ZInfV – Zakon o informacijski varnosti (ZInfV)...

1350. Zakon o informacijski varnosti (ZInfV)

Na podlagi druge alinee prvega odstavka 107. člena in prvega odstavka 91. člena Ustave Republike Slovenije izdajam

U K A Z
o razglasitvi Zakona o informacijski varnosti (ZInfV)

Razglašam Zakon o informacijski varnosti (ZInfV), ki ga je sprejel Državni zbor Republike Slovenije na seji dne 17. aprila 2018.

Št. 003-02-4/2018-6

Ljubljana, dne 25. aprila 2018

Borut Pahor l.r. Predsednik Republike Slovenije

Z A K O N
O INFORMACIJSKI VARNOSTI (ZInfV)

I. Splošne določbe

1. člen

(vsebina zakona)

Ta zakon ureja področje informacijske varnosti in ukrepe za doseganje visoke ravni varnosti omrežij in informacijskih sistemov v Republiki Sloveniji, ki so bistvenega pomena za nemoteno delovanje države v vseh varnostnih razmerah ter zagotavljajo bistvene storitve za ohranitev ključnih družbenih in gospodarskih dejavnosti v Republiki Sloveniji. Določa minimalne varnostne zahteve in zahteve za priglasitev incidentov za zavezance tega zakona. Prav tako ureja pristojnosti, naloge, organizacijo in delovanje pristojnega nacionalnega organa za informacijsko varnost (v nadaljnjem besedilu: pristojni nacionalni organ), enotne kontaktne točke za informacijsko varnost (v nadaljnjem besedilu: enotna kontaktna točka), nacionalne skupine za obravnavo incidentov s področja varnosti elektronskih omrežij in informacij (v nadaljnjem besedilu: nacionalni CSIRT) in skupine za obravnavo incidentov s področja varnosti elektronskih omrežij in informacij organov državne uprave (v nadaljnjem besedilu: CSIRT organov državne uprave) na področju zagotavljanja informacijske varnosti.

2. člen

(namen in področje uporabe zakona)

(1)

Namen zakona je ureditev področja informacijske varnosti in zagotovitev visoke ravni varnosti omrežij in informacijskih sistemov v Republiki Sloveniji, ki so bistvenega pomena za nemoteno delovanje države v vseh varnostnih razmerah in zagotavljajo bistvene storitve za ohranitev ključnih družbenih in gospodarskih dejavnosti.

(2)

S tem zakonom se v pravni red Republike Slovenije prenaša Direktiva (EU) 2016/1148/ES Evropskega parlamenta in Sveta z dne 6. julija 2016 o ukrepih za visoko skupno raven varnosti omrežij in informacijskih sistemov v Uniji (UL L št. 194 z dne 19. 7. 2016, str. 1), (v nadaljnjem besedilu: Direktiva 2016/1148/ES).

(3)

Ta zakon se ne uporablja za pravne ali fizične osebe, v kolikor zagotavljajo javna komunikacijska omrežja ali javno dostopne elektronske komunikacijske storitve (operaterji), za katere veljajo posebne obveznosti glede varnosti in celovitosti omrežij in storitev iz zakona, ki ureja elektronske komunikacije, ter za ponudnike storitev zaupanja, za katere veljajo zahteve iz 19. člena Uredbe (EU) št. 910/2014 Evropskega parlamenta in Sveta z dne 23. julija 2014 o elektronski identifikaciji in storitvah zaupanja za elektronske transakcije na notranjem trgu in razveljavitvi Direktive 1999/93/ES (UL L št. 257 z dne 28. 8. 2014, str. 73).

3. člen

(obdelava podatkov)

(1)

Obdelava osebnih podatkov na podlagi tega zakona se izvaja skladno s predpisi, ki urejajo varstvo osebnih podatkov.

(2)

Podatki in informacije, ki se obdelujejo na podlagi tega zakona in so opredeljeni kot tajni ali kot poslovna skrivnost, se obravnavajo v skladu s predpisi, ki urejajo področje tajnih podatkov in poslovno skrivnost.

4. člen

(pomen izrazov)

Izrazi, uporabljeni v tem zakonu, imajo za potrebe tega zakona naslednji pomen:

1.

Bistvena storitev je storitev, ki se zagotavlja na področjih iz drugega odstavka 5. člena tega zakona, in je bistvena za ohranitev ključnih družbenih in gospodarskih dejavnosti.

2.

CSIRT je skupina, ki se odziva na incidente na področju informacijske varnosti, sprejema prijave o kršitvah varnosti, izvaja analize in pomaga priglasiteljem pri obvladovanju incidentov.

3.

Digitalna infrastruktura so stičišča omrežij, register domenskih imen najvišje ravni in ponudniki storitev sistema domenskih imen.

4.

Digitalna storitev so naslednje storitve informacijske družbe: storitve spletne tržnice, spletnega iskalnika in računalništva v oblaku.

5.

Incident je vsak dogodek, ki ima dejanski negativen učinek na varnost omrežij in informacijskih sistemov.

6.

Informacijsko okolje je skupek družbenih omrežij in kibernetskega prostora, vključno z informacijami.

7.

Informacijska varnost je zaščita, varovanje in obramba informacijskega okolja pred nedovoljenim dostopom, uporabo, razkritjem, motenjem, spreminjanjem ali uničenjem, z namenom zagotavljanja zaupnosti, avtentičnosti, celovitosti in razpoložljivosti.

8.

Izvajalec bistvenih storitev je javni ali zasebni subjekt, ki spada v katero od področij, navedenih v 5. členu tega zakona, in izpolnjuje merila, določena v 7. členu tega zakona, ter dodatna področna merila, določena s predpisi.

9.

Kibernetska grožnja je možnost zlonamernega poskusa poškodovanja ali prekinitve računalniškega omrežja, sistema, storitev in podatkov.

10.

Kibernetska obramba je celota ukrepov in dejavnosti države, s katerimi se odvrača, onemogoča, preprečuje ali odbija kibernetske napade v informacijskem okolju.

11.

Kibernetska varnost je sposobnost zaščititi, varovati in braniti kibernetski prostor pred kibernetskimi grožnjami, incidenti in kibernetskimi napadi.

12.

Kibernetski napad je napad prek kibernetskega prostora z namenom zlonamernega uničevanja, izpostavljanja, nadzorovanja ali spreminjanja, onemogočanja, zbiranja in oviranja kateregakoli dela kibernetskega prostora, vključno glede informacij, ki so bistvenega pomena za nemoteno delovanje države.

13.

Kibernetski prostor je globalno informacijsko okolje, ustvarjeno s pomočjo elektronsko komunikacijskih omrežij in informacijskih sistemov. Kibernetski prostor omogoča nastanek, obdelavo in izmenjavo informacij.

14.

Ključni deli nacionalnega varnostnega sistema so omrežja in informacijski sistemi, namenjeni področju obrambe, varstva pred naravnimi in drugimi nesrečami, policije, obveščevalno-varnostne dejavnosti ter zunanjih zadev.

15.

Ključni informacijski sistemi so vsi informacijski sistemi subjekta, brez katerih ni mogoče neprekinjeno izvajati storitev.

16.

Krmilni informacijski sistemi so informacijski sistemi, ki omogočajo izvajanje pravilnih postopkov in izvajajo ustrezno sosledje delovanja ključnih informacijskih sistemov subjekta.

17.

Kvalificiran revizor je revizor s področja informacijske varnosti, ki je certifikat pridobil pri eni izmed neodvisnih revizijskih organizacij.

18.

Mreža skupin CSIRT je povezava, v kateri sodelujejo skupine CSIRT iz držav članic in CERT-EU.

19.

Nacionalni center za krizno upravljanje je center, določen v predpisu, ki ureja organizacijo in delovanje nacionalnega centra za krizno upravljanje.

20.

Nadzorni informacijski sistemi so informacijski sistemi, ki skrbijo za izvajanje nadzorstvene funkcije informacijskih sistemov subjekta.

21.

Obvladovanje incidentov so vsi postopki, ki omogočajo odkrivanje, analizo in zajezitev incidentov ter odzivanje nanje.

22.

Omrežje in informacijski sistem so:

-

elektronsko komunikacijsko omrežje, ki vključuje prenosne sisteme in, kjer je primerno, komutacijsko ali usmerjevalno opremo ter druge vire, vključno z omrežnimi elementi, ki niso aktivni, ki omogočajo prenos signalov po žicah, z radijskimi valovi, z optičnimi ali drugimi elektromagnetnimi sredstvi, vključno s satelitskimi omrežji, fiksnimi (vodovno in paketno komutiranimi, vključno z internetom) in mobilnimi prizemnimi omrežji, električnimi kabelskimi sistemi, če se uporabljajo za prenos signalov, omrežij, ki se uporabljajo za radijsko in televizijsko radiodifuzijo, ter z omrežji kabelske televizije, ne glede na vrsto prenesenih informacij;

-

vsaka naprava ali skupina med seboj povezanih ali sorodnih naprav, od katerih ena ali več njih na podlagi programa opravlja samodejno obdelavo digitalnih podatkov, ali

-

digitalni podatki, ki jih elementi iz prve in prejšnje alineje te točke shranjujejo, obdelujejo, pridobivajo ali prenašajo za namene njihovega delovanja, uporabe, varovanja in vzdrževanja.

23.

Ponudnik digitalnih storitev je vsaka fizična ali pravna oseba, ki zagotavlja digitalno storitev.

24.

Ponudnik storitev sistema domenskih imen je subjekt, ki zagotavlja storitve sistema domenskih imen na internetu.

25.

Predstavnik je vsaka fizična ali pravna oseba s sedežem v Evropski uniji (v nadaljnjem besedilu: EU), ki je izrecno določena, da deluje v imenu ponudnika digitalnih storitev, ki nima sedeža v Uniji, in s katero lahko pristojni nacionalni organ ali nacionalni CSIRT vzpostavi stik namesto s ponudnikom digitalnih storitev, kar zadeva obveznosti tega ponudnika digitalnih storitev na podlagi tega zakona.

26.

Register domenskih imen najvišje ravni je subjekt, ki upravlja in izvaja registracijo imen internetnih domen v okviru določene domene najvišje ravni.

27.

Revizijska sled je nespremenljiva sled oziroma niz podatkov, ki se je zgodil v informacijskem sistemu ali napravi, z natančnim časovnim zapisom v obliki dnevniškega zapisa, ki omogoča natančen pregled vseh zapisov, povezanih z vsemi dogodki in vsemi shranjenimi informacijami, od nastanka podatka ali informacije naprej do trenutnega stanja.

28.

Sistem domenskih imen je hierarhičen porazdeljen sistem dodeljevanja imen v omrežju, ki posreduje poizvedbe za domenska imena.

29.

Skupina za sodelovanje je skupina, ki jo sestavljajo predstavniki držav članic EU, Evropske komisije in Agencije Evropske unije za varnost omrežij in informacij (agencija ENISA).

30.

Specifikacija je dokument, ki predpisuje tehnične zahteve, ki jih mora izpolniti proizvod, proces, storitev ali sistem.

31.

Spletna tržnica je digitalna storitev, ki potrošnikom (vsaka fizična oseba, ki deluje za namene zunaj okvira svoje trgovske, poslovne, obrtne ali poklicne dejavnosti) oziroma trgovcem (vsaka fizična ali pravna oseba v zasebni ali javni lasti, ki sama ali prek osebe, ki nastopa v njenem imenu ali po njenem naročilu, deluje za namene v zvezi s svojo trgovsko, poslovno, obrtno ali poklicno dejavnostjo) omogoča, da na spletišču spletne tržnice ali na spletišču trgovca, ki uporablja računalniške storitve spletne tržnice, s trgovci sklenejo pogodbe o spletni prodaji ali pogodbe o spletnih storitvah.

32.

Spletni iskalnik je digitalna storitev, ki uporabnikom na podlagi poizvedbe o katerikoli temi v obliki ključne besede, fraze ali drugega vnosa omogoča iskanje po načeloma vseh spletiščih ali spletiščih v določenem jeziku, ponudi pa povezave do strani z informacijami o zahtevani vsebini.

33.

Standard je tehnična specifikacija, ki jo je sprejel priznan organ za standardizacijo za večkratno ali stalno uporabo.

34.

Stičišče omrežij je omrežna zmogljivost, ki omogoča medsebojno povezavo več kot dveh neodvisnih avtonomnih sistemov, predvsem zaradi izmenjave internetnega prometa in zagotavlja medsebojno povezavo le avtonomnih sistemov ter omogoča izmenjavo internetnega prometa med katerimakoli sodelujočima avtonomnima sistemoma, brez prehoda prek tretjega avtonomnega sistema, prav tako pa ne spreminja takšnega prometa ali kako drugače posega vanj.

35.

Storitev informacijske družbe je katerakoli storitev, ki se običajno opravi odplačno, na daljavo (storitev se opravi, ne da bi bile stranke sočasno navzoče), elektronsko (storitev se pošlje na začetnem kraju in sprejme na cilju z elektronsko opremo za obdelavo in shranjevanje podatkov ter se v celoti prenaša, pošilja in sprejema po žici, radijsko, z optičnimi ali drugimi elektromagnetnimi sredstvi) in na posamezno zahtevo prejemnika storitev (storitev opravi s prenosom podatkov na posamezno zahtevo).

36.

Storitev računalništva v oblaku je digitalna storitev, ki omogoča dostop do prožnega in po obsegu prilagodljivega nabora deljivih računalniških virov.

37.

Strategija kibernetske varnosti je nacionalna strategija za varnost omrežij in informacijskih sistemov ter pomeni okvir s strateškimi cilji in prednostnimi nalogami na področju varnosti omrežij in informacijskih sistemov v Republiki Sloveniji.

38.

Tveganje je vsaka razumno določljiva okoliščina ali dogodek, ki ima lahko negativen učinek na varnost omrežij in informacijskih sistemov.

39.

Varnost omrežij in informacijskih sistemov je zmožnost omrežij in informacijskih sistemov, da na določeni ravni zaupanja preprečijo vse dogodke, ki ogrožajo razpoložljivost, avtentičnost, celovitost ali zaupnost shranjenih, prenesenih ali obdelanih podatkov ali pripadajočih storitev, ki jih navedena omrežja in informacijski sistemi zagotavljajo ali so prek njih dostopni.

40.

Varnostno operativni center je notranja organizacijska enota posameznih organov državne uprave, ki se odziva na incidente na področju informacijske varnosti.

II. Zavezanci

5. člen

(zavezanci)

(1)

Zavezanci po tem zakonu so:

-

izvajalci bistvenih storitev,

-

ponudniki digitalnih storitev,

-

organi državne uprave, ki upravljajo z informacijskimi sistemi in deli omrežja oziroma izvajajo informacijske storitve, nujne za nemoteno delovanje države ali za zagotavljanje nacionalne varnosti (v nadaljnjem besedilu: organi državne uprave), in

-

državni organi, organi lokalnih skupnosti, javne agencije in nosilci javnih pooblastil ter drugi subjekti, ki niso organi državne uprave iz prejšnje alineje ali izvajalci bistvenih storitev iz prve alineje tega odstavka in se povezujejo s centralnim državnim informacijsko-komunikacijskim omrežjem oziroma sistemom (v nadaljnjem besedilu: povezani subjekti).

(2)

Izvajalci bistvenih storitev so subjekti, ki delujejo na naslednjih področjih:

1.

energija,

2.

digitalna infrastruktura,

3.

oskrba s pitno vodo in njena distribucija,

4.

zdravstvo,

5.

promet,

6.

bančništvo,

7.

infrastruktura finančnega trga,

8.

preskrba s hrano in

9.

varstvo okolja.

6. člen

(določitev izvajalcev bistvenih storitev)

(1)

Za namen določitve izvajalcev bistvenih storitev Vlada Republike Slovenije (v nadaljnjem besedilu: vlada) določi seznam bistvenih storitev iz predpisa, ki ureja standardno klasifikacijo dejavnosti.

(2)

Posameznega izvajalca bistvenih storitev na podlagi meril iz 7. člena tega zakona določi vlada.

(3)

Ne glede na določbo prejšnjega odstavka vlada kot izvajalce bistvenih storitev določi tudi tiste upravljavce kritične infrastrukture, ki so določeni v skladu s predpisi, ki urejajo področje kritične infrastrukture, in nosilce obrambnega načrtovanja, ki so določeni v skladu s predpisi, ki urejajo področje obrambe, katerih zagotavljanje storitev je odvisno od omrežij in informacijskih sistemov.

(4)

Če izvajalec zagotavlja bistveno storitev v Republiki Sloveniji in še kateri drugi državi članici EU, se pristojni nacionalni organ pred določitvijo izvajalcev bistvenih storitev iz drugega odstavka ali prejšnjega odstavka tega člena v skladu z Direktivo 2016/1148/ES posvetuje s pristojnim nacionalnim organom države članice EU, kjer izvajalec takšne storitve zagotavlja.

7. člen

(merila - metodologija)

(1)

Pri določitvi izvajalcev bistvenih storitev iz drugega odstavka 5. člena tega zakona se upošteva naslednja merila:

-

subjekt zagotavlja storitev, ki je bistvena za ohranitev ključnih družbenih oziroma gospodarskih dejavnosti;

-

zagotavljanje te storitve je odvisno od omrežij in informacijskih sistemov in

-

incident bi imel pomemben negativen vpliv na zagotavljanje te storitve.

(2)

Pri določanju, kako pomemben je negativen vpliv iz tretje alineje prejšnjega odstavka, se upoštevajo vsaj trije od naslednjih medpodročnih dejavnikov:

1.

število uporabnikov, ki so odvisni od storitve subjekta;

2.

odvisnost drugih področij iz drugega odstavka 5. člena tega zakona od storitve subjekta;

3.

stopnja in trajanje vpliva, ki bi ga incidenti lahko imeli na gospodarske in družbene dejavnosti ali javno varnost;

4.

tržni delež subjekta;

5.

geografska razširjenost, kar zadeva območje, ki bi ga incident lahko prizadel;

6.

pomen subjekta za ohranitev zadostne ravni storitve, ob upoštevanju razpoložljivosti alternativnih načinov za zagotavljanje storitve.

(3)

Pri odločanju, ali bi incident imel pomemben negativen vpliv, se upoštevata vsaj dva od naslednjih področnih dejavnikov:

-

število uporabnikov, ki jih je prizadela motnja pri zagotavljanju bistvene storitve;

-

trajanje incidenta;

-

geografska razširjenost, kar zadeva območje, na katerega vpliva incident.

(4)

Metodologijo za določitev izvajalcev bistvenih storitev podrobneje določi vlada.

8. člen

(določitev ponudnikov digitalnih storitev)

(1)

Ponudniki digitalnih storitev iz druge alineje prvega odstavka 5. člena tega zakona so zavezanci za izpolnjevanje obveznosti po tem zakonu.

(2)

Ne glede na prejšnji odstavek niso zavezanci ponudniki digitalnih storitev, ki imajo manj kot 50 zaposlenih in imajo letni promet oziroma letno bilančno vsoto, ki ne presega deset milijonov eurov.

9. člen

(določitev organov državne uprave)

(1)

Vlada določi organe državne uprave iz tretje alineje prvega odstavka 5. člena tega zakona in CSIRT organov državne uprave.

(2)

Ne glede na prejšnji odstavek se CSIRT organov državne uprave ne določi, če imajo organi državne uprave v svoji notranji organizacijski strukturi zagotovljene lastne zmogljivosti vsaj na ravni varnostno operativnega centra.

10. člen

(določitev kontaktne osebe zavezancev)

(1)

Izvajalec bistvene storitve v 15 dneh od odločitve iz drugega odstavka 6. člena tega zakona določi kontaktno osebo za informacijsko varnost in njenega namestnika ter pristojnemu nacionalnemu organu posreduje njune kontaktne podatke.

(2)

Organ državne uprave lahko določi kontaktno osebo za informacijsko varnost in njenega namestnika ter pristojnemu nacionalnemu organu posreduje njune kontaktne podatke.

(3)

Ponudnik digitalnih storitev, ki ima skladno s prvim odstavkom 15. člena tega zakona glavni sedež v Republiki Sloveniji, lahko določi in pooblasti kontaktno osebo za informacijsko varnost in njenega namestnika ter te kontaktne podatke posredujejo pristojnemu nacionalnemu organu.

(4)

Če ponudnik digitalnih storitev nima sedeža v EU, vendar določi sedež svojega predstavnika za EU v Republiki Sloveniji skladno z drugim odstavkom 15. člena tega zakona, ta predstavnik velja za njegovo kontaktno osebo. Kontaktne podatke predstavnika lahko ponudniki digitalnih storitev posredujejo pristojnemu nacionalnemu organu.

(5)

Zavezanci iz prvega odstavka tega člena o spremembi kontaktnih podatkov obvestijo pristojni nacionalni organ v roku 15 delovnih dni po nastali spremembi.

III. Informacijska varnost izvajalcev bistvenih storitev

11. člen

(varnostne zahteve)

(1)

Izvajalci bistvenih storitev skladno z metodologijo iz tretjega odstavka 12. člena tega zakona, določijo svoje ključne, krmilne in nadzorne informacijske sisteme ter dele omrežja, s katerimi zagotavljajo izvajanje bistvenih storitev.

(2)

Izvajalci bistvenih storitev izvedejo analizo, oceno in vrednotenje tveganj ter na tej osnovi pripravijo in izvedejo potrebne ukrepe za obvladovanje tveganj glede varnosti omrežij in informacijskih sistemov, ki jih uporabljajo pri bistvenih storitvah.

(3)

Izvajalci bistvenih storitev sprejmejo ustrezne ukrepe za preprečitev in zmanjšanje vpliva incidentov, ki vplivajo na varnost tistih omrežij in informacijskih sistemov, ki se uporabljajo za zagotavljanje bistvenih storitev, da bi zagotovili neprekinjeno izvajanje teh storitev.

(4)

Če izvajalci bistvenih storitev za opravljanje svoje dejavnosti črpajo vhodne podatke in informacije iz ključnih delov nacionalno varnostnega sistema, vzpostavijo vse potrebne varnostne zahteve ob soglasju pristojnega ministrstva za posamezni ključni del nacionalno varnostnega sistema.

12. člen

(varnostna dokumentacija in varnostni ukrepi)

(1)

Izvajalci bistvenih storitev za zagotavljanje informacijske varnosti ter visoke ravni varnosti omrežij in informacijskih sistemov vzpostavijo in vzdržujejo dokumentiran sistem upravljanja varovanja informacij ter sistem upravljanja neprekinjenega poslovanja, ki mora obsegati najmanj:

1.

analizo obvladovanja tveganj z oceno sprejemljive ravni tveganj;

2.

politiko neprekinjenega poslovanja z načrtom njegovega upravljanja;

3.

seznam njegovih ključnih, krmilnih in nadzornih informacijskih sistemov in delov omrežja ter pripadajočih podatkov, ki so bistvenega pomena za delovanje bistvenih storitev;

4.

načrt obnovitve in ponovne vzpostavitve delovanja informacijskih sistemov iz prejšnje alineje;

5.

načrt odzivanja na incidente s protokolom obveščanja nacionalnega CSIRT;

6.

načrt varnostnih ukrepov za zagotavljanje celovitosti, zaupnosti in razpoložljivosti omrežja in informacijskih sistemov, ki upoštevajo področne posebnosti.

(2)

Izvajalci bistvenih storitev na podlagi varnostne dokumentacije iz prejšnjega odstavka pripravijo in izvajajo potrebne varnostne ukrepe, ki se delijo na organizacijske, logično-tehnične in tehnične ukrepe.

(3)

Vlada podrobneje določi vsebino in strukturo varnostne dokumentacije iz prvega odstavka tega člena ter minimalen obseg in vsebino varnostnih ukrepov iz prejšnjega odstavka. Pri tem predpiše tudi metodologiji za pripravo analize obvladovanja tveganj ter za določitev ključnih, krmilnih in nadzornih informacijskih sistemov in delov omrežja ter pripadajočih podatkov iz 2. in 3. točke prvega odstavka tega člena.

(4)

Če ima izvajalec bistvenih storitev za zagotavljanje varnosti svojih omrežij in informacijskih sistemov že izdelano varnostno dokumentacijo na podlagi drugih predpisov, jo dopolni skladno s tem zakonom.

(5)

Izvajalci bistvenih storitev za namen obvladovanja in preprečevanja incidentov, skladno z analizo obvladovanja tveganj z oceno sprejemljive ravni tveganj in ob upoštevanju stanja tehnike zagotovijo tudi ohranjanje dnevniških zapisov o delovanju svojih ključnih, krmilnih ali nadzornih informacijskih sistemov ali delov omrežja, za obdobje šestih mesecev, lahko pa tudi za daljše obdobje, kadar iz analize obvladovanja tveganj in ocene sprejemljive ravni tveganj izhaja, da bi bilo tveganja ustrezno obvladovati z daljšo hrambo dnevniških zapisov. Ohranjanje dnevniških zapisov se zagotavlja na ozemlju Republike Slovenije, razen za področja digitalne infrastrukture, bančništva in infrastrukture finančnega trga, glede katerih se lahko zagotavlja na ozemlju EU.

(6)

Dnevniški zapisi o delovanju ključnih, krmilnih ali nadzornih informacijskih sistemov ali delov omrežja iz prejšnjega odstavka morajo biti hranjeni na način, ki zagotavlja njihovo avtentičnost, celovitost in razpoložljivost v primeru incidentov.

13. člen

(priglasitev incidentov)

(1)

Izvajalci bistvenih storitev nacionalnemu CSIRT brez nepotrebnega odlašanja priglasijo incidente s pomembnim vplivom na neprekinjeno izvajanje bistvenih storitev, ki jih zagotavljajo. Priglasitev zajema informacije, na podlagi katerih je mogoče določiti morebiten čezmejni vpliv incidenta. Izvajalci bistvenih storitev pri določitvi pomembnosti vpliva incidenta upoštevajo zlasti:

-

število uporabnikov, ki jih je prizadela motnja pri zagotavljanju bistvene storitve,

-

trajanje incidenta in

-

geografska razširjenost, kar zadeva območje, na katerega incident vpliva.

(2)

Priglasitelj mora ob prijavi incidenta poskrbeti za ustrezno zavarovanje dnevniških zapisov oziroma revizijskih sledi, če te obstajajo.

(3)

Nacionalni CSIRT o incidentu obvesti pristojni nacionalni organ, ki vodi seznam incidentov iz tretjega odstavka 25. člena tega zakona. Pristojni nacionalni organ o incidentu, ki bi lahko imel večji medpodročni vpliv oziroma bi lahko ob daljšem trajanju povzročil slabšanje stabilnosti nacionalne varnosti Republike Slovenije, nemudoma obvesti policijo ter Nacionalni center za krizno upravljanje.

(4)

Če ima incident pomemben vpliv na neprekinjenost izvajanja bistvenih storitev v drugi državi članici EU, pristojni nacionalni organ ali nacionalni CSIRT o tem obvesti enotno kontaktno točko v prizadeti državi oziroma državah članicah EU. Pri tem zaščiti varnost in poslovne interese izvajalca bistvenih storitev ter zaupnost informacij, ki jih slednji zagotovi v svoji priglasitvi.

(5)

Informacije in podatki iz prejšnjega odstavka, ki so zaupni, se posredujejo, če je to potrebno za uporabo Direktive 2016/1148/ES oziroma za izvajanje tega zakona. Posredovanje je omejeno na obseg, ki je primeren in nujen glede na namen iz prejšnjega odstavka ter mora ohraniti zaupnost posredovanih informacij in podatkov.

(6)

Pri izvajanju obveznosti priglasitve mora nacionalni CSIRT paziti, da informacije o ranljivosti bistvene storitve ostanejo zaupne, dokler se varnost znova ne vzpostavi.

(7)

Če nacionalni CSIRT presodi, da je to potrebno, izvajalcu bistvenih storitev po priglasitvi incidenta posreduje ustrezne informacije glede nadaljnjih ukrepov na podlagi njegove priglasitve, ki bi lahko prispevale k učinkovitemu obvladovanju incidenta.

(8)

Pristojni nacionalni organ lahko po posvetovanju z izvajalcem bistvenih storitev, ki je priglasil incident, obvesti javnost o posameznih incidentih, kadar je ozaveščenost javnosti potrebna za njegovo obravnavo ali zaradi preprečitve stopnjevanja incidenta ali novih incidentov.

(9)

Pri obveščanju javnosti iz prejšnjega odstavka pristojni nacionalni organ upošteva ravnotežje med interesom javnosti, da je obveščena o nevarnostih, na eni strani, ter morebitno škodo za ugled in poslovanje izvajalcev bistvenih storitev, ki priglasijo incidente, na drugi strani.

IV. Informacijska varnost ponudnikov digitalnih storitev

14. člen

(varnostne zahteve in priglasitev incidentov)

(1)

Ponudniki digitalnih storitev določijo in sprejmejo primerne in sorazmerne tehnične in organizacijske ukrepe za obvladovanje tveganj za varnost omrežij in informacijskih sistemov, ki jih uporabljajo pri zagotavljanju teh storitev v EU. Ob upoštevanju stanja tehnike s temi ukrepi zagotovijo raven varnosti omrežij in informacijskih sistemov, ki je primerna obstoječemu tveganju. Pri tem upoštevajo naslednje elemente:

-

varnost sistemov in zmogljivosti,

-

obvladovanje incidentov,

Zakon o informacijski varnosti (ZInfV)

Časovnica