znanje i razmenili iskustva te predložili programe i alate za postizanje i unapređenje otpornosti i zaštite kritičnih infrastruktura putem javno-privatnog partnerstva.

Zaključak poglavlja

U cilju izrade nacionalnih stanovišta unutar RECIPE projekta FB će u saradnji sa ostalim zainteresovanim stranama kontinuirano ažurirati i unapređivati predstavljeni dokument.

Unutar ovog poglavlja nastojati će se izraditi nacionalna stanovišta o javno-privatnom partnerstvu u jačanju otpornosti i zaštiti kritičnih infrastruktura i razmeniti najbolje prakse unutar sledećih područja: koncept saradnje; projekti; sigurnost; unapređenje normativnog okvira; prioritizacija vitalnih kritičnih infrastruktura; razvoj programa i alata za postizanje i unapređenje otpornosti i zaštite kritičnih infrastruktura.

Literatura

Strategije i zakoni

Narodna Skupština Republike Srbije (2009) Strategija nacionalne bezbednosti Republike Srbije, dostupno na: http://www.kombeg.org.rs/Slike/CeBezbednost/statika/Strategija%20nacionalne%20bezbednosti%20Republike%20Srbije.pdf , (učitano 02. jula 2015.).

Narodna Skupština Republike Srbije (2011) Zakon o javno-privatnom partnerstvu i koncesijama, dostupno na: http://www.paragraf.rs/propisi/zakon_o_javno_privatnom_partnerstvu_i_koncesijama.html , (učitano 02.jula 2015.).

Standardi

ISO 31000 Risk management – Principles and guidelines on implementation

ISO/IEC 31010 Risk management – Risk assessment techniques

ISO/CD 3 22397 Societal security — Guidelines for establishing partnering arrangements

ISO/TC 223 N 337 Societal security - Public private partnership — Guidelines for establishing partnership agreements among organizations

21



SRPS A.L2.002:2008, Društvena bezbednost – Usluge privatnog obezbeđenja – Zahtevi i uputstvo za ocenjivanje usaglašenosti, Službeni glasnik RS, br.07/2009. SRPS A.L2.003:2010, Društvena bezbednost – Procena rizika u zaštiti lica,imovine i poslovanja. Službeni glasnik RS, br. 92/2010.

Dokumenti Europske unije

Risk Management Capability Assessment Guidelines (ECommisison notice, 2014)

Evropska komisija (2009) Pokretanje privatnog i javnog ulaganja za oporavak i dugoročnu strukturalnu promenu: Razvoj javno-privatnih partnerstva, dostupno na: http://www.ajpp.hr/media/5197/priop.pdf.

Autorski radovi i stručna literatura

Auzzir Z.A. et al. (2014) Public-private partnerships (PPP) in disaster management in developing countries: a conceptual framework, http://www.sciencedirect.com/science/article/pii/S2212567114010065, (učitano 24. lipnja 2015.).

Boyer E. et al. (2014) Public-Private Partnerships and Infrastructure Resilience, How PPPs Can Influence More Durable Approaches to U.S. Infrastructure, http://www.uschamberfoundation.org/sites/default/files/article/foundation/PPPs%20and%20Infrastructure%20-%20NCF.pdf, (učitano 24. lipnja 2015.).

Heammerli, B. i Renda, A. (2010) Protecting Critical Infrastructure in the EU, Brussels: Centre for European Policy Studies, http://www.ceps.eu/ceps/dld/4061/pdf (učitano 5. veljače 2014.).

Keković, Z., Savić, S., Komazec, N., Milošević, M., Jovanović, D. (2010) Procena rizika u zaštiti lica, imovine i poslovanja, Centar za analizu rizika i upravljanje krizama, Beograd

Marenjak S. et al.(2007) Javno-privatno partnerstvo i njegova primjena u Hrvatskoj, dostupno na: http://hrcak.srce.hr/16460, (učitano 20.lipnja 2015.).

