118. člen
(obveznost obveščanja in poročanja o varnostnih incidentih)
(1)
Operaterji morajo o vseh varnostnih incidentih, če so ti pomembno vplivali na delovanje javnih komunikacijskih omrežij ali izvajanje javnih komunikacijskih storitev, brez nepotrebnega odlašanja obvestiti agencijo in nacionalno skupino za obravnavo incidentov s področja varnosti elektronskih omrežij in informacij (v nadaljnjem besedilu: nacionalni CSIRT). Če je zaradi varnostnega incidenta prizadeta komunikacija v sili, operaterji hkrati obvestijo tudi zadevni center za sprejem komunikacije v sili. Operaterji obveščajo pristojne organe iz tega odstavka na način, da se zagotovi varnost prenesenih podatkov po elektronski poti, če je to le mogoče.
(2)
Agencija s splošnim aktom določi vsebino obvestila in v katerih primerih gre za pomemben vpliv iz prejšnjega odstavka. Pred izdajo prej navedenega splošnega akta agencija pridobi mnenje organa, pristojnega za informacijsko varnost.
(3)
Pri določanju pomembnega vpliva iz prejšnjega odstavka agencija upošteva predvsem naslednja merila:
(4)
Nacionalni CSIRT o incidentih iz prvega odstavka tega člena obvesti organ, pristojen za informacijsko varnost.
(5)
Agencija o posameznih varnostnih incidentih iz prvega odstavka tega člena po potrebi obvešča pristojne organe v drugih državah članicah EU in Agencijo Evropske unije za kibernetsko varnost (v nadaljnjem besedilu: ENISA).
(6)
Če agencija meni, da je razkritje varnostnega incidenta iz prejšnjega odstavka v javnem interesu, po posvetovanju z organom, pristojnim za informacijsko varnost, lahko o tem sama obvesti javnost ali pa to naloži operaterju, ki ga zadeva varnostni incident.
(7)
Agencija Evropski komisiji in ENISA vsako leto najpozneje do konca februarja za preteklo leto predloži kratko letno poročilo o prejetih prijavah in ukrepih, ki so bili sprejeti v skladu s prvim, drugim oziroma petim odstavkom tega člena. Agencija s poročilom seznani tudi organ, pristojen za informacijsko varnost.
(8)
Operaterji morajo v primeru posebne in resne grožnje varnostnega incidenta iz prvega odstavka tega člena v javnih komunikacijskih omrežjih ali javno dostopnih elektronskih komunikacijskih storitev svoje uporabnike, ki bi jih taka grožnja lahko prizadela, brezplačno obvestiti o morebitnih zaščitnih ali popravnih ukrepih, ki jih lahko sprejmejo uporabniki. Po potrebi morajo operaterji uporabnike obvestiti tudi o sami grožnji.
(9)
Agencija lahko zaprosi nacionalni CSIRT za pomoč v zvezi z vprašanji, ki sodijo med njegove naloge v skladu z zakonom, ki ureja informacijsko varnost.
(10)
Agencija se v zvezi z vprašanji iz tega člena po potrebi posvetuje in sodeluje z organi pregona, organom, pristojnim za informacijsko varnost, in Informacijskim pooblaščencem.
(11)
Določbe tega člena ne posegajo v določbe XII. poglavja tega zakona in drugih predpisov, ki urejajo varstvo osebnih podatkov.