• PREDPIS
  • RAZVELJAVLJEN

Splošni akt o varnosti omrežij, storitev in podatkov

OBJAVLJENO V: Uradni list RS 106-2991/2023, stran 8971 DATUM OBJAVE: 13.10.2023

VELJAVNOST: od 12.11.2023 do 18.6.2025 / UPORABA: od 12.11.2023 do 18.6.2025

RS 106-2991/2023

Verzija 2 / 2

Čistopis se uporablja od 19.6.2025 do nadaljnjega. Status čistopisa na današnji dan, 14.2.2026: NEAKTUALEN.

Časovnica

Na današnji dan, 14.2.2026 je:

  • ČISTOPIS
  • NEAKTUALEN
  • UPORABA ČISTOPISA
  • OD 19.6.2025
    DO nadaljnjega
Format datuma: dan pika mesec pika leto, na primer 20.10.2025
  •  
  • Vplivi
  • Čistopisi
rev
fwd
2991. Splošni akt o varnosti omrežij, storitev in podatkov
Na podlagi sedmega odstavka 115. člena Zakona o elektronskih komunikacijah (Uradni list RS, št. 130/22 in 18/23 – ZDU-1O) izdaja Agencija za komunikacijska omrežja in storitve Republike Slovenije
S P L O Š N I  A K T 
o varnosti omrežij, storitev in podatkov 

I. SPLOŠNI DOLOČBI

1. člen

(vsebina splošnega akta)
Ta splošni akt določa tehnične usmeritve, ki jih upoštevajo operaterji pri oceni tveganj, vsebino varnostne politike ter tehnične in organizacijske ukrepe, ki jih upoštevajo operaterji z namenom zmanjšanja tveganj za varnost omrežij, informacijskih sistemov in podatkov ter usmeritve glede načrtovanja in zagotavljanja neprekinjenega poslovanja.

2. člen

(pomen izrazov)

(1)

Izrazi, uporabljeni v tem splošnem aktu, pomenijo:

1.

Avtentičnost je pristna in nepotvorjena lastnost omrežja, informacijskih sistemov, shranjenih, obdelanih ali prenesenih podatkov.

2.

Celovitost omrežja je zmožnost sistema, da zagotovi določene lastnosti v okviru vnaprej opredeljenih zmogljivosti in funkcionalnosti z namenom, da se zagotovi neprekinjeno delovanje oziroma razpoložljivost.

3.

Grožnja je potencialna nevarnost ozirom možen vzrok za varnostni incident, ki bi lahko ob primernih okoliščinah povzročila škodo organizaciji oziroma negativno vplivala na zaupnost, celovitost in razpoložljivost sredstva.

4.

Kibernetska grožnja je grožnja skladno z zakonom, ki ureja informacijsko varnost.

5.

Ključna sredstva vključujejo elemente in funkcije omrežnih storitev in podporne informacijske sisteme v fizični, programski ali kakršni koli virtualizirani obliki pri operaterju ali pri ponudniku storitev v oblaku, katerih odpoved ali zloraba bi imela velik vpliv v smislu velikega števila prizadetih uporabnikov, daljšega izpada storitev, izgube zaupnosti, razpoložljivosti ali celovitosti omrežja.

6.

Kritični subjekti so upravljavci kritične infrastrukture skladno z zakonom, ki ureja kritično infrastrukturo, izvajalci bistvenih storitev, organi državne uprave in ostali zavezanci na podlagi zakona, ki ureja informacijsko varnost in nosilci ključnih delov sistema varnosti države.

7.

Ranljivost je obstoj šibkosti arhitekture ali posamezne opreme, procesov, posledica napak v implementaciji ali upravljanju, odsotnosti notranjih kontrol, ki lahko vodi v nepričakovane neželene dogodke, ki lahko ogrozijo varnost omrežij, informacijskih sistemov in storitev.

8.

Razpoložljivost pomeni pravočasen in zanesljiv dostop do sredstev, omrežij, storitev, podatkov ali informacij na zahtevo pooblaščenega uporabnika.

9.

Sredstvo je vse kar ima določeno vrednost za organizacijo, predvsem pa vključuje strojno in programsko opremo, podatke, omrežno infrastrukturo in ljudi.

10.

Tveganje je potencial oziroma verjetnost, da bo dana grožnja izkoristila ranljivost sredstva ali skupine sredstev in tako povzročila organizaciji škodo oziroma negativno vplivala na zaupnost, celovitost in razpoložljivost sredstev ali skupne sredstev.

11.

Zaupnost je lastnost shranjenih, prenesenih ali obdelanih podatkov in povezanih storitev, ki zagotavlja, da informacija ni na voljo ali razkrita nepooblaščenim osebam ali procesom.

(2)

Preostali izrazi, uporabljeni v tem splošnem aktu, imajo enak pomen kot je določen v Zakonu o elektronskih komunikacijah (Uradni list RS, št. 130/22 in 18/23 – ZDU-1O; v nadaljnjem besedilu: zakon).

II. SISTEM UPRAVLJANJA VAROVANJA INFORMACIJ IN NEPREKINJENEGA POSLOVANJA

3. člen

(varnostna politika)

(1)

Operater vzpostavi varnostno politiko, ki vsebuje informacijsko varnostno politiko in politiko neprekinjenega poslovanja (v nadaljnjem besedilu varnostna politika), ki obsega najmanj:

1.

določitev obsega sistema upravljanja varovanja informacij (v nadaljnjem besedilu: SUVI) in obsega sistema upravljanja neprekinjenega poslovanja (v nadaljnjem besedilu: SUNP),

2.

zahteve iz zakona in tega splošnega akta,

3.

navedbo tveganj, nevarnosti in groženj, ki bi lahko ogrozile izvajanje elektronskih komunikacij,

4.

navedbo organizacijskih vlog, odgovornosti in pooblastil zaposlenih za izvajanje ukrepov informacijske varnosti,

5.

upravljanje in varovanje informacij, informacijskih sistemov, omrežij ter storitev tako s strani zaposlenih kot tudi pogodbenih partnerjev.

(2)

Informacijsko varnostno politiko in ukrepe za obvladovanje tveganj sprejme vodstvo. Operater mora varnostno politiko in ukrepe za obvladovanje tveganj sporočiti zaposlenim ter relevantnim pogodbenim partnerjem.

(3)

Poslovodstvo operaterja izkazuje zavezanost in podporo k upravljanju in nenehnemu izboljševanju informacijske varnosti ter izpolnjevanju veljavnih zahtev v zvezi z informacijsko varnostjo.

(4)

Varnostna politika operaterja sledi bistvenim načelom, kot jih določajo relevantni standardi in dobre prakse s področja upravljanja in varovanja informacij ter neprekinjenega poslovanja.

4. člen

(upravljanje s tveganji)

(1)

Operater z uporabo dobrih industrijskih praks, priporočil Agencije Evropske unije za varnost omrežij in informacij (v nadaljnjem besedilu: ENISA) in mednarodnih standardov s področja informacijske varnosti, s tehničinimi sredstvi in z informacijami iz dostopnih virov vseskozi prepoznava, obravnava, ocenjuje in vrednoti potencialne grožnje, vključno s kibernetskimi in ranljivosti sredstev, informacijskih sistemov in programske opreme.

(2)

V okviru upravljanja s tveganji operater prepozna, opredeli in dokumentira:

1.

vsa sredstva, poslovne procese in funkcije, ki so pomembne za delovanje javnih komunikacijskih storitev operaterja,

2.

informacije in podatke, ki omogočajo ključne poslovne procese in aktivnosti operaterja,

3.

verjetnost nastanka posamezne grožnje in vse potencialne negativne posledice v primeru izrabe grožnje, ki bi lahko vplivale na varnost omrežij in informacijskih sistemov, poslovanje operaterja in njegove storitve.

(3)

Na podlagi prepoznanih sredstev, poslovnih procesov, informacij in podatkov iz prejšnjega odstavka operater izvede analizo obvladovanja tveganj in na njeni podlagi izvede oceno sprejemljive ravni tveganj ter uvede ustrezne ukrepe za preprečitev ali omilitev neželenih učinkov in zagotovi nenehno izboljševanje teh ukrepov.

(4)

Upravljanje tveganj je sestavni del informacijske varnostne politike in se upošteva tako pri implementaciji SUVI kot tudi pri tekočem poslovanju.

5. člen

(minimalni obseg varnostnih ukrepov)

(1)

Operater na podlagi izvedene analize znanih in zaznanih tveganj z namenom zagotavljanja visoke ravni varnosti omrežij, informacijskih sistemov in storitev ter zmanjšanja vpliva varnostnih incidentov, sprejme ustrezne varnostne ukrepe.

(2)

Varnostni ukrepi iz prejšnjega odstavka morajo biti dokumentirani, pri čemer morajo biti upoštevani vsi vidiki informacijske varnosti, vključno s fizično varnostjo omrežij in informacijskih sistemov.

(3)

Pri določanju ciljev varnostne politike in pri sprejemanju varnostnih ukrepov operater v največji meri upošteva vsakokrat veljavne smernice ENISA (npr. angl. »Guideline on Security Measures under the EECC«) ter priporočila Skupine za sodelovanje glede varnosti omrežij in informacij (v nadaljnjem besedilu: Skupina NIS).