na dokumentu
Nalaganje dokumenta...
Zakon o informacijski varnosti (ZInfV-1)
OBJAVLJENO V: Uradni list RS 40-1571/2025, stran 4310 DATUM OBJAVE: 4.6.2025
VELJAVNOST: od 19.6.2025 / UPORABA: od 19.6.2025
RS 40-1571/2025
Verzija
1 / 1
Čistopis se uporablja od 19.6.2025 do nadaljnjega. Status čistopisa na današnji dan, 15.2.2026: AKTUALEN.
1571. Zakon o informacijski varnosti (ZInfV-1)
Na podlagi druge alinee prvega odstavka 107. člena in prvega odstavka 91. člena Ustave Republike Slovenije izdajam
U K A Z
o razglasitvi Zakona o informacijski varnosti (ZInfV-1)
o razglasitvi Zakona o informacijski varnosti (ZInfV-1)
Razglašam Zakon o informacijski varnosti (ZInfV-1), ki ga je sprejel Državni zbor Republike Slovenije na seji dne 23. maja 2025.
Št. 003-02-1/2025-129
Ljubljana, dne 31. maja 2025
Nataša Pirc Musar
predsednica
Republike Slovenije
Z A K O N
O INFORMACIJSKI VARNOSTI (ZInfV-1)
O INFORMACIJSKI VARNOSTI (ZInfV-1)
I. SPLOŠNE DOLOČBE
1. člen
(vsebina zakona)
(1)
Ta zakon ureja področje informacijske in kibernetske varnosti ter določa nacionalni sistem informacijske varnosti v Republiki Sloveniji. Pri tem ureja pristojnosti, naloge, organizacijo in delovanje pristojnega nacionalnega organa za informacijsko varnost (v nadaljnjem besedilu: pristojni nacionalni organ), organa za obvladovanje incidentov velikih razsežnosti in kriz, enotne kontaktne točke za kibernetsko varnost (v nadaljnjem besedilu: enotna kontaktna točka) in skupin za odzivanje na incidente na področju računalniške varnosti (v nadaljnjem besedilu: skupine CSIRT), ureja sprejetje Strategije kibernetske varnosti Republike Slovenije, kibernetsko obrambo ter sodelovanje pristojnih državnih organov in skupin CSIRT.
(2)
Za ohranitev ključnih družbenih in gospodarskih dejavnosti v Republiki Sloveniji ta zakon določa tudi ukrepe za obvladovanje tveganj za informacijsko in kibernetsko varnost ter obveznost poročanja zavezancev po tem zakonu in prostovoljno priglasitev incidentov. Ureja tudi pravila in obveznosti glede izmenjave informacij o kibernetski varnosti ter nadzor, vključno za certificiranje za kibernetsko varnost.
2. člen
(namen zakona)
(1)
Namena zakona sta sistemska ureditev področja informacijske in kibernetske varnosti in zagotovitev visoke ravni kibernetske varnosti, vključno s krepitvijo zaupanja v proizvode informacijsko-komunikacijske tehnologije (v nadaljnjem besedilu: IKT), storitve IKT in postopke IKT ter krepitvijo njihove varnosti v Republiki Sloveniji na področjih, ki so poglavitna za nemoteno delovanje države ter ohranitev zagotavljanja ključnih družbenih in gospodarskih dejavnosti.
(2)
S tem zakonom se v pravni red Republike Slovenije prenaša Direktiva 2022/2555/EU Evropskega parlamenta in Sveta z dne 14. decembra 2022 o ukrepih za visoko skupno raven kibernetske varnosti v Uniji, spremembi Uredbe (EU) št. 910/2014 in Direktive (EU) 2018/1972 ter razveljavitvi Direktive (EU) 2016/1148 (direktiva NIS 2) (UL L št. 333 z dne 27. 12. 2022, str. 80), zadnjič popravljeno s Popravkom (UL L št. 90348 z dne 12. 6. 2024, str. 139), (v nadaljnjem besedilu: Direktiva 2022/2555/EU).
(3)
S tem zakonom se ureja izvajanje Uredbe (EU) 2019/881 Evropskega parlamenta in Sveta z dne 17. aprila 2019 o Agenciji Evropske unije za kibernetsko varnost (ENISA) in o certificiranju informacijske in komunikacijske tehnologije na področju kibernetske varnosti ter razveljavitvi Uredbe (EU) št. 526/2013 (Akt o kibernetski varnosti) (UL L št. 151 z dne 7. 6. 2019, str. 15), zadnjič spremenjeno z Uredbo (EU) 2025/37 Evropskega parlamenta in Sveta z dne 19. decembra 2024 o spremembi Uredbe (EU) 2019/881 glede upravljanih varnostnih storitev (UL L št. 2025/37 z dne 15. 1. 2025), (v nadaljnjem besedilu: Uredba 2019/881/EU).
(4)
S tem zakonom se ureja izvajanje Uredbe (EU) 2021/887 Evropskega parlamenta in Sveta z dne 20. maja 2021 o vzpostavitvi Evropskega industrijskega, tehnološkega in raziskovalnega kompetenčnega centra za kibernetsko varnost ter Mreže nacionalnih koordinacijskih centrov (UL L št. 202 z dne 8. 6. 2021, str. 1), (v nadaljnjem besedilu: Uredba 2021/887/EU).
(5)
S tem zakonom se ureja izvajanje Uredbe (EU) 2025/38 Evropskega parlamenta in Sveta z dne 19. decembra 2024 o določitvi ukrepov za okrepitev solidarnosti in zmogljivosti v Uniji za odkrivanje kibernetskih groženj in incidentov ter pripravo in odzivanje nanje ter spremembi Uredbe (EU) 2021/694 (Akt o kibernetski solidarnosti) (UL L št. 2025/38 z dne 15. 1. 2025), (v nadaljnjem besedilu: Uredba 2025/38/EU).
3. člen
(izključitev uporabe zakona)
(1)
Za bistvene in pomembne subjekte v sektorjih bančništva in infrastrukture finančnega trga iz Priloge 1 tega zakona se IV. in IX. poglavje tega zakona ne uporabljata.
(2)
Ta zakon se ne uporablja za subjekte, ki jih Republika Slovenija izvzame s področja uporabe Uredbe (EU) 2022/2554 Evropskega parlamenta in Sveta z dne 14. decembra 2022 o digitalni operativni odpornosti za finančni sektor in spremembi uredb (ES) št. 1060/2009, (EU) št. 648/2012, (EU) št. 600/2014, (EU) št. 909/2014 in (EU) 2016/1011 (UL L št. 333 z dne 27. 12. 2022, str. 1), zadnjič spremenjene z Delegirano uredbo Komisije (EU) 2024/1774 z dne 13. marca 2024 o dopolnitvi Uredbe (EU) 2022/2554 Evropskega parlamenta in Sveta v zvezi z regulativnimi tehničnimi standardi, ki določajo orodja, metode, postopke in politike za obvladovanje tveganj na področju IKT ter poenostavljen okvir za obvladovanje tveganj na področju IKT (UL L št. 2024/1774 z dne 25. 6. 2024), (v nadaljnjem besedilu: Uredba 2022/2554/EU) v skladu s četrtim odstavkom 2. člena navedene uredbe.
(3)
Ta zakon se ne uporablja za tiste informacijsko-komunikacijske sisteme, v katerih se varujejo tajni podatki, za katere je nacionalni varnostni organ iz zakona, ki ureja tajne podatke, opravil varnostno vrednotenje in izdal varnostno dovoljenje za delovanje sistema v skladu z navedenim zakonom. Za te sisteme se uporabljajo predpisi s področja varovanja tajnih podatkov in pravila varovanja tajnih podatkov mednarodnih zvez ali organizacij, katerih članica je Republika Slovenije, ali mednarodni sporazumi s področja tajnih podatkov, ki jih je sklenila Republika Slovenija.
(4)
Ne glede na prejšnji odstavek nacionalni varnostni organ iz zakona, ki ureja tajne podatke, priglaša incidente v informacijsko-komunikacijskih sistemih iz prejšnjega odstavka pristojnemu nacionalnemu organu po tem zakonu.
(5)
Za avtonomni informacijski in telekomunikacijski sistem iz zakona, ki ureja obrambo, ki ni zajet v tretjem odstavku tega člena, se smiselno uporabljajo ukrepi za obvladovanje tveganj in priglasitve incidentov iz IV. poglavja tega zakona.
4. člen
(obdelava podatkov in informacij)
(1)
Obdelava osebnih podatkov na podlagi tega zakona se izvaja v skladu s predpisi, ki urejajo varstvo osebnih podatkov, ponudniki javnih elektronskih komunikacijskih omrežij ali javno dostopnih elektronskih komunikacijskih storitev pa obdelavo osebnih podatkov izvajajo tudi v skladu s predpisom, ki ureja zasebnost na področju elektronskih komunikacij.
(2)
Podatki in informacije, ki se obdelujejo na podlagi tega zakona in so opredeljeni kot tajni, poslovna skrivnost ali varovani podatki, se obravnavajo v skladu s področnimi predpisi, ki urejajo njihovo obravnavo in varovanje.
(3)
Izmenjava varovanih podatkov pristojnega nacionalnega organa mora biti za potrebe izvajanja tega zakona omejena na obseg, ki je ustrezen in sorazmeren glede na namen takšne izmenjave, pri čemer se ohrani zaupnost zadevnih informacij in podatkov ter se zaščitita varnost in poslovni interes zadevnih subjektov. Podrobnejše organizacijske in logično-tehnične postopke ter ukrepe za določanje in varovanje varovanih podatkov pristojnega nacionalnega organa ter vodenje zbirk podatkov, katerih upravljavec je pristojni nacionalni organ in vsebujejo varovane podatke pristojnega nacionalnega organa, določi vlada.
(4)
Pri pošiljanju ali izmenjavi podatkov in informacij na podlagi tega zakona se upoštevajo tudi (neformalni) sporazumi o nerazkritju informacij, kot je semaforski protokol.
(5)
Obveznost izmenjave podatkov in informacij zunaj Republike Slovenije na podlagi tega zakona ne velja za subjekte javne uprave, ki izvajajo dejavnosti s področja nacionalne varnosti, pri čemer bi razkritje teh podatkov in informacij ogrozilo vitalne interese Republike Slovenije.
5. člen
(pomen izrazov)
Izrazi, uporabljeni v tem zakonu, pomenijo:
1.
centralni državni informacijsko-komunikacijski sistem je osrednje državno informacijsko-komunikacijsko omrežje ali sistem v upravljanju ministrstva, pristojnega za upravljanje informacijsko-komunikacijskih sistemov, in je namenjeno povezovanju lokalnih omrežij organov državne uprave in drugih subjektov za namene izvrševanja njihovih zakonskih obveznosti ter dostopa do skupnih informacijskih rešitev in informacijsko-komunikacijske infrastrukture na podlagi centraliziranega upravljanja in nadzora;
2.
CSIRT je skupina, ki se odziva na incidente na področju računalniške varnosti, sprejema prijave o kršitvah varnosti, izvaja analize in pomaga priglasiteljem pri obvladovanju incidentov;
3.
digitalna storitev je katera koli storitev informacijske družbe ali katera koli storitev, ki se običajno opravi odplačno, na daljavo, elektronsko in na posamezno zahtevo prejemnika storitev;
4.
dnevniški zapisi so strukturirani ali nestrukturirani zapisi dogodkov v omrežnih in informacijskih sistemih, ki omogočajo analizo in rekonstrukcijo incidentov ali skorajšnjih incidentov;
5.
elektronska komunikacijska storitev je storitev, ki se navadno izvaja za plačilo prek elektronskih komunikacijskih omrežij, razen storitev, s katerimi se zagotavljajo vsebine ali se izvaja uredniški nadzor nad vsebinami, ki se pošiljajo po elektronskih komunikacijskih omrežjih in z elektronskimi komunikacijskimi storitvami, ter zajema naslednje storitve:
-
storitev dostopa do interneta: ki je javno dostopna elektronska komunikacijska storitev, ki omogoča dostop do interneta in s tem povezljivost s tako rekoč vsemi končnimi točkami interneta, ne glede na uporabljeno omrežno tehnologijo in terminalsko opremo,
-
medosebno komunikacijsko storitev in
-
storitve, ki so v celoti ali pretežno sestavljene iz prenosa signalov, kot so storitve prenosa, ki se uporabljajo za opravljanje storitev stroj-stroj in za radiodifuzijo;
6.
Evropska organizacijska mreža za povezovanje v kibernetski krizi (v nadaljnjem besedilu: mreža EU-CyCLONe) je skupnost, ki podpira usklajeno obvladovanje kibernetskih incidentov velikih razsežnosti in kriz na operativni ravni in zagotavlja redno izmenjavo relevantnih informacij med državami članicami Evropske unije ter institucijami, organi, uradi in agencijami Evropske unije ter je sestavljena iz predstavnikov organov članic za obvladovanje kibernetskih kriz in v nekaterih primerih tudi predstavnikov Evropske komisije, ki sodeluje kot opazovalka;
7.
evropski certifikat kibernetske varnosti je dokument, ki potrjuje, da je bil zadevni proizvod IKT, storitev IKT ali postopek IKT ocenjen glede skladnosti s specifičnimi varnostnimi zahtevami, določenimi v evropski certifikacijski shemi za kibernetsko varnost;
8.
finančna spodbuda je izvajanje financiranja v obliki nepovratnih sredstev, kritje stroškov za dobavo blaga ali storitev oziroma sofinanciranje stroškov za dobavo blaga ali storitev za zvišanje ravni kibernetske varnosti;
9.
incident je dogodek, ki je ogrozil razpoložljivost, avtentičnost, celovitost ali zaupnost shranjenih, prenesenih ali obdelanih podatkov ali storitev, ki jih omrežni in informacijski sistemi zagotavljajo ali so prek njih dostopni;
10.
informacijska varnost pomeni zaščito in varovanje omrežnih in informacijskih sistemov ter pripadajočih podatkov pred nedovoljenim dostopom, uporabo, razkritjem, motenjem, spreminjanjem ali uničenjem, in sicer za zagotavljanje zaupnosti, avtentičnosti, celovitosti in razpoložljivosti navedenih sistemov in podatkov;
11.
inšpekcijski varnostni pregled je postopek, v katerem inšpektor oziroma inšpektorica (v nadaljnjem besedilu: inšpektor) pri zavezancu v postopku inšpekcijskega nadzora izvede identifikacijo in oceno morebitnih ranljivosti v omrežnih in informacijskih sistemih ter preizkus učinkovitosti varnostnih ukrepov oziroma mehanizmov in izpostavljenosti kibernetskim grožnjam, poleg tega preveri ustreznost učinkovitega zaznavanja in obravnavanja kibernetskih incidentov;
12.
javno elektronsko komunikacijsko omrežje je elektronsko komunikacijsko omrežje, ki se v celoti ali pretežno uporablja za zagotavljanje javno dostopnih elektronskih komunikacijskih storitev, ki podpirajo prenos informacij med omrežnimi priključnimi točkami;
13.
kibernetska grožnja je vsaka potencialna okoliščina, dogodek ali dejanje, ki bi lahko poškodovalo, prekinilo ali drugače škodljivo vplivalo na omrežja in informacijske sisteme, uporabnike takih sistemov in druge osebe;
14.
kibernetska higiena je dobra praksa ohranjanja varnosti in zaščite informacij v digitalnem okolju. To vključuje ukrepe in postopke, namenjene zaščiti računalniških sistemov, omrežij in podatkov pred varnostnimi grožnjami;
15.
kibernetski incident velikih razsežnosti je incident, ki povzroči motnjo, ki presega zmožnost Republike Slovenije za odziv nanj, ali incident, ki pomembno vpliva na vsaj dve državi članici Evropske unije;
16.
kibernetska obramba je celota ukrepov, dejavnosti in zmogljivosti državnih organov, organov lokalne samouprave, gospodarskih družb, zavodov in drugih organizacij ter državljanov in državljank, ki so potrebni za zaščito in varovanje kibernetskega prostora pred kibernetskimi grožnjami in incidenti;
17.
kibernetski prostor je globalno informacijsko okolje, ki ga tvorijo informacijski sistemi in omrežja, podatki, digitalne naprave in njihovi uporabniki;
18.
kibernetska varnost so dejavnosti, ki so potrebne za zaščito omrežnih in informacijskih sistemov, uporabnikov takih sistemov in drugih oseb, na katere vplivajo kibernetske grožnje;
19.
ključni deli nacionalnega varnostnega sistema so sistemi obrambe, notranje varnosti, varstva pred naravnimi in drugimi nesrečami in podsistemi sistema nacionalne varnosti, ki vključuje tudi zunanjepolitične, gospodarske, informacijske in druge dejavnosti, ki neposredno vplivajo na nacionalno varnost;
20.
ključni informacijski sistemi so vsi omrežni in informacijski sistemi s pripadajočimi podatki zavezanca, brez katerih ta ne more neprekinjeno izvajati storitev iz Priloge 1 ali 2 tega zakona, katerih motnje bi lahko pomembno negativno vplivale na ključne družbene ali gospodarske dejavnosti;
21.
kriza je resna grožnja temeljnim vrednotam in družbenim normam, za katero so značilni časovni pritisk in negotove okoliščine, ki zahtevajo hitro odločanje in izvajanje ukrepov, ki odstopajo od običajnih in predpisanih institucionalnih poti ter zahtevajo uporabo mehanizmov kriznega upravljanja;
22.
krmilni informacijski sistemi so informacijski sistemi, ki omogočajo nadzor, regulacijo, avtomatizacijo ali optimizacijo delovanja ključnih industrijskih, tehnoloških ali infrastrukturnih procesov subjekta;
23.
kvalificirana storitev zaupanja je storitev zaupanja, ki izpolnjuje zadevne zahteve iz zakona, ki ureja elektronsko identifikacijo in storitve zaupanja;
24.
medsektorske skupnosti zavezancev so skupnosti zavezancev, ki presegajo delovanje sektorskih skupnosti zavezancev in vključujejo sodelovanje med njimi z namenom združevanja znanja in izkušenj, da bi rešili izzive, ki presegajo okvire posameznih sektorjev;
25.
mreža skupin CSIRT je skupnost, ki prispeva h krepitvi zaupanja ter spodbuja hitro in učinkovito operativno sodelovanje med državami članicami Evropske unije, v kateri sodelujejo skupine CSIRT iz držav članic Evropske unije, skupina za odzivanje na računalniške grožnje za evropske institucije, organe in agencije Unije (CERT-EU) in Evropska komisija kot opazovalka;
26.
