Nalaganje dokumenta...
Zakon o spremembah in dopolnitvah Zakona o informacijski varnosti (ZInfV-B)
OBJAVLJENO V: Uradni list RS 49-1519/2023, stran 4168 DATUM OBJAVE: 28.4.2023
RS 49-1519/2023
1519. Zakon o spremembah in dopolnitvah Zakona o informacijski varnosti (ZInfV-B)
Na podlagi druge alinee prvega odstavka 107. člena in prvega odstavka 91. člena Ustave Republike Slovenije izdajam
U K A Z
o razglasitvi Zakona o spremembah in dopolnitvah Zakona o informacijski varnosti (ZInfV-B)
o razglasitvi Zakona o spremembah in dopolnitvah Zakona o informacijski varnosti (ZInfV-B)
Razglašam Zakon o spremembah in dopolnitvah Zakona o informacijski varnosti (ZInfV-B), ki ga je sprejel Državni zbor Republike Slovenije na seji dne 18. aprila 2023.
Št. 003-02-3/2022-100
Ljubljana, dne 26. aprila 2023
Nataša Pirc Musar predsednica Republike Slovenije
Z A K O N
O SPREMEMBAH IN DOPOLNITVAH ZAKONA O INFORMACIJSKI VARNOSTI (ZInfV-B)
O SPREMEMBAH IN DOPOLNITVAH ZAKONA O INFORMACIJSKI VARNOSTI (ZInfV-B)
1. člen
V Zakonu o informacijski varnosti (Uradni list RS, št. 30/18, 95/21, 130/22 – ZEKom-2 in 18/23 – ZDU-1O) se v 5. členu v prvem odstavku:
-
v drugi alineji beseda »in« nadomesti z vejico,
-
v tretji alineji pika nadomesti z vejico in besedo »in«,
-
za tretjo alinejo doda nova četrta alineja, ki se glasi:
»-
državni organi, organi lokalnih skupnosti, javne agencije in nosilci javnih pooblastil ter drugi subjekti, ki niso organi državne uprave iz prejšnje alineje ali izvajalci bistvenih storitev iz prve alineje tega odstavka in se povezujejo s centralnim državnim informacijsko-komunikacijskim omrežjem oziroma sistemom (v nadaljnjem besedilu: povezani subjekti).«.
2. člen
V 12. členu se v petem odstavku:
-
za besedilom »namen obvladovanja« doda besedilo »in preprečevanja«,
-
za besedilom »za obdobje šestih mesecev« dodata vejica in besedilo »lahko pa tudi za daljše obdobje, kadar iz analize obvladovanja tveganj in ocene sprejemljive ravni tveganj izhaja, da bi bilo tveganja ustrezno obvladovati z daljšo hrambo dnevniških zapisov«.
Za petim odstavkom se doda nov šesti odstavek, ki se glasi:
»(6)
Dnevniški zapisi o delovanju ključnih, krmilnih ali nadzornih informacijskih sistemov ali delov omrežja iz prejšnjega odstavka morajo biti hranjeni na način, ki zagotavlja njihovo avtentičnost, celovitost in razpoložljivost v primeru incidentov.«.
3. člen
V 17. členu se v petem odstavku za besedilom »namen obvladovanja« doda besedilo »in preprečevanja«, za besedilom »za obdobje šestih mesecev« pa se dodata vejica in besedilo »lahko pa tudi za daljše obdobje, kadar iz analize obvladovanja tveganj in ocene sprejemljive ravni tveganj izhaja, da bi bilo tveganja ustrezno obvladovati z daljšo hrambo dnevniških zapisov«.
Za petim odstavkom se doda nov šesti odstavek, ki se glasi:
»(6)
Dnevniški zapisi iz prejšnjega odstavka morajo biti hranjeni na način, ki zagotavlja njihovo avtentičnost, celovitost in razpoložljivost v primeru incidentov.«.
4. člen
Za 18. členom se dodata novo V.a poglavje in nov 18.a člen, ki se glasita:
»V.a Informacijska varnost povezanih subjektov
18.a člen
(obveznosti povezanih subjektov)
(1)
Povezani subjekti so zavezani za izpolnjevanje obveznosti po tem zakonu, in sicer za:
-
določitev kontaktne osebe za informacijsko varnost in njenega namestnika ter za posredovanje njunih kontaktnih podatkov pristojnemu nacionalnemu organu in vsakokratnih sprememb teh podatkov v 15 delovnih dneh od njihovega nastanka,
-
pripravo analize obvladovanja tveganj informacijske varnosti z oceno sprejemljive ravni tveganj,
-
sprejetje in izvajanje minimalnega obsega varnostnih ukrepov za zagotavljanje celovitosti, zaupnosti in razpoložljivosti omrežja in informacijskih sistemov, ki upoštevajo posebne potrebe delovnega področja povezanega subjekta, ter
-
pripravo navodil in postopkov za obvladovanje incidentov informacijske varnosti s protokolom obveščanja CSIRT organov državne uprave, ki mu priglašajo incidente z možnim vplivom na centralno državno informacijsko-komunikacijsko omrežje oziroma sistem (v nadaljnjem besedilu: centralni informacijsko-komunikacijski sistem).
(2)
Vlada podrobneje določi način izvajanja obveznosti iz prejšnjega odstavka in minimalni obseg varnostnih ukrepov povezanih subjektov glede informacijske varnosti ter metodologijo za pripravo analize obvladovanja tveganj iz druge alineje prejšnjega odstavka.
(3)
V zvezi s priglasitvijo incidentov povezanih subjektov CSIRT organov državne uprave se smiselno uporabljajo tretji, četrti, peti in šesti odstavek 18. člena tega zakona.
(4)
Centralni informacijsko-komunikacijski sistem je osrednji državni informacijsko-komunikacijski sistem v upravljanju ministrstva, pristojnega za upravljanje informacijsko-komunikacijskih sistemov, namenjen povezovanju lokalnih omrežij organov državne uprave in drugih subjektov za namene izvrševanja njihovih zakonskih obveznosti ter dostopu do skupnih informacijskih rešitev in informacijsko-komunikacijske infrastrukture preko centraliziranega upravljanja in nadzora. Centralni informacijsko-komunikacijski sistem uporabnikom zagotavlja tudi varen dostop do interneta.«.