Obveščamo vas glede osnutka predloga Zakona o informacijski varnosti (ZInfV-1), ki ga prilagamo in je bil v javni obravnavi. Gre za pomemben zakon saj v slovenski pravni red prenaša Direktivo (EU) 2022/2555 Evropskega parlamenta in Sveta z dne 14. decembra 2022 o ukrepih za visoko skupno raven kibernetske varnosti v Uniji (Direktiva NIS 2). Direktiva NIS 2 in s tem tudi ZInfV-1 prinašata nekatere novosti in obveznosti, ki bodo pomembno vplivale tudi naslovensko gospodarstvo. Namen predlaganega ZInfV-1 je sistemska ureditev področja informacijske oz. kibernetske varnosti in zagotovitev visoke ravni kibernetske varnosti v Sloveniji na področjih, ki so bistvenega pomena za nemoteno delovanje države ter ohranitev zagotavljanja ključnih družbenih in gospodarskih dejavnosti v vseh varnostnih razmerah.
V nadaljevanju posredujemo nekatere vsebinske poudarke predloga ZInfV-1:
1. Zavezanci po ZInfV-1 so, med drugim, naslednji subjekti:
- Zavezanci se skladno z določbami Direktive NIS 2 delijo na bistvene subjekte in pomembne subjekte.
- Bistveni subjekti, med drugim, so (6. člen):
- subjekti vrste, ki jo določa Priloga I, ki imajo vsaj 250 zaposlenih in letni promet vsaj 50 milijonov evrov oziroma letno bilančno vsoto vsaj 42 milijonov evrov;
- ponudniki kvalificiranih storitev zaupanja, registri vrhnjih domenskih imen in ponudniki storitev DNS, ne glede na njihovo velikost;
- ponudniki javnih elektronskih komunikacijskih omrežij ali javno dostopnih elektronskih komunikacijskih storitev, ki imajo vsaj 50 zaposlenih in letni promet oziroma letno bilančno vsoto vsaj 10 milijonov evrov;
- vsi drugi subjekti vrste iz Prilog I ali II, ki jih na podlagi predloga ZInfV-1 in na predlog pristojnega nacionalnega organa določi vlada z odločbo;
- subjekti, ki so določeni kot kritični na podlagi Zakona o kritični infrastrukturi;
- subjekti, ki so bili v skladu z Zakonom o informacijski varnosti določeni kot izvajalci bistvenih storitev pred 16. januarjem 2023;
- drugi subjekti, ki jih vlada lahko določi kot bistvene subjekte zaradi pomembnega negativnega vpliva, ki bi ga incident pri izvajanju njihovih storitev imel za življenje in zdravje ljudi ter na okolje.
- Pomembni subjekti so (3. in 6. člen):
- vsi subjekti drugih vrst iz Priloge I in Priloge II;
- vsi drugi subjekti iz 3. člena predloga zakona.
- Predvideva se vzpostavitev mehanizma za samoregistracijo zavezancev (7. člen).
2. Pristojni organi.
- Urad Vlade Republike Slovenije za informacijsko varnost je pristojni organ za obvladovanje kibernetskih incidentov velikih razsežnosti in kriz (9. člen).
- Predlog zakona določa tudi skupine za odzivanje na incidente na področju računalniške varnosti – skupine CSIRT (12. člen).
3. Ukrepi za obvladovanje tveganj in priglasitev incidentov
- Odgovorne osebe pravnih oseb oz. člani poslovodnih organov bistvenih ali pomembnih subjektov, bodo odgovorne za izvajanje ukrepov za obvladovanje tveganj za kibernetsko varnost.
- Bistveni in pomembni subjekti bodo morali sprejeti ukrepe, ki bodo dosegali raven varnosti, ki ustreza obstoječim tveganjem.
- Bistveni in pomembni subjekti bodo morali sprejeti ustrezne in sorazmerne tehnične, operativne in organizacijske ukrepe za obvladovanje tveganj za varnost omrežnih in informacijskih sistemov, ki jih uporabljajo za svoje delovanje ali opravljanje storitev ter za preprečevanje ali zmanjšanje vpliva incidentov na prejemnike storitev.
- Bistveni in pomembni subjekti bodo morali zagotoviti ohranjanje dnevniških zapisov o delovanju informacijskih sistemov ali delov omrežja za obdobje 6 mesecev (21. člen).
- Brez nepotrebnega odlašanja bodo morali pristojnim organom priglasiti incident, ki bo imel pomemben vpliv na zagotavljanje njihovih storitev. Incident se šteje za pomembnega, če:
- je zadevnemu subjektu povzročil ali bi mu lahko povzročil znatne operativne motnje pri opravljanju storitev ali finančne izgube;
- je vplival ali bi lahko vplival na druge fizične ali pravne osebe s povzročitvijo precejšnje premoženjske ali nepremoženjske škode.
4. Nadzor
- Za nadzor bodo pristojni inšpektorji za informacijsko varnost pristojnega nacionalnega organa.
- ZInfV-1 ureja nadzor in ukrepe nadzora za bistvene subjekte in pomembne subjekte (npr. izdaja zavezujočih navodil, prepoved ravnanja, naložitev objave kršitve ZInfV-1, globe).
- Bistveni in pomembni subjekti so zavezani tudi k izvajanju ocene skladnosti (45. člen) in samoocene skladnosti (46. člen) sprejetih ukrepov.
Vaše morebitne pripombe in predloge k predlogom nam lahko posredujete do 22. marca 2024 na naslov: pravnasluzba@gzs.si.