ZKI-1 – Zakon o kritični infrastrukturi...

3199. Zakon o kritični infrastrukturi (ZKI-1)

Na podlagi druge alinee prvega odstavka 107. člena in prvega odstavka 91. člena Ustave Republike Slovenije izdajam

U K A Z
o razglasitvi Zakona o kritični infrastrukturi (ZKI-1)

Razglašam Zakon o kritični infrastrukturi (ZKI-1), ki ga je sprejel Državni zbor Republike Slovenije na seji dne 22. novembra 2024.

Št. 003-02-1/2024-265

Ljubljana, dne 30. novembra 2024

Nataša Pirc Musar predsednica Republike Slovenije

Z A K O N
O KRITIČNI INFRASTRUKTURI (ZKI-1)

I. SPLOŠNE DOLOČBE

1. člen

(vsebina)

(1)

Ta zakon ureja področje kritične infrastrukture, ki obsega postopek ugotavljanja in določanja kritičnih subjektov in kritične infrastrukture Republike Slovenije (v nadaljnjem besedilu: kritična infrastruktura), določa način ugotavljanja kritičnih subjektov posebnega evropskega pomena, opredeljuje nacionalni okvir za odpornost kritičnih subjektov in kritične infrastrukture ter določa ukrepe za zagotavljanje odpornosti kritičnih subjektov pri opravljanju bistvenih storitev (v nadaljnjem besedilu: ukrepi za odpornost).

(2)

Ta zakon določa pristojnosti in naloge pristojnih organov in organizacij, pristojnega nacionalnega organa in enotne kontaktne točke na področju kritične infrastrukture ter okvir za zagotavljanje podpore odločanju, zgodnje opozarjanje, poročanje, varovanje podatkov in nadzor na področju kritične infrastrukture.

2. člen

(prenos direktive)

S tem zakonom se v pravni red Republike Slovenije prenaša Direktiva (EU) 2022/2557 Evropskega parlamenta in Sveta z dne 14. decembra 2022 o odpornosti kritičnih subjektov in razveljavitvi Direktive Sveta 2008/114/ES (UL L št. 333 z dne 27. 12. 2022, str. 164; v nadaljnjem besedilu: Direktiva 2022/2557/EU).

3. člen

(področje uporabe)

(1)

Ta zakon se uporablja za javne in zasebne subjekte, ki so v skladu s tem zakonom določeni kot kritični subjekti ali jih je kot kritične subjekte posebnega evropskega pomena določila Evropska komisija.

(2)

Za kritične subjekte v sektorjih bančništva in infrastrukture finančnega trga se ne uporabljajo IV., V. in IX. poglavje tega zakona. Za te kritične subjekte se za vsebine, ki jih urejajo IV., V. in IX. poglavje tega zakona, uporablja Uredba (EU) 2022/2554 Evropskega parlamenta in Sveta z dne 14. decembra 2022 o digitalni operativni odpornosti za finančni sektor in spremembi uredb (ES) št. 1060/2009, (EU) št. 648/2012, (EU) št. 600/2014, (EU) št. 909/2014 in (EU) 2016/1011 (UL L št 333 z dne 27. 12. 2022, str. 1), zadnjič spremenjena z Delegirano uredbo Komisije (EU) 2024/1774 z dne 13. marca 2024 o dopolnitvi Uredbe (EU) 2022/2554 Evropskega parlamenta in Sveta v zvezi z regulativnimi tehničnimi standardi, ki določajo orodja, metode, postopke in politike za obvladovanje tveganj na področju IKT ter poenostavljen okvir za obvladovanje tveganj na področju IKT (UL L št. 2024/1774 z dne 25. 6. 2024).

(3)

Za kritične subjekte v sektorju digitalne infrastrukture se IV., V. in IX. poglavje tega zakona ne uporabljajo. Za te kritične subjekte se za vsebine, ki jih urejajo IV., V. in IX. poglavja tega zakona, uporablja zakon, ki ureja informacijsko varnost.

(4)

Ta zakon se ne uporablja za subjekte javne uprave in organe oblasti v delu, v katerem gre za izvajanje svojih dejavnosti na področju nacionalne varnosti, javne varnosti, obrambe ali kazenskega pregona, vključno s preiskovanjem, odkrivanjem in pregonom kaznivih dejanj, oziroma za kritične subjekte, ki opravljajo storitve le na področju javne uprave iz tega člena, ter za Ustavno sodišče Republike Slovenije, sodstvo, Državni zbor Republike Slovenije, Varuha človekovih pravic in Banko Slovenije.

(5)

Ta zakon se ne uporablja za vsebine, ki jih ureja zakon, ki ureja informacijsko varnost.

