Na podlagi druge alinee prvega odstavka 107. člena in prvega odstavka 91. člena Ustave Republike Slovenije izdajam
o razglasitvi Zakona o kritični infrastrukturi (ZKI-1)
Razglašam Zakon o kritični infrastrukturi (ZKI-1), ki ga je sprejel Državni zbor Republike Slovenije na seji dne 22. novembra 2024.
Št. 003-02-1/2024-265
Ljubljana, dne 30. novembra 2024
O KRITIČNI INFRASTRUKTURI (ZKI-1)
(1) Ta zakon ureja področje kritične infrastrukture, ki obsega postopek ugotavljanja in določanja kritičnih subjektov in kritične infrastrukture Republike Slovenije (v nadaljnjem besedilu: kritična infrastruktura), določa način ugotavljanja kritičnih subjektov posebnega evropskega pomena, opredeljuje nacionalni okvir za odpornost kritičnih subjektov in kritične infrastrukture ter določa ukrepe za zagotavljanje odpornosti kritičnih subjektov pri opravljanju bistvenih storitev (v nadaljnjem besedilu: ukrepi za odpornost).
(2) Ta zakon določa pristojnosti in naloge pristojnih organov in organizacij, pristojnega nacionalnega organa in enotne kontaktne točke na področju kritične infrastrukture ter okvir za zagotavljanje podpore odločanju, zgodnje opozarjanje, poročanje, varovanje podatkov in nadzor na področju kritične infrastrukture.
S tem zakonom se v pravni red Republike Slovenije prenaša Direktiva (EU) 2022/2557 Evropskega parlamenta in Sveta z dne 14. decembra 2022 o odpornosti kritičnih subjektov in razveljavitvi Direktive Sveta 2008/114/ES (UL L št. 333 z dne 27. 12. 2022, str. 164; v nadaljnjem besedilu: Direktiva 2022/2557/EU).
(1) Ta zakon se uporablja za javne in zasebne subjekte, ki so v skladu s tem zakonom določeni kot kritični subjekti ali jih je kot kritične subjekte posebnega evropskega pomena določila Evropska komisija.
(2) Za kritične subjekte v sektorjih bančništva in infrastrukture finančnega trga se ne uporabljajo IV., V. in IX. poglavje tega zakona. Za te kritične subjekte se za vsebine, ki jih urejajo IV., V. in IX. poglavje tega zakona, uporablja Uredba (EU) 2022/2554 Evropskega parlamenta in Sveta z dne 14. decembra 2022 o digitalni operativni odpornosti za finančni sektor in spremembi uredb (ES) št. 1060/2009, (EU) št. 648/2012, (EU) št. 600/2014, (EU) št. 909/2014 in (EU) 2016/1011 (UL L št 333 z dne 27. 12. 2022, str. 1), zadnjič spremenjena z Delegirano uredbo Komisije (EU) 2024/1774 z dne 13. marca 2024 o dopolnitvi Uredbe (EU) 2022/2554 Evropskega parlamenta in Sveta v zvezi z regulativnimi tehničnimi standardi, ki določajo orodja, metode, postopke in politike za obvladovanje tveganj na področju IKT ter poenostavljen okvir za obvladovanje tveganj na področju IKT (UL L št. 2024/1774 z dne 25. 6. 2024).
(3) Za kritične subjekte v sektorju digitalne infrastrukture se IV., V. in IX. poglavje tega zakona ne uporabljajo. Za te kritične subjekte se za vsebine, ki jih urejajo IV., V. in IX. poglavja tega zakona, uporablja zakon, ki ureja informacijsko varnost.
(4) Ta zakon se ne uporablja za subjekte javne uprave in organe oblasti v delu, v katerem gre za izvajanje svojih dejavnosti na področju nacionalne varnosti, javne varnosti, obrambe ali kazenskega pregona, vključno s preiskovanjem, odkrivanjem in pregonom kaznivih dejanj, oziroma za kritične subjekte, ki opravljajo storitve le na področju javne uprave iz tega člena, ter za Ustavno sodišče Republike Slovenije, sodstvo, Državni zbor Republike Slovenije, Varuha človekovih pravic in Banko Slovenije.
(5) Ta zakon se ne uporablja za vsebine, ki jih ureja zakon, ki ureja informacijsko varnost.
Izrazi, uporabljeni v tem zakonu, pomenijo:
1. bistvena storitev je storitev, ki je ključna za nemoteno delovanje države, ohranitev življenjsko pomembnih družbenih funkcij, gospodarskih dejavnosti, javnega zdravja in varnosti ali okolja;
2. izredni dogodek je dogodek, ki bi lahko povzročil pomembne motnje ali ki povzroči motnje v opravljanju bistvene storitve, razen dogodkov, ki jih kot incidente opredeljuje zakon, ki ureja informacijsko varnost;
3. kategorije subjektov so skupine subjektov, ki so povezane glede na vrsto in namen bistvene storitve, ki jo opravljajo, in izmed katerih nosilci sektorjev kritične infrastrukture ugotavljajo kritične subjekte;
4. kritična infrastruktura Republike Slovenije je sredstvo, objekt, oprema, omrežje ali sistem oziroma njegov del, ki je nujen za oziroma omogoča opravljanje bistvenih storitev (v nadaljnjem besedilu: kritična infrastruktura);
5. kritični subjekt je javni ali zasebni subjekt, ki ima kritično infrastrukturo, s katero opravlja bistveno storitev;
6. nacionalni okvir za odpornost kritičnih subjektov in kritične infrastrukture obsega strategijo za odpornost kritičnih subjektov in nacionalno oceno tveganja za opravljanje bistvenih storitev;
7. nosilci sektorjev kritične infrastrukture (v nadaljnjem besedilu: nosilci sektorjev) so ministrstva in službe Vlade Republike Slovenije (v nadaljnjem besedilu: vlada), ki so odgovorni za delovna področja, na katera spada kritična infrastruktura;
8. ocena tveganja je postopek ugotavljanja narave in obsega tveganja s prepoznavanjem in analiziranjem morebitnih pomembnih groženj, ranljivosti in nevarnosti, ki bi lahko privedle do izrednega dogodka, ter vrednotenja možnosti izgube sposobnosti opravljanja bistvene storitve ali motenj, ki jih ta izredni dogodek povzroči pri opravljanju bistvene storitve;
9. odpornost kritičnega subjekta je sposobnost kritičnega subjekta, da prepreči izredni dogodek, se pred njim zavaruje, se nanj odzove, se mu zoperstavi, ga ublaži in absorbira, se nanj prilagodi ter po njem okreva;
10. povečana ogroženost kritične infrastrukture je stanje, ki ga zazna pristojni državni organ in za katerega oceni, da bi lahko povzročil izredni dogodek;
11. pristojni organi in organizacije na področju kritične infrastrukture so vlada, pristojni nacionalni organ, nosilci sektorjev, organi, ki sodelujejo z nosilci sektorjev pri opravljanju njihovih nalog na podlagi tega zakona (v nadaljnjem besedilu: sodelujoči organi), kritični subjekti, kritični subjekti posebnega evropskega pomena, koordinacijska skupina, Nacionalni center za krizno upravljanje (v nadaljnjem besedilu: NCKU) in inšpektorat, pristojen za obrambo;
12. pristojni nacionalni organ na področju kritične infrastrukture je ministrstvo, pristojno za obrambo (v nadaljnjem besedilu: ministrstvo);
13. sektorji kritične infrastrukture so posamezne vsebinsko zaokrožene celote delovanja kritičnih subjektov, ki opravljajo bistvene storitve;
14. tveganje predstavlja možnost izgube ali motnje pri opravljanju bistvenih storitev zaradi izrednega dogodka in je izraženo kot kombinacija razsežnosti izgube ali motnje in verjetnosti, da bi do izrednega dogodka prišlo.