nadzorni informacijski sistemi so informacijski sistemi, v katerih se izvajata upravljanje in nadzor delovanja omrežij in informacijskih sistemov subjekta, vključno z zaznavanjem varnostnih dogodkov, anomalij in groženj ter odzivanjem nanje;
27.
notranji revizor oziroma notranja revizorka (v nadaljnjem besedilu: notranji revizor) je preizkušeni notranji revizor oziroma preizkušena notranja revizorka (v nadaljnjem besedilu: preizkušeni notranji revizor), ki je pridobil strokovni naziv pri Slovenskem inštitutu za revizijo in je vpisan v njegov register aktivnih preizkušenih notranjih revizorjev ali oseba, ki je pridobila naziv državni notranji revizor ali preizkušeni državni notranji revizor;
28.
obvladovanje incidentov so vsa dejanja in postopki, namenjeni preprečevanju, odkrivanju, analizi in zajezitvi incidentov ali odzivanju nanje ter okrevanju po njih;
29.
ogrožanje vitalnih interesov Republike Slovenije je ogrožanje njene ustavne ureditve, neodvisnosti, ozemeljske celovitosti, obrambne sposobnosti in javne varnosti;
30.
omrežje za dostavo vsebin je mreža geografsko porazdeljenih strežnikov za zagotavljanje visoke razpoložljivosti, dostopnosti ali hitre dostave digitalnih vsebin in storitev uporabnikom interneta v imenu ponudnikov vsebin in storitev;
31.
omrežni in informacijski sistem:
-
je elektronsko komunikacijsko omrežje, kot je opredeljeno v zakonu, ki ureja elektronske komunikacije,
-
je vsaka naprava ali skupina med seboj povezanih ali sorodnih naprav, od katerih ena ali več na podlagi programa opravlja samodejno obdelavo digitalnih podatkov, ali
-
zajema digitalne podatke, ki jih elementi iz prve in druge alineje te točke shranjujejo, obdelujejo, pridobivajo ali prenašajo za namene njihovega delovanja, uporabe, varovanja in vzdrževanja;
32.
organ za ugotavljanje skladnosti za potrebe tega zakona je organ za ugotavljanje skladnosti iz zakona, ki ureja tehnične zahteve za proizvode in ugotavljanje skladnosti, ki izpolnjuje dodatne zahteve iz priloge Uredbe 2019/881/EU;
33.
platforma za storitve družbenega mreženja je platforma, ki končnim uporabnikom omogoča, da se povezujejo, si izmenjujejo vsebine, se spoznavajo in komunicirajo med seboj prek več naprav ter zlasti s klepeti, objavami videoposnetki in sporočili;
34.
pomembna kibernetska grožnja je kibernetska grožnja, za katero se glede na njene tehnične značilnosti lahko domneva, da bi lahko resno negativno vplivala na omrežne in informacijske sisteme subjekta ali na uporabnike njegovih storitev, tako da bi povzročila znatno premoženjsko ali nepremoženjsko škodo;
35.
ponudnik kvalificiranih storitev zaupanja je ponudnik storitev zaupanja, ki zagotavlja eno ali več storitev zaupanja in mu nadzorni organ dodeli kvalificirani status;
36.
ponudnik storitev sistema domenskih imen (v nadaljnjem besedilu: ponudnik storitev DNS) je subjekt, ki opravlja:
-
javno dostopne storitve rekurzivnega razreševanja domenskih imen za končne uporabnike interneta ali
-
storitve avtoritativnega razreševanja domenskih imen za uporabo s strani tretjih oseb, razen za korenske imenske strežnike.
37.
ponudnik storitev zaupanja je fizična ali pravna oseba, ki zagotavlja eno ali več storitev zaupanja, kot ponudnik kvalificiranih ali nekvalificiranih storitev zaupanja;
38.
ponudnik upravljanih storitev je subjekt, ki opravlja storitve v zvezi z namestitvijo, upravljanjem, delovanjem ali vzdrževanjem proizvodov IKT, omrežij, infrastrukture, aplikacij ali katerih koli drugih omrežnih in informacijskih sistemov, in sicer s pomočjo ali aktivnim upravljanjem, ki se izvaja bodisi v prostorih strank bodisi na daljavo;
39.
ponudnik upravljanih varnostnih storitev je ponudnik upravljanih storitev, ki izvaja ali opravlja pomoč za dejavnosti, povezane z obvladovanjem tveganj za kibernetsko varnost;
40.
postopek IKT je sklop dejavnosti, ki se izvaja za zasnovo, razvoj, dobavo ali vzdrževanje proizvoda ali storitve IKT;
41.
povezani subjekt je subjekt, ki se povezuje s centralnim državnim informacijsko-komunikacijskim sistemom;
42.
proizvod IKT je element ali skupina elementov omrežja ali informacijskega sistema;
43.
predstavnik iz V. poglavja tega zakona je fizična ali pravna oseba s sedežem v državi članici Evropske unije, pri čemer je ta oseba izrecno imenovana, da deluje v imenu ponudnika storitev DNS, registra vrhnjih domenskih (v nadaljnjem besedilu: TLD) imen, subjekta, ki opravlja storitve registracije domenskih imen, ponudnika storitev računalništva v oblaku, ponudnika storitev podatkovnega centra, ponudnika omrežja za dostavo vsebine, ponudnika upravljanih storitev, ponudnika upravljanih varnostnih storitev ali ponudnika spletne tržnice, spletnega iskalnika ali platforme za storitve družbenega mreženja, ki nima sedeža v državi članici Evropske unije, s katerim lahko pristojni organ ali skupina CSIRT vzpostavi stik namesto z zadevnim subjektom v zvezi z obveznostmi zadevnega subjekta na podlagi tega zakona;
44.
ranljivost je pomanjkljivost, dovzetnost ali napaka proizvoda ali storitve IKT, ki jo kibernetska grožnja lahko izkoristi;
45.
raziskovalna organizacija je, ne glede na zakon, ki ureja znanstvenoraziskovalno dejavnost, subjekt, ki poglavitni del svojih dejavnosti namenja izvajanju uporabnih raziskav ali eksperimentalnemu razvoju z namenom uporabe rezultatov teh raziskav v komercialne namene, vendar ne vključuje akademskih in drugih izobraževalnih ustanov;
46.
register vrhnjih domenskih imen (v nadaljnjem besedilu: register TLD imen) je subjekt, ki mu je bila dodeljena določena vrhnja domena in je odgovoren za njeno upravljanje, vključno z registracijo domenskih imen pod vrhnjo domeno in tehničnim upravljanjem vrhnje domene, vključno z upravljanjem njenih imenskih strežnikov, vzdrževanjem njenih podatkovnih zbirk in porazdelitvijo datotek območij vrhnje domene po imenskih strežnikih, ne glede na to, ali katero od teh dejavnosti subjekt izvaja sam ali jo izvajajo zunanji izvajalci, izključeni pa so primeri, v katerih register TLD imen uporablja vrhnja domenska imena zgolj za lastne potrebe;
47.
revizijska sled je nespremenljiva sled oziroma niz podatkov o dogodku, ki se je zgodil v informacijskem sistemu ali napravi, z natančnim časovnim zapisom;
48.
revizor informacijskih sistemov je preizkušeni revizor informacijskih sistemov z ustreznim revizijskim znanjem, ki je strokovni naziv pridobil pri Slovenskem inštitutu za revizijo in je vpisan v njegov register aktivnih preizkušenih revizorjev informacijskih sistemov;
49.
sektorske skupnosti zavezancev so skupine zavezancev, ki delujejo v istem sektorju in se osredotočajo na posamični sektor z namenom izmenjave informacij, sodelovanja in reševanja skupnih izzivov;
50.
semaforski protokol je skupek pravil in dogovorov o omejitvah v zvezi z nadaljnjim širjenjem prejetih ali deljenih informacij, kot ga uporabljajo pri izmenjavi informacij skupine CSIRT;
51.
sistem domenskih imen (v nadaljnjem besedilu: DNS) je hierarhično porazdeljen sistem poimenovanja, ki omogoča identifikacijo internetnih storitev in virov ter napravam končnih uporabnikov omogoča, da z uporabo internetnih storitev usmerjanja in povezljivosti dostopajo do teh storitev in virov;
52.
skorajšnji incident je dogodek, ki bi lahko ogrozil razpoložljivost, avtentičnost, celovitost ali zaupnost shranjenih, prenesenih ali obdelanih podatkov ali storitev, ki jih omrežni in informacijski sistemi zagotavljajo ali so prek njih dostopni, vendar se je uspešno preprečilo, da bi se ta dogodek uresničil, ali se ni uresničil;
53.
skrbnik informacijsko-komunikacijskega sistema je oseba, odgovorna za upravljanje, vzdrževanje in zaščito informacijskega sistema v organizaciji;
54.