22



5. USPOSTAVA MEHANIZAMA ZA RAZMENU OSETLJIVIH INFORMACIJA/PODATAKA IZMEĐU STRANA U SISTEMU ZAŠTITE KRITIČNIH INFRASTRUKTURA

Zahvaljujući prvim bezbednosnim incidentima u informacionom (kiber) prostoru uvidelo se u kolikoj meri računarski sistemi i mreže predstavljaju izvor rizika po informaciju i, posredno, po individualnu, korporativnu, nacionalnu, regionalnu i globalnu bezbednost. Usled procesa kontinuirane informatizacije stanovništva i progresivne automatizacije infrastruktura i servisa neophodnih za funkcionisanje društva, povećavao se i značaj informacija i informacione bezbednosti. Ovaj koncept je danas postao centralni element politika nacionalne bezbednosti svih tehnološki visokorazvijenih zemalja, ali i regionalnih i globalnih bezbednosnih politika. Zaključak većine stručnjaka iz različitih oblasti, a naročito iz oblasti bezbednosti jeste da „bezbednost, ekonomija, životni standard i, vrlo moguće, sama egzistencija industrijalizovanih zemalja zavise od „električne energije, telekomunikacija i računara..., koji su, osim tradicionalne fizičke pretnje, izloženi novim sajber pretnjama“. Informacija je, dakle, osnovni entitet koji je izložen bezbednosnim pretnjama iz arsenala informacionog ratovanja. Tri aspekta informacije su, najčešće, izložena riziku: privatnost, integritet i raspoloživost (dostupnost). Osim informacije riziku je izložena i celokupna infrastruktura koja je zadužena za prenos podataka i informacija i njihovo skladištenje. Onemogućavanje normalnog funkcionisanja informacionih sistema, u savremenom društvu koje je postalo od njih zavisno, može imati vrlo ozbiljne posledice na sve sfere društvenog života. Posledice mogu biti čak i fatalne ukoliko se ugroze kritične informacione infrastrukture kao što su, na primer, sistemi za kontrolu kopnenog i vazdušnog saobraćaja, hidro-brana, nuklearnih elektrana, bezbednosnih i zdravstvenih službi ili, pak, sistemi za distribuciju električne energije. Nakon terorističkih napada na Ameriku septembra 2001. godine, u Zapadnim zemljama naročito je aktuelizovano pitanje bezbednosti informacionog prostora i zaštite kritičnih informacionih infrastruktura. Akcentovanje ovih pitanja, prema nekim analitičarima, nastupilo je kao posledica straha američke administracije od mogućeg „efekta bumeranga“, tj. kao posledica saznanja da je Internet za teroriste predstavljao osnovni izvor informacija potrebnih za planiranje i realizaciju napada. Povišena percepcija pretnje od mogućnosti prenošenja terorizma u sajber prostor, ali i drugih vidova ibnformacionog ratovanja koji mogu naneti materijalnu štetu državama i stanovništvu, ugroziti sisteme odbrane, narušiti zdravlje, prava, ali i sâm život ljudi, plasirala je pitanje o mogućnosti stvaranja bezbednog informacionog prostora među najaktuelnija pitanja regionalnih i svetskih organizacija.

23



U sve brojnijim raspravama o zaštiti kritičnih infrastruktura informacionoj infrastrukturi se dodeljuje posebna pažnja. Tokom godina su razvijene različite mere za prevenciju i odgovor na moguće incidentne situacije, uzrokovane tehničkim kvarovima, prirodnim katastrofama ili namernim destruktivnim činovima. Rastuća zavisnost sistema koji omogućavaju osnovne usluge od informacione infrastrukture predstavlja element rizika, s obzirom na to da prožima sve ostale i nameće im sopstvene ranjivosti. Tipičan primer prožimanja može se videti u sistemima kontrole. Reč je o specijalizovanim računarima i tehnologijama koji se koriste u mnogim infrastrukturama usluga i industrije za monitoring i kontrolu najosetljivijih procesa. U industriji električne energije, na primer, sistemi kontrole mogu da upravljaju i kontrolišu proizvodnju, prenos i raspodelu električne energije. U distribuciji gasa se monitoring toka gasa u cevima obavlja sa udaljenih tačaka. U hidrodistribuciji oni kontrolišu nivo vode u izvorima i rezervoarima, rad pumpi, stepen kvaliteta vode i prisutvo hemijskih aditiva. Uopšte uzev, njihova osnovna funkcija je prikupljanje operativnih podataka i mera sa senzora, koji se nakon obrade šalju komandi kontrole i udaljenim perifernim uređajima, koji direktno utiču na fizičke komponente infrastrukture. Dakle, trenutno stanje je takvo da su informacione baze, kontrolni sistemi i sredstva komunikacije međusobno povezani na globalnom nivou. Ovakvo stanje ima svoju „Ahilovu petu“ jer tehnološki najrazvijenija strana može, u isto vreme, biti i najranjivija ili, ukoliko je adekvatno zaštićena, može biti najopasnija. Brz ulazak „informacionih konflikata“ unutar civilnih i korporativnih okvira, predstavlja ozbiljan problem menadžerima koji su odgovorni za zaštitu i bezbednost informacione infrastrukture. Upravljačke strukture na korporativno-ekonomskom nivou moraju biti svesne širine spektra potencijalnih napada, uključujući savremenu špijunažu, organizovani kriminal, perceptivne bitke, kao i napade hakera i grupa sponzorisanih od strane država ili poslovnih konkurenata. Koncept upravljanja bezbednosnim rizicima u informacionom prostoru sa aspekta nacionalne bezbednosti, pak, zahteva usaglašavanje nacionalnog zakonodavstva sa postojećim međunarodnim standardima. Za razliku od mnogih država, kao i učesnice projekta, Republike Hrvatske, koja je donela Zakon o kritičnim infrastrukturama, (Narodne novine, broj 56/13), i Zakon o zaštiti podataka, čime je definisala problem osetljivih informacija, Republika Srbija zaostaje u ovom pogledu. Problemi sa kojima je naša država suočena ogledaju se u nizu nedostataka: horizontalna i vertikalna nepovezanost učesnika koji su zaduženi za zaštitu osetljivih informacija, nedovoljno prepoznavanje značaja kategorizacije tajnih podataka i osetljivih informacija, različitost procedura u procesu zaštite personalnih i poslovnih podataka, nepostojanje kapaciteta da se zaštite osetljive informacije, nedefinisana uloga Ministarstva za građevinu, saobraćaj i infrastukturu, nepostojanje stručnog kadra u Ministarstvu koji bi se bavio problematikom kritične infrastrukture, nepostojanje permanentne edukacije menadžera u oblasti kritične infrastrukture i u oblasti zaštite informacija, utvrđivanje strukture korisnika informacija i podataka, neprepoznavanje sopstvene uloge pripadnika kritičnih infrastruktura u zaštiti podataka i informacija, nedovoljno poznavanje procedura u podeli informacija i podataka sa drugim