II. NACIONALNI OKVIR ZA ODPORNOST KRITIČNIH SUBJEKTOV
(strategija za odpornost kritičnih subjektov)
(1) Vlada sprejme strategijo za odpornost kritičnih subjektov (v nadaljnjem besedilu: strategija), s katero se določijo cilji, prioritete in ukrepi za doseganje in ohranjanje visoke ravni odpornosti kritičnih subjektov v vseh sektorjih kritične infrastrukture v skladu s sektorsko zakonodajo.
(2) Strategija vsebuje vsaj naslednje elemente:
1. strateške cilje in prednostne naloge za okrepitev odpornosti kritičnih subjektov ob upoštevanju čezmejne ter medsektorske odvisnosti in soodvisnosti;
2. upravljanje za doseganje strateških ciljev in prednostnih nalog, vključno z navedbo nalog pristojnih organov in organizacij na področju kritične infrastrukture pri izvajanju strategije;
3. ukrepe za odpornost kritičnih subjektov, vključno z opisom elementov nacionalne ocene tveganja za opravljanje bistvenih storitev;
4. opis izvedbe postopka ugotavljanja kritičnih subjektov iz 7. in 8. člena tega zakona;
5. postopek za podporo kritičnih subjektov, vključno z ukrepi za krepitev sodelovanja med subjekti javne uprave in zasebnimi subjekti;
6. seznam drugih organov in organizacij, ki sodelujejo pri izvajanju strategije;
7. usklajevanje med pristojnimi organi in organizacijami na področju kritične infrastrukture ter pristojnimi organi na podlagi zakona, ki ureja informacijsko varnost za izmenjavo informacij o tveganjih za kibernetsko varnost, o kibernetskih grožnjah in incidentih ter nekibernetskih tveganjih, grožnjah in izrednih dogodkih ter opravljanju nadzora;
8. veljavne sprejete ukrepe malih in srednjih podjetij za lažje izvajanje obveznosti iz IV. poglavja tega zakona.
(3) Nosilci sektorjev ministrstvu vsaka štiri leta oziroma na njegovo zahtevo posredujejo podatke za posodobitev strategije. Ob vsaki večji posodobitvi ministrstvo novo strategijo posreduje v vednost Evropski komisiji v treh mesecih od prejetja podatkov, ki mu jih posreduje nosilec sektorja.
(nacionalna ocena tveganja za opravljanje bistvenih storitev)
(1) Vlada določi bistvene storitve in sprejme nacionalno oceno tveganja za opravljanje bistvenih storitev (v nadaljnjem besedilu: nacionalna ocena tveganja).
(2) Bistvene storitve se določijo v skladu z Delegirano uredbo Komisije (EU) 2023/2450 z dne 25. julija 2023 o dopolnitvi Direktive (EU) 2022/2557 Evropskega parlamenta in Sveta z določitvijo seznama bistvenih storitev (UL L št. 2023/2450 z dne 30. 10. 2023; v nadaljnjem besedilu: Delegirana uredba 2023/2450/EU).
(3) V nacionalni oceni tveganja se upoštevajo tveganja za opravljanje bistvenih storitev, vključno s tveganji medsektorske in čezmejne narave.
(4) Pri pripravi nacionalne ocene tveganja se upoštevajo tudi:
– splošna ocena tveganja, opravljena na podlagi predpisa, ki ureja izvajanje Sklepa o mehanizmu Unije na področju civilne zaščite;
– druge ocene tveganja, pripravljene v skladu z zahtevami sektorskih pravnih aktov Evropske unije, vključno z Uredbo (EU) 2017/1938 Evropskega parlamenta in Sveta z dne 25. oktobra 2017 o ukrepih za zagotavljanje zanesljivosti oskrbe s plinom in razveljavitvi Uredbe (EU) št. 994/2010 (UL L št. 280 z dne 28. 10. 2017, str. 1), zadnjič spremenjeno z Uredbo (EU) 2024/1789 Evropskega parlamenta in Sveta z dne 13. junija 2024 o notranjem trgu plina iz obnovljivih virov, zemeljskega plina in vodika, spremembi uredb (EU) št. 1227/2011, (EU) 2017/1938, (EU) 2019/942 in (EU) 2022/869 ter Sklepa (EU) 2017/684 in razveljavitvi Uredbe (ES) št. 715/2009 (prenovitev) (UL L št. 2024/1789 z dne 15. 7. 2024), Uredbo (EU) 2019/941 Evropskega parlamenta in Sveta z dne 5. junija 2019 o pripravljenosti na tveganja v sektorju električne energije in razveljavitvi Direktive 2005/89/ES (UL L št. 158 z dne 14. 6. 2019, str. 1), Direktivo 2007/60/ES Evropskega parlamenta in Sveta z dne 23. oktobra 2007 o oceni in obvladovanju poplavne ogroženosti (UL L št. 288 z dne 6. 11. 2007, str. 27) in Direktivo 2012/18/EU Evropskega parlamenta in Sveta z dne 4. julija 2012 o obvladovanju nevarnosti večjih nesreč, v katere so vključene nevarne snovi, ki spreminja in nato razveljavlja Direktivo Sveta 96/82/ES (UL L št. 197 z dne 24. 7. 2012, str. 1);
– pomembna tveganja, ki izhajajo iz soodvisnosti sektorjev in odvisnosti sektorjev od drugih subjektov, ki so v državi, drugih državah članicah Evropske unije (v nadaljnjem besedilu: države članice EU) in tretjih državah;
– vpliv, ki bi ga pomembna motnja v enem sektorju lahko imela v drugih sektorjih, vključno s pomembnimi tveganji za državljane in notranji trg;
– informacije o izrednih dogodkih, priglašenih v skladu z 29. členom tega zakona.
(5) Nosilci sektorjev kritičnim subjektom posredujejo potrebne informacije o nacionalni oceni tveganja, prepoznanih tveganjih in drugih bistvenih elementih, ki so jim v pomoč pri pripravi njihove ocene tveganja in sprejemanju ukrepov za odpornost.
(6) Nosilci sektorjev ministrstvu vsaka štiri leta oziroma na njegovo zahtevo posredujejo podatke za posodobitev nacionalne ocene tveganja.
III. UGOTAVLJANJE IN DOLOČANJE KRITIČNIH SUBJEKTOV TER KRITIČNE INFRASTRUKTURE
(sektorji kritične infrastrukture)
(1) Sektorji kritične infrastrukture so sektorji energetike, prometa, bančništva, infrastrukture finančnega trga, zdravja, pitne vode, odpadne vode, digitalne infrastrukture, javne uprave, vesolja ter pridelave, predelave in distribucije živil.
(2) Vlada določi podsektorje v skladu z Delegirano uredbo 2023/2450/EU in nosilce sektorjev iz prejšnjega odstavka ter sodelujoče organe.
(kriteriji za ugotavljanje kritičnih subjektov)
(1) Vlada določi kategorije subjektov, med katerimi nosilci sektorjev ugotavljajo kritične subjekte.
(2) Nosilci sektorjev pri ugotavljanju kritičnih subjektov upoštevajo strategijo iz 5. člena tega zakona, rezultate nacionalne ocene tveganja in naslednje kriterije:
– subjekt opravlja eno ali več bistvenih storitev;
– subjekt deluje in njegova kritična infrastruktura je v Republiki Sloveniji;
– izredni dogodek bi imel pomembne moteče učinke na opravljanje bistvene storitve subjekta ali od njih odvisnih bistvenih storitev v drugih sektorjih kritične infrastrukture.
(3) Nosilci sektorjev pri določanju pomembnosti motečega učinka iz prejšnjega odstavka upoštevajo naslednje kriterije:
1. število uporabnikov, ki so odvisni od bistvene storitve subjekta;
2. stopnjo odvisnosti drugih sektorjev in podsektorjev od bistvene storitve subjekta;
3. stopnjo in trajanje vpliva, ki bi ga izredni dogodek lahko imel na gospodarske in družbene dejavnosti, okolje, javno varnost in varovanje ali zdravje prebivalstva;
4. tržni delež subjekta na trgu te bistvene storitve;
5. geografsko razširjenost, kar zadeva območje, ki bi ga izredni dogodek lahko prizadel;
6. pomen subjekta pri ohranjanju zadostne ravni bistvene storitve ob upoštevanju alternativnih načinov za opravljanje te bistvene storitve.
(4) Mejne vrednosti, ki se uporabljajo za določitev enega ali več kriterijev iz prejšnjega odstavka, določi vlada.
(določitev kritičnih subjektov)
(1) Nosilci sektorjev pri pripravi predlogov za določitev kritičnih subjektov in njihove kritične infrastrukture upoštevajo kriterije iz drugega in tretjega odstavka prejšnjega člena. Ministrstvo predlog za določitev kritičnih subjektov in kritične infrastrukture posreduje vladi.
(2) Kritične subjekte in njihovo kritično infrastrukturo določi vlada, o čemer ministrstvo obvesti kritične subjekte v enem mesecu od določitve.
(3) Za kritične subjekte se IV. poglavje tega zakona začne uporabljati deset mesecev po njihovi določitvi.
(4) Nosilci sektorjev bančništva, infrastrukture finančnega trga in digitalne infrastrukture v enem mesecu od njihove določitve obvestijo kritične subjekte v teh sektorjih, da nimajo obveznosti iz IV. poglavja tega zakona ter da se zanje ne uporablja IX. poglavje tega zakona.
(5) Ministrstvo obvesti kritične subjekte o prenehanju statusa kritičnega subjekta in tem, da zanje od datuma tega uradnega obvestila ne veljajo več obveznosti iz IV. poglavja tega zakona.
(6) Ministrstvo Evropski komisiji predloži:
– seznam bistvenih storitev, če se ta spremeni, v enem mesecu od spremembe in vsaj na vsaka štiri leta;
– število kritičnih subjektov, ugotovljenih za vsak sektor in podsektor kritične infrastrukture ter vsako bistveno storitev, ko jih vlada določi in vsaj na vsaka štiri leta;
– mejne vrednosti kriterijev, ki se uporabljajo za določitev pomembnosti motečega učinka in se lahko predložijo kot take ali v zbirni obliki.
(1) Ministrstvo je enotna kontaktna točka, ki ima povezovalno vlogo in zagotavlja sodelovanje med pristojnimi organi in organizacijami, čezmejno sodelovanje z enotnimi kontaktnimi točkami držav članic EU in Evropsko komisijo ter sodelovanje s tretjimi državami.
(2) Ministrstvo sodeluje in si izmenjuje informacije s pristojnim nacionalnim organom na podlagi zakona, ki ureja informacijsko varnost, glede tveganj na področju kibernetske varnosti, kibernetskih groženj in incidentov ter drugih tveganj, groženj in izrednih dogodkov, ki vplivajo na kritične subjekte, tudi glede bistvenih ukrepov, ki so jih sprejeli nosilci sektorjev in pristojni nacionalni organ na podlagi zakona, ki ureja informacijsko varnost.
(podpora kritičnim subjektom)
(1) Nosilci sektorjev in ministrstvo kritičnim subjektom pri krepitvi njihove odpornosti zagotavljajo podporo z različnimi ukrepi, kot sta zlasti strokovna pomoč ter organizacija usposabljanj in vaj za preverjanje njihove odpornosti.
(2) Nosilci sektorjev in ministrstvo medsebojno sodelujejo ter si izmenjujejo informacije in dobre prakse. Za izmenjavo informacij in podatkov, določenih v skladu s predpisi, ki urejajo področje tajnih podatkov, osebnih podatkov in poslovno skrivnost, uporabljajo zaščiteno komunikacijsko in informacijsko omrežje NCKU.
(3) Ministrstvo kritičnim subjektom zagotavlja podporo tudi prek komunikacijskega in informacijskega omrežja NCKU, ki omogoča sprejemanje, spremljanje in obdelavo podatkov za vzpostavitev centralne slike delovanja kritične infrastrukture in sistema zgodnjega opozarjanja ter predikcije potencialnih izrednih dogodkov na podlagi obvestil kritičnih subjektov.
(4) Izmenjava informacij o izrednih dogodkih in dogodkih, ki jih kot incidente opredeljuje zakon, ki ureja informacijsko varnost, poteka v skladu z zakonom, ki ureja informacijsko varnost, z uporabo digitalne platforme, ki jo vzpostavi pristojni nacionalni organ na podlagi zakona, ki ureja informacijsko varnost.
IV. ODPORNOST KRITIČNIH SUBJEKTOV IN KRITIČNE INFRASTRUKTURE
(načela odpornosti kritičnih subjektov in kritične infrastrukture)
Načela odpornosti kritičnih subjektov in kritične infrastrukture so:
– načelo celovitega pristopa, ki zahteva, da so v krepitev odpornosti in zaščito kritične infrastrukture pred in med motnjami v delovanju ali ob prekinitvi delovanja kritične infrastrukture ter po njej vključeni pristojni organi in organizacije ter da se pri tem upoštevajo različne vrste nevarnosti, da izhaja iz ocen tveganja ob upoštevanju soodvisnosti sektorjev kritične infrastrukture ter njihovih medsebojnih vplivov;
– načelo odgovornosti, v skladu s katerim so za zagotavljanje bistvenih storitev in delovanje kritične infrastrukture neposredno odgovorni kritični subjekti, za krepitev odpornosti kritične infrastrukture in kritičnih subjektov pa pristojni organi in organizacije;
– načelo zaščite pred različnimi vrstami nevarnosti, ki zahteva, da pristojni organi in organizacije pri zagotavljanju bistvenih storitev in neprekinjenega delovanja kritične infrastrukture upoštevajo različne vrste naravnih in tehnoloških nevarnosti;
– načelo neprekinjenega zagotavljanja odpornosti kritičnih subjektov in kritične infrastrukture, ki zahteva, da je načrtovanje ukrepov za odpornost kritičnih subjektov in kritične infrastrukture podprto z nenehnim ocenjevanjem tveganj za opravljanje bistvenih storitev in delovanje kritične infrastrukture ter s presojo ustreznosti ukrepov za njeno zaščito in odpornost;
– načelo izmenjave podatkov in informacij ter varovanja podatkov, ki zahteva od pristojnih organov in organizacij redno, pravočasno in na zaupanju temelječo izmenjavo podatkov in informacij ob hkratnem varovanju podatkov, povezanih s kritičnimi subjekti in njihovo kritično infrastrukturo, v skladu s predpisi, ki urejajo področje tajnih podatkov in poslovno skrivnost, oziroma drugimi področnimi predpisi, ki urejajo varovane podatke.
(1) Načrt za odpornost kritičnih subjektov (v nadaljnjem besedilu: načrt za odpornost) obsega oceno tveganja kritičnega subjekta iz 14. člena tega zakona in ukrepe za odpornost iz 15. člena tega zakona.
(2) Načrt za odpornost pripravijo in hranijo kritični subjekti.
(3) Kritični subjekti pripravljeni načrt za odpornost v 15 dneh od priprave posredujejo nosilcu sektorja, ki načrt odobri oziroma predlaga njegovo dopolnitev.
(4) Kritični subjekt mora pristojnemu nosilcu sektorja oziroma ministrstvu na njegovo zahtevo poslati načrt za odpornost.
(ocena tveganja kritičnega subjekta)
(1) Kritični subjekti na podlagi nacionalne ocene tveganja, drugih ustreznih virov informacij in strokovnih usmeritev, ki jih za posamezne sektorje kritične infrastrukture pripravijo nosilci sektorjev, pripravijo oceno tveganja, v kateri ocenijo pomembna tveganja, ki bi lahko povzročila motnje v opravljanju njihovih bistvenih storitev (v nadaljnjem besedilu: ocena tveganja kritičnega subjekta).
(2) V oceni tveganja kritičnega subjekta kritični subjekt upošteva tveganja, ki bi lahko povzročila izredni dogodek, vključno s tveganji medsektorske in čezmejne narave. Upošteva tudi stopnjo odvisnosti drugih sektorjev od bistvene storitve, ki jo opravlja ta kritični subjekt, in stopnjo odvisnosti tega kritičnega subjekta od bistvenih storitev, ki jih opravljajo kritični subjekti drugih sektorjev ter kritični subjekti tudi v sosednjih državah članicah EU in tretjih državah.
(3) Za pripravo ocene tveganja kritičnega subjekta lahko kritični subjekt uporabi ocene tveganja ali druge dokumente, pripravljene v skladu z drugimi predpisi, pomembne za pripravo njegove ocene tveganja, ki jih je pripravil v skladu z drugimi predpisi.
(1) Kritični subjekt na podlagi nacionalne ocene tveganja in svoje ocene tveganja kritičnega subjekta sprejme ustrezne ter sorazmerne tehnične, varnostne, organizacijske in druge ukrepe za odpornost, potrebne za:
1. preprečevanje nastanka izrednega dogodka;
2. zagotovitev ustrezne fizične zaščite svojih prostorov in kritične infrastrukture;
3. neprekinjeno zagotavljanje bistvenih storitev in delovanja kritične infrastrukture ob upoštevanju medsebojne soodvisnosti sektorjev kritične infrastrukture;
4. zagotovitev nadomestnih sistemov, ki omogočajo opravljanje bistvenih storitev;
5. zagotovitev ustreznega upravljanja in nadzora primarnih ter alternativnih dobavnih verig;
6. zagotovitev zalog sredstev in opreme, potrebnih za opravljanje bistvene storitve;
7. odzivanje na izredne dogodke, za zoperstavljanje in blaženje njihovih posledic ob ustreznem izvajanju postopkov in protokolov za obvladovanje tveganj in kriz ter postopkov opozarjanja;
8. okrevanje po izrednih dogodkih;
9. zagotovitev ustreznega upravljanja varnosti zaposlenih;
10. ozaveščanje zaposlenih o ukrepih za odpornost.
(2) Kritični subjekti pri določitvi delovnih mest, pomembnih za opravljanje bistvene storitve, upoštevajo tudi naloge, ki jih opravljajo zunanji ponudniki.
(3) Ukrepi za odpornost so stalni in dodatni. Stalni ukrepi za odpornost se izvajajo v vseh razmerah, ob povečani ogroženosti kritičnega subjekta in kritične infrastrukture ali izrednem dogodku pa se lahko njihovo izvajanje stopnjuje. Dodatni ukrepi za odpornost se izvajajo ob povečani ogroženosti kritičnega subjekta in kritične infrastrukture ali izrednem dogodku, če stalni ukrepi za odpornost, tudi če se njihovo izvajanje stopnjuje, ne zadostujejo.
(4) Stalne ukrepe za odpornost na podlagi ocene tveganja kritičnega subjekta načrtujejo in izvajajo kritični subjekti.
(5) Kritični subjekti dodatne ukrepe za odpornost načrtujejo na podlagi ocene tveganja kritičnega subjekta ali sprejmejo na podlagi nastalih in pričakovanih posledic povečane ogroženosti kritične infrastrukture ali izrednega dogodka.
(6) Nosilci sektorjev lahko za zagotovitev delovanja kritične infrastrukture v obsegu, ki še omogoča opravljanje bistvene storitve, sprejmejo dodatne ukrepe za odpornost na ravni sektorja kritične infrastrukture iz svoje pristojnosti ali pripravijo predlog dodatnih ukrepov za odpornost, ki ga sprejme vlada.
(7) Če morajo dodatne ukrepe za odpornost izvesti kritični subjekti, lahko vlada odloči o dodelitvi sredstev za izvedbo teh ukrepov za odpornost.
(8) Za zagotovitev ukrepov za odpornost iz 2. točke prvega odstavka tega člena se kritični subjekti na predlog nosilcev sektorjev v skladu s predpisi, ki urejajo področje zasebnega varovanja, določijo za zavezance obveznega organiziranja varovanja, ki morajo varovati kritično infrastrukturo v skladu z navedenimi predpisi.
(9) Kritični subjekt lahko sprejme ukrepe za odpornost na podlagi načrtov ali dokumentov, ki jih je pripravil v skladu z drugimi predpisi.
