29. člen
(obveznost priglašanja in obveščanja)
(1)
Bistveni in pomembni subjekti pristojni skupini CSIRT nemudoma v skladu s prvim in drugim odstavkom 30. člena tega zakona in nacionalnim načrtom odzivanja iz drugega odstavka 12. člena tega zakona priglasijo vse incidente, ki imajo pomemben vpliv na zagotavljanje njihovih storitev. Pri tem se incident šteje za pomembnega (v nadaljnjem besedilu: pomemben incident), če:
(2)
Bistveni in pomembni subjekti pri vrednotenju pomembnosti incidenta upoštevajo prizadetost omrežnih in informacijskih sistemov, zlasti njihov pomen pri zagotavljanju storitev subjekta, resnost in tehnične značilnosti kibernetske grožnje in njenega vpliva na uporabnike, ranljivosti, ki se izkoriščajo, in izkušnje subjekta s podobnimi incidenti. Pri priglašanju iz prejšnjega odstavka upoštevajo izvedbene akte Evropske komisije iz prvega pododstavka enajstega odstavka 23. člena Direktive 2022/2555/EU, s katerimi ta podrobneje določi vrsto informacij, obliko in postopek priglasitve ter prostovoljne priglasitve in obvestila.
(3)
Ponudniki storitev DNS, registri TLD imen, ponudniki storitev računalništva v oblaku, ponudniki storitev podatkovnih centrov, ponudniki omrežij za dostavo vsebine, ponudniki upravljanih storitev, ponudniki upravljanih varnostnih storitev in ponudniki spletnih tržnic, spletnih iskalnikov in platform za storitve družbenega mreženja pri priglašanju iz prejšnjega odstavka upoštevajo izvedbene akte Evropske komisije iz drugega pododstavka enajstega odstavka 23. člena Direktive 2022/2555/EU, v katerih so zanje podrobneje določeni posamezni primeri, ko se incident šteje za pomembnega.
(4)
Bistveni in pomembni subjekti iz prvega odstavka tega člena, ki niso subjekti iz prejšnjega odstavka, upoštevajo izvedbene akte Evropske komisije iz drugega pododstavka enajstega odstavka 23. člena Direktive 2022/2555/EU. Če Evropska komisija takšnih izvedbenih aktov ne sprejme, se za te subjekte upošteva metodologija za določitev pomembnosti incidenta, kot je opredeljena v nacionalnem načrtu odzivanja.
(5)
Bistveni in pomembni subjekti pristojni skupini CSIRT sporočijo vse potrebne informacije, da ta ugotovi čezmejni vpliv pomembnega incidenta. V primeru pomembnega čezmejnega ali medsektorskega pomembnega incidenta se ustrezna informacija pravočasno sporoči enotni kontaktni točki v skladu s 30. členom tega zakona.
(6)
Bistveni in pomembni subjekti uporabnike svojih storitev nemudoma obvestijo o pomembnih incidentih iz prvega odstavka tega člena, ki bodo verjetno negativno vplivali na zagotavljanje teh storitev.
(7)
Bistveni in pomembni subjekti nemudoma uporabnikom svojih storitev, ki bi jih pomembna kibernetska grožnja lahko prizadela, sporočijo vse ukrepe ali sredstva, ki jih lahko ti uporabniki sprejmejo v odziv na to grožnjo. Zadevne uporabnike obvestijo tudi o zadevni pomembni kibernetski grožnji.
(8)
Ne glede na šesti in sedmi odstavek tega člena bistveni in pomembni subjekti ne obveščajo uporabnikov svojih storitev v primerih, v katerih bi bilo takšno obveščanje v nasprotju z drugim ali tretjim odstavkom 4. člena tega zakona, in v primerih, v katerih jim takšno navodilo dá pristojna skupina CSIRT ali pristojni nacionalni organ, ker bi razkritje podatkov lahko škodilo preiskavi incidenta ali nacionalni varnosti.
(9)
Bistveni in pomembni subjekti, ki delujejo v sistemih, ki spadajo med ključne dele nacionalnega varnostnega sistema, izvajajo obveznosti iz tega člena ob upoštevanju obdelave informacij in podatkov, ki so predmet nacionalne varnosti v skladu s področnimi predpisi.
(10)
Incidenti v informacijsko-komunikacijskih sistemih, določenih s predpisi, ki urejajo tajne podatke, se štejejo za pomembne incidente po tem zakonu in jih nacionalni varnostni organ iz zakona, ki ureja tajne podatke, na način iz prvega odstavka 30. člena tega zakona priglasi pristojnemu nacionalnemu organu.