• PREDPIS
  • RAZVELJAVLJEN

Uredba o varnostni dokumentaciji in minimalnih varnostnih ukrepih povezanih subjektov

OBJAVLJENO V: Uradni list RS 118-3421/2023, stran 9749 DATUM OBJAVE: 24.11.2023

VELJAVNOST: od 1.1.2024 do 18.6.2025 / UPORABA: od 1.5.2024 do 18.6.2025

RS 118-3421/2023

Verzija 2 / 2

Čistopis se uporablja od 19.6.2025 do nadaljnjega. Status čistopisa na današnji dan, 21.2.2026: NEAKTUALEN.

Časovnica

Na današnji dan, 21.2.2026 je:

  • ČISTOPIS
  • NEAKTUALEN
  • UPORABA ČISTOPISA
  • OD 19.6.2025
    DO nadaljnjega
Format datuma: dan pika mesec pika leto, na primer 20.10.2025
  •  
  • Vplivi
  • Čistopisi
rev
fwd
3421. Uredba o varnostni dokumentaciji in minimalnih varnostnih ukrepih povezanih subjektov
Na podlagi drugega odstavka 18.a člena Zakona o informacijski varnosti (Uradni list RS, št. 30/18, 95/21, 130/22 – ZEKom-2, 18/23 – ZDU-1O in 49/23) Vlada Republike Slovenije izdaja
U R E D B O
o varnostni dokumentaciji in minimalnih varnostnih ukrepih povezanih subjektov

I. SPLOŠNE DOLOČBE

1. člen

(namen in področja uporabe)
Ta uredba podrobneje določa vsebino in strukturo predpisane dokumentacije povezanih subjektov, metodologijo za pripravo analize obvladovanja tveganj informacijske varnosti z oceno sprejemljive ravni tveganj, način izvajanja obveznosti povezanega subjekta na področju informacijske varnosti, minimalni obseg varnostnih ukrepov glede informacijske varnosti ter pripravo navodil in postopkov za obvladovanje incidentov informacijske varnosti s protokolom obveščanja CSIRT organov državne uprave.

2. člen

(pomen izrazov)
Izrazi, uporabljeni v tej uredbi, pomenijo:

1.

analiza obvladovanja tveganj je proces ugotavljanja narave tveganja, ocenitve tveganja in ovrednotenje tveganja ter določitve ravni tveganja;

2.

celovitost je lastnost informacij in informacijskih sistemov, da so točne in popolne;

3.

centralizirani organi državne uprave (v nadaljnjem besedilu: centralizirani organi) so subjekti, za katere v skladu s prvim odstavkom 74.a člena Zakona o državni upravi (Uradni list RS, št. 113/05 – uradno prečiščeno besedilo, 89/07 – odl. US, 126/07 – ZUP-E, 48/09, 8/10 – ZUP-G, 8/12 – ZVRS-F, 21/12, 47/13, 12/14, 90/14, 51/16, 36/21, 82/21, 189/21, 153/22 in 18/23) upravljanje informacijsko-komunikacijske infrastrukture, razvoj skupnih informacijskih rešitev ter njihovo tehnološko, procesno in organizacijsko skladnost s centralnim informacijsko-komunikacijskim sistemom ter načrtovanje in upravljanje vseh proračunskih virov na teh področjih izvaja ministrstvo, pristojno za upravljanje informacijsko-komunikacijskih sistemov;

4.

CSIRT organov državne uprave je organizacijska enota Urada Vlade Republike Slovenije za informacijsko varnost, ki se odziva na incidente na področju informacijske varnosti organov državne uprave, sprejema prijave o kršitvah varnosti, izvaja analize in pomaga priglasiteljem pri obvladovanju incidentov ter od povezanih subjektov sprejema priglasitve incidentov z možnim vplivom na centralno državno informacijsko-komunikacijsko omrežje oziroma sistem;

5.

ocenitev tveganja je celotni proces ugotavljanja tveganja, analize tveganja in ovrednotenja tveganja;

6.

ovrednotenje tveganja je proces primerjanja rezultatov analize tveganja z merili tveganja, da bi ugotovili, ali je tveganje oziroma njegova velikost sprejemljiva oziroma znosna;

7.

razpoložljivost je lastnost informacij in informacijskih sistemov, da so dostopni in uporabni na pooblaščeno zahtevo;

8.

sistem upravljanja varovanja informacij je sistem upravljanja, ki omogoča celovit in koordiniran pogled na informacijska varnostna tveganja organizacije ter zagotavlja vzpostavitev, vpeljavo, delovanje, spremljanje, pregledovanje, vzdrževanje in izboljševanje varnosti omrežij in informacijskih sistemov;

9.

sredstvo je vsaka opredmetena ali neopredmetena stvar, ki ima vrednost za povezani subjekt in zato zahteva zaščito;

10.

ugotavljanje tveganja je proces odkrivanja, prepoznavanja in opisovanja tveganj;

11.

uporabnik je fizična ali pravna oseba, ki uporablja posamezno storitev povezanega subjekta neposredno, posredno ali s posredovanjem oziroma je odvisna od nje;

12.

zaupnost je lastnost, da informacije niso razpoložljive ali razkrite nepooblaščenim subjektom ali procesom.

II. UPRAVLJANJE INFORMACIJSKE VARNOSTI

3. člen

(odgovorne osebe povezanega subjekta)

(1)

Za informacijsko varnost povezanega subjekta je odgovoren predstojnik organa oziroma odgovorna oseba pravne osebe (v nadaljnjem besedilu: odgovorna oseba povezanega subjekta).

(2)

Odgovorna oseba povezanega subjekta v skladu s prvo alinejo prvega odstavka 18.a člena Zakona o informacijski varnosti (Uradni list RS, št. 30/18, 95/21, 130/22 – ZEKom-2, 18/23 – ZDU-1O in 49/23; v nadaljnjem besedilu: ZInfV) določi kontaktno osebo za informacijsko varnost in njenega namestnika. Za izvajanje posameznih ključnih nalog na področju informacijske varnosti povezanega subjekta iz druge, tretje in četrte alineje prvega odstavka 18.a člena ZInfV odgovorna oseba povezanega subjekta lahko določi tudi drugo fizično ali pravno osebo.

III. VSEBINA IN STRUKTURA VARNOSTNE DOKUMENTACIJE

4. člen

(vsebina in struktura varnostne dokumentacije)

(1)

Povezani subjekti izdelajo varnostno dokumentacijo, ki vsebuje najmanj elemente iz prvega odstavka 18.a člena ZInfV.

(2)

Varnostno dokumentacijo iz prejšnjega odstavka tega člena podpiše odgovorna oseba povezanega subjekta.

(3)

Če ima povezani subjekt za zagotavljanje varnosti svojih omrežij in informacijskih sistemov že izdelano varnostno dokumentacijo na podlagi drugih predpisov, jo vsebinsko dopolni v skladu s to uredbo.

(4)

Pristojni nacionalni organ na svoji spletni strani objavi priporočila za pripravo varnostne dokumentacije.

5. člen

(analiza obvladovanja tveganj)

(1)

Povezani subjekt pripravi analizo obvladovanja tveganj z oceno sprejemljive ravni tveganj na način iz 6. člena te uredbe.

(2)

Povezani subjekt na podlagi analize obvladovanja tveganj z oceno sprejemljive ravni tveganj navede ustrezne ukrepe za preprečitev ali omilitev neželenih učinkov in zagotovi nenehno izboljševanje.