(posodabljanje načrta za odpornost)
(1) Kritični subjekti morajo načrt za odpornost redno posodabljati, najmanj pa enkrat na dve leti.
(2) Ob nastanku novih okoliščin, ki lahko pomembno vplivajo na zagotavljanje bistvene storitve in delovanje kritične infrastrukture, mora kritični subjekt ustrezno spremeniti načrt za odpornost najpozneje v enem mesecu od nastanka takih okoliščin. K tako spremenjenemu načrtu za odpornost je treba pridobiti odobritev pristojnega nosilca sektorja.
(preverjanje preteklosti)
(1) Kritični subjekt ob upoštevanju nacionalne ocene tveganja in ocene tveganja kritičnega subjekta lahko predloži zahtevek za preverjanje preteklosti zaposlenih ter kandidatov za zaposlitev na delovnih mestih, pomembnih za opravljanje bistvenih storitev kritičnega subjekta, ki imajo ali bodo imeli pooblastilo za neposredni ali oddaljeni dostop do prostorov, informacij ali nadzornih sistemov kritičnega subjekta. Kritični subjekt lahko v skladu z oceno tveganja predloži zahtevek za preverjanje preteklosti tudi za zaposlene pri pogodbenih izvajalcih.
(2) Preverjanje preteklosti osebe iz prejšnjega odstavka se po njenem predhodnem soglasju opravi, da se:
– potrdi identiteta osebe, katere preteklost se preverja;
– preverijo kazenske evidence Republike Slovenije, držav članic EU in tretjih držav glede zapisov pravnomočnih kazenskih obsodb za kazniva dejanja, ki se preganjajo po uradni dolžnosti, ki so po oceni kritičnega subjekta sporna z vidika opravljanja nalog na določenem delovnem mestu oziroma za izvedbo pogodbenih obveznosti, in sicer s področja terorizma ter kršitev zoper življenje in telo, človekove pravice in svoboščine, človekovo zdravje, delovno razmerje in socialno varnost, premoženje, gospodarstvo, pravni promet, uradno dolžnost, javna pooblastila in javna sredstva, javni red in mir, splošno varnost ljudi in premoženja, varnost javnega prometa, okolje, prostor in naravne dobrine, suverenost Republike Slovenije, njeno obrambno moč in mednarodno pravo ter drugih področij, razen če z zakonom, ki ureja preverjanje preteklosti za posamezni sektor kritične infrastrukture ni določeno drugače.
(3) Če oseba iz prejšnjega odstavka ne da soglasja za preverjanje preteklosti, se ji delo na delovnih mestih in v prostorih iz prvega odstavka tega člena ne dovoli oziroma pogodba ne sklene.
(4) Preverjanje preteklosti osebe iz prvega odstavka tega člena, ki je državljan Republike Slovenije ali tuje države, po predložitvi zahtevka kritičnega subjekta in soglasja osebe iz prvega odstavka tega člena opravijo zaprošeni državni organi, ki pridobijo dokazila iz drugega odstavka tega člena po uradni dolžnosti iz uradnih evidenc, če je to mogoče. Preverjanja preteklosti so sorazmerna in omejena na vrednotenje morebitnega tveganja za opravljanje bistvene storitve kritičnega subjekta.
Kritični subjekti lahko pri načrtovanju in sprejemanju ukrepov za odpornost upoštevajo uveljavljene evropske in mednarodne standarde ter tehnične specifikacije ukrepov za zagotavljanje varnosti in odpornosti kritičnih subjektov.
(izvršba in posebna pravila za kritično infrastrukturo v stečaju ali prisilni likvidaciji)
(1) Kritični subjekt o dejstvih in okoliščinah, ki kažejo na možnost njegovega prenehanja poslovanja ali stečaja, obvesti nosilca sektorja, NCKU in ministrstvo.
(2) Kritična infrastruktura kritičnega subjekta in njegove premoženjske pravice ne morejo biti predmet izvršbe.
(3) Izvzetje iz prejšnjega odstavka ne velja, če se izvršba vodi zaradi poplačila terjatve iz naslova posojila, s katerim je bil predmet kupljen, oziroma posojila za razvoj dejavnosti kritičnega subjekta za opravljanje bistvenih storitev ali zaradi poplačila terjatve, ki je bila zavarovana s pogodbeno zastavno pravico na tem predmetu.
(4) Kritična infrastruktura kritičnega subjekta in njegove premoženjske pravice, ki kot celota zagotavljajo nemoteno delovanje kritične infrastrukture za opravljanje bistvenih storitev, se v postopku izvršbe in stečajnem postopku ali postopku prisilne likvidacije lahko prodajo samo kot poslovna celota.
V. KRITIČNI SUBJEKTI POSEBNEGA EVROPSKEGA POMENA
(ugotavljanje in določitev kritičnih subjektov posebnega evropskega pomena)
(1) Kritični subjekt se šteje za kritični subjekt posebnega evropskega pomena, če:
– je določen kot kritični subjekt na podlagi drugega odstavka 9. člena tega zakona;
– opravlja enake ali podobne bistvene storitve šestim ali več državam članicam EU oziroma v šestih ali več državah članicah EU;
– je bil uradno obveščen na podlagi tretjega odstavka tega člena, da je določen kot kritični subjekt posebnega evropskega pomena.
(2) Kritični subjekt, ki opravlja bistvene storitve za šest ali več držav članic EU oziroma v šestih ali več državah članicah EU, o tem obvesti nosilca sektorja, ta pa ministrstvo. Ministrstvo brez odlašanja Evropski komisiji posreduje podatke kritičnega subjekta iz prejšnjega odstavka.
(3) Ministrstvo na podlagi odločitve Evropske komisije, da kritični subjekt iz prejšnjega odstavka opravlja bistvene storitve za šest ali več držav članic EU oziroma v šestih ali več državah članicah EU, kritični subjekt uradno obvesti, da se šteje za kritični subjekt posebnega evropskega pomena, o njegovih obveznostih iz tega poglavja in o datumu, od katerega začnejo te obveznosti veljati.
(1) Ministrstvo lahko od Evropske komisije zahteva organiziranje svetovalne misije iz 18. člena Direktive 2022/2557/EU za oceno ukrepov za odpornost kritičnih subjektov posebnega evropskega pomena.
(2) Nosilec sektorja v sodelovanju s kritičnim subjektom posebnega evropskega pomena na pobudo Evropske komisije ali zahtevo ene oziroma več držav članic EU, za katere se oziroma v katerih se opravlja bistvena storitev, Evropski komisiji zagotovi:
– oceno tveganja kritičnega subjekta;
– seznam ukrepov za odpornost kritičnega subjekta iz 15. člena tega zakona;
– informacije o ukrepih za odpornost kritičnega subjekta iz 15. člena tega zakona, vključno z ocenami skladnosti ali izdanimi odredbami, ki jih je glede tega kritičnega subjekta sprejel inšpektorat, pristojen za obrambo.
(3) Kritični subjekti posebnega evropskega pomena svetovalnim misijam iz prvega odstavka tega člena omogočijo dostop do informacij, sistemov in objektov, povezanih z opravljanjem njihovih bistvenih storitev za izvajanje te svetovalne misije v skladu s predpisi, ki urejajo področje tajnih podatkov, oziroma mednarodnimi sporazumi, ki jih je na področju izmenjave in varovanja tajnih podatkov z drugimi državami ali mednarodnimi organizacijami sprejela Republika Slovenija.
(4) Ministrstvo zagotovi, da kritični subjekt posebnega evropskega pomena upošteva poročilo svetovalne misije iz prvega odstavka tega člena in mnenje Evropske komisije o svojih ugotovitvah glede ustreznosti ukrepov za odpornost.
VI. NALOGE NA PODROČJU KRITIČNE INFRASTRUKTURE
(1) Vlada na področju kritične infrastrukture poleg drugih nalog, določenih s tem zakonom, določa politiko in po potrebi od nosilcev sektorjev, kritičnih subjektov, ministrstva in inšpektorata, pristojnega za obrambo, zahteva dodatna poročila o opravljanju nalog iz njihove pristojnosti, ki niso naloge iz VII. poglavja tega zakona.
(2) Vlada na predlog nosilcev sektorjev lahko odloča tudi o sprejetju morebitnih dodatnih ukrepov za odpornost na ravni sektorja kritične infrastrukture in o morebitni dodelitvi sredstev za izvedbo takih dodatnih ukrepov, če morajo te izvesti kritični subjekti.
(1) Nosilci sektorjev opravljajo na področju kritične infrastrukture poleg drugih nalog, določenih s tem zakonom, naslednje naloge:
– oblikujejo pobudo in sodelujejo pri pripravi predloga kriterijev za ugotavljanje kritičnih subjektov ter njihovih mejnih vrednosti;
– oblikujejo pobudo in sodelujejo pri pripravi predloga za določitev kritičnih subjektov ter njihove kritične infrastrukture iz svoje pristojnosti;
– usklajujejo predloge ukrepov za odpornost kritičnih subjektov v sektorju kritične infrastrukture iz svoje pristojnosti;
– predlagajo dodatne ukrepe za odpornost, o katerih odloči vlada, če nosilci sektorjev ocenijo, da je to potrebno za zagotovitev delovanja kritične infrastrukture v obsegu, ki še omogoča opravljanje bistvene storitve;
– usmerjajo kritične subjekte in zagotavljajo strokovno pomoč pri njihovem načrtovanju ukrepov za odpornost;
– po potrebi dajejo pobude za spremembo predpisov s področja sektorja kritične infrastrukture iz svoje pristojnosti z vidika krepitve odpornosti kritičnih subjektov in zaščite kritične infrastrukture.
(2) Nosilci sektorjev določijo kontaktno osebo za sodelovanje na področju kritične infrastrukture s kritičnimi subjekti, drugimi nosilci sektorjev in ministrstvom (v nadaljnjem besedilu: kontaktna oseba nosilca sektorja).
(1) Kritični subjekti zagotavljajo neprekinjeno opravljanje bistvenih storitev in delovanje kritične infrastrukture.
(2) Kritični subjekti imenujejo kontaktno osebo za sodelovanje na področju kritične infrastrukture z drugimi kritičnimi subjekti, nosilci sektorjev in ministrstvom (v nadaljnjem besedilu: kontaktna oseba kritičnega subjekta).
25. člen
(1) Ministrstvo strokovno usmerja in usklajuje dejavnosti na področju kritične infrastrukture.
(2) Ministrstvo opravlja na področju kritične infrastrukture poleg drugih nalog, določenih s tem zakonom, naslednje naloge:
– na predlog nosilcev sektorjev pripravlja predloge za določitev kriterijev za ugotavljanje kritičnih subjektov in njihovih mejnih vrednosti;
– na predlog nosilcev sektorjev pripravlja predloge za določitev kritičnih subjektov;
– usklajuje predloge ukrepov za odpornost med sektorji kritične infrastrukture iz 15. člena tega zakona.
(1) Vlada imenuje koordinacijsko skupino za usklajevanje upravljanja izrednega dogodka, ukrepe za ublažitev posledic izrednega dogodka, zagotovitev čimprejšnjega ponovnega nemotenega delovanja kritične infrastrukture in opravljanje bistvenih storitev, ki jih ministrstvo predloži vladi.
(2) Koordinacijsko skupino iz prejšnjega odstavka, ki jo vodi ministrstvo, sestavljajo predstavniki nosilcev sektorjev in ministrstva, ministrstev, pristojnih za notranje zadeve ter zunanje in evropske zadeve, pristojnega nacionalnega organa po zakonu, ki ureja informacijsko varnost, in Slovenske obveščevalno-varnostne agencije.
(3) Koordinacijsko skupino iz prvega odstavka tega člena aktivira ministrstvo ob izrednih dogodkih iz 29. člena tega zakona, kadar je potreben usklajen in učinkovit odziv na izredni dogodek.
(4) Ministrstvo skupino skliče najmanj enkrat na leto, po potrebi pa pogosteje.
VII. ZAGOTAVLJANJE PODPORE ODLOČANJU, ZGODNJE OPOZARJANJE IN POROČANJE
(zagotavljanje podpore odločanju in zgodnje opozarjanje)
(1) Zagotavljanje podpore odločanju o odzivanju na izredne dogodke subjektom iz četrtega odstavka tega člena temelji na načelu izmenjave podatkov in informacij ter varovanja podatkov iz 12. člena tega zakona.
(2) Za zgodnje opozarjanje na področju kritične infrastrukture nosilci sektorjev in kritični subjekti zagotavljajo NCKU podatke iz svoje pristojnosti, ki pristojnim organom in organizacijam omogočajo hiter in ustrezen odziv na izredni dogodek ter celovit pregled vpliva, narave, vzroka in morebitnih posledic izrednega dogodka, s katerimi se soočajo kritični subjekti. Sistem zgodnjega opozarjanja omogoča zaznavanje in analizo razlik v vrednostih kazalnikov po posameznih sektorjih, preden te prerastejo v izredni dogodek ali motnje pri opravljanju bistvenih storitev.
(3) NCKU med spremljanjem in analiziranjem podatkov v okviru sistema zgodnjega opozarjanja in mehanizma priglasitev izrednih dogodkov iz 29. člena tega zakona zbira, obdeluje, uporablja ter hrani digitalizirane, avtomatizirane, agregirane in anonimizirane podatke.
(4) NCKU v skladu s predpisi o njegovi organizaciji in delovanju o motnjah in morebitnih grožnjah obvesti Svet za nacionalno varnost, sekretariat Sveta za nacionalno varnost, operativno skupino sekretariata Sveta za nacionalno varnost, medresorsko analitično skupino in pristojne nosilce sektorjev, ti pa kritične subjekte, ki vrednotijo razlike in nepravilnosti ter na tej podlagi okrepijo ukrepe za odpornost oziroma jih stopnjujejo ali sprejmejo dodatne ukrepe za odpornost.
(5) Ob povečani ogroženosti kritične infrastrukture pristojni državni organi z zaznano grožnjo seznanijo nosilca sektorja, ta pa kritični subjekt.
(1) Nosilci sektorjev na podlagi letnih poročil kritičnih subjektov o zagotavljanju neprekinjenega delovanja kritične infrastrukture in opravljanju bistvene storitve za preteklo leto, ki jih ti pripravijo do konca januarja, pripravijo letno poročilo o zagotavljanju neprekinjenega delovanja kritične infrastrukture za sektor kritične infrastrukture iz svoje pristojnosti in ga do konca februarja pošljejo ministrstvu. Ta pripravi skupno letno poročilo o zagotavljanju neprekinjenega delovanja kritične infrastrukture in ga do konca marca za preteklo leto predloži vladi.
(2) V poročilih iz prejšnjega odstavka se navedejo izredni dogodki, ki so povzročili prekinitev zagotavljanja bistvene storitve z negativnimi materialnimi in drugimi posledicami za delovanje sektorja, glede tega izvedeni ukrepi in rešitve ter sprejeti ali predlagani ukrepi za izboljšanje odpornosti kritičnega subjekta in zaščite kritične infrastrukture. Predlogi ukrepov za izboljšanje stanja na področju kritične infrastrukture morajo biti finančno, materialno in kadrovsko utemeljeni.
(priglasitev izrednih dogodkov)
(1) Kritični subjekti morajo pristojnemu nosilcu sektorja, NCKU in ministrstvu takoj priglasiti izredne dogodke, ki povzročijo ali bi lahko povzročili pomembno motnjo pri opravljanju bistvenih storitev, oziroma predložiti priglasitev najpozneje v 24 urah po tem, ko se seznanijo z izrednim dogodkom. Najpozneje v enem mesecu od seznanitve z izrednim dogodkom priglasitvi sledi poročilo o tem izrednem dogodku. Za določitev pomembnosti motnje se upošteva zlasti naslednje:
– število in delež uporabnikov, prizadetih zaradi motnje;
– trajanje motnje;
– območje, prizadeto zaradi motnje, ob upoštevanju morebitne geografske izoliranosti območja.
(2) Priglasitev iz prejšnjega odstavka poteka po digitalni platformi, ki jo vzpostavi pristojni nacionalni organ na podlagi zakona, ki ureja informacijsko varnost. Do vzpostavitve navedene platforme se zagotovi varnost prenesenih podatkov prek zaščitenega komunikacijskega in informacijskega omrežja NCKU.
(3) Če izredni dogodek pomembno vpliva ali bi lahko pomembno vplival na neprekinjeno opravljanje bistvenih storitev v šestih ali več državah članicah EU, ministrstvo tak izredni dogodek priglasi Evropski komisiji.
(4) Priglasitve izrednih dogodkov iz prvega odstavka tega člena vsebujejo informacije, ki jih potrebujejo nosilec sektorja, ministrstvo in NCKU za razumevanje narave, vzroka in mogočih posledic izrednih dogodkov, vključno z navedbo ukrepov, ki jih je sprejel kritični subjekt ob zaznanem izrednem dogodku, in z informacijami za ugotovitev vsakega čezmejnega vpliva izrednega dogodka. Take priglasitve ne smejo povzročiti dodatnih odgovornosti za kritične subjekte.
(5) Ministrstvo na podlagi informacij, ki jih v priglasitvi iz prvega odstavka tega člena predloži kritični subjekt, obvesti enotno kontaktno točko prizadetih držav članic EU, kadar izredni dogodek pomembno vpliva ali bi lahko pomembno vplival na kritične subjekte in neprekinjeno opravljanje bistvenih storitev za eno ali več držav članic EU oziroma v eni ali več državah članicah EU. Enotne kontaktne točke prizadetih držav informacije obravnavajo tako, da spoštujejo njihovo zaupnost in varujejo varnost ter poslovne interese tega kritičnega subjekta.
(6) Pristojni nosilec sektorja po prejemu priglasitve iz prvega odstavka tega člena temu kritičnemu subjektu, ministrstvu in NCKU brez odlašanja predloži ustrezne informacije o nadaljnjem ukrepanju, vključno z informacijami, ki bi lahko podprle učinkovit odziv tega kritičnega subjekta na izredni dogodek. Kadar je to v javnem interesu in glede na pomembnost motnje iz prvega odstavka tega člena ter razsežnosti izrednega dogodka, pristojni nosilec sektorja o njem obvesti javnost. Če pristojni nosilec sektorja skupaj z ministrstvom pripravi sporočilo za javnost z navedbo pomembnih dejstev ter izvedenih ukrepov, ga mediji smejo objaviti le v nespremenjeni obliki.
(7) Ministrstvo Evropski komisiji vsaki dve leti predloži zbirno poročilo o prejetih priglasitvah izrednih dogodkov iz prvega odstavka tega člena, vključno s številom priglasitev, naravo priglašenih izrednih dogodkov in sprejetimi ukrepi.
(podatki o odgovornih in kontaktnih osebah)
(1) Da se zagotovi podpora odločanju na področju kritične infrastrukture, se zbirajo, obdelujejo, uporabljajo in hranijo naslednji podatki o odgovorni in kontaktni osebi nosilca sektorja ter odgovorni in kontaktni osebi kritičnega subjekta:
– ime in priimek,
– stalno ali začasno prebivališče,
– številka telefona,
– naziv delovnega mesta,
– naslov elektronske pošte.
(2) Podatke o odgovornih in kontaktnih osebah nosilcev sektorjev ter kritičnih subjektov zbira, obdeluje, uporablja in hrani ministrstvo.
(3) Nosilci sektorjev zbirajo, obdelujejo, uporabljajo in hranijo podatke iz prvega odstavka tega člena o odgovornih in kontaktnih osebah kritičnih subjektov, ki delujejo v sektorju kritične infrastrukture iz njihove pristojnosti.
Podatek, ki se nanaša na ugotavljanje, določanje in odpornost kritičnih subjektov ter kritične infrastrukture in je določen kot tajni podatek ali poslovna skrivnost, se obravnava v skladu s predpisi, ki urejajo področje tajnih podatkov in poslovno skrivnost.
(1) Nadzor nad izvajanjem določb tega zakona izvaja inšpektorat, pristojen za obrambo.
(2) Od subjektov, ki so kot bistveni določeni na podlagi zakona, ki ureja informacijsko varnost, lahko inšpektorat, pristojen za obrambo, kadar oceni, da je to potrebno za opravljanje njihovih nalog iz tega zakona, zahteva, da predložijo informacije, potrebne za oceno, ali ukrepi, ki so jih subjekti sprejeli za zagotovitev svoje odpornosti, izpolnjujejo zahteve iz 15. člena tega zakona, in dokaze o učinkovitem izvajanju teh ukrepov. Kadar inšpektorat, pristojen za obrambo, zahteva take informacije ali dokaze, navede namen te zahteve, opredeli, katere informacije zahteva, in določi razumen rok za izpolnitev zahteve.
(3) Inšpektorat, pristojen za obrambo, lahko zaprosi inšpekcijo pristojnega nacionalnega organa na podlagi zakona, ki ureja informacijsko varnost, da izvaja svoja nadzorna in izvršilna pooblastila glede bistvenega subjekta, identificiranega na podlagi zakona, ki ureja informacijsko varnost, in določenega za kritični subjekt na podlagi tega zakona, ter da mu glede tega posreduje informacije.
(1) Z globo od 4.000 do 12.000 eurov se kaznuje za prekršek pravna oseba ali samostojni podjetnik posameznik, če:
1. ne pripravi ali hrani načrta za odpornost (drugi odstavek 13. člena);
2. ne posreduje načrta za odpornost nosilcu sektorja v odobritev (tretji odstavek 13. člena);
3. ne pripravi ocene tveganja kritičnega subjekta (prvi odstavek 14. člena) ali v njej ne upošteva tveganja, ki bi lahko povzročila izredni dogodek, vključno s tveganji medsektorske in čezmejne narave ali stopnjo odvisnosti drugih sektorjev kritične infrastrukture od bistvene storitve, ki jo opravlja kot kritični subjekt, ali stopnjo njegove odvisnosti od bistvenih storitev, ki jih opravljajo kritični subjekti drugih sektorjev kritične infrastrukture ali kritični subjekti tudi v sosednjih državah članicah EU in tretjih državah (drugi odstavek 14. člena);
4. na podlagi nacionalne ocene tveganja in svoje ocene tveganja ne sprejme ustreznih ter sorazmernih tehničnih, varnostnih, organizacijskih in drugih ukrepov (prvi odstavek 15. člena) ali ne upošteva nalog, ki jih opravljajo zunanji ponudniki, pri določitvi delovnih mest, pomembnih za opravljanje bistvene storitve (drugi odstavek 15. člena);
5. ne posodablja redno načrta za odpornost (16. člen);
6. ob nastanku novih okoliščin, ki lahko pomembno vplivajo na zagotavljanje bistvene storitve in delovanje kritične infrastrukture, v predpisanem roku ne spremeni načrta za odpornost ali k tako spremenjenemu načrtu ne pridobi odobritve pristojnega nosilca sektorja (drugi odstavek 16. člena);
7. nosilca sektorja ne obvesti o dejstvih in okoliščinah, ki kažejo na možnost njegovega prenehanja poslovanja ali stečaja (prvi odstavek 19. člena);
8. ne imenuje kontaktne osebe ali več takih oseb za sodelovanje na področju kritične infrastrukture z drugimi kritičnimi subjekti, nosilci sektorjev in ministrstvom (drugi odstavek 24. člena);
9. ne pripravi vsebinsko ustreznega letnega poročila o zagotavljanju neprekinjenega delovanja kritične infrastrukture in opravljanju bistvene storitve (28. člen);
10. v predpisanem roku ne priglasi izrednega dogodka, ki je povzročil ali bi lahko povzročil pomembno motnjo pri opravljanju bistvenih storitev (prvi odstavek 29. člena).
(2) Z globo od 600 do 1.200 eurov se kaznuje odgovorna oseba pravne osebe oziroma odgovorna oseba samostojnega podjetnika posameznika ali odgovorna oseba v državnem organu ali samoupravni lokalni skupnosti, če stori prekršek iz prejšnjega odstavka.
(višina globe v hitrem prekrškovnem postopku)
Za prekrške iz tega zakona se sme v hitrem postopku izreči globa tudi v znesku, ki je višji od najnižje predpisane globe, določene s tem zakonom.
(obveščanje Evropske komisije)
Ministrstvo o vsakršni naknadni spremembi prekrškov iz tega poglavja uradno obvesti Evropsko komisijo.
(sprejetje aktov in poročanje)
(1) Vlada do 17. januarja 2026 sprejme strategijo iz 5. člena tega zakona in nacionalno oceno tveganja iz 6. člena tega zakona.
(2) Vlada v šestih mesecih od uveljavitve tega zakona določi bistvene storitve iz 6. člena tega zakona, podsektorje sektorjev kritične infrastrukture, nosilce sektorjev in sodelujoče organe iz 7. člena tega zakona, kategorije subjektov ter mejne vrednosti kriterijev za ugotavljanja kritičnih subjektov iz 8. člena tega zakona.
(3) Vlada do 17. julija 2026 določi kritične subjekte in njihove kritične infrastrukture iz 9. člena tega zakona.
(4) Kritični subjekti pripravijo načrt za odpornost iz 13. člena tega zakona v devetih mesecih po prejemu obvestila o njihovi določitvi.
(5) Ministrstvo v treh mesecih od uveljavitve tega zakona Evropski komisiji sporoči, da je pristojni nacionalni organ in tudi enotna kontaktna točka, pri čemer navede kontaktne podatke.
(6) Ministrstvo Evropski komisiji posreduje strategijo in nacionalno oceno tveganja iz prvega odstavka tega člena v treh mesecih od njunega sprejetja.
(7) Ministrstvo Evropski komisiji prvič do 17. julija 2028 predloži zbirno poročilo o prejetih priglasitvah izrednih dogodkov, vključno s številom priglasitev, naravo priglašenih izrednih dogodkov in sprejetimi ukrepi.
(8) Ministrstvo o prekrških, ki se uporabljajo za kršitve ukrepov, sprejetih na podlagi tega zakona, prvič uradno obvesti Evropsko komisijo do 17. oktobra 2024.
Do določitve kritičnih subjektov iz 9. člena tega zakona se za kritično infrastrukturo Republike Slovenije iz 3. točke 3. člena in pristojne organe in organizacije iz 12. točke 3. člena Zakona o kritični infrastrukturi (Uradni list RS, št. 75/17 in 189/21 – ZDU-1M) uporabljata Zakon o kritični infrastrukturi (Uradni list RS, št. 75/17 in 189/21 – ZDU-1M) in Navodilo za ocenjevanje tveganj za delovanje kritične infrastrukture Republike Slovenije (Uradni list RS, št. 7/19).
(prenehanje in podaljšanje veljavnosti)
(1) Z dnem uveljavitve tega zakona prenehajo veljati Zakon o kritični infrastrukturi (Uradni list RS, št. 75/17 in 189/21 – ZDU-1M), Uredba o evropski kritični infrastrukturi (Uradni list RS, št. 35/11) in Navodilo za ocenjevanje tveganj za delovanje kritične infrastrukture Republike Slovenije (Uradni list RS, št. 7/19).
(2) Akti, izdani na podlagi četrtega, petega ali šestega odstavka 13. člena Zakona o kritični infrastrukturi (Uradni list RS, št. 75/17 in 189/21 – ZDU-1M) za kritične subjekte, ki so določeni po tem zakonu in na katere se ti akti nanašajo, veljajo naprej kot akti, izdani na podlagi šestega, sedmega in osmega odstavka 15. člena oziroma drugega odstavka 22. člena tega zakona.
Ta zakon začne veljati petnajsti dan po objavi v Uradnem listu Republike Slovenije.
Št. 200-01/24-3/14
Ljubljana, dne 22. novembra 2024
EPA 1709-IX
mag. Urška Klakočar Zupančič