24



učesnicima u procesu razmene informacija, neusaglašenost postupaka zaštite podataka sa međunarodnim standardima i dr. Prepoznavanje značaja tajnosti podataka i osetljivih informacija i njihove zaštite, ogleda se u važećem Zakonu o tajnosti podataka („Sl. glasnik Republike Srbije,” br.104/2009). Ovim zakonom uređuje se jedinstven sistem određivanja i zaštite tajnih podataka koji su od interesa za nacionalnu i javnu bezbednost, odbranu, unutrašnje i spoljne poslove Republike Srbije, zaštite stranih tajnih podataka, pristup tajnim podacima i prestanak njihove tajnosti, nadležnost organa i nadzor nad sprovođenjem ovog zakona, kao i odgovornost za neizvršavanje obaveza iz ovog zakona i druga pitanja od značaja za zaštitu tajnosti podataka. Definisani su različiti pojmovi: podatak od interesa za Republiku Srbiju, tajni podatak, strani tajni podatak, dokument određivanje tajnih podataka, označavanje stepena tajnosti podatka oznakama: "državna tajna", "strogo poverljivo”, ”poverljivo" ili "interno“, bezbednosna provera, šteta, rukovalac tajnim podatkom, korisnik tajnog podatka bezbednosni rizik i mere zaštite. Kao tajni podatak može se odrediti podatak od interesa za Republiku Srbiju čijim bi otkrivanjem neovlašćenom licu nastala šteta, ako je potreba zaštite interesa Republike Srbije pretežnija od interesa za slobodan pristup informacijama od javnog značaja. Podaci iz stava 1. ovog člana (člana 8) odnose se naročito na: 1) nacionalnu bezbednost Republike Srbije, javnu bezbednost, odnosno na odbrambene, spoljnopolitičke, bezbednosne i obaveštajne poslove organa javne vlasti; 2) odnose Republike Srbije sa drugim državama, međunarodnim organizacijama i drugim međunarodnim subjektima; 3) sisteme, uređaje, projekte, planove i strukture koji su u vezi sa podacima iz tač. 1) i 2) ovog stava; 4) naučne, istraživačke, tehnološke, ekonomske i finansijske poslove koji su u vezi sa podacima iz tač. 1) i 2) ovog stava. Tajnost podatka, pod uslovima i na način utvrđen ovim zakonom, određuje ovlašćeno lice. Ovlašćena lica su prema članu 9 Zakona o tajnosti podataka: 1) predsednik Narodne skupštine; 2) predsednik Republike; 3) predsednik Vlade; 4) rukovodilac organa javne vlasti; 5) izabrani, postavljeni ili imenovani funkcioner organa javne vlasti koji je za određivanje tajnih podataka ovlašćen zakonom, odnosno propisom donesenim na osnovu zakona, ili ga je za to pismeno ovlastio rukovodilac organa javne vlasti; 6) lice zaposleno u organu javne vlasti koje je za to pismeno ovlastio rukovodilac tog organa. Ovlašćena lica iz stava 2. tač. 5) i 6) ovog člana ne mogu da prenesu ovlašćenja na druga lica. Ovlašćeno lice iz člana 9. stav 2. ovog zakona određuje tajnost podatka prilikom njegovog nastanka, odnosno kada organ javne vlasti započne obavljanje posla čiji je rezultat nastanak tajnog podatka. Izuzetno od stava 1. ovog člana ovlašćeno lice može odrediti tajnost podatka i naknadno, kad se ispune kriterijumi određeni ovim zakonom. Pri određivanju tajnosti podatka, ovlašćeno lice procenjuje moguću štetu po interes Republike Srbije. Lice koje je zaposleno, odnosno koje obavlja određene poslove u organu javne vlasti dužno je da, u okviru svojih radnih zadataka, odnosno ovlašćenja, obavesti ovlašćeno lice o podacima koji bi mogli da budu određeni kao tajni. Dokument koji sadrži tajne podatke označava

