STA novice / Na Brdu pri Kranju o novem zakonu o informacijski varnosti

Konferenca o novem zakonu o informacijski varnosti je prvi veliki dogodek na to temo, odkar je novi zakon začel veljati junija letos. Po pojasnilih direktorja urada vlade za informacijsko varnost želijo z njim okrepiti zavedanje o informacijski varnosti. Konferenci bodo sledili tudi konkretni organizacijski, tehnični in finančni ukrepi ter ukrepi za povezovanje, je povedal Svete.

Na konferenci sodeluje več 100 predstavnikov novega ekosistema kibernetske varnosti, med njimi predstavniki podjetij in javne uprave. Visoka udeležba po Svetetovem prepričanju potrjuje dejstvo, da so v konceptualnem smislu zakon v Sloveniji in na ravni EU zastavili zelo široko. Kot je povedal, je namreč digitalizacija danes resnično vseprisotna in posledično morajo biti vseprisotni tudi varnostni ukrepi.

Z novim zakonom se je kibernetika ponovno usidrala v zavest javnosti, predvsem pa v upravljavske procese, je poudaril Svete. Ob tem je opozoril, da ni dovolj, da se prelaga odgovornost samo na tehnični kader. "Odgovornost za informacijsko varnost nosijo tudi odgovorne osebe, pa najsi gre za odgovorne osebe v javnem sektorju ali pa med podjetji," je dejal.

Med največjimi izzivi izvajanja zakona Svete vidi zelo majhno ponudbo z vidika informacijske in kibernetske varnosti v Sloveniji. Ob povečanju povpraševanja mu ponudba tako ne bo mogla slediti, posledično pa bi lahko prišlo do preraztegovanja zmogljivosti na tej ravni, je opozoril.

Prav tako bo za uspešno izvajanje zakona potrebna izrazito hitra komunikacija na ravni državnih organov, varnostno-operativnih centrov ter javnih in zasebnih podjetij. To bo po Svetetovih besedah zahtevalo veliko spremembo tako v smislu razumevanja kot tudi tehničnega povezovanja.

Na konferenci so strokovnjaki iz urada za informacijsko varnost, nacionalnega odzivnega centra za kibernetsko varnost SI-CERT ter predstavniki podjetij in kritične infrastrukture med drugim predstavili kako bo novi zakon vplival na delovanje institucij in podjetij, kako bodo potekali inšpekcijski nadzori in kako deluje novi sistem odzivanja na incidente.

Z novim zakonom za informacijsko varnost se je v slovenski pravni red preneslo področno evropsko direktivo, bolj znano pod imenom NIS2.

Med bistvenimi spremembami, ki jih prinaša novi zakon, je širitev kroga zavezancev, ki morajo sprejeti ukrepe za zagotavljanje kibernetske varnosti. Poleg subjektov javnega sektorja zakon zajema tudi nekatere gospodarske subjekte, predvsem velika in srednja podjetja. Kot zavezanci pa se lahko določijo tudi ostali pomembni organi ali entitete oziroma podjetja, ki so pomembna za delovanje v Sloveniji.

Zavezanci bodo morali med drugim pripraviti oceno tveganj ter načrte za obvladovanje kibernetskih incidentov in za neprekinjeno poslovanje svojih bistvenih storitev. Pomembna novost novega zakona pa je tudi vzpostavitev platforme za samoregistracijo zavezancev, enotne platforme za prijavo incidentov in platforme za varno izmenjavo informacij.