4. člen

(pomen izrazov)

Izrazi, uporabljeni v tem zakonu, pomenijo:

1.

bistvena storitev je storitev, ki je ključna za nemoteno delovanje države, ohranitev življenjsko pomembnih družbenih funkcij, gospodarskih dejavnosti, javnega zdravja in varnosti ali okolja;

2.

izredni dogodek je dogodek, ki bi lahko povzročil pomembne motnje ali ki povzroči motnje v opravljanju bistvene storitve, razen dogodkov, ki jih kot incidente opredeljuje zakon, ki ureja informacijsko varnost;

3.

kategorije subjektov so skupine subjektov, ki so povezane glede na vrsto in namen bistvene storitve, ki jo opravljajo, in izmed katerih nosilci sektorjev kritične infrastrukture ugotavljajo kritične subjekte;

4.

kritična infrastruktura Republike Slovenije je sredstvo, objekt, oprema, omrežje ali sistem oziroma njegov del, ki je nujen za oziroma omogoča opravljanje bistvenih storitev (v nadaljnjem besedilu: kritična infrastruktura);

5.

kritični subjekt je javni ali zasebni subjekt, ki ima kritično infrastrukturo, s katero opravlja bistveno storitev;

6.

nacionalni okvir za odpornost kritičnih subjektov in kritične infrastrukture obsega strategijo za odpornost kritičnih subjektov in nacionalno oceno tveganja za opravljanje bistvenih storitev;

7.

nosilci sektorjev kritične infrastrukture (v nadaljnjem besedilu: nosilci sektorjev) so ministrstva in službe Vlade Republike Slovenije (v nadaljnjem besedilu: vlada), ki so odgovorni za delovna področja, na katera spada kritična infrastruktura;

8.

ocena tveganja je postopek ugotavljanja narave in obsega tveganja s prepoznavanjem in analiziranjem morebitnih pomembnih groženj, ranljivosti in nevarnosti, ki bi lahko privedle do izrednega dogodka, ter vrednotenja možnosti izgube sposobnosti opravljanja bistvene storitve ali motenj, ki jih ta izredni dogodek povzroči pri opravljanju bistvene storitve;

9.

odpornost kritičnega subjekta je sposobnost kritičnega subjekta, da prepreči izredni dogodek, se pred njim zavaruje, se nanj odzove, se mu zoperstavi, ga ublaži in absorbira, se nanj prilagodi ter po njem okreva;

10.

povečana ogroženost kritične infrastrukture je stanje, ki ga zazna pristojni državni organ in za katerega oceni, da bi lahko povzročil izredni dogodek;

11.

pristojni organi in organizacije na področju kritične infrastrukture so vlada, pristojni nacionalni organ, nosilci sektorjev, organi, ki sodelujejo z nosilci sektorjev pri opravljanju njihovih nalog na podlagi tega zakona (v nadaljnjem besedilu: sodelujoči organi), kritični subjekti, kritični subjekti posebnega evropskega pomena, koordinacijska skupina, Nacionalni center za krizno upravljanje (v nadaljnjem besedilu: NCKU) in inšpektorat, pristojen za obrambo;

12.

pristojni nacionalni organ na področju kritične infrastrukture je ministrstvo, pristojno za obrambo (v nadaljnjem besedilu: ministrstvo);

13.

sektorji kritične infrastrukture so posamezne vsebinsko zaokrožene celote delovanja kritičnih subjektov, ki opravljajo bistvene storitve;

14.

tveganje predstavlja možnost izgube ali motnje pri opravljanju bistvenih storitev zaradi izrednega dogodka in je izraženo kot kombinacija razsežnosti izgube ali motnje in verjetnosti, da bi do izrednega dogodka prišlo.

II. NACIONALNI OKVIR ZA ODPORNOST KRITIČNIH SUBJEKTOV

5. člen

(strategija za odpornost kritičnih subjektov)

(1)

Vlada sprejme strategijo za odpornost kritičnih subjektov (v nadaljnjem besedilu: strategija), s katero se določijo cilji, prioritete in ukrepi za doseganje in ohranjanje visoke ravni odpornosti kritičnih subjektov v vseh sektorjih kritične infrastrukture v skladu s sektorsko zakonodajo.

(2)

Strategija vsebuje vsaj naslednje elemente:

1.

strateške cilje in prednostne naloge za okrepitev odpornosti kritičnih subjektov ob upoštevanju čezmejne ter medsektorske odvisnosti in soodvisnosti;

2.

upravljanje za doseganje strateških ciljev in prednostnih nalog, vključno z navedbo nalog pristojnih organov in organizacij na področju kritične infrastrukture pri izvajanju strategije;

3.

ukrepe za odpornost kritičnih subjektov, vključno z opisom elementov nacionalne ocene tveganja za opravljanje bistvenih storitev;

4.

opis izvedbe postopka ugotavljanja kritičnih subjektov iz 7. in 8. člena tega zakona;

5.

postopek za podporo kritičnih subjektov, vključno z ukrepi za krepitev sodelovanja med subjekti javne uprave in zasebnimi subjekti;

6.

seznam drugih organov in organizacij, ki sodelujejo pri izvajanju strategije;

7.

usklajevanje med pristojnimi organi in organizacijami na področju kritične infrastrukture ter pristojnimi organi na podlagi zakona, ki ureja informacijsko varnost za izmenjavo informacij o tveganjih za kibernetsko varnost, o kibernetskih grožnjah in incidentih ter nekibernetskih tveganjih, grožnjah in izrednih dogodkih ter opravljanju nadzora;

8.

veljavne sprejete ukrepe malih in srednjih podjetij za lažje izvajanje obveznosti iz IV. poglavja tega zakona.

(3)

Nosilci sektorjev ministrstvu vsaka štiri leta oziroma na njegovo zahtevo posredujejo podatke za posodobitev strategije. Ob vsaki večji posodobitvi ministrstvo novo strategijo posreduje v vednost Evropski komisiji v treh mesecih od prejetja podatkov, ki mu jih posreduje nosilec sektorja.

6. člen

(nacionalna ocena tveganja za opravljanje bistvenih storitev)

(1)

Vlada določi bistvene storitve in sprejme nacionalno oceno tveganja za opravljanje bistvenih storitev (v nadaljnjem besedilu: nacionalna ocena tveganja).

(2)

Bistvene storitve se določijo v skladu z Delegirano uredbo Komisije (EU) 2023/2450 z dne 25. julija 2023 o dopolnitvi Direktive (EU) 2022/2557 Evropskega parlamenta in Sveta z določitvijo seznama bistvenih storitev (UL L št. 2023/2450 z dne 30. 10. 2023; v nadaljnjem besedilu: Delegirana uredba 2023/2450/EU).

(3)

V nacionalni oceni tveganja se upoštevajo tveganja za opravljanje bistvenih storitev, vključno s tveganji medsektorske in čezmejne narave.

(4)

Pri pripravi nacionalne ocene tveganja se upoštevajo tudi:

-

splošna ocena tveganja, opravljena na podlagi predpisa, ki ureja izvajanje Sklepa o mehanizmu Unije na področju civilne zaščite;

-

druge ocene tveganja, pripravljene v skladu z zahtevami sektorskih pravnih aktov Evropske unije, vključno z Uredbo (EU) 2017/1938 Evropskega parlamenta in Sveta z dne 25. oktobra 2017 o ukrepih za zagotavljanje zanesljivosti oskrbe s plinom in razveljavitvi Uredbe (EU) št. 994/2010 (UL L št. 280 z dne 28. 10. 2017, str. 1), zadnjič spremenjeno z Uredbo (EU) 2024/1789 Evropskega parlamenta in Sveta z dne 13. junija 2024 o notranjem trgu plina iz obnovljivih virov, zemeljskega plina in vodika, spremembi uredb (EU) št. 1227/2011, (EU) 2017/1938, (EU) 2019/942 in (EU) 2022/869 ter Sklepa (EU) 2017/684 in razveljavitvi Uredbe (ES) št. 715/2009 (prenovitev) (UL L št. 2024/1789 z dne 15. 7. 2024), Uredbo (EU) 2019/941 Evropskega parlamenta in Sveta z dne 5. junija 2019 o pripravljenosti na tveganja v sektorju električne energije in razveljavitvi Direktive 2005/89/ES (UL L št. 158 z dne 14. 6. 2019, str. 1), Direktivo 2007/60/ES Evropskega parlamenta in Sveta z dne 23. oktobra 2007 o oceni in obvladovanju poplavne ogroženosti (UL L št. 288 z dne 6. 11. 2007, str. 27) in Direktivo 2012/18/EU Evropskega parlamenta in Sveta z dne 4. julija 2012 o obvladovanju nevarnosti večjih nesreč, v katere so vključene nevarne snovi, ki spreminja in nato razveljavlja Direktivo Sveta 96/82/ES (UL L št. 197 z dne 24. 7. 2012, str. 1);

-

pomembna tveganja, ki izhajajo iz soodvisnosti sektorjev in odvisnosti sektorjev od drugih subjektov, ki so v državi, drugih državah članicah Evropske unije (v nadaljnjem besedilu: države članice EU) in tretjih državah;

-

vpliv, ki bi ga pomembna motnja v enem sektorju lahko imela v drugih sektorjih, vključno s pomembnimi tveganji za državljane in notranji trg;

-

informacije o izrednih dogodkih, priglašenih v skladu z 29. členom tega zakona.

(5)

Nosilci sektorjev kritičnim subjektom posredujejo potrebne informacije o nacionalni oceni tveganja, prepoznanih tveganjih in drugih bistvenih elementih, ki so jim v pomoč pri pripravi njihove ocene tveganja in sprejemanju ukrepov za odpornost.

