37. člen
(ocena ogroženosti)
(1)
Pristojni nacionalni organ izdela na podlagi podatkov in informacij, ki se nanašajo na varnost omrežij in informacijskih sistemov, oceno ogroženosti kibernetske varnosti v Republiki Sloveniji (v nadaljnjem besedilu: ocena ogroženosti). Za izdelavo ocene ogroženosti od organov, ki spadajo med ključne dele nacionalnega varnostnega sistema, na podlagi zaprosila pridobi tudi druge podatke, ki bi lahko vplivali na to oceno ogroženosti, in sicer v obsegu, kot je to nujno potrebno za izdelavo ocene ogroženosti. Pristojni nacionalni organ oceno ogroženosti preverja in po potrebi posodablja mesečno ali ob nenadni spremembi varnostnih razmer tudi prej. Pri tem ogroženost vrednoti kot:
(2)
Ne glede na oceno ogroženosti iz prejšnjega odstavka zavezanci izvajajo najmanj ukrepe iz 21. in 22. člena tega zakona.
(3)
Če je ocena ogroženosti ovrednotena kot srednja, pristojni nacionalni organ o tem obvesti zavezance, pri tem jim lahko priporoči izvedbo dodatnih ukrepov za varnost omrežij ali informacijskih sistemov. Pristojni nacionalni organ lahko o tem obvesti tudi splošno javnost na svojem spletnem mestu in v sredstvih javnega obveščanja ter lahko hkrati priporoči tudi ustrezne ukrepe.
(4)
Kadar je ocena ogroženosti ovrednotena kot kritična, pristojni nacionalni organ o tem nemudoma obvesti vlado, SNAV in osrednji organ za odzivanje na hibridne grožnje, lahko pa jih glede na presojo relevantnih okoliščin in informacij obvesti tudi, kadar je ogroženost ovrednotena kot visoka. O oceni ogroženosti visoka ali kritična pristojni nacionalni organ obvesti zavezance, lahko pa obvesti tudi splošno javnost na svojem spletnem mestu in v sredstvih javnega obveščanja ter lahko hkrati priporoči tudi ustrezne ukrepe. Pristojni nacionalni organ o preklicu ali spremembi ocene ogroženosti kritična ali visoka obvesti predhodno obveščene deležnike iz tega odstavka.
(5)
V primerih ocene visoke ogroženosti morajo zavezanci nemudoma začeti izvajati vsaj naslednje dodatne varnostne ukrepe in jih izvajajo do preklica takšne ogroženosti:
(6)
V primerih ocene kritične ogroženosti morajo zavezanci poleg ukrepov iz prejšnjega odstavka nemudoma začeti izvajati tudi naslednje dodatne varnostne ukrepe in jih izvajajo do preklica takšne ogroženosti:
(7)
Ne glede na peti in šesti odstavek tega člena lahko pristojni nacionalni organ zavezancu s pisno odločbo določi takšne primerne in sorazmerne ukrepe, kot je to nujno potrebno za zmanjšanje ogroženosti. V nujnih primerih, ko bi lahko izdaja pisne odločbe zaradi poteka časa negativno vplivala na učinkovitost ukrepov za zmanjšanje ogroženosti, lahko pristojni nacionalni organ zavezancu določi zadevne ukrepe tudi z ustno odločbo. V tem primeru se zavezancu pisni odpravek ustne odločbe vroči najpozneje v 48 urah po ustni odločbi.
(8)
Ukrepi, izdani na podlagi prejšnjega odstavka, se določijo v takšnem obsegu in za toliko časa, kot je to nujno potrebno za dosego namena iz prejšnjega odstavka. Zoper odločbo iz prejšnjega odstavka ni dovoljena pritožba, dovoljen pa je upravni spor.
(9)
Pristojni nacionalni organ lahko za nižanje ocene visoke ali kritične ogroženosti ter posledično zaradi preprečitve nastanka krize ali njenega obvladovanja izda pisno odredbo, s katero odredi izvedbo nujnih ukrepov pri zavezancih, varnostno-operativnih centrih organov državne uprave ali pri skupinah CSIRT. V odredbi se navedejo zlasti vrsta in obseg del, ki jih je treba opraviti pri prej navedenih subjektih, ter rok za njihovo izvedbo. Če bi lahko izdaja pisne odredbe zaradi poteka časa negativno vplivala na učinkovitost ukrepov za nižanje zadevne ocene ogroženosti, lahko pristojni nacionalni organ o tem odloči tudi z ustno odredbo. V tem primeru se zavezancu pisni odpravek ustne odredbe vroči najpozneje v 48 urah po ustni odredbi.
(10)
Pristojni nacionalni organ o ukrepih iz sedmega in devetega odstavka tega člena obvesti vlado in SNAV ter osrednji organ za odzivanje na hibridne grožnje.