Skupina za sodelovanje je skupina, ki podpira in olajšuje strateško sodelovanje in izmenjavo informacij med državami članicami Evropske unije ter krepi zaupanje med njimi in jo sestavljajo predstavniki držav članic Evropske unije, Evropske komisije in Agencije Evropske unije za kibernetsko varnost (v nadaljnjem besedilu: agencija ENISA) ter Evropske službe za zunanje delovanje kot opazovalke;
55.
spletni iskalnik je digitalna storitev, ki uporabnikom omogoča vnos poizvedb za izvedbo iskanja po vseh spletiščih ali vseh spletiščih v določenem jeziku, na podlagi poizvedbe na katero koli temo v obliki ključne besede, glasovne zahteve, fraze ali drugega vnosa, poda pa rezultate v katerem koli formatu z informacijami o zahtevani vsebini;
56.
spletna tržnica je storitev, ki uporablja programsko opremo, vključno s spletno stranjo, delom spletne strani ali aplikacije, ki jo upravlja trgovec ali nekdo v njegovem imenu, in ki potrošnikom omogoča, da sklepajo pogodbe na daljavo z drugimi trgovci ali potrošniki;
57.
standard je tehnična specifikacija, ki jo je sprejel priznani organ za standardizacijo za večkratno ali stalno uporabo, s katero ni obvezna skladnost in spada v eno izmed naslednjih kategorij:
-
mednarodni standard pomeni standard, ki ga je sprejel mednarodni organ za standardizacijo,
-
evropski standard pomeni standard, ki ga je sprejela evropska organizacija za standardizacijo,
-
harmonizirani standard pomeni evropski standard, sprejet na podlagi zahteve Evropske komisije za uporabo usklajevalne zakonodaje Evropske unije,
-
nacionalni standard pomeni standard, ki ga je sprejel nacionalni organ za standardizacijo;
58.
stičišče omrežij je omrežna zmogljivost, ki omogoča medsebojno povezavo več kot dveh neodvisnih omrežij (avtonomnih sistemov), predvsem zaradi izmenjave internetnega prometa, ter ki zagotavlja medsebojno povezavo zgolj avtonomnim sistemom, ne zahteva, da izmenjava internetnega prometa med katerima koli sodelujočima avtonomnima sistemoma prehaja prek tretjega avtonomnega sistema, in ne spreminja takšnega prometa ali kako drugače posega vanj;
59.
storitev IKT je storitev, ki v celoti ali pretežno zajema prenos, shranjevanje, priklic ali obdelavo informacij prek omrežij in informacijskih sistemov;
60.
storitev podatkovnega centra je storitev, ki vključuje strukture ali skupine struktur, namenjene centralizirani namestitvi, medsebojnemu povezovanju in delovanju opreme za informacijsko tehnologijo in omrežne opreme, za storitve shranjevanja, obdelave in prenosa podatkov, skupaj z vsemi zmogljivostmi in infrastrukturami za zagotavljanje nemotene dobave električne energije in zagotavljanje zahtevanih okoljskih razmer v podatkovnem centru;
61.
storitev v oblaku je digitalna storitev, ki omogoča upravljanje na zahtevo in širok oddaljeni dostop do prožnega in po obsegu prilagodljivega nabora deljivih računalniških virov, tudi kadar so ti viri porazdeljeni na več lokacijah;
62.
storitev zaupanja je elektronska storitev, ki se praviloma opravlja za plačilo in vključuje:
-
ustvarjanje, preverjanje in potrjevanje veljavnosti elektronskih podpisov, elektronskih žigov ali elektronskih časovnih žigov, storitev elektronske priporočene dostave in potrdil, povezanih s temi storitvami, ali
-
ustvarjanje, preverjanje in potrjevanje veljavnosti potrdil za avtentikacijo spletišč ali
-
hrambo elektronskih podpisov, žigov ali potrdil, povezanih s temi storitvami;
63.
subjekt, ki opravlja storitve registracije domenskih imen, je registrar ali zastopnik, ki deluje v imenu registrarja, kot je ponudnik storitev registracije za zasebnost ali pooblaščenec ali preprodajalec;
64.
subjekt je oseba javnega ali zasebnega prava;
65.
subjekti javne uprave so subjekti javne uprave na državni in lokalni ravni, ki so ustanovljeni z javnopravnim aktom, razen pravosodnih organov, državnega tožilstva, Ustavnega sodišča Republike Slovenije, Državnega zbora Republike Slovenije, Državnega sveta Republike Slovenije in Banke Slovenije;
66.
subjekti javne uprave na državni ravni so ministrstva, organi v njihovi sestavi, vladne službe in upravne enote ter tisti javni infrastrukturni zavodi, ki so ustanovljeni v skladu z zakonom, ki ureja znanstvenoraziskovalno in inovacijsko dejavnost. Mednje spadajo tudi drugi subjekti javne uprave iz Priloge 3, ki je kot Priloga sestavni del tega zakona;
67.
subjekti javne uprave na lokalni ravni so občine;
68.
tehnična specifikacija je tehnična specifikacija za informacijsko-komunikacijsko tehnologijo;
69.
tretja država je država, ki ni članica Evropske unije, ali država, ki ni podpisnica Sporazuma o ustanovitvi Evropskega gospodarskega prostora (UL L št. 1 z dne 3. 1. 1994, str. 3);
70.
tveganje je možnost izgube ali motnje zaradi incidenta ter je izraženo kot kombinacija razsežnosti izgube ali motnje in verjetnosti, da bi se incident zgodil;
71.
varni kraj je lokacija, odporna proti okoljskim vplivom, podnebnim spremembam in drugim tveganjem, ki bi lahko ogrozili varno obravnavo incidentov ter zaščito informacij in sistemskih virov;
72.
varnost omrežnih in informacijskih sistemov je zmožnost omrežnih in informacijskih sistemov, da na določeni ravni zaupanja preprečijo vsak dogodek, ki lahko ogrozi razpoložljivost, avtentičnost, celovitost ali zaupnost shranjenih, prenesenih ali obdelanih podatkov ali storitev, ki jih ti omrežni in informacijski sistemi zagotavljajo ali so prek njih dostopni;
73.
varnostno-operativni center organa državne uprave je notranja organizacijska enota posameznega organa državne uprave, ki se odziva na incidente na področju informacijske varnosti in izpolnjuje pogoje iz tega zakona;
74.
varovani podatek pristojnega nacionalnega organa je podatek o ranljivostih ali stanju informacijskih sistemov in omrežij zavezancev ter njihovi identiteti, ki ni tajen ali poslovna skrivnost, njegovo razkritje nepoklicanim osebam pa bi lahko pristojnemu nacionalnemu organu povzročilo motnje pri delovanju in izvajanju nalog oziroma bi lahko škodovalo zavezancem.
II. ZAVEZANCI
6. člen
(zavezanci)
(1)
Zavezanci po tem zakonu so subjekti, ki spadajo med vrste subjektov iz Prilog 1 ali Priloge 2, ki sta kot Prilogi sestavni del tega zakona (v nadaljnjem besedilu: Priloga 1 ali 2 tega zakona), če imajo:
-
vsaj 50 zaposlenih in
-
letni promet ali letno bilančno vsoto vsaj 10 milijonov eurov.
(2)
Subjekti iz prejšnjega odstavka so zavezanci po tem zakonu ne glede na število zaposlenih ali letni promet ali letno bilančno vsoto, če:
1.
storitev opravljajo kot:
-
ponudniki javnih elektronskih komunikacijskih omrežij ali javno dostopnih elektronskih komunikacijskih storitev,
-
ponudniki storitev zaupanja,
-
registri TLD imen in ponudniki storitev DNS;
2.
je subjekt edini ponudnik storitve ali dejavnosti v Republiki Sloveniji, katere izvajanje ga uvršča med vrste subjektov iz Priloge 1 ali 2;
3.
bi motnja pri opravljanju storitve subjekta lahko pomembno vplivala na javni red, javno varnost ali javno zdravje;
4.
bi motnja pri opravljanju storitve subjekta lahko povzročila sistemsko tveganje, zlasti za sektorje iz Priloge 1 ali 2, v katerih bi lahko taka motnja imela čezmejni vpliv;
5.
ima subjekt poseben pomen na državni ali lokalni ravni za posamezni sektor iz Priloge 1 ali 2 ali za izvajanje posamezne storitve, ki ga uvršča med vrste subjektov iz Priloge 1 ali 2 ali zaradi medsebojne odvisnosti z drugimi sektorji iz Prilog 1 ali 2 v Republiki Sloveniji;
6.
gre za subjekt javne uprave na državni ravni.
(3)
Ne glede na prvi in drugi odstavek tega člena so zavezanci po tem zakonu tudi:
1.
subjekti, ki so določeni kot kritični na podlagi zakona, ki ureja kritično infrastrukturo;
2.
subjekti, ki opravljajo storitve registracije domenskih imen, ne glede na njihovo velikost;
3.
subjekti, ki so v državnih načrtih zaščite in reševanja opredeljeni kot službe državnega pomena, če bi nedelovanje njihovih omrežnih in informacijskih sistemov ogrozilo izvajanje nalog zaščite in reševanja iz prej navedenih načrtov, in
4.
mestne občine kot subjekti javne uprave na lokalni ravni.
(4)
Ne glede na prejšnje odstavke so za izvajanje 27. člena tega zakona, ki se nanaša na certificiranje za kibernetsko varnost, zavezane tudi druge fizične in pravne osebe, ki spadajo na področje uporabe Uredbe 2019/881/EU, in sicer v delu navedene uredbe, ki ureja certifikacijski okvir za kibernetsko varnost.
(5)
Ne glede na prejšnje odstavke Banka Slovenije ni zavezanec po tem zakonu.
7. člen
(bistveni in pomembni subjekti)
(1)
Zavezanci iz prejšnjega člena, razen subjektov iz 2. točke tretjega odstavka in četrtega odstavka, se delijo na bistvene in pomembne subjekte.
(2)
Bistveni subjekti so:
1.
vrste subjektov iz Priloge 1, ki imajo vsaj 250 zaposlenih ali letni promet vsaj 50 milijonov eurov ali letno bilančno vsoto vsaj 43 milijonov eurov,
2.
ponudniki kvalificiranih storitev zaupanja in registri TLD imen ter ponudniki storitev DNS, ne glede na njihovo velikost,
3.
ponudniki javnih elektronskih komunikacijskih omrežij ali javno dostopnih elektronskih komunikacijskih storitev, ki imajo vsaj 50 zaposlenih in letni promet ali letno bilančno vsoto vsaj 10 milijonov eurov,
4.
subjekti javne uprave na državni ravni,
5.
vse druge vrste subjektov iz Priloge 1 tega zakona, ki jih na podlagi 2. do 5. točke drugega odstavka prejšnjega člena in na predlog pristojnega nacionalnega organa določi vlada z odločbo,
6.
subjekti, ki so določeni kot kritični na podlagi zakona, ki ureja kritično infrastrukturo;
7.
subjekti iz sektorja 9. Upravljanje storitev IKT iz Priloge 1 in niso subjekti iz 1. do 6. točke tega odstavka, ki jih na predlog pristojnega nacionalnega organa določi vlada.
(3)
Pomembni subjekti so:
-
vrste subjektov iz Priloge 2 tega zakona, vključno s tistimi, ki jih na podlagi 2. do 5. točke drugega odstavka prejšnjega člena in na predlog pristojnega nacionalnega organa določi vlada z odločbo,
-
subjekti iz 3. točke tretjega odstavka prejšnjega člena, ki jih na predlog pristojnega nacionalnega organa določi vlada z odločbo. Pristojni nacionalni organ pripravi predlog na podlagi pobude Uprave Republike Slovenije za zaščito in reševanje, ki vsebuje poimenski seznam zadevnih subjektov, in
-
drugi subjekti ali organi iz prejšnjega člena, ki niso bistveni subjekti na podlagi prejšnjega odstavka.
(4)
Za izvajanje 7. točke drugega odstavka tega člena Banka Slovenije, Agencija za trg vrednostnih papirjev in Agencija za zavarovalni nadzor pošljejo pristojnemu nacionalnemu organu poimenski seznam subjektov, ki izvajajo storitve upravljanja storitev IKT iz Priloge 1 tega zakona na področju sektorja 3. Bančništvo ali 4. Infrastrukture finančnega trga iz Priloge 1.
(5)
Zoper odločbe iz 5. točke drugega odstavka in iz prve ter druge alineje tretjega odstavka tega člena ni dovoljena pritožba, dovoljen pa je upravni spor.
8. člen
(samoregistracija in seznam zavezancev)
(1)
Pristojni nacionalni organ vzpostavi mehanizem za samoregistracijo zavezancev iz 6. člena tega zakona, razen za zavezance iz četrtega odstavka 6. člena tega zakona in za subjekte iz prvega odstavka 3. člena tega zakona.
(2)
Zavezanci, za katere je vzpostavljen mehanizem za samoregistracijo iz prejšnjega odstavka, se morajo prek tega mehanizma registrirati v tridesetih dneh od dneva, ko so nastopile okoliščine, na podlagi katerih izpolnjujejo merila iz 6. in 7. člena tega zakona. Ne glede na to tridesetdnevni rok za samoregistracijo za tiste zavezance, ki jim je bila vročena odločba iz 5. točke drugega odstavka ali iz prve ali druge alineje tretjega odstavka prejšnjega člena, teče od dneva vročitve odločbe. Zavezanci ob samoregistraciji podajo vsaj naslednje informacije:
1.
o imenu in naslovu, kontaktnih podatkih, matični številki in elektronskem naslovu zavezanca za vročanje,
2.
o ustreznem sektorju in podsektorju iz Priloge 1 ali 2 tega zakona, v katerem zavezanec izvaja vrste storitev iz teh prilog, ali kategorijo zavezancev, ki niso vključeni v navedenih prilogah, so pa zavezanci na podlagi tretjega odstavka 6. člena tega zakona,
3.
navedbo, ali ima subjekt vsaj 50 zaposlenih in letni promet ali bilančno vsoto vsaj 10.000.000,00 eura,
4.
navedbo, ali ima subjekt vsaj 250 zaposlenih ali letni promet vsaj 50.000.000,00 eura ali letno bilančno vsoto vsaj 43.000.000,00 eura,
5.
o kontaktni osebi za informacijsko varnost in njenem namestniku ter njune kontaktne podatke, vključno z elektronskimi naslovi in telefonskimi številkami,
6.
o dodeljenih blokih javnih naslovov IP,
7.
o seznamu držav članic Evropske unije, kjer opravljajo storitve, ki spadajo na področje uporabe tega zakona, ter
8.
o registriranih številkah avtonomnih sistemov in vseh domenskih imenih, ki jih zavezanec uporablja pri poslovanju.
(3)
Ne glede na nabor informacij iz prejšnjega odstavka subjekti iz prvega odstavka 32. člena tega zakona ob samoregistraciji iz prejšnjega odstavka podajo v njem navedeni nabor informacij.
(4)
Na podlagi informacij zavezancev iz drugega ali tretjega odstavka tega člena in ob upoštevanju drugega in tretjega odstavka prejšnjega člena pristojni nacionalni organ vzpostavi seznam bistvenih in pomembnih subjektov ter subjektov, ki opravljajo storitve registracije domenskih imen. Ta seznam, ki vsebuje informacije zavezancev iz drugega ali tretjega odstavka tega člena, je varovani podatek pristojnega nacionalnega organa in ga pristojni nacionalni organ redno ali vsaj vsaki dve leti pregleda in po potrebi posodobi. Pristojni nacionalni organ omogoči dostop do seznama v delu, ki se nanaša na zavezance iz njihove pristojnosti, tudi pristojnim skupinam CSIRT.
(5)
Zavezanci iz drugega odstavka tega člena z uporabo mehanizma za samoregistracijo sporočijo morebitne spremembe podatkov, ki so jih predložili na podlagi drugega ali tretjega odstavka tega člena, najpozneje v desetih delovnih dneh od datuma spremembe. Na seznam iz prejšnjega odstavka se zadevne spremembe prenesejo nemudoma.
(6)
Ne glede na prejšnji odstavek subjekt iz drugega odstavka tega člena, ki presodi, da ne spada več med zavezance, o tem in razlogih za takšno presojo obvesti pristojni nacionalni organ, ki preveri njegove navedbe in ob potrditvi razlogov v mehanizmu za samoregistracijo in na seznamu iz četrtega odstavka tega člena pri zadevnem subjektu zaznamuje, da ta subjekt ni več zavezanec, in o tem obvesti zadevni subjekt. V primeru, da zavezanec, ki mu je bila izdana odločba iz 5. točke drugega odstavka ali iz prve ali druge alineje tretjega odstavka prejšnjega člena, meni, da ne izpolnjuje več pogojev za njeno izdajo, o tem obvesti pristojni nacionalni organ, ki ob potrditvi prenehanja teh pogojev predlaga vladi razveljavitev njene zadevne odločbe. Če vlada zadevno odločbo razveljavi, pristojni nacionalni organ po tem, ko mu je razveljavitvena odločba vročena, pri zadevnem subjektu zaznamuje, da ta subjekt ni več zavezanec, in o tem obvesti zadevni subjekt.
(7)
Ne glede na drugi odstavek tega člena Banka Slovenije, Agencija za trg vrednostnih papirjev in Agencija za zavarovalni nadzor pošljejo pristojnemu nacionalnemu organu poimenski seznam finančnih subjektov iz Uredbe 2022/2554/EU, ki so subjekti iz prvega odstavka 3. člena tega zakona, v tridesetih dneh od njihove prepoznave. V enakem roku obvestijo pristojni nacionalni organ o spremembi seznama.
(8)
Pristojni nacionalni organ informacije iz prejšnjega odstavka nemudoma vključi na seznam iz četrtega odstavka tega člena.
(9)
Za potrebe izvajanja tega člena pristojni nacionalni organ brezplačno pridobiva podatke zavezancev iz drugega odstavka tega člena iz zbirke podatkov Poslovni register Slovenije upravljavca Agencije Republike Slovenije za javnopravne evidence in storitve.
III. ORGANIZACIJA NACIONALNEGA SISTEMA INFORMACIJSKE VARNOSTI
9. člen
(strategija kibernetske varnosti)
(1)
Vlada sprejme strategijo kibernetske varnosti (v nadaljnjem besedilu: strategija), ki je okvir za izvedbo ukrepov za vzpostavitev učinkovitega nacionalnega sistema zagotavljanja informacijske oziroma kibernetske varnosti. V strategijo se vključijo:
1.
cilji in prednostne naloge strategije;
2.
okvir upravljanja za dosego ciljev in izvedbo prednostnih nalog iz prejšnje točke, vključno s politikami iz drugega odstavka tega člena;
3.
okvir upravljanja, ki opredeljuje vloge in odgovornosti ustreznih zainteresiranih deležnikov kibernetske varnosti na državni ravni, podpira sodelovanje in usklajevanje na državni ravni med pristojnim nacionalnim organom, enotno kontaktno točko in skupinami CSIRT iz tega zakona ter podpira usklajevanje in sodelovanje med temi organi in pristojnimi organi na podlagi področnih pravnih aktov Evropske unije oziroma področne zakonodaje, ki te akte prenaša v slovenski pravni red;
4.
mehanizem za opredelitev ustreznih virov in oceno tveganj;
5.
opredelitev ukrepov za zagotovitev pripravljenosti na odzivanje na incidente in okrevanje po njih, vključno s sodelovanjem med javnim in zasebnim sektorjem;
6.
seznam organov, organizacij in deležnikov, vključenih v izvajanje strategije;
7.
okvir politike za okrepljeno usklajevanje med pristojnim nacionalnim organom iz tega zakona in pristojnim nacionalnim organom iz zakona, ki ureja kritično infrastrukturo, za namene izmenjave informacij o tveganjih, kibernetskih grožnjah in incidentih ter o nekibernetskih tveganjih, grožnjah in incidentih ter izvajanju nadzornih nalog;
8.
okvir politike za okrepljeno usklajevanje med pristojnim nacionalnim organom iz tega zakona in organom, ki je po odločitvi vlade osrednji organ za spremljanje in koordinacijo odzivanja na hibridne grožnje v Republiki Sloveniji (v nadaljnjem besedilu: osrednji organ za odzivanje na hibridne grožnje), za namene izmenjave informacij o tveganjih, kibernetskih grožnjah in incidentih ter o nekibernetskih tveganjih, grožnjah in incidentih, ki bi nakazovali hibridno delovanje;
9.
načrt, vključno s potrebnimi ukrepi, za povečanje splošne ozaveščenosti državljanov o kibernetski varnosti.
(2)
Strategija vključuje naslednje politike:
1.
o obravnavanju kibernetske varnosti v dobavni verigi proizvodov in storitev IKT, ki jih subjekti uporabljajo za opravljanje svojih storitev;
2.
o vključitvi in specifikaciji zahtev za proizvode in storitve IKT pri javnem naročanju, povezanih s kibernetsko varnostjo, vključno v zvezi s certificiranjem za kibernetsko varnost, šifriranjem in uporabo odprtokodnih proizvodov za kibernetsko varnost;
3.
o obvladovanju ranljivosti, vključno s spodbujanjem in omogočanjem usklajenega razkrivanja ranljivosti na podlagi prvega odstavka 17. člena tega zakona;
4.
povezane z ohranjanjem splošne razpoložljivosti, celovitosti in zaupnosti javnega jedra odprtega interneta, vključno s kibernetsko varnostjo podmorskih komunikacijskih kablov;
5.
o spodbujanju razvoja in vključevanja ustreznih naprednih tehnologij za izvajanje najsodobnejših ukrepov za obvladovanje tveganj na področju kibernetske varnosti;
6.
o spodbujanju in razvoju izobraževanja in usposabljanja na področju kibernetske varnosti, spretnosti na področju kibernetske varnosti, okrepitve ozaveščanja, raziskovalnih in razvojnih pobud na področju kibernetske varnosti ter smernic o dobrih praksah in nadzoru kibernetske higiene, namenjenih državljanom, deležnikom in subjektom;
7.
o podpiranju akademskih in raziskovalnih institucij pri razvoju in izboljševanju orodij kibernetske varnosti in varne omrežne infrastrukture ter spodbujanju njihovega uvajanja;
8.
o vključevanju ustreznih postopkov in primernih orodij za podpiranje prostovoljne izmenjave informacij o kibernetski varnosti med subjekti v skladu s pravom Evropske unije;
9.
o krepitvi kibernetske odpornosti in osnovne kibernetske higiene malih in srednjih podjetij, zlasti tistih, ki so izključena s področja uporabe tega zakona, z zagotavljanjem lahko dostopnih smernic in pomoči za njihove posebne potrebe;
10.
o spodbujanju aktivne kibernetske zaščite.
(3)
Pristojni nacionalni organ v treh mesecih od sprejetja strategije iz tega člena o tem obvesti Evropsko komisijo. Pri tem lahko izključi informacije iz 5., 7. in 8. točke prvega odstavka, ki so pomembne za nacionalno varnost.
(4)
Pristojni nacionalni organ sprotno in redno vsaj vsakih pet let oceni strategijo na podlagi ključnih kazalnikov uspešnosti, ki izhajajo iz doseganja ciljev in prednostnih nalog strategije.
10. člen
(pristojni nacionalni organ)
(1)
Pristojni nacionalni organ je Urad Vlade Republike Slovenije za informacijsko varnost.
(2)
Pristojni nacionalni organ izvaja naslednje naloge:
1.
koordinira delovanje nacionalnega sistema informacijske varnosti;
2.
razvija zmogljivosti za izvajanje kibernetske obrambe;
3.
vsem zavezancem pri izvajanju njihovih nalog nudi strokovno podporo na področju informacijske varnosti;
4.
zagotavlja analize, metodološko podporo in preventivno delovanje na področju informacijske varnosti ter daje mnenja s področja svojih pristojnosti;
5.
sodeluje z organi in organizacijami, ki delujejo na področju informacijske varnosti, predvsem s skupinami CSIRT, z varnostno-operativnimi centri, z regulatorji ali nadzorniki sektorjev iz Prilog 1 in 2 tega zakona, z Informacijskim pooblaščencem, z organi kazenskega pregona in s ponudniki varnostnih rešitev;
6.
zavezance ozavešča o pomembnosti prijave incidenta z vsemi znaki kaznivega dejanja, ki se preganja po uradni dolžnosti, organom kazenskega pregona, v skladu s Kazenskim zakonikom;
7.
koordinira usposabljanje, vaje in izobraževanje na področju informacijske varnosti ter skrbi za okrepitev zavedanja javnosti o informacijski varnosti, lahko pa tudi sam organizira in izvaja usposabljanja s področja informacijske in kibernetske varnosti;
8.
spodbuja in podpira raziskave in razvoj na področju informacijske varnosti;
9.
skrbi za pripravo in izvajanje strategije;
10.
izdela in vzdržuje nacionalni načrt odzivanja na kibernetske incidente, kibernetske incidente velikih razsežnosti in krize ob upoštevanju strategije, načrtov skupin CSIRT, drugih pristojnih organov in varnostne dokumentacije zavezancev;
11.
pregleduje ustreznost določitve zavezancev iz 5. točke drugega odstavka in prve ter druge alineje tretjega odstavka 7. člena tega zakona vsaj vsaki dve leti in lahko vladi predlaga posodobitev seznama zavezancev;
12.
za statistične namene in namene seznanjanja javnosti dvakrat letno pripravi anonimizirane informacije o priglašenih incidentih, te nato javno objavi na osrednjem spletnem mestu državne uprave;
13.
strokovne in svetovalne naloge in naloge koordinatorja na področju odnosov z javnostmi, ki zajemajo komunikacijo z zunanjimi in notranjimi javnostmi ter krizno komuniciranje v primeru incidenta;
14.
v sodelovanju s službo vlade, pristojno za komuniciranje z javnostmi, izdela in vzdržuje nacionalni načrt komuniciranja v primeru incidentov;
15.
je enotna kontaktna točka, ki ima na področju kibernetske varnosti in obrambe povezovalno vlogo za zagotavljanje čezmejnega sodelovanja z drugimi državami in mednarodnimi organizacijami;
16.
predstavlja in zastopa interese Republike Slovenije v delovnih skupinah na področju kibernetske varnosti in obrambe v okviru Sveta Evropske unije, Evropske komisije, agencije ENISA, zveze NATO in drugih mednarodnih organizacij;
17.
imenuje in napotuje svoje predstavnike v delovne skupine, odbore in mreže na področju kibernetske varnosti in obrambe v okviru Sveta Evropske unije, Evropske komisije, agencije ENISA, zveze NATO in drugih mednarodnih organizacij;
18.
je član Skupine za sodelovanje, v katero imenuje svoje predstavnike, in zagotovi razmere za njihovo učinkovito in uspešno delovanje;
19.
imenuje predstavnike v mrežo EU-CyCLONe;
20.
sodeluje pri aktivaciji nudenja in sprejemanja pomoči za obvladovanje kriz v skladu z mednarodnimi pogodbami in dogovori;
21.
imenuje predstavnika v upravni odbor agencije ENISA in sodeluje pri njenem delu;
22.
izpolnjuje druge obveznosti iz neposredno uporabljivih aktov Evropske unije s področja kibernetske varnosti;
23.
izpolnjuje obveznosti obveščanja Evropske komisije, agencije ENISA, zveze NATO in Skupine za sodelovanje ter obveznosti obveščanja preostalih mednarodnih organizacij;
24.
vodi medresorsko koordinacijsko delovno skupino za mednarodno sodelovanje na področju kibernetske varnosti in obrambe;
25.
opravlja druge naloge mednarodnega sodelovanja;
26.
opravlja naloge inšpekcijskega nadzora po tem zakonu prek Inšpekcije za informacijsko varnost, ki je njegova notranja organizacijska enota;
27.
pripravlja predloge predpisov s področja informacijske in kibernetske varnosti;
28.
opravlja naloge nacionalnega certifikacijskega organa za kibernetsko varnost;
29.
je Nacionalni koordinacijski center za kibernetsko varnost;
30.
kot prejemnik ali dodeljevalec sredstev se vključuje v programe financiranja na nacionalni ravni in na ravni Evropske unije ter drugih mednarodnih povezav za področje informacijske in kibernetske varnosti;
31.
dodeljuje finančne spodbude za izvedbo izbranih projektov za področje informacijske in kibernetske varnosti;
32.
financira kadrovske štipendije za delo v pristojnem nacionalnem organu, v skladu z zakonom, ki ureja štipendiranje;
33.
odloča o sodelovanju pri medsebojnih strokovnih pregledih;
34.
določi enotno informacijsko varnostno politiko, razen za informacijsko-komunikacijske sisteme, namenjene področjem obrambe, varstva pred naravnimi in drugimi nesrečami, policije, internega informacijskega sistema notranjih zadev, obveščevalno-varnostne dejavnosti, zunanjih zadev, preprečevanja in odkrivanja pranja denarja in financiranja terorizma ter opravljanja plačilnega prometa za proračunske uporabnike, in
35.
je Nacionalno kibernetsko vozlišče v skladu s prvim, drugim in tretjim odstavkom 4. člena Uredbe 2025/38/EU, ki sodeluje v čezmejnem kibernetskem vozlišču na podlagi četrtega odstavka navedenega člena te uredbe in v evropskem sistemu za opozarjanje na področju kibernetske varnosti iz 3. člena navedene uredbe, in
36.
opravlja druge naloge, določene s tem zakonom ali z drugimi predpisi.