(6)

Nosilci sektorjev ministrstvu vsaka štiri leta oziroma na njegovo zahtevo posredujejo podatke za posodobitev nacionalne ocene tveganja.

III. UGOTAVLJANJE IN DOLOČANJE KRITIČNIH SUBJEKTOV TER KRITIČNE INFRASTRUKTURE

7. člen

(sektorji kritične infrastrukture)

(1)

Sektorji kritične infrastrukture so sektorji energetike, prometa, bančništva, infrastrukture finančnega trga, zdravja, pitne vode, odpadne vode, digitalne infrastrukture, javne uprave, vesolja ter pridelave, predelave in distribucije živil.

(2)

Vlada določi podsektorje v skladu z Delegirano uredbo 2023/2450/EU in nosilce sektorjev iz prejšnjega odstavka ter sodelujoče organe.

8. člen

(kriteriji za ugotavljanje kritičnih subjektov)

(1)

Vlada določi kategorije subjektov, med katerimi nosilci sektorjev ugotavljajo kritične subjekte.

(2)

Nosilci sektorjev pri ugotavljanju kritičnih subjektov upoštevajo strategijo iz 5. člena tega zakona, rezultate nacionalne ocene tveganja in naslednje kriterije:

-

subjekt opravlja eno ali več bistvenih storitev;

-

subjekt deluje in njegova kritična infrastruktura je v Republiki Sloveniji;

-

izredni dogodek bi imel pomembne moteče učinke na opravljanje bistvene storitve subjekta ali od njih odvisnih bistvenih storitev v drugih sektorjih kritične infrastrukture.

(3)

Nosilci sektorjev pri določanju pomembnosti motečega učinka iz prejšnjega odstavka upoštevajo naslednje kriterije:

1.

število uporabnikov, ki so odvisni od bistvene storitve subjekta;

2.

stopnjo odvisnosti drugih sektorjev in podsektorjev od bistvene storitve subjekta;

3.

stopnjo in trajanje vpliva, ki bi ga izredni dogodek lahko imel na gospodarske in družbene dejavnosti, okolje, javno varnost in varovanje ali zdravje prebivalstva;

4.

tržni delež subjekta na trgu te bistvene storitve;

5.

geografsko razširjenost, kar zadeva območje, ki bi ga izredni dogodek lahko prizadel;

6.

pomen subjekta pri ohranjanju zadostne ravni bistvene storitve ob upoštevanju alternativnih načinov za opravljanje te bistvene storitve.

(4)

Mejne vrednosti, ki se uporabljajo za določitev enega ali več kriterijev iz prejšnjega odstavka, določi vlada.

9. člen

(določitev kritičnih subjektov)

(1)

Nosilci sektorjev pri pripravi predlogov za določitev kritičnih subjektov in njihove kritične infrastrukture upoštevajo kriterije iz drugega in tretjega odstavka prejšnjega člena. Ministrstvo predlog za določitev kritičnih subjektov in kritične infrastrukture posreduje vladi.

(2)

Kritične subjekte in njihovo kritično infrastrukturo določi vlada, o čemer ministrstvo obvesti kritične subjekte v enem mesecu od določitve.

(3)

Za kritične subjekte se IV. poglavje tega zakona začne uporabljati deset mesecev po njihovi določitvi.

(4)

Nosilci sektorjev bančništva, infrastrukture finančnega trga in digitalne infrastrukture v enem mesecu od njihove določitve obvestijo kritične subjekte v teh sektorjih, da nimajo obveznosti iz IV. poglavja tega zakona ter da se zanje ne uporablja IX. poglavje tega zakona.

(5)

Ministrstvo obvesti kritične subjekte o prenehanju statusa kritičnega subjekta in tem, da zanje od datuma tega uradnega obvestila ne veljajo več obveznosti iz IV. poglavja tega zakona.

(6)

Ministrstvo Evropski komisiji predloži:

-

seznam bistvenih storitev, če se ta spremeni, v enem mesecu od spremembe in vsaj na vsaka štiri leta;

-

število kritičnih subjektov, ugotovljenih za vsak sektor in podsektor kritične infrastrukture ter vsako bistveno storitev, ko jih vlada določi in vsaj na vsaka štiri leta;

-

mejne vrednosti kriterijev, ki se uporabljajo za določitev pomembnosti motečega učinka in se lahko predložijo kot take ali v zbirni obliki.

10. člen

(enotna kontaktna točka)

(1)

Ministrstvo je enotna kontaktna točka, ki ima povezovalno vlogo in zagotavlja sodelovanje med pristojnimi organi in organizacijami, čezmejno sodelovanje z enotnimi kontaktnimi točkami držav članic EU in Evropsko komisijo ter sodelovanje s tretjimi državami.