• PREDPIS
  • RAZVELJAVLJEN

Splošni akt o varnosti omrežij in storitev ter delovanje v izjemnih stanjih

OBJAVLJENO V: Uradni list RS 75-2774/2013, stran 8619 DATUM OBJAVE: 9.9.2013

VELJAVNOST: od 10.9.2013 do 9.11.2022 / UPORABA: od 10.9.2013 do 11.11.2023

RS 75-2774/2013

Verzija 4 / 4

Čistopis se uporablja od 12.11.2023 do nadaljnjega. Status čistopisa na današnji dan, 13.2.2026: NEAKTUALEN.

Časovnica

Na današnji dan, 13.2.2026 je:

  • ČISTOPIS
  • NEAKTUALEN
  • UPORABA ČISTOPISA
  • OD 12.11.2023
    DO nadaljnjega
Format datuma: dan pika mesec pika leto, na primer 20.10.2025
  •  
  • Vplivi
  • Čistopisi
rev
fwd
2774. Splošni akt o varnosti omrežij in storitev ter delovanje v izjemnih stanjih
Na podlagi 86. člena Zakona o elektronskih komunikacijah (Uradni list RS, št. 109/12) izdaja direktor Agencije za pošto in elektronske komunikacije Republike Slovenije
S P L O Š N I A K T
o varnosti omrežij in storitev ter delovanje v izjemnih stanjih

I. SPLOŠNE DOLOČBE

1. člen

(vsebina)
Ta splošni akt določa organizacijske ukrepe, ki jih morajo sprejeti operaterji za ustrezno zagotavljanje varnosti omrežij in storitev, celovitosti omrežij ter delovanja v izjemnih stanjih.

2. člen

(pomen izrazov)

(1)

Izrazi, uporabljeni v tem splošnem aktu, imajo naslednji pomen:

1.

Agencija je neodvisen regulativni organ, katere pristojnosti, organizacija in delovanje določa Zakon o elektronskih komunikacijah (Uradni list RS, št. 109/12, v nadaljevanju: ZEKom-1).

2.

SI-CERT je nacionalni odzivni center za omrežne incidente, ki deluje v okviru javnega zavoda Akademska in raziskovalna mreža Slovenije (ARNES).

3.

Sistem upravljanja varovanja informacij (v nadaljevanju: SUVI) je tisti del celotnega sistema upravljanja, ki temelji na pristopu poslovnega tveganja in zagotavlja vzpostavitev, vpeljavo, delovanje, spremljanje, pregledovanje, vzdrževanje in izboljševanje varnosti omrežij.

4.

Sistem upravljanja neprekinjenega poslovanja (v nadaljevanju: SUNP) je tisti del celotnega sistema upravljanja, ki temelji na strateški in taktični sposobnost operaterja, da pripravi načrt za primere incidentov in motenj pri poslovanju ter se nanje odzove, da lahko zagotovi neprekinjeno izvajanje storitev prek svojega omrežja na sprejemljivi vnaprej določeni ravni.

5.

Varnost omrežja in storitev je zmožnost javnega komunikacijskega omrežja, da z določeno stopnjo gotovosti prepreči naključne dogodke ali zlonamerna dejanja, ki ogrožajo zaupnost, verodostojnost, celovitost ali razpoložljivost shranjenih ali prenesenih podatkov ter s tem povezanih javno dostopnih komunikacijskih storitev, ki jih ponujajo ta omrežja in ali so prek njih dostopne.

6.

Celovitost omrežja je zmožnost omrežja, da z veliko verjetnostjo zagotovi neprekinjeno izvajanje storitev prek teh omrežij v primeru incidentov.

7.

Sredstvo je vse, kar ima določeno vrednost za operaterja, za njegovo dejavnost ali izvajanje storitev.

8.

Incident je eden ali več neželenih ali nepričakovanih dogodkov, za katere je zelo verjetno, da bodo ogrozili varnost omrežij in storitev ali celovitost omrežja.

9.

Grožnja je možen vzrok za incident, ki lahko povzroči škodo sredstvu, omrežju ali operaterju.

10.

Ranljivost je šibka točka sredstva ali skupine sredstev, ki jo je mogoče izrabiti z eno ali več grožnjami.

11.

Analiza varnostnih tveganj je sistematična uporaba informacij za prepoznavanje virov groženj in ranljivosti sredstev ter ocenjevanje tveganj za varnost omrežij in storitev.

12.

Analiza vpliva na poslovanje je sistematična uporaba informacij za prepoznavanje virov groženj in ranljivosti sredstev ter ocenjevanje tveganj za neprekinjeno izvajanje storitev.

13.

Obravnava tveganj je proces izbora in vpeljave ukrepov za zmanjševanje tveganj.

14.

Preostalo tveganje je tveganje, ki ostane po obravnavi tveganj.

15.

Dokumentiran postopek pomeni, da je postopek zapisan.

16.

Vodstveni pregled je dokumentiran pregled, ki ga vodstvo opravi najmanj enkrat letno, da zagotovi ustreznost in učinkovitost SUVI in SUNP.

17.

Nosilec sistema zaščite in reševanja pomeni organ, ki je pooblaščen za programiranje, načrtovanje, organiziranje, izvajanje, nadzor, financiranje ukrepov ter dejavnosti za varstvo pred naravnimi in drugimi nesrečami.

(2)

Ostali pojmi, uporabljeni v tem splošnem aktu, imajo enak pomen, kot je določen v ZEKom-1.

3. člen

(dokumentacija)

(1)

Operater mora vzpostaviti in vzdrževati dokumentiran SUVI in SUNP, ki mora obsegati najmanj:

-

varnostno politiko in politiko neprekinjenega poslovanja,

-

obseg in meje SUVI ter SUNP,

-

navodilo za izvajanje analize in obravnave varnostnih tveganj,

-

navodilo za izvajanje analize vpliva na poslovanje in obravnave tveganj za neprekinjeno poslovanje,

-

varnostni načrt,

-

načrt za zagotavljanje celovitosti omrežja,

-

zapise o incidentih, notranjih presojah in vodstvenih pregledih SUVI in SUNP.

(2)

Za dokumente iz prvega odstavka tega člena mora operater vzpostaviti dokumentiran sistem, ki bo zagotavljal:

-

odobritev dokumentov, preden so objavljeni,

-

pregledovanje in dopolnjevanje dokumentov,

-

uporabo najnovejših verzij ustreznih dokumentov in

-

da bodo dokumenti na razpolago tistim, ki jih potrebujejo.

4. člen

(varnostna politika in politika neprekinjenega poslovanja)
Varnostna politika in politika neprekinjenega poslovanja je dokument ali zbirka dokumentov, s katerim operater uradno izraža splošen namen in usmeritev SUVI in SUNP. Politika ravnanja v izjemnih stanjih je del politike neprekinjenega poslovanja. Operater mora v varnostni politiki in politiki neprekinjenega poslovanja (v nadaljevanju: politika) določiti cilje in načela za ukrepanje pri zagotavljanju varnosti omrežij in storitev, celovitosti omrežij in delovanja v izjemnih stanjih. Najvišje vodstvo operaterja mora odobriti politiko. Politika mora upoštevati poslovne, pravne in zakonodajne zahteve ter pogodbene obveznosti pri zagotavljanju varnosti omrežja in storitev, celovitosti omrežja ter delovanja v izjemnih stanjih.

5. člen

(obseg in meje SUVI ter SUNP)