STA novice / V javni razpravi osnutek predloga zakona o informacijski varnosti

Zakonski osnutek tako določa zavezance, ki se morajo samoregistrirati pristojnemu nacionalnemu organu. Med drugim mu morajo posredovati stik kontaktne osebe za informacijsko varnost, seznam dodeljenih blokov javnih naslovov IP, seznam držav članic EU, v katerih opravljajo storitev. Gre za družbe z vsaj 250 zaposlenimi in z letnim prometom vsaj 50 milijonov evrov, ki delujejo v sektorjih energetike, prometa, bančništva, infrastrukture finančnega trga, zdravja, pitne in odpadne vode, digitalne infrastrukture, upravljanje storitev IKT, javne uprave in vesolja.

Med zavezanci so po predlogu tudi subjekti lokalne samouprave, do nivoja mestnih občin in občin, v katerih se nahajajo sedeži upravnih enot. Zakon bi se za te zavezance uporabljal ne glede na njihovo število zaposlenih ali njihov letni promet.

Predlog uvaja strožje zahteve za poročanje o varnostnih incidentih s strani ponudnikov digitalne infrastrukture in zavezancev ter določa kriterije za ocenjevanje resnosti tveganj. Spodbuja tudi izmenjavo informacij in sodelovanje med državami članicami EU, zlasti v zvezi z varnostnimi incidenti, ki lahko vplivajo na več držav, navaja predlagatelj.

Med poglavitnimi novostmi, ki jih prinaša evropska uredba o ukrepih za visoko skupno raven kibernetske varnosti v uniji, je širitev obsega sektorjev kritične infrastrukture, ki je ključnega pomena za delovanje družbe in gospodarstva, in določa obveznost nacionalne strategije za varnost omrežij in informacijskih sistemov.

Z ohranitvijo, razširitvijo in nadgraditvijo vsebin iz obstoječega zakona urad za informacijsko varnost sledi tudi ugotovitvam iz vaj kriznega odzivanja in koordinacije med deležniki kibernetske varnosti. Ti postopki so zasnovani z namenom izboljšanja odpornosti in varnosti omrežij in informacijskih sistemov pred kibernetskimi grožnjami ter zagotavljanja učinkovitejšega odziva na morebitne incidente, so zapisali.

Novost glede na obstoječ zakon so še členi, ki določajo pravila za izmenjavo podatkov in informacij, ki so varovani podatek. Izmenjava teh podatkov mora biti omejena na obseg, ki je ustrezen in sorazmeren glede na namen takšne izmenjave, pri čemer se ohrani zaupnost ter zaščiti varnost in poslovni interes teh subjektov. Ne glede na določbe zakona, ki ureja dostop do informacij javnega značaja, zato osnutek predlaga, da se varovani podatki pristojnega nacionalnega organa ne posredujejo javnosti. Prinaša tudi izrecno varovalko pred razkritjem podatkov, ki so v nasprotju z vitalnimi interesi slovenske države.

Nalaga pa tudi obvezne medsebojne strokovne preglede, ki jih izvajajo varnostni strokovnjaki drugih držav članic, pri tem pa kot opazovalki sodelujeta Evropska komisija in Agencija EU za kibernetsko varnost (Enisa).

Na podlagi evropske uredbe osnutek kot organ odgovoren za obvladovanje kibernetskih kriz določa urad za informacijsko varnost in mu nalaga izdelavo nacionalnega načrta odzivanja na kibernetske incidente.

Direktor urada za informacijsko varnost Uroš Svete je ob tem pojasnil, da so v zakon vnesli več evropskih uredb, zato so se odločili za nov področni zakon in ne novelo obstoječega. Komentarje na osnutek je na portalu e-Uprava mogoče podati do 18. marca.