5. člen
(minimalni obseg varnostnih ukrepov)
(1)
Operater na podlagi izvedene analize znanih in zaznanih tveganj z namenom zagotavljanja visoke ravni varnosti omrežij, informacijskih sistemov in storitev ter zmanjšanja vpliva varnostnih incidentov, sprejme ustrezne varnostne ukrepe.
(2)
Varnostni ukrepi iz prejšnjega odstavka morajo biti dokumentirani, pri čemer morajo biti upoštevani vsi vidiki informacijske varnosti, vključno s fizično varnostjo omrežij in informacijskih sistemov.
(3)
Pri določanju ciljev varnostne politike in pri sprejemanju varnostnih ukrepov operater v največji meri upošteva vsakokrat veljavne smernice ENISA (npr. angl. »Guideline on Security Measures under the EECC«) ter priporočila Skupine za sodelovanje glede varnosti omrežij in informacij (v nadaljnjem besedilu: Skupina NIS).
(4)
Operater na podlagi analize tveganj vseskozi posodablja varnostne ukrepe, kadar nastanejo bistvene spremembe v okviru SUVI ali po težjem ali kritičnem incidentu, vendar najmanj enkrat letno.