22. člen
(ukrepi za obvladovanje tveganj)
(1)
Bistveni in pomembni subjekti morajo sprejeti tehnične, operativne in organizacijske ukrepe za zagotavljanje celovitosti, avtentičnosti, zaupnosti in razpoložljivosti omrežnih in informacijskih sistemov oziroma za obvladovanje tveganj za varnost omrežnih in informacijskih sistemov, ki jih uporabljajo za svoje delovanje ali opravljanje storitev ter za preprečevanje ali zmanjšanje vpliva incidentov na prejemnike svojih storitev in druge storitve (v nadaljnjem besedilu: varnostni ukrepi).
(2)
Varnostni ukrepi morajo temeljiti na pristopu upoštevanja vseh nevarnosti, katerega namen je zaščita omrežnih in informacijskih sistemov ter njihovega fizičnega okolja pred incidenti, in morajo obsegati najmanj:
(3)
Varnostni ukrepi iz prejšnjega odstavka morajo ob upoštevanju najsodobnejših in ustreznih evropskih in mednarodnih standardov ter stroškov izvajanja zagotavljati raven varnosti omrežnih in informacijskih sistemov, ki ustreza obstoječim ali prepoznanim tveganjem. Pri ocenjevanju sorazmernosti varnostnih ukrepov bistveni in pomembni subjekti ustrezno upoštevajo:
(4)
Bistveni in pomembni subjekti morajo pri presoji in izvedbi ustreznih varnostnih ukrepov za varnost dobavne verige upoštevati ranljivosti, ki so specifične za posameznega neposrednega dobavitelja in ponudnika storitev, ter splošno kakovost proizvodov in praks svojih dobaviteljev in ponudnikov storitev na področju kibernetske varnosti, vključno z njihovimi varnimi razvojnimi postopki. Ugotavljati morajo, kateri varnostni ukrepi so ustrezni in primerni za zagotovitev varnosti dobavne verige, poleg tega lahko preverjajo njihovo izvajanje pri dobaviteljih in ponudnikih storitev. Pri tem upoštevajo rezultate morebitnih usklajenih ocen tveganja za kritične dobavne verige, ki jih Skupina za sodelovanje pripravi v sodelovanju z Evropsko komisijo in agencijo ENISA v skladu s prvim odstavkom 22. člena Direktive 2022/2555/EU.
(5)
Bistveni ali pomembni subjekti morajo najmanj enkrat letno ali v rednih obdobjih, ki jih opredelijo v politiki in postopkih za presojo učinkovitosti ukrepov za obvladovanje tveganj za kibernetsko varnost, in ob zaznanih ranljivostih preverjati izpolnjevanje varnostnih ukrepov iz drugega odstavka tega člena. V primeru ugotovljenega pomanjkljivega ali neustreznega izvajanja varnostnih ukrepov morajo nemudoma sprejeti vse potrebne, ustrezne in sorazmerne popravne ukrepe.
(6)
Ponudniki storitev DNS, registri TLD imen, ponudniki storitev računalništva v oblaku, ponudniki storitev podatkovnih centrov, ponudniki omrežij za dostavo vsebine, ponudniki upravljanih storitev, ponudniki upravljanih varnostnih storitev, ponudniki spletnih tržnic, spletnih iskalnikov in platform za storitve družbenega mreženja in ponudniki storitev zaupanja pri sprejetju varnostnih ukrepov iz drugega odstavka tega člena upoštevajo izvedbene akte Evropske komisije iz prvega pododstavka petega odstavka 21. člena Direktive 2022/2555/EU.
(7)
Bistveni in pomembni subjekti, ki niso navedeni v prejšnjem odstavku, pri sprejetju varnostnih ukrepov iz drugega odstavka tega člena upoštevajo izvedbene akte Evropske komisije, s katerimi ta določi tehnične, metodološke in sektorske zahteve za varnostne ukrepe iz drugega pododstavka petega odstavka 21. člena Direktive 2022/2555/EU.
(8)
Bistveni in pomembni subjekti ne smejo uporabljati informacijsko-komunikacijskih rešitev, v katerih so zaznane aktivno izkoriščane ranljivosti brez dodatne izvedbe ocene tveganja in uvedenih ustreznih dodatnih varnostnih ukrepov, ki znižajo stopnjo tveganja na sprejemljivo raven.
(9)
Če bistveni ali pomembni subjekti za opravljanje svoje dejavnosti črpajo vhodne podatke in informacije iz ključnih delov nacionalnovarnostnega sistema, vzpostavijo vse potrebne varnostne zahteve ob soglasju pristojnega ministrstva ali vladne službe, pristojne za posamezni ključni del nacionalnovarnostnega sistema.
(10)
Upravljavec centralnega državnega informacijsko-komunikacijskega sistema mora povezanim subjektom določiti minimalne varnostne zahteve informacijske in kibernetske varnosti. Za pravočasno odzivanje na kibernetske grožnje in preprečevanje škodljivih posledic morebitnega težjega ali kritičnega incidenta ter za izvajanje kibernetske obrambe je upravljavec centralnega državnega informacijsko-komunikacijskega sistema pooblaščen, da izvede ustrezne, nujne in sorazmerne ukrepe za zaščito centralnega državnega informacijsko-komunikacijskega sistema. Ukrepi vključujejo tudi začasni odklop posameznega povezanega subjekta iz centralnega državnega informacijsko-komunikacijskega sistema, dokler ugotovljena tveganja niso odpravljena.
(11)
Bistveni subjekt iz četrtega odstavka prejšnjega člena sprejme ukrepe iz 1. do 4. točke drugega odstavka tega člena. Preostale ukrepe iz drugega odstavka tega člena pa sprejme le za morebitne informacijsko-komunikacijske sisteme, ki jih upravlja. Pri tem mora upoštevati tudi minimalne varnostne zahteve za povezane subjekte upravljavca centralnega državnega informacijsko-komunikacijskega sistema iz prejšnjega odstavka.
(12)
Bistveni subjekti, ki so na podlagi zakona, ki ureja kritično infrastrukturo, določeni kot kritični subjekti in spadajo med vrste subjektov iz sektorja 8. Digitalna infrastruktura iz Priloge 1 tega zakona, se za zagotovitev varnostnih ukrepov varovanja iz 11. točke drugega odstavka tega člena na predlog nosilca sektorja kritične infrastrukture za digitalno infrastrukturo v skladu s predpisi, ki urejajo zasebno varovanje, določijo za zavezance obveznega organiziranja varovanja, ki morajo kritično infrastrukturo varovati v skladu z navedenimi predpisi.
(13)
Varnostni ukrepi iz drugega odstavka tega člena morajo biti: