BiH Pravo

Bosanskohercegovački pravni portal

Zakoni Bosne i Hercegovine, Brčko distrikta BiH, Republike Srpske, Federacije Bosne i Hercegovine
#3340
Zakon o bezbjednosti kritičnih infrastruktura u Republici Srpskoj

Član 1.

Ovim zakonom uređuje se kritična infrastruktura Republike Srpske, sektori kritične infrastrukture u Republici Srpskoj, upravljanje kritičnim infrastrukturama, obaveza izrade analize rizika, bezbjednosnog plana objekata iz sektora kritične infrastrukture, bezbjednosni koordinator i lice odgovorno za upravljanje i zaštitu objekata kritične infrastrukture, saradnja u oblasti kritične infrastrukture, postupanje sa zaštićenim podacima, nadzor nad sprovođenjem ovog zakona, kao i prekršajne odredbe.

Član 2.

Kritične infrastrukture su sistemi, mreže i objekti od posebne važnosti, čije uništavanje ili ugrožavanje može izazvati ozbiljan poremećaj u slobodnom kretanju ljudi, prevozu robe i pružanju usluga, negativno uticati na unutrašnju bezbjednost, zdravlje i živote ljudi, imovinu, životnu sredinu, spoljnu bezbjednost, ekonomsku stabilnost, te neprekidno funkcionisanje republičkih organa.

Član 3.

(1) Sektori iz kojih se određuje kritična infrastruktura su:
1) industrija, energetika i rudarstvo (proizvodnja, uključujući ulazne resurse, objekte, sisteme za prenos, skladištenje, transport proizvoda, energenata i energije, sisteme za distribuciju),
2) informaciono-komunikaciona infrastruktura (elektronske komunikacije, prenos podataka, informacioni sistemi, pružanje audio, i audio i video medijskih usluga),
3) saobraćaj (drumski, željeznički i vazdušni saobraćaj i saobraćaj unutrašnjim plovnim putevima),
4) zdravstvo (zdravstvena zaštita, proizvodnja, transport i nadzor nad lijekovima),
5) komunalne djelatnosti (objekti komunalne infrastrukture, a naročito u oblasti proizvodnje i isporuke vode, prečišćavanja i odvođenja otpadnih voda, proizvodnje i isporuke toplotne energije, zbrinjavanja otpada iz stambenih i poslovnih prostora i slično),
6) vodoprivreda (regulacioni i zaštitni vodni objekti),
7) hrana i piće (proizvodnja i snabdijevanje hranom i pićem, sistem sigurnosti hrane i pića, robne zalihe),
8) finansije (bankarstvo, berze, investicije, sistemi osiguranja i plaćanja),
9) proizvodnja, skladištenje i prevoz opasnih materija (hemijski, biološki, radiološki i nuklearni materijali),
10) javne službe,
11) vaspitanje i obrazovanje,
12) kulturna i prirodna dobra (vjerski objekti, spomenici kulture, prostorne kulturno-istorijske cjeline, arheološka nalazišta, znamenita mjesta, umjetnička djela i istorijski predmeti, arhivska građa, filmska građa, stara i rijetka knjiga, kao i zaštićena prirodna dobra propisana Zakonom o zaštiti prirode).
(2) Osim sektora navedenih u stavu 1. ovog člana, Vlada Republike Srpske, na prijedlog Ministarstva unutrašnjih poslova (u daljem tekstu: Ministarstvo), može odlukom odrediti i druge sektore kritične infrastrukture.

Član 4.

Pojedini pojmovi korišteni u ovom zakonu imaju sljedeće značenje:
1) analiza rizika je razmatranje mogućih scenarija prijetnji da bi se ocijenila ranjivost i moguće posljedice, odnosno poremećaji u radu kritične infrastrukture ili njeno uništenje,
2) bezbjednosni plan je obavezni plan zaštite kritične infrastrukture,
3) bezbjednosni koordinator i lice odgovorno za upravljanje i zaštitu objekata kritične infrastrukture zaduženi su za sprovođenje bezbjednosnog plana zaštite kritične infrastrukture, za komunikaciju između objekata kritične infrastrukture i Ministarstva, kao i sa nadležnim organima iz pojedinih sektora kritične infrastrukture,
4) zaštita kritične infrastrukture podrazumijeva sve aktivnosti kojima je cilj da obezbijede funkcionalnost, neprekidno djelovanje i isporuku robe i usluga kritične infrastrukture, te da spriječi ugrožavanje kritične infrastrukture,
5) zaštićeni podaci su oni podaci o kritičnoj infrastrukturi koji su u skladu sa posebnim propisima označeni kao takvi,
6) Ministarstvo je kontakt tačka koje, u ime Vlade Republike Srpske, sarađuje sa nadležnim organima Republike Srpske, BiH, Evropske unije i drugih država, s ciljem razmjene informacija o kritičnim infrastrukturama i sprovođenja utvrđenih aktivnosti u njihovoj zaštiti i obezbjeđenju neprekidnog funkcionisanja,
7) Metodologija za određivanje kritične infrastrukture je skup opštih mjerila na osnovu kojih se procjenjuje rizik za pojedine sisteme i mreže kritičnih infrastruktura u svim sektorima i određuju objekti kritične infrastrukture (u daljem tekstu: Metodologija),
8) međunarodna kritična infrastruktura je ona infrastruktura koja je između dviju susjednih država definisana kao kritična,
9) odgovorni subjekti kritične infrastrukture su pravna lica, odnosno javna preduzeća i privredna društva koja su odgovorna za upravljanje kritičnom infrastrukturom,
10) sektorske mjere podrazumijevaju skup specifičnih mjera na osnovu kojih se procjenjuje rizik za sisteme i mreže kritičnih infrastruktura u pojedinom sektoru,
11) upravljanje kritičnom infrastrukturom podrazumijeva obezbjeđenje uslova za rad i kontinuirano funkcionisanje kritične infrastrukture.


Član 5.

(1) Republički organi uprave nadležni za sektore iz člana 3. ovog zakona određuju odgovorne subjekte kritične infrastrukture i objekte kritične infrastrukture.
(2) Ministar unutrašnjih poslova (u daljem tekstu: ministar), na prijedlog nadležnog republičkog organa uprave, rješenjem potvrđuje identifikovane kritične infrastrukture, nakon sprovedenog postupka provjere.
(3) Ministar rješenjem određuje listu sektora kritičnih infrastruktura, prema njihovom značaju za opšte funkcionisanje Republike Srpske, odnosno rangira sektore kritične infrastrukture prema njihovoj kritičnosti.
(4) Na prijedlog ministra, Vlada Republike Srpske će podzakonskim aktom utvrditi postupak provjere subjekata i objekata kritične infrastrukture definisane stavom 2. ovog člana.


Član 6.

(1) Ministarstvo, u saradnji sa nadležnim republičkim organom uprave iz čije nadležnosti je pojedina kritična infrastruktura, redovno prati i procjenjuje prijetnje, predlaže operativne i druge mjere za procjenjivanje kritičnosti, kao i mjere za upravljanje i zaštitu kritičnih infrastruktura.
(2) Ministarstvo, jednom godišnje, Vladi Republike Srpske i odboru Narodne skupštine Republike Srpske nadležnom za bezbjednost, podnosi izvještaj o broju kritičnih infrastruktura po sektorima, stepenu njihove ugroženosti, te sprovođenju mjera njihove zaštite.

Član 7.

(1) Republički organi uprave iz čije nadležnosti je pojedina kritična infrastruktura i Ministarstvo, odgovorni su za određivanje pojedinih sistema ili njihovih dijelova kao kritičnih infrastruktura, upravljanje kritičnim infrastrukturama i njihovu zaštitu.
(2) Ministar donosi rješenje o određivanju kritične infrastrukture, te ga dostavlja na sprovođenje odgovornim subjektima kritičnih infrastruktura i republičkom organu uprave u čijoj nadležnosti je objekat kritične infrastrukture.
(3) Odgovorni subjekti kritičnih infrastruktura direktno su odgovorni za upravljanje i zaštitu kritičnih infrastruktura u svim uslovima.

Član 8.

(1) Ministar donosi Metodologiju, u saradnji sa republičkim organima uprave nadležnim za sektore iz člana 3. ovog zakona.
(2) Metodologija se označava odgovarajućim stepenom tajnosti, u skladu sa propisima kojima se uređuje oblast zaštite tajnih podataka.
(3) Sektorske mjere određuje republički organ uprave nadležan za sektor kojem pripada objekat kritične infrastrukture, u saradnji sa Ministarstvom.
(4) Prilikom izrade sektorskih mjera, nadležni republički organi uprave mogu konsultovati strukovna udruženja za svaki pojedinačni sektor.


Član 9.

(1) Analizom rizika utvrđuju se mogućnosti prekida rada kritične infrastrukture, a sprovodi se u skladu sa Metodologijom i sektorskim mjerama.
(2) Analizom rizika svih kritičnih infrastruktura, kao direktna šteta, procjenjuju se:
1) ljudski gubici (procjenjuje se mogući broj smrtno stradalih ili povrijeđenih zbog prekida rada pojedine kritične infrastrukture),
2) ekonomski gubici (procjenjuju se prema važnosti ekonomskog gubitka ili smanjenja kvaliteta proizvoda ili usluga, uključujući i mogući uticaj na životnu sredinu),
3) uticaj na javnost (procjenjuje se prema uticaju na povjerenje javnosti, fizičke patnje i narušavanje svakodnevnog života, uključujući i gubitak osnovnih, te javnih usluga).
(3) Analizom rizika svih kritičnih infrastruktura, kao indirektna šteta, procjenjuje se:
1) dugoročan uticaj na integritet pojedinaca i zajednice (procjenjuje se prema važnosti podataka sa stanovišta funkcionisanja zajednice, ostvarivanja ljudskih prava i sloboda),
2) dugoročna ekonomska šteta (procjenjuje se prema važnosti podataka za zaštitu kolektivnih vrijednosti i onemogućavanja podrivanja ličnih i kolektivnih ekonomskih interesa),
3) dugoročan uticaj na kvalitet životne sredine (procjenjuje se prema važnosti i transparentnosti podataka o sistemima i opasnostima koje mogu bitno uticati na kvalitet životne sredine).

Član 10.

(1) Nadležni republički organi uprave, u saradnji sa Ministarstvom i sa odgovornim subjektima kritične infrastrukture, izrađuju analize rizika i sektorske planove obezbjeđenja rada kritičnih infrastruktura za sektorske kritične infrastrukture iz svoje nadležnosti.
(2) Ministarstvo sarađuje sa odgovornim subjektima kritične infrastrukture prilikom izrade analiza rizika i planova obezbjeđenja rada kritičnih infrastruktura, a pri tome uzima u obzir postojeće sektorske procjene ugroženosti i planove nastavka rada za pojedini sektor, izrađene na osnovu drugih propisa, koji obuhvataju ovim zakonom utvrđene rizike, ako oni mogu u potpunosti nadoknaditi analize rizika i planove obezbjeđenja rada kritičnih infrastruktura.
(3) Pri procjenjivanju rizika i potrebnog stepena zaštite uzima se u obzir i djelovanje pojedinog sektora ili mreže kritične infrastrukture na druge kritične infrastrukture, te se obezbjeđuje razmjena podataka potrebnih za izradu analize rizika.
(4) Prilikom izrade analize rizika i sektorskih planova obezbjeđenja rada kritičnih infrastruktura nadležni republički organi uprave mogu konsultovati strukovna udruženja za svaki pojedinačni sektor, uz saglasnost Ministarstva.


Član 11.

(1) Odgovorni subjekti kritične infrastrukture izrađuju analizu rizika, kao osnov za izradu bezbjednosnog plana, a u skladu sa članom 9. ovog zakona.
(2) Prilikom izrade analize rizika, odgovorni subjekti kritične infrastrukture sarađuju sa republičkim organima uprave u čijoj je nadležnosti kritična infrastruktura, i sa Ministarstvom.

Član 12.

(1) Bezbjednosni plan obezbjeđuje povjerljivost, potpunost i raspoloživost organizacionih, kadrovskih, materijalnih, informaciono-komunikacionih i drugih rješenja, te stalnih bezbjednosnih mjera potrebnih za neprekidno funkcionisanje kritične infrastrukture.
(2) Odgovorni subjekti kritičnih infrastruktura izrađuju bezbjednosni plan, koji obuhvata mjere zaštite i obezbjeđenja nastavka rada kritične infrastrukture i isporuke robe i usluga.
(3) Rok za izradu bezbjednosnih planova je godinu dana od dana prijema rješenja o određivanju kritične infrastrukture.
(4) Postojeći dokumenti izrađeni na osnovu drugih sektorskih propisa, a kojima su regulisane mjere zaštite, mogu biti sastavni dio bezbjednosnih planova.
(5) Nadležni republički organ uprave u čijoj nadležnosti je kritična infrastruktura utvrđuje vrijednost dokumenata izrađenih na osnovu drugih sektorskih propisa kojima su regulisane mjere zaštite.

Član 13.

(1) Odgovorni subjekti kritične infrastrukture donose bezbjednosni plan uz prethodno pribavljenu saglasnost nadležnog organa republičke uprave u čijoj je nadležnosti kritična infrastruktura.
(2) U postupku izdavanja saglasnosti, nadležni republički organ uprave utvrđuje da li je bezbjednosni plan izrađen u skladu sa Metodologijom i sektorskim mjerama.
(3) Bezbjednosni plan kritičnih infrastruktura je dio poslovnog plana javnog preduzeća i privrednog društva i nije javno dostupan.
(4) Bezbjednosni plan obuhvata:
1) određivanje važnih dijelova ili objekata mreže kritičnih infrastruktura,
2) sprovođenje analize rizika zasnovane na scenariju velikih prijetnji, ranjivosti svakog objekta, sistema, mreža i funkcionalnosti i mogućim posljedicama u redovnom radu, te u slučaju prestanka rada ili korištenja kritične infrastrukture, uključujući i rizik od napuštanja lokacije kritične infrastrukture,
3) identifikaciju, izbor i određivanje svih potrebnih mjera i postupaka za smanjenje ranjivosti i obezbjeđenje djelovanja svih utvrđenih kritičnih dijelova ili objekata mreže ili sistema, i to:
1. stalnih bezbjednosnih mjera i postupaka koji se kontinuirano primjenjuju (tehničkih, organizacionih, komunikacionih mjera, mjera i postupaka ranog upozoravanja i jačanja svijesti) i koji određuju nužne troškove u bezbjednosti,
2. postepenih bezbjednosnih mjera i postupaka koji se aktiviraju u zavisnosti od jačanja prijetnji.
(5) Bezbjednosni planovi se analiziraju tokom prve godine od dana određivanja kritične infrastrukture, a nakon toga se analiziraju redovno jednom godišnje.

Član 14.

(1) Republički organi uprave određuju bezbjednosnog koordinatora za kritičnu infrastrukturu i njegovog zamjenika za svaki sektor kritične infrastrukture iz svoje nadležnosti, koji mogu biti iz reda zaposlenih.
(2) Odgovorni subjekti kritične infrastrukture (kao pravna lica) dužni su da odrede lice koje je direktno odgovorno za upravljanje i zaštitu objekata kritične infrastrukture, koje može biti iz reda zaposlenih.
(3) Lice odgovorno za upravljanje i zaštitu objekata kritične infrastrukture u svom radu sarađuje sa bezbjednosnim koordinatorom za kritičnu infrastrukturu, njegovim zamjenikom i Ministarstvom, a da bi se obezbijedila zaštita i kontinuitet rada kritične infrastrukture.

Član 15.

(1) Ministarstvo sarađuje sa organima kritične infrastrukture drugih država.
(2) Saradnja sa kritičnim infrastrukturama drugih država ne isključuje prava i obaveze organa republičke uprave za direktnu razmjenu informacija, znanja i iskustava sa srodnim organima drugih država.

Član 16.

U slučajevima uništavanja ili oštećenja dijelova kritične infrastrukture organ republičke uprave, u saradnji sa odgovornim subjektima kritične infrastrukture, a zavisno od obima štete, predlaže Ministarstvu imenovanje štaba za krizne situacije, ukoliko to bezbjednosnim planom prethodno nije definisano.

Član 17.

(1) Sa podacima o kritičnoj infrastrukturi za koje je određen stepen tajnosti postupa se u skladu sa važećim propisima i međunarodnim ugovorima i standardima.
(2) Osim podataka koji u skladu sa ovim zakonom predstavljaju tajni podatak i označavaju se odgovarajućim stepenom tajnosti, u području zaštite kritičnih infrastruktura može se odrediti tajnost i drugih podataka povezanih sa pojedinom kritičnom infrastrukturom.

Član 18.

Za sprovođenje ovog zakona nadležno je Ministarstvo.


Član 19.

(1) Inspekcijski nadzor nad sprovođenjem ovog zakona kod odgovornih subjekata kritične infrastrukture vrši Ministarstvo.
(2) U inspekcijskom nadzoru kontrolišu se subjekti koji su obavezni da sprovode mjere i aktivnosti iz ovog zakona, utvrđuje stepen ispunjavanja uslova i načina rada subjekata pod kontrolom, obavlja direktan uvid u opšte i pojedinačne akte, te preduzimaju mjere određene ovim zakonom.
(3) Ako se u inspekcijskom nadzoru utvrdi povreda odredaba ovog zakona, kontrolisanom subjektu će se rješenjem narediti mjere za otklanjanje utvrđenih nepravilnosti sa rokom izvršenja.
(4) Ako kontrolisani subjekt ne otkloni utvrđene nepravilnosti u roku iz stava 3. ovog člana, bez odgađanja se pokreće prekršajni postupak.
(5) Ako tokom inspekcijske kontrole inspektor utvrdi da nije ovlašten direktno da postupa, o tome odmah obavještava nadležnu organizacionu jedinicu Ministarstva, nakon čega se zahtijeva pokretanje postupka i preduzimanje mjera u skladu sa zakonom.

Član 20.

Radi obezbjeđenja jedinstvenog pristupa analizi rizika kritičnih infrastruktura, nadzor nad primjenom Metodologije i sektorskih mjera kod svih učesnika koji sprovode ovaj zakon vrši Ministarstvo, a kontrolu kod odgovornih subjekata kritičnih infrastruktura nad primjenom sektorskih mjera i analiza rizika sprovode republički organi uprave u sektoru iz svoje nadležnosti.

Član 21.

(1) Novčanom kaznom od 500 KM do 1.000 KM kazniće se za prekršaj odgovorni subjekt kritične infrastrukture ako:
1) ne izradi analizu rizika kao podlogu za izradu bezbjednosnog plana na osnovu mjera iz člana 9. ovog zakona (član 11. stav 1),
2) ne izradi i ne donese bezbjednosni plan odgovornog subjekta, koji obuhvata mjere zaštite i obezbjeđenja nastavka poslovanja kritične infrastrukture i isporuke usluga ili robe (član 12. stav 1. i član 13. stav 1),
3) ne odredi bezbjednosnog koordinatora i lice odgovorno za upravljanje i zaštitu objekata kritične infrastrukture (član 14. stav 2).
(2) Za prekršaj iz stava 1. ovoga člana kazniće se novčanom kaznom od 50 KM do 200 KM i lice odgovorno za upravljanje i zaštitu objekata kritične infrastrukture.

Član 22.

Vlada Republike Srpske će u roku od šest mjeseci od dana stupanja na snagu ovog zakona donijeti podzakonski propis o pospupku provjere subjekata i objekata kritične infrastrukture (član 5. stav 4).

Član 23.

Rukovodioci republičkog organa uprave dužni su da donesu sektorske mjere iz člana 8. stav 3. ovog zakona u roku od 18 mjeseci od dana stupanja na snagu ovog zakona.

Član 24.

U roku od devet mjeseci od dana usvajanja sektorskih mjera iz člana 8. stav 3. ovog zakona ministar će donijeti Metodologiju iz člana 8. stav 1. ovog zakona.


Član 25.

Republički organi uprave dužni su da u roku od šest mjeseci od dana donošenja Metodologije predlože kritične infrastrukture iz sektora njihove nadležnosti i nivo njihove kritičnosti.

Član 26.

Ovaj zakon stupa na snagu osmog dana od dana objavljivanja u „Službenom glasniku Republike Srpske“.




Broj:02/1-021- /19 PREDSJEDNIK
Datum: 27. jun 2019. godine NARODNE SKUPŠTINE

Nedeljko Čubrilović

POSLOVNIK VISOKOG SUDSKOG I TUŽILAČKOG SAVJETA B[…]