Uradni list

Številka 49
Uradni list RS, št. 49/2023 z dne 28. 4. 2023
Uradni list

Uradni list RS, št. 49/2023 z dne 28. 4. 2023

Kazalo

1519. Zakon o spremembah in dopolnitvah Zakona o informacijski varnosti (ZInfV-B), stran 4168.

  
Na podlagi druge alinee prvega odstavka 107. člena in prvega odstavka 91. člena Ustave Republike Slovenije izdajam
U K A Z 
o razglasitvi Zakona o spremembah in dopolnitvah Zakona o informacijski varnosti (ZInfV-B) 
Razglašam Zakon o spremembah in dopolnitvah Zakona o informacijski varnosti (ZInfV-B), ki ga je sprejel Državni zbor Republike Slovenije na seji dne 18. aprila 2023.
Št. 003-02-3/2022-100
Ljubljana, dne 26. aprila 2023
Nataša Pirc Musar 
predsednica 
Republike Slovenije 
Z A K O N 
O SPREMEMBAH IN DOPOLNITVAH ZAKONA O INFORMACIJSKI VARNOSTI (ZInfV-B) 
1. člen
V Zakonu o informacijski varnosti (Uradni list RS, št. 30/18, 95/21, 130/22 – ZEKom-2 in 18/23 – ZDU-1O) se v 5. členu v prvem odstavku:
– v drugi alineji beseda »in« nadomesti z vejico,
– v tretji alineji pika nadomesti z vejico in besedo »in«,
– za tretjo alinejo doda nova četrta alineja, ki se glasi:
»– državni organi, organi lokalnih skupnosti, javne agencije in nosilci javnih pooblastil ter drugi subjekti, ki niso organi državne uprave iz prejšnje alineje ali izvajalci bistvenih storitev iz prve alineje tega odstavka in se povezujejo s centralnim državnim informacijsko-komunikacijskim omrežjem oziroma sistemom (v nadaljnjem besedilu: povezani subjekti).«.
2. člen 
V 12. členu se v petem odstavku:
– za besedilom »namen obvladovanja« doda besedilo »in preprečevanja«,
– za besedilom »za obdobje šestih mesecev« dodata vejica in besedilo »lahko pa tudi za daljše obdobje, kadar iz analize obvladovanja tveganj in ocene sprejemljive ravni tveganj izhaja, da bi bilo tveganja ustrezno obvladovati z daljšo hrambo dnevniških zapisov«.
Za petim odstavkom se doda nov šesti odstavek, ki se glasi:
»(6) Dnevniški zapisi o delovanju ključnih, krmilnih ali nadzornih informacijskih sistemov ali delov omrežja iz prejšnjega odstavka morajo biti hranjeni na način, ki zagotavlja njihovo avtentičnost, celovitost in razpoložljivost v primeru incidentov.«.
3. člen 
V 17. členu se v petem odstavku za besedilom »namen obvladovanja« doda besedilo »in preprečevanja«, za besedilom »za obdobje šestih mesecev« pa se dodata vejica in besedilo »lahko pa tudi za daljše obdobje, kadar iz analize obvladovanja tveganj in ocene sprejemljive ravni tveganj izhaja, da bi bilