Uredba o izvajanju uredbe (EU) o digitalni operativni odpornosti za finančni sektor

936. Uredba o izvajanju uredbe (EU) o digitalni operativni odpornosti za finančni sektor

Na podlagi sedmega odstavka 21. člena Zakona o Vladi Republike Slovenije (Uradni list RS, št. 24/05 - uradno prečiščeno besedilo, 109/08, 38/10 - ZUKN, 8/12, 21/13, 47/13 - ZDU-1G, 65/14, 55/17 in 163/22) Vlada Republike Slovenije izdaja

U R E D B O
o izvajanju uredbe (EU) o digitalni operativni odpornosti za finančni sektor

(vsebina)

S to uredbo se za izvajanje Uredbe 2022/2554/EU Evropskega parlamenta in Sveta z dne 14. decembra 2022 o digitalni operativni odpornosti za finančni sektor in spremembi uredb (ES) št. 1060/2009, (EU) št. 648/2012, (EU) št. 600/2014, (EU) št. 909/2014 in (EU) 2016/2011 (UL L št. 333 z dne 27. 12. 2022, str. 1), zadnjič spremenjene z Delegirano uredbo Komisije (EU) 2025/420 z dne 16. decembra 2024 o dopolnitvi Uredbe 2022/2554/EU Evropskega parlamenta in Sveta v zvezi z regulativnimi tehničnimi standardi, v katerih se določijo merila za določitev sestave skupne pregledniške ekipe, ki zagotavljajo uravnoteženo udeležbo članov osebja iz evropskih nadzornih organov in ustreznih pristojnih organov, njihovo imenovanje, naloge in delovne dogovore (UL L št. 2025/420 z dne 24. 3. 2025), (v nadaljnjem besedilu: Uredba 2022/2554/EU), določajo pristojni organi za izvajanje Uredbe 2022/2554/EU in organ za izvajanje nalog penetracijskega testiranja, urejata način opravljanja nadzora ter poročanje o večjih incidentih, povezanih z IKT, in kibernetskih grožnjah, določajo nadzorni ukrepi ter prekrški in globe v zvezi z izvajanjem Uredbe 2022/2554/EU in te uredbe.

(pomen izrazov)

Izrazi, uporabljeni v tej uredbi, pomenijo enako kot izrazi, opredeljeni v Uredbi 2022/2554/EU.

(organi, pristojni za izvajanje Uredbe 2022/2554/EU in te uredbe)

Pristojni organi za izvajanje Uredbe 2022/2554/EU in te uredbe so za finančne subjekte iz:

točk (a) in (b) 46. člena Uredbe 2022/2554/EU: Banka Slovenije, razen glede nalog in pristojnosti bonitetnega nadzora, za katere je v skladu z Uredbo Sveta (EU) št. 1024/2013 z dne 15. oktobra 2013 o prenosu posebnih nalog, ki se nanašajo na politike bonitetnega nadzora kreditnih institucij, na Evropsko centralno banko (UL L št. 287 z dne 29. 10. 2013, str. 63) pristojna Evropska centralna banka,

točk (c), (d), (e), (f), (g), (h), (i), (j), (n), (o), (p) in (q) 46. člena Uredbe 2022/2554/EU: Agencija za trg vrednostnih papirjev, razen če gre za subjekte iz prve in tretje alineje tega odstavka,

točk (k), (l) in (m) 46. člena Uredbe 2022/2554/EU: Agencija za zavarovalni nadzor.

Za pristojni organ iz petega odstavka 32. člena Uredbe 2022/2554/EU se štejejo vsi pristojni organi iz prejšnjega odstavka, vsak v okviru svojih pristojnosti, določenih v prvi do tretji alineji prejšnjega odstavka. Navedeni organi v okviru medsebojnega rednega sodelovanja imenujejo predstavnika na visoki ravni, kot je določeno v točki (b) četrtega odstavka 32. člena Uredbe 2022/2554/EU, in o tem obvestijo glavnega nadzornika iz 31. člena Uredbe 2022/2554/EU.

Naloge penetracijskega testiranja v skladu s 26. in 27. členom Uredbe 2022/2554/EU izvaja Urad Vlade Republike Slovenije za informacijsko varnost (v nadaljnjem besedilu: URSIV). URSIV pri nalogah, povezanih s penetracijskim testiranjem, ki jih izvaja v okviru nalog strokovne podpore ter preventivnega delovanja in drugih nalog, na področju informacijske varnosti, kot jih določa zakon, ki ureja informacijsko varnost, na podlagi analize groženj v finančnem sektorju, sodeluje s pristojnimi organi iz prvega odstavka tega člena.

V primeru, da URSIV v okviru izvajanja nalog, povezanih s penetracijskim testiranjem ugotovi, da finančni subjekt, določen v prvem odstavku tega člena, krši določbe, kot jih glede penetracijskega testiranja določata 26. in 27. člen Uredbe 2022/2554/EU, o tem obvesti organ iz prvega odstavka tega člena.

(poročanje o IKT incidentih in kibernetskih grožnjah)

V skladu s prvim in četrtim odstavkom 19. člena Uredbe 2022/2554/EU finančni subjekti, določeni v prvi, drugi in tretji alineji prvega odstavka prejšnjega člena, o večjih incidentih, povezanih z IKT, poročajo pristojnim organom iz prvega odstavka prejšnjega člena in skupinam za odzivanje na incidente s področja računalniške varnosti (v nadaljnjem besedilu: CSIRT).

V primeru večjega incidenta, povezanega z IKT, ki bi lahko povzročil večje motnje in škodo, finančni subjekti, določeni v prvi, drugi in tretji alineji prvega odstavka prejšnjega člena, postopajo v skladu s tretjim odstavkom 19. člena Uredbe 2022/2554/EU.

Poleg obvezne priglasitve večjega incidenta, povezanega z IKT, lahko finančni subjekti pristojne organe iz prvega odstavka prejšnjega člena in CSIRT prostovoljno obvestijo tudi o pomembnih kibernetskih grožnjah, če menijo, da je grožnja relevantna za finančni sistem, uporabnike storitev ali stranke, in jim predložijo ustrezne informacije.

Pristojni organi iz prvega odstavka prejšnjega člena o večjih incidentih, povezanih z IKT, s katerimi so bili seznanjeni na podlagi prvega, drugega ali tretjega odstavka tega člena, tedensko poročajo URSIV.

Ne glede na rok iz prejšnjega odstavka pristojni organi iz prvega odstavka prejšnjega člena brez nepotrebnega odlašanja, v vsakem primeru pa v 24 urah od priglasitve, obvestijo URSIV o zaznavi takšnega incidenta v primeru, da je incident iz prvega odstavka tega člena finančnemu subjektu: