V javni obravnavi osnutek zakona o informacijski varnosti

Ministrstvo za javno upravo je v javno obravnavo poslalo osnutek zakona o informacijski varnosti, ki ureja ukrepe za doseganje visoke ravni varnosti omrežij in informacijskih sistemov v Sloveniji. Med drugim določa minimalne varnostne zahteve in zahteve za priglasitev incidentov ter ureja pristojnosti in naloge pristojnega nacionalnega organa.
Fotografija: Pexels
Odpri galerijo
Pexels

Zakon ureja ukrepe za doseganje visoke ravni varnosti omrežij in informacijskih sistemov v Sloveniji, ki so bistvenega pomena za nemoteno delovanje države v vseh varnostnih razmerah ter zagotavljajo bistvene storitve za ohranitev ključnih družbenih in gospodarskih dejavnosti. Ureja tudi zagotavljanje informacijske varnosti in kibernetske obrambe v Sloveniji.

Zakon določa minimalne varnostne zahteve in zahteve za priglasitev incidentov za zavezance zakona. Ureja tudi pristojnosti, naloge, organizacijo in delovanje pristojnega nacionalnega organa, enotne kontaktne točke in posameznih skupin za obravnavo incidentov s področja varnosti elektronskih omrežij in informacij na področju zagotavljanja informacijske varnosti in kibernetske obrambe.

Poleg tega ureja posamezna področja varovanja in posredovanja informacij in podatkov ter njihove zaščite v opredeljenih omrežjih in informacijskih sistemih.

Po zakonu so vsi zavezanci - izvajalci bistvenih storitev in ponudniki digitalnih storitev - dolžni vzpostaviti in vzdrževati dokumentiran sistem upravljanja varovanja informacij in sistem upravljanja neprekinjenega poslovanja.

Ta mora obsegati najmanj analizo obvladovanja tveganj z oceno sprejemljivega nivoja tveganj, politiko neprekinjenega poslovanja z načrtom njegovega upravljanja ter seznam ključnih, krmilnih in nadzornih informacijskih sistemov in delov omrežja zavezanca ter pripadajočih podatkov, ki so bistvenega pomena za delovanje zavezanca.

Vključevati mora tudi načrt obnovitve in ponovne vzpostavitve delovanja informacijskih sistemov iz prejšnje alineje ter načrt odzivanja na incidente s protokolom obveščanja pristojnih organov ter pristojne skupine za obravnavo incidentov s področja varnosti elektronskih omrežij in informacij.

Zakon med drugim opredeljuje tudi pojem kibernetskega napada. To je napad, ki povzroči oteženo delovanje države oziroma delno onemogoči delovanje vsaj treh sektorjev bistvenih storitev ali enega v celoti za več kot pet ur.

Strategija kibernetske varnosti po zakonu predstavlja tudi okvir za izvedbo ukrepov, ki bodo pripomogli k vzpostavitvi učinkovitega nacionalnega sistema zagotavljanja kibernetske varnosti.

Več iz rubrike