STA novice / V javni razpravi nov osnutek predloga zakona o informacijski varnosti

Na podlagi prejetih predlogov, pripomb in komentarjev javnosti ter ob upoštevanju predlogov nekaterih državnih organov iz prvega kroga javne obravnave je urad oblikoval nov osnutek predloga zakona in ga objavil na portalu e-Demokracija.

Direktor urada za informacijsko varnost Uroš Svete je ob prvi javni obravnavi pojasnil, da so v zakon vnesli več evropskih uredb, zato so se odločili za nov področni zakon, in ne novelo obstoječega.

Kot so navedli ob prvi javni obravnavi, ki je potekala od sredine februarja do sredine marca, zakonski osnutek določa zavezance, ki se morajo samoregistrirati pristojnemu nacionalnemu organu. Med drugim mu morajo posredovati stik kontaktne osebe za informacijsko varnost, seznam dodeljenih blokov javnih naslovov IP, seznam držav članic EU, v katerih opravljajo storitev. Gre za družbe z vsaj 250 zaposlenimi in z letnim prometom vsaj 50 milijonov evrov, ki delujejo v sektorjih energetike, prometa, bančništva, infrastrukture finančnega trga, zdravja, pitne in odpadne vode, digitalne infrastrukture, upravljanje storitev IKT, javne uprave in vesolja.

Med zavezanci so po predlogu tudi subjekti lokalne samouprave, do nivoja mestnih občin in občin, v katerih se nahajajo sedeži upravnih enot. Zakon bi se za te zavezance uporabljal ne glede na njihovo število zaposlenih ali njihov letni promet.

Predlog uvaja strožje zahteve za poročanje o varnostnih incidentih s strani ponudnikov digitalne infrastrukture in zavezancev ter določa kriterije za ocenjevanje resnosti tveganj. Spodbuja tudi izmenjavo informacij in sodelovanje med državami članicami EU, zlasti v zvezi z varnostnimi incidenti, ki lahko vplivajo na več držav, navaja predlagatelj.

Med poglavitnimi novostmi, ki jih prinaša evropska uredba o ukrepih za visoko skupno raven kibernetske varnosti v uniji, je širitev obsega sektorjev kritične infrastrukture, ki je ključnega pomena za delovanje družbe in gospodarstva, in določa obveznost nacionalne strategije za varnost omrežij in informacijskih sistemov.

Z ohranitvijo, razširitvijo in nadgraditvijo vsebin iz obstoječega zakona urad za informacijsko varnost sledi tudi ugotovitvam iz vaj kriznega odzivanja in koordinacije med deležniki kibernetske varnosti. Ti postopki so zasnovani z namenom izboljšanja odpornosti in varnosti omrežij in informacijskih sistemov pred kibernetskimi grožnjami ter zagotavljanja učinkovitejšega odziva na morebitne incidente, so zapisali.

Novost glede na obstoječ zakon so še členi, ki določajo pravila za izmenjavo podatkov in informacij, ki so varovani podatek. Izmenjava teh podatkov mora biti omejena na obseg, ki je ustrezen in sorazmeren glede na namen takšne izmenjave, pri čemer se ohrani zaupnost ter zaščiti varnost in poslovni interes teh subjektov. Ne glede na določbe zakona, ki ureja dostop do informacij javnega značaja, zato osnutek predlaga, da se varovani podatki pristojnega nacionalnega organa ne posredujejo javnosti. Prinaša tudi izrecno varovalko pred razkritjem podatkov, ki so v nasprotju z vitalnimi interesi slovenske države.

Nalaga pa tudi obvezne medsebojne strokovne preglede, ki jih izvajajo varnostni strokovnjaki drugih držav članic, pri tem pa kot opazovalki sodelujeta Evropska komisija in Agencija EU za kibernetsko varnost (Enisa).

Na podlagi evropske uredbe osnutek kot organ odgovoren za obvladovanje kibernetskih kriz določa urad za informacijsko varnost in mu nalaga izdelavo nacionalnega načrta odzivanja na kibernetske incidente.