Shodno zakonu o informacionoj bezbednosti („Sl. glasnik RS“, br. 6/2016, 94/2017 i 77/2019) član 6a obaveze operatora IKT sistema od posebnog značaja jesu da:
- upiše IKT sistem od posebnog značaja kojim upravlja u evidenciju operatora IKT sistema od posebnog značaja;
- preduzme mere zaštite IKT sistema od posebnog značaja;
- donese akt o bezbednosti IKT sistema;
- vrši proveru usklađenosti primenjenih mera zaštite IKT sistema sa aktom o bezbednosti IKT sistema i to najmanje jednom godišnje;
- uredi odnos sa trećim licima na način koji obezbeđuje preduzimanje mera zaštite tog IKT sistema u skladu sa zakonom, ukoliko poverava aktivnosti u vezi sa IKT sistemom od posebnog značaja trećim licima;
- dostavlja obaveštenja o incidentima koji značajno ugrožavaju informacionu bezbednost IKT sistema;
- dostavi tačne statističke podatke o incidentima u IKT sistemu.
Aktom o bezbednosti IKT sistema obuhvaćene sve mere zaštite predviđene Zakonom o informacionoj bezbednosti, Uredbom o bližem sadržaju akta o bezbednosti IKT sistem od posebnog značaja, način provere i sadržaj izveštaja o proveri bezbednosti IKT sistema od posebnog značaja i Uredbom o bližem uređenju mera zaštite IKT sistema od posebnog značaja.
Prilikom izrade Akta neophodno je definisati stvarno stanje sistema bezbednosti i uskladiti trenutno stanje sa preporukama i standardima predviđenim Zakonom i Uredbama. Preporuka je da obavezni članovi radne grupe koja će raditi na izradi Akta budu pravnici i tehnička lica, sistem administratori.
Važno je istaći da Akt o bezbednosti predstavlja dokument koji je izuzetno podložan promenama, te je njegove odredbe potrebno redovno preispitivati i izlagati provera, a sve u cilju stvaranja što naprednijeg nivoa bezbednosti i izgradnje svesti zaposlenih i odgovornih o značaju informacione bezbednosti IKT sistema.
Ciljevi donošenja Akta o bezbednosti IKT sistema su:
- određivanje načina i postupak za postizanje i održavanje adekvatnog nivoa sistema bezbednosti;
- sprečavanje i ublažavanje posledica incidenta kojim se ugrožava ili narušava bezbednost informacije.
- podizanje svesti kod zaposlenih o značaju informacione bezbednosti, rizicima i merama zaštitite prilikom korišćenja IKT sistema;
- propisivanje ovlašćenja i odgovornosti zaposlenih u vezi sa sigurnošću i resursima IKT sistema;
- sveukupno unapređenje informacione bezbednosti i provera usklađenosti primene mera zaštite.