11. člen
(nacionalni koordinacijski center za kibernetsko varnost)
(1)
Pristojni nacionalni organ je Nacionalni koordinacijski center za kibernetsko varnost (v nadaljnjem besedilu: NCC-SI) in je v tej vlogi pristojen za izvajanje nalog iz Uredbe (EU) 2021/887 Evropskega parlamenta in Sveta z dne 20. maja 2021 o vzpostavitvi Evropskega industrijskega, tehnološkega in raziskovalnega kompetenčnega centra za kibernetsko varnost ter Mreže nacionalnih koordinacijskih centrov (UL L št. 202 z dne 8. 6. 2021, str. 1).
(2)
NCC-SI v skladu z uredbo EU iz prejšnjega odstavka izvaja naloge za krepitev kibernetske varnosti, vključno s spodbujanjem raziskav, tehnološkega razvoja in industrijske zmogljivosti na tem področju, ter sodeluje z Evropskim centrom za kibernetsko varnost in drugimi nacionalnimi koordinacijskimi centri za kibernetsko varnost držav članic Evropske unije.
12. člen
(organ za obvladovanje kibernetskih kriz)
(1)
Pristojni organ za obvladovanje kibernetskih incidentov velikih razsežnosti in kriz (v nadaljnjem besedilu: organ za obvladovanje kibernetskih kriz) v Republiki Sloveniji je pristojni nacionalni organ, ki je v tej vlogi pristojen za sodelovanje v mreži EU-CyCLONe.
(2)
Organ za obvladovanje kibernetskih kriz izdela nacionalni načrt odzivanja na kibernetske incidente, kibernetske incidente velikih razsežnosti in krize (v nadaljnjem besedilu: nacionalni načrt odzivanja).
(3)
Vlada sprejme nacionalni načrt odzivanja, v katerem so opredeljeni cilji in ureditve obvladovanja kibernetskih incidentov, kibernetskih incidentov velikih razsežnosti in kriz. V tem načrtu se določijo zlasti:
1.
cilji nacionalnih ukrepov in dejavnosti za pripravljenost,
2.
naloge in odgovornosti organov za obvladovanje kibernetskih incidentov, kibernetskih incidentov velikih razsežnosti in kriz,
3.
postopki za obvladovanje kibernetskih incidentov in kibernetskih incidentov velikih razsežnosti,
4.
postopki za obvladovanje kibernetskih kriz na način, da se upošteva predpis s področja kriznega upravljanja in vodenja kriz,
5.
ukrepi za pripravljenost, vključno z vajami in usposabljanjem,
6.
ustrezni javni in zasebni deležniki ter vključena infrastruktura,
7.
postopki sodelovanja med organom za obvladovanje kibernetskih kriz in organi iz predpisa s področja kriznega upravljanja in vodenja kriz z namenom učinkovitega sodelovanja Republike Slovenije ter njene podpore pri usklajenem obvladovanju kibernetskih incidentov velikih razsežnosti in kriz na ravni Evropske unije in
8.
postopki sodelovanja med organom za obvladovanje kibernetskih kriz in osrednjim organom za odzivanje na hibridne grožnje z namenom učinkovitega usklajevanja pri odzivanju na hibridne grožnje.
(4)
Organ za obvladovanje kibernetskih kriz ob zaznavi kibernetskih incidentov, za katere presodi, da lahko povzročijo krizo, nemudoma obvesti Svet za nacionalno varnost (v nadaljnjem besedilu: SNAV) in osrednji organ za odzivanje na hibridne grožnje. V sodelovanju s prizadetimi zavezanci po tem zakonu, pristojnimi področnimi regulatorji in zadevnimi nosilci sektorjev kritične infrastrukture iz zakona, ki ureja kritično infrastrukturo, in osrednjim organom za odzivanje na hibridne grožnje analizira stanje ter z ugotovitvami seznanja SNAV in mu po potrebi predlaga ukrepe. SNAV na podlagi predpisa, ki ureja področje kriznega upravljanja in vodenja kriz, izdela oceno situacije. Na podlagi ocene svetuje vladi o nadaljnjih ukrepih.
(5)
Vlada lahko na predlog SNAV sprejme odločitev o vključitvi drugih državnih zmogljivosti v obvladovanje krize, razglasi krizo ter po potrebi sprejme odločitev o izvajanju kriznega upravljanja in vodenja v kompleksni krizi v skladu z zakonom, ki ureja Vlado Republike Slovenije.
(6)
Pristojni nacionalni organ o imenovanju organa za obvladovanje kibernetskih kriz in ob vsakokratnih spremembah o tem uradno obvesti Evropsko komisijo. Evropski komisiji in mreži EU-CyCLONe predloži ustrezne informacije o sprejetju nacionalnega načrta odzivanja v zvezi z zahtevami iz tretjega odstavka tega člena. Iz posredovanja se izključijo podatki in informacije iz petega odstavka 4. člena tega zakona.
(7)
Če je treba v zvezi z izvajanjem tega člena obvestiti tudi javnost, pristojni nacionalni organ skupaj s službo vlade, pristojno za komuniciranje z javnostjo, pripravi sporočilo za javno objavo, ki ga smejo mediji objaviti le v nespremenjeni obliki.
13. člen
(skupine za odzivanje na incidente na področju računalniške varnosti)
(1)
Skupine CSIRT in njihove pristojnosti za obravnavo incidentov posameznih skupin zavezanih subjektov določi vlada. Med tako določenimi skupinami CSIRT vlada določi tudi skupino CSIRT, ki je koordinator za usklajeno razkrivanje ranljivosti v Republiki Sloveniji po 17. členu tega zakona.
(2)
Skupine CSIRT morajo izpolnjevati zahteve iz 14. člena tega zakona in so pristojne za obravnavo incidentov v skladu s postopkom, določenim s tem zakonom.
(3)
Skupine CSIRT izmenjujejo informacije z bistvenimi in pomembnimi subjekti ter drugimi ustreznimi deležniki z uporabo ustrezne, varne in odporne komunikacijske in informacijske infrastrukture, ki jo vzpostavi pristojni nacionalni organ, poleg tega sodelujejo s pristojnim nacionalnim organom pri uvajanju in uporabi orodij za varno izmenjavo informacij.
(4)
Skupine CSIRT medsebojno sodelujejo in si v skladu s 34. členom tega zakona izmenjujejo ustrezne informacije s sektorskimi ali medsektorskimi skupnostmi zavezancev.
(5)
Skupine CSIRT sodelujejo pri medsebojnih strokovnih pregledih v skladu z 19. členom tega zakona.
(6)
Skupine CSIRT sodelujejo v mreži skupin CSIRT, lahko pa tudi v drugih mrežah za mednarodno sodelovanje.
(7)
Skupine CSIRT lahko sodelujejo s skupinami CSIRT iz tretjih držav. Pri tem s temi skupinami iz tretjih držav lahko izmenjujejo informacije z uporabo ustreznih protokolov, vključno s semaforskim protokolom, da se zagotovi uspešen, učinkovit in varen način izmenjave informacij. Skupine CSIRT si lahko izmenjujejo ustrezne informacije s skupinami CSIRT iz tretjih držav, vključno z osebnimi podatki, v skladu z določbami 10. poglavja Zakona o varstvu osebnih podatkov (Uradni list RS, št. 163/22).
(8)
Skupine CSIRT lahko sodelujejo s skupinami CSIRT iz tretjih držav ali enakovrednimi organi tretjih držav, zlasti za zagotavljanje pomoči na področju kibernetske varnosti.
(9)
Pristojni nacionalni organ o identiteti skupin CSIRT iz prvega odstavka tega člena ter pristojnosti iz drugega in tretjega odstavka tega člena in vsakokratnih spremembah identitet in pristojnosti glede bistvenih in pomembnih subjektov nemudoma obvesti Evropsko komisijo. Evropsko komisijo obvesti tudi o identiteti skupine CSIRT, ki je imenovana za koordinatorja iz prvega odstavka 17. člena tega zakona.
14. člen
(zahteve in tehnične zmogljivosti skupin CSIRT)
Skupine CSIRT iz prvega odstavka prejšnjega člena morajo izpolnjevati naslednje zahteve:
1.
zagotavljajo visoko stopnjo razpoložljivosti lastnih komunikacijskih kanalov, tako da preprečujejo posamezne točke odpovedi in imajo na voljo več načinov, na katere se drugi lahko kadar koli obrnejo nanje in one obrnejo na druge. Pri tem jasno opredelijo komunikacijske kanale ter o njih obvestijo uporabnike in partnerje;
2.
prostori in podporni informacijski sistemi so na varnih krajih;
3.
imajo ustrezen sistem za upravljanje in usmerjanje zahtevkov, zlasti da se poenostavi njihova učinkovita in uspešna predaja;
4.
zagotovijo zaupnost in zanesljivost svojih dejavnosti;
5.
imajo dovolj osebja za zagotavljanje neprekinjene razpoložljivosti storitev, pri čemer zagotavljajo, da je to osebje ustrezno usposobljeno, in
6.
imajo nadomestne sisteme in nadomestni delovni prostor, da se zagotovi neprekinjeno izvajanje njihovih storitev.
15. člen
(naloge skupin CSIRT)
(1)
Skupine CSIRT iz prvega odstavka 13. člena tega zakona na področjih, za katera so pristojne, izvajajo naslednje naloge:
1.
spremljanje in analiziranje kibernetskih groženj, ranljivosti in incidentov na državni ravni, na zahtevo bistvenih in pomembnih subjektov pa jim nudijo pomoč v zvezi s sprotnim spremljanjem njihovih omrežnih in informacijskih sistemov;
2.
zagotavljanje zgodnjega opozarjanja, opozoril, obvestil in razširjanja informacij o kibernetskih grožnjah, ranljivostih in incidentih zadevnim bistvenim in pomembnim subjektom, pristojnemu nacionalnemu organu in drugim pristojnim organom, osrednjim organom za odzivanje na hibridne grožnje in drugim ustreznim deležnikom, če je mogoče, takoj;
3.
odzivanje na incidente in zagotavljanje pomoči zadevnim bistvenim in pomembnim subjektom;
4.
zbiranje in analiziranje forenzičnih podatkov in opravljanje dinamičnih analiz tveganja in incidentov ter situacijsko zavedanje na področju kibernetske varnosti;
5.
na zahtevo bistvenega ali pomembnega subjekta opravljanje proaktivnega pregleda omrežnih in informacijskih sistemov zadevnega subjekta, da se odkrijejo ranljivosti, ki bi lahko imele pomemben negativen vpliv;
6.
sodelovanje v mreži skupin CSIRT in zagotavljanje medsebojne pomoči v skladu z zmožnostmi in pristojnostmi drugim članicam mreže skupin CSIRT na njihovo zahtevo;
7.
prispevanje k uporabi orodij za varno izmenjavo informacij na podlagi tretjega odstavka 13. člena tega zakona in
8.
zagotavljanje medsebojne pomoči in sodelovanje z drugimi organi, ki so na podlagi predpisov pristojni za obravnavanje incidentov.
(2)
Skupine CSIRT lahko z namenom odkrivanja ranljivosti omrežnih in informacijskih sistemov, ki niso konfigurirani na varen način, ter za obveščanje zadevnih subjektov s ciljem odpravljanja varnostnih groženj izvajajo proaktivno in nevsiljivo pregledovanje javno dostopnih omrežnih in informacijskih sistemov bistvenih in pomembnih subjektov, za katere so pristojne. Takšno pregledovanje ne sme negativno vplivati na delovanje storitev teh subjektov.
(3)
Pri izvajanju nalog iz prvega odstavka tega člena lahko skupine CSIRT na podlagi pristopa, ki temelji na tveganjih, prednostno razvrščajo naloge.
(4)
Skupine CSIRT pristojnemu nacionalnemu organu pošljejo tedensko in četrtletno poročilo o izvajanju svojih nalog, v katero vključijo informacije o vseh priglašenih incidentih, ki so jih obravnavale.
(5)
Skupine CSIRT nemudoma obvestijo pristojni nacionalni organ o lastnem incidentu, ki bi lahko vplival ali vpliva na delovanje in razpoložljivost njihovih storitev, ki jih zagotavljajo zavezancem in prostovoljnim priglasiteljem.
(6)
V skladu z usmeritvami pristojnega nacionalnega organa skupina CSIRT v primeru razglasitve ocene ogroženosti visoko ali kritično izda varnostno obvestilo ali navodilo v skladu s petim in šestim odstavkom 37. člena tega zakona.
(7)
Skupina CSIRT iz prvega odstavka 13. člena, ki je pristojna za obravnavo incidentov subjektov javne uprave na državni in lokalni ravni, je za namen učinkovitega izvajanja nalog informacijske in kibernetske varnosti ter kibernetske obrambe pooblaščena za neposredni, nujni in sorazmerni vpogled v delovanje informacijske infrastrukture centralnega državnega informacijsko-komunikacijskega sistema. Upravljavec centralnega državnega informacijsko-komunikacijskega sistema mu mora to omogočiti.
(8)
Za namen pravočasnega odzivanja na kibernetske grožnje in preprečevanja škodljivih posledic morebitnega težjega ali kritičnega incidenta ter za izvajanje kibernetske obrambe je skupina CSIRT iz prejšnjega odstavka pooblaščena, da upravljavcu centralnega državnega informacijsko-komunikacijskega sistema odredi ustrezne, nujne in sorazmerne ukrepe, ki jih mora ta nemudoma oziroma v postavljenem roku izvesti v svojem informacijsko-komunikacijskem sistemu.
(9)
Skupine CSIRT iz prvega odstavka 13. člena tega zakona izvajajo tudi programe ozaveščanja v skladu s strategijo kibernetske varnosti.
16. člen
(sodelovanje skupin CSIRT z deležniki iz zasebnega sektorja)
(1)
Skupine CSIRT iz prvega odstavka 13. člena tega zakona za dosego ciljev tega zakona sodelujejo s subjekti iz zasebnega sektorja. V ta namen lahko sklepajo tudi dogovore o sodelovanju.
(2)
Za olajšanje sodelovanja iz prejšnjega odstavka skupine CSIRT spodbujajo sprejetje in uporabo skupnih ali uveljavljenih praks, sistemov razvrščanja in taksonomij v zvezi s:
-
postopki obvladovanja incidentov,
-
obvladovanjem kriz in
-
usklajenim razkrivanjem ranljivosti na podlagi prvega odstavka 17. člena tega zakona.
(3)
Skupina CSIRT, ki zazna ranljivost informacijsko-komunikacijskega sistema subjekta iz prvega odstavka tega člena, tega o tem nemudoma obvesti.
17. člen
(usklajeno razkrivanje ranljivosti in evropska podatkovna zbirka ranljivosti)
(1)
Skupina CSIRT iz prvega odstavka 13. člena tega zakona, ki je določena za koordinatorja za usklajeno razkrivanje ranljivosti v Republiki Sloveniji (v nadaljnjem besedilu: koordinator), deluje kot zaupanja vreden posrednik in po potrebi olajšuje sodelovanje med fizično ali pravno osebo, ki poroča o ranljivostih, in proizvajalcem ali ponudnikom proizvodov ali storitev IKT, ki naj bi zajemali ranljivost, in sicer na pobudo katere koli stranke.
(2)
Naloge koordinatorja vključujejo:
-
identifikacijo zadevnih subjektov in vzpostavitev stika z njimi,
-
podpiranje fizičnih ali pravnih oseb, ki poročajo o ranljivosti, in
-
pogajanja o časovnicah razkrivanja in obvladovanju ranljivosti, ki vplivajo na več subjektov.
(3)
Fizične ali pravne osebe iz prvega odstavka tega člena lahko koordinatorju o ranljivostih poročajo anonimno. Koordinator zagotovi skrbno nadaljnje ukrepanje v zvezi s sporočenimi ranljivostmi in anonimnost fizične ali pravne osebe, ki je o ranljivosti poročala. Kadar bi lahko sporočena ranljivost pomembno vplivala na subjekte tudi v drugih državah članicah Evropske unije, koordinator po potrebi sodeluje z drugimi skupinami CSIRT, ki so kot koordinatorke imenovane v okviru mreže skupin CSIRT.
(4)
Koordinator v zvezi s sporočenimi ranljivostmi sodeluje tudi z agencijo ENISA.
(5)
Koordinator pristojnemu nacionalnemu organu pošlje tedensko poročilo o izvajanju svojih nalog iz tega člena, v katero vključi informacije o vseh zaznanih ranljivostih iz prvega odstavka tega člena.
18. člen
(sodelovanje na nacionalni ravni)
(1)
Za zagotovitev učinkovitega opravljanja nalog in obveznosti pristojnega nacionalnega organa, enotne kontaktne točke in skupine CSIRT iz tega zakona pristojni nacionalni organ vzpostavi ustrezno sodelovanje na nacionalni ravni na način, da ti subjekti:
1.
med seboj sodelujejo pri izpolnjevanju obveznosti;
2.
sodelujejo z Javno agencijo za civilno letalstvo Republike Slovenije, Upravo Republike Slovenije za jedrsko varnost, Inšpekcijo za informacijsko družbo, Banko Slovenije, Agencijo za komunikacijska omrežja in storitve Republike Slovenije in pristojnim nacionalnim organom iz zakona, ki ureja kritično infrastrukturo, ter pristojnimi organi oziroma sektorskimi regulatorji iz drugih področnih zakonov s področij, ki jim pripadajo zavezanci iz 6. člena tega zakona;