12. člen
(varnostna dokumentacija in varnostni ukrepi)
(1)
Izvajalci bistvenih storitev za zagotavljanje informacijske varnosti ter visoke ravni varnosti omrežij in informacijskih sistemov vzpostavijo in vzdržujejo dokumentiran sistem upravljanja varovanja informacij ter sistem upravljanja neprekinjenega poslovanja, ki mora obsegati najmanj:
(2)
Izvajalci bistvenih storitev na podlagi varnostne dokumentacije iz prejšnjega odstavka pripravijo in izvajajo potrebne varnostne ukrepe, ki se delijo na organizacijske, logično-tehnične in tehnične ukrepe.
(3)
Vlada podrobneje določi vsebino in strukturo varnostne dokumentacije iz prvega odstavka tega člena ter minimalen obseg in vsebino varnostnih ukrepov iz prejšnjega odstavka. Pri tem predpiše tudi metodologiji za pripravo analize obvladovanja tveganj ter za določitev ključnih, krmilnih in nadzornih informacijskih sistemov in delov omrežja ter pripadajočih podatkov iz 2. in 3. točke prvega odstavka tega člena.
(4)
Če ima izvajalec bistvenih storitev za zagotavljanje varnosti svojih omrežij in informacijskih sistemov že izdelano varnostno dokumentacijo na podlagi drugih predpisov, jo dopolni skladno s tem zakonom.
(5)
Izvajalci bistvenih storitev za namen obvladovanja in preprečevanja incidentov, skladno z analizo obvladovanja tveganj z oceno sprejemljive ravni tveganj in ob upoštevanju stanja tehnike zagotovijo tudi ohranjanje dnevniških zapisov o delovanju svojih ključnih, krmilnih ali nadzornih informacijskih sistemov ali delov omrežja, za obdobje šestih mesecev, lahko pa tudi za daljše obdobje, kadar iz analize obvladovanja tveganj in ocene sprejemljive ravni tveganj izhaja, da bi bilo tveganja ustrezno obvladovati z daljšo hrambo dnevniških zapisov. Ohranjanje dnevniških zapisov se zagotavlja na ozemlju Republike Slovenije, razen za področja digitalne infrastrukture, bančništva in infrastrukture finančnega trga, glede katerih se lahko zagotavlja na ozemlju EU.
(6)
Dnevniški zapisi o delovanju ključnih, krmilnih ali nadzornih informacijskih sistemov ali delov omrežja iz prejšnjega odstavka morajo biti hranjeni na način, ki zagotavlja njihovo avtentičnost, celovitost in razpoložljivost v primeru incidentov.