25



se: 1) oznakom stepena tajnosti; 2) načinom prestanka tajnosti; 3) podacima o ovlašćenom licu; 4) podacima o organu javne vlasti. Vlada propisuje način i postupak označavanja tajnosti podataka, odnosno dokumenata. Podatak iz člana 8. ovog zakona, ima jedan od sledećih stepena tajnosti. 1) "DRŽAVNA TAJNA", koji se određuje radi sprečavanja nastanka neotklonjive teške štete po interese Republike Srbije; 2) "STROGO POVERLJIVO", koji se određuje radi sprečavanja nastanka teške štete po interese Republike Srbije; 3) "POVERLJIVO", koji se određuje radi sprečavanja nastanka štete po interese Republike Srbije; 4) "INTERNO", koji se određuje radi sprečavanja nastanka štete za rad, odnosno obavljanje zadataka i poslova organa javne vlasti koji ih je odredio. Za određivanje stepena tajnosti podataka mogu se primenjivati samo stepeni tajnosti iz stava 1. ovog člana. Bliže kriterijume za određivanje stepena tajnosti "DRŽAVNA TAJNA" i "STROGO POVERLJIVO" određuje Vlada, uz prethodno pribavljeno mišljenje Saveta za nacionalnu bezbednost. Bliže kriterijume za određivanje stepena tajnosti "POVERLJIVO" i "INTERNO" određuje Vlada, na predlog nadležnog ministra, odnosno rukovodioca organa javne vlasti. Organ javne vlasti, u skladu sa ovim zakonom i propisima donetim na osnovu ovog zakona, uspostavlja sistem postupaka i mera zaštite tajnih podataka prema sledećim kriterijumima: 1) stepenu tajnosti; 2) prirodi dokumenta u kome je sadržan tajni podatak; 3) proceni pretnje za bezbednost tajnog podatka. Organ javne vlasti primenjuje opšte i posebne mere zaštite u skladu sa zakonom i propisom donetim na osnovu zakona, radi zaštite tajnih podataka koji se nalaze u njegovom posedu. Opšte mere zaštite tajnih podataka obuhvataju: 1) određivanje stepena tajnosti; 2) procenu pretnje za bezbednost tajnog podatka; 3) određivanje načina korišćenja i postupanja sa tajnim podatkom; 4) određivanje odgovornog lica za čuvanje, korišćenje, razmenu i druge radnje obrade tajnog podatka; 5) određivanje rukovaoca tajnim podacima, uključujući i njegovu bezbednosnu proveru u zavisnosti od stepena tajnosti podatka; 6) određivanje posebnih zona, zgrada i prostorija namenjenih zaštiti tajnih podataka i stranih tajnih podataka; 7) nadzor nad postupanjem sa tajnim podatkom; 8) mere fizičko-tehničke zaštite tajnog podatka, uključujući i ugradnju i postavljanje tehničkih sredstava zaštite, utvrđivanje bezbednosne zone i zaštitu van bezbednosne zone; 9) mere zaštite informaciono-telekomunikacionih sistema; 10) mere kripto-zaštite; 11) zaštitni režim radnih i formacijskih mesta, u okviru akta o unutrašnjem uređenju i sistematizaciji radnih mesta; 12) utvrđivanje posebnih programa obrazovanja i obuke za potrebe obavljanja poslova zaštite tajnih podataka i stranih tajnih podataka; 13) druge opšte mere određene zakonom. U cilju efikasne primene opštih mera zaštite tajnih podataka iz člana 32. ovog zakona, aktom Vlade utvrđuju se posebne mere zaštite tajnih podataka. Tajni podaci čuvaju se na način tako da je pristup tim podacima dozvoljen samo ovlašćenim korisnicima. Tajni podaci mogu se prenositi i dostavljati izvan prostorija organa javne vlasti samo uz pridržavanje propisanih mera bezbednosti i postupaka kojima se obezbeđuje da podatke dobije samo lice koje ima sertifikat za pristup tajnim podacima i koje ima pravo da ih dobije.

26



Prilikom prenošenja i dostavljanja tajnih podataka izvan prostorija organa, postupci i mere zaštite određuju se prema stepenu tajnosti tih podataka, u skladu sa zakonom i propisom donetim na osnovu zakona. Prenošenje i dostavljanje tajnih podataka korišćenjem telekomunikaciono-informatičkih sredstava vrši se uz obaveznu primenu propisanih mera kripto-zaštite. Sprovođenje mera kripto-zaštite, prilikom prenošenja i dostavljanja tajnih podataka iz st. 3. i 4. ovog člana, obavlja se u skladu sa zakonom. Kada dođe do saznanja da je došlo do gubitka, krađe, oštećenja, uništenja ili neovlašćenog otkrivanja tajnih podataka i stranih tajnih podataka, funkcioner, zaposleno lice, odnosno lice koja obavlja poslove u organu javne vlasti, bez odlaganja obaveštava ovlašćeno lice organa javne vlasti. Postojećim Zakonom regulisana je i oblast pristupa tajnim podacima, postupak za izdavanje sertifikata (dozvole) fizičkom, pravnom i stranom licu, kontrola i nadzor (posebno uloga Saveta za nacionalnu bezbednost), kao i kaznene i završne odredbe. Imajući na umu kako je podatak ili informacija danas jedan od najvažnijih resursa u svim područjima delatnosti kojima čovek raspolaže, i da je bez njih nemoguće održavanje elementarnih sfera svakodnevnog života, problemu čuvanja i zaštite tajnih podataka kako u javnom tako i u privatnom sektoru potrebno je prići sveobuhvatno i višedimenzionalno. Prva pretpostavka u njihovoj zaštiti jeste pravovremeno onemogućavanje njihovog ugrožavanja i zloupotrebe.

Zaključak poglavlja

1. U cilju uspostavljanja efikasne razmene klasifikovanih dokumenata i osetljivih podataka između učesnika u području upravljanja rizicima kritičnih infrastruktura, kao i ujednačavanja postupaka razmene tih dokumenata i podataka sa vlasnicima/operatorima kritičnih infrastruktura neophodno je izraditi „Standardni operativni postupak (SOP) za razmenu klasifikovanih dokumenata i osetljivih podataka“.

2. Za izradu SOP-a iz tačke 1. predlaže se osnivanje međuresorne radne grupe predstavnika zainteresovanih strana u sistemu zaštite i upravljanja rizicima kritičnih infrastruktura.

3. Ubrzati proces uključivanja privatnog obezbeđenja u sistem komunikacije TETRA, odnosno u organizacijski sastav Službe 112, s obzirom da Zakon o privatnom obezbeđenju obavezuje pravna lica i preduzetnike koji imaju Licencu za vršenje poslova fizičko-tehničke zaštite lica i imovine i održavanje reda na sportskim priredbama, javnim skupovima i drugim mestima okuplјanja građana, odnosno Licencu za vršenje poslova obezbeđenja transporta i prenosa novca i vrednosnih pošilјki – da moraju imati Kontrolni centar koji radi 24 sata svih dana u godini i ima najmanje jedan dežurni patrolni tim sa najmanje dva službenika obezbeđenja sa oružjem.

27



6. USPOSTAVLJANJE PREDUSLOVA ZA RAZVOJ NACIONALNOG CENTRA ZA KRITIČNE INFRASTRUKTURE

Jedan od prvih institucionalnih preduslova za uspostavljanje sistema zaštite KI jeste razvoj odgovarajućeg nacionalnog centra za KI koji bi, između ostalog, koordinirao aktivnosti zaštite KI, uzimajući u obzir važne oblasti na kojima se temelji ta zaštita: javno-privatno partnerstvo i razmena osetljivih informacija. U tom pogledu, određena iskustva i dobra praksa partnerskih zemalja na projektu mogu predstavljati uzor za nacionalna stanovišta RS u definisanju i uspostavljanju odgovarajućih institucionalnih rešenja. Radi uspešne implementacije Zakona o kritičnim infrastrukturama Republike Hrvatske, uspostavljanje Nacionalnog Centra za Kritične Infrastrukture (NCKI) predstavlja važan zadatak Vlade RH, nadležnog tela državne uprave (DUZS), devet resornih ministarstava, vlasnika/operatora kritičnih infrastruktura i drugih zainteresovanih strana. NCKI bi imao jasno definisane zadatke, nadležnosti i odgovornosti u sprovođenju propisa iz oblasti kritičnih infrastruktura, koordinisanje i poboljšanu saradnju svih učesnika i horizontalno i po vertikali.

Što se ustrojstva tiče, predlaže se izbor jednog od sledeća dva modela. Prvi, prema kojemu bi se NCKI ustrojio unutar DUZS-a kao samostalni sektor, kao služba unutar Sektora za civilnu zaštitu ili kao odsek unutar Službe za preventivu, planiranje i analitiku u okviru Sektora za civilnu zaštitu. Drugi, prema kome bi se NCKI ustrojio međusektorski kao zasebna agencija Vlade RH.

Što se njegove funkcionalnosti tiče, NCKI bi bio zadužen za: (1) Izradu celovitog koncepta zaštite kritične infrastrukture; (2) Reviziju, harmonizaciju i unapređenje referentnog legislativnog okvira; i (3) Nadzor sprovođenja tog legislativnog okvira. U neke od važnih kratkoročnih aktivnosti NCKI spadaju: (1) Izrada sektorskih i međusektorskih merila za identifikovanje razreda kritičnosti; (2) Definisanje mera zaštite koje se moraju primenjivati u zavisnosti o identifikovanom razredu kritičnosti; i (3) Sprovođenje postupka za identifikovanje razreda kritičnosti.

Bez obzira na buduće ustrojstvo, NCKI će svoje zadatke ispunjavati preko povereništva za zaštitu kritične infrastrukture (međuresorna radna grupa). Članovi tog povereništva postali bi već imenovani bezbednosni koordinatori za kritičnu infrastrukturu. Osnovni zadatak povereništva sastojao bi se u verifikaciji dokumentacije i postupaka izrađenih od strane NCKI. Takav pristup radu podrazumeva da NCKI ima mandat za angažovanje odgovarajućih stručnih institucija i pojedinaca sa svrhom izrade dokumenata i postupaka vezanih za uspostavu sistema zaštite kritične infrastrukture. Rad povereništva ne bi zahtevao neka značajna dodatna sredstva.

Što se izrade dokumenata i procedura potrebnih za uspostavu sistema zaštite kritične infrastrukture tiče NCKI bi potrebna finansijska sredstva trebao dobiti iz državnog budžeta.

28



Partneri projekta RECIPE se slažu da funkcionalnosti centra i u Srbiji i u Hrvatskoj trebaju biti prvo jasno definisane, pa da će se tada lakše odrediti da li će se i u okviru koje institucije formirati NCKI ili će biti nezavisno telo. NCKI mora imati konsultantske i naučno-istraživački aspekt. Umesto prostog prikupljanja i distribucije informacija, centar mora imati kapaciteta i za njihovu analizu, kao i za nadzor nad sprovođenjem zakona o kritičnoj infrastrukturi na nacionalnom nivou. Kao dobar primer i potencijalni uzor za buduće NCKI u regionu uzet je britanski centar za zaštitu nacionalne infrastrukture (Centre for Protection of National Infrastructure) http://www.cpni.gov.uk/ .

7. ZAKLJUČAK

U Republici Srbiji problem identifikacije, prioritizacije, zaštite, otpornosti i pravne regulative oblasti kritičnih infrastruktura je na samom početku. Projekat RECIPE nastojaće da pomogne zakonodavcima i relevantnim organima vlasti da ovu oblast lakše i efikasnije reguliše kroz konsultacije sa stranim partnerima i razmenu iskustava i najbolje prakse sa zemljama članicama EU.

Prema najavama iz Sektora za vanredne situacije MUP-a Republike Srbije, Zakon o KI biće donet u 2016. godini, a rezultati projekta RECIPE biće uvažavani pri njegovom pisanju. Naravno, problemi i izazovi u oblasti zaštite KI neće se završiti donošenjem ovog zakona. Identifikacija sektora kritičnih infrastruktura, identifikacija u i prioritizacija objekata KI, usvajanje metodologija za procenu rizika u KI, javno-privatno partnerstvo u zaštiti KI, razmena osetljivih podataka, jačanje otpornosti KI, kao i eventualno uspostavljanje Nacionalnog centra za kritične infrastrukture, glavni su, ali ne i jedini izazovi sa kojima će se zainteresovane strane u Srbiji suočiti u narednom periodu. Ovi izazovi se mogu prevazići donošenjem podzakonskih akata, harmonizacijom drugih relevantnih zakona (npr. Zakon o tajnosti podataka, Zakon o javno-privatnom partnerstvu, Zakon o odbrani itd), zatim edukacijom i podizanjem svesti vlasnika i operatora kritičnih infrastruktura, usvajanjem i primenom međunarodnih standarda i boljom saradnjom sa akademskim institucijama.

Na osnovu iskustava partnera procenjeno je da u identifikaciji sektora KI treba imati uži pristup, jer su kapaciteti i budžeti država veoma ograničeni. Na primer, Republika Hrvatska identifikovala je jedanaest sektora KI, što je po oceni njenih eksperata previše za efikasnu zaštitu, pa je proces prioritizacije doneo mnogo nesuglasica između vlasnika i operatora identifikovanih KI s jedne strane i donosioca zakona i propisa s druge. S druge strane, Direktiva 114/2008 EK identifikuje svega dva sektora evropske kritične infrastrukture – energetiku i saobraćaj, što je za identifikaciju sektora nacionalne KI ipak preuska odrednica. Dakle, potrebno je naći balans između ove dve krajnosti.

29



Uspostavljanje mehanizama javno-privatnog partnerstva u zaštiti i otpornosti KI naročito je značajno jer će u procesu liberalizacije sve više objekata kritične infrastrukture dolaziti u privatno vlasništvo, a sa druge strane u zaštiti kritične infrastrukture sve veću ulogu igra sektor privatne bezbednosti. Dugoročniji aranžmani agencija privatne bezbednosti u zaštiti KI i zakonski propisi o obaveznoj zaštiti kojih se privatni vlasnici i operatori KI moraju pridržavati jesu ključne tačke ove problematike.

Pitanje razmene osetljivih podataka u sistemu zaštite KI veoma je kompleksno i zahtevaće podrobna razmatranja svih zainteresovanih strana. Potrebno je uspostaviti efikasan i bezbedan sistem razmene osetljivih podataka, sa akcentom na horizontalni pristup (razmena podataka između sektora, sistema KI), u odnosu na vertikalni pristup koji i dalje preovlađuje, ali koji nije dovoljno brz i efikasan. Takođe, odredbe o razmeni osetljivih podataka u sistemu zaštite KI potrebno je uključiti u budući zakon o informacionoj bezbednosti, uredbu o kriptozaštiti, kao i u strategiju sajber bezbednosti.

Radi efikasne implementacije budućeg Zakona o KI, te radi prikupljanja i obrade relevantnih podataka o zaštiti kritične infrastrukture i njihove analitike predlaže se uspostavljanje Nacionalnog centra za KI, po ugledu na britanski Centar za zaštitu nacionalne infrastrukture. Ovaj centar bi mogao funkcionisati ili u okviru Sektora za vanredne situacije ili kao zasebna organizaciona jedinica u okviru MUP-a, pa čak i kao zasebna agencija Vlade Republike Srbije.

Ovaj predlog nacionalnih stanovništa o zaštiti i otpornosti KI u Republici Srbiji biće dostavljen na uvid svim relevantnim zainteresovanim stranama radi komentara i eventualnih izmena i dopuna. Finalna verzija na engleskom jeziku biće prosleđena donatoru, tj. Evropskoj komisiji i poslužiće kao materijal za zajedničke radionice partnera na kojima će učesnici razmenjivati iskustva i dobru praksu, što na kraju treba rezultirati Uputstvima/Smernicama za bolje i efikasnije upravljanje kritičnim infrastrukturama.

Documents

PREDLOG NACIONALNIH STANOVIŠTA