14. člen
(varnostne zahteve in priglasitev incidentov)
(1)
Ponudniki digitalnih storitev določijo in sprejmejo primerne in sorazmerne tehnične in organizacijske ukrepe za obvladovanje tveganj za varnost omrežij in informacijskih sistemov, ki jih uporabljajo pri zagotavljanju teh storitev v EU. Ob upoštevanju stanja tehnike s temi ukrepi zagotovijo raven varnosti omrežij in informacijskih sistemov, ki je primerna obstoječemu tveganju. Pri tem upoštevajo naslednje elemente:
(2)
Ponudniki digitalnih storitev sprejmejo ustrezne ukrepe za preprečitev in zmanjšanje vpliva incidentov, ki ogrožajo varnost njihovih omrežij in informacijskih sistemov, na ponujane storitve, ki jih zagotavljajo v EU, da bi zagotovili neprekinjeno izvajanje teh storitev.
(3)
Ponudniki digitalnih storitev vsak incident, ki ima pomemben vpliv na zagotavljanje teh storitev, ki jih ponujajo v EU, brez nepotrebnega odlašanja priglasijo nacionalnemu CSIRT. Priglasitev zajema informacije, na podlagi katerih lahko nacionalni CSIRT določi pomembnost morebitnega čezmejnega vpliva. Obveznost priglasitve incidenta velja le, kadar ima ponudnik digitalnih storitev dostop do informacij, potrebnih za oceno vpliva incidenta glede na parametre iz petega odstavka tega člena.
(4)
Nacionalni CSIRT o incidentu obvesti pristojni nacionalni organ, ki vodi seznam incidentov iz tretjega odstavka 25. člena tega zakona. Pristojni nacionalni organ o incidentu, ki bi lahko imel večji medpodročni vpliv oziroma bi lahko ob daljšem trajanju povzročil slabšanje stabilnosti nacionalne varnosti Republike Slovenije, nemudoma obvesti policijo ter Nacionalni center za krizno upravljanje.
(5)
Pri določitvi stopnje vpliva incidenta se upoštevajo zlasti naslednji parametri:
(6)
Kadar je izvajalec bistvenih storitev pri zagotavljanju storitve, ki je bistvena za ohranitev ključnih družbenih in gospodarskih dejavnosti, odvisen od tretjega ponudnika digitalnih storitev, ta izvajalec bistvenih storitev priglasi vsak znaten vpliv na neprekinjeno izvajanje bistvenih storitev, ki je posledica incidenta, ki vpliva na ponudnika digitalnih storitev.
(7)
Pristojni nacionalni organ obvesti druge prizadete države članice EU, če incident zadeva dve ali več držav članic EU ali v drugih primerih, če oceni, da bi obvestilo drugih držav članic EU prispevalo k izboljšanju ravni varnosti omrežij in informacijskih sistemov.
(8)
Posredovanje informacij in podatkov iz prejšnjega odstavka, ki so zaupni, je omejeno na obseg, ki je ustrezen in sorazmeren glede na namen te izmenjave.
(9)
Pri izvajanju obveznosti priglasitve mora nacionalni CSIRT paziti, da informacije o ranljivosti digitalne storitve ostanejo zaupne, dokler se varnost znova ne vzpostavi.
(10)
Pristojni nacionalni organ lahko po posvetovanju z zadevnim ponudnikom digitalnih storitev obvesti javnost o posameznih incidentih ali zahteva, da to stori ponudnik digitalnih storitev, kadar je ozaveščenost javnosti potrebna za preprečitev incidenta ali obravnavo incidenta, ki že poteka, ali kadar je razkritje incidenta kako drugače v javnem interesu.
(11)
Kadar javnost na podlagi prejšnjega odstavka obvešča pristojni nacionalni organ upošteva ravnotežje med interesom javnosti, da je obveščena o nevarnostih, na eni strani, ter morebitno škodo za ugled in poslovanje ponudnikov digitalnih storitev, ki priglasijo incidente, na drugi strani.