24. člen
(dnevniški zapisi)
(1)
Bistveni in pomembni subjekti določijo postopke in ustrezna orodja za spremljanje in beleženje dogodkov v svojih omrežjih in informacijskih sistemih oziroma zagotovijo zbiranje in ohranjanje dnevniških zapisov, da bi zaznali ali odkrili dogodke, ki bi se lahko šteli za incidente ali skorajšnje incidente, in se ustrezno odzvali za ublažitev njihovega negativnega učinka. Dnevniški zapisi morajo biti zbrani in ohranjeni v obsegu in na način, ki omogoča rekonstrukcijo in analizo incidentov ali skorajšnjih incidentov.
(2)
Dnevniški zapisi iz prejšnjega odstavka obsegajo vsaj:
(3)
Dnevniški zapisi iz prejšnjega odstavka morajo biti hranjeni na način, ki zagotavlja njihovo avtentičnost, celovitost, razpoložljivost in zaupnost. Bistveni in pomembni subjekti zagotovijo, da imajo vsi sistemi sinhronizirane časovne vire, da se za presojo dogodkov lahko izvede korelacija dnevniških zapisov med sistemi.
(4)
Bistveni in pomembni subjekti zagotavljajo ohranjanje dnevniških zapisov iz prvega odstavka tega člena za najmanj šest mesecev, lahko pa tudi za daljše obdobje, kadar iz analize obvladovanja tveganj in ocene sprejemljive ravni tveganj izhaja, da bi bilo tveganja ustrezno obvladovati z daljšo hrambo dnevniških zapisov.
(5)
Ohranjanje dnevniških zapisov bistvenih subjektov, ki so na podlagi zakona, ki ureja kritično infrastrukturo, določeni kot kritični subjekti, se zagotavlja na ozemlju Republike Slovenije, druga kopija pa se lahko zagotavlja na ozemlju države članice EU.
(6)
Ne glede na prejšnji odstavek lahko subjekti s področja sektorjev digitalne infrastrukture, bančništva in infrastrukture finančnega trga zagotovijo ohranjanje dnevniških zapisov v celoti na ozemlju države članice EU, ob upoštevanju predpisov s področja varstva osebnih podatkov ter na podlagi ocene tveganj opredeljenih in uvedenih sorazmernih varnostnih kontrol pa tudi zunaj ozemlja držav članic EU.
(7)
Ne glede na peti odstavek tega člena se dnevniški zapisi ključnih delov nacionalnega varnostnega sistema hranijo le na ozemlju Republike Slovenije.
(8)
Ne glede na prejšnji odstavek lahko ministrstvo, pristojno za zunanje zadeve, hranjenje dnevniških zapisov zagotavlja tudi na diplomatskih predstavništvih in konzulatih Republike Slovenije v tujini.
(9)
Ne glede na drugi odstavek tega člena bistveni in pomembni subjekti, ki so ponudniki storitev DNS, registri TLD imen, ponudniki storitev računalništva v oblaku, ponudniki storitev podatkovnih centrov, ponudniki omrežij za dostavo vsebine, ponudniki upravljanih storitev, ponudniki upravljanih varnostnih storitev, ponudniki spletnih tržnic, spletnih iskalnikov in platform za storitve družbenega mreženja in ponudniki storitev zaupanja, glede obsega dnevniških zapisov upoštevajo določbe o spremljanju in vodenju dnevnikov iz izvedbenega akta Evropske komisije iz prvega pododstavka petega odstavka 21. člena Direktive 2022/2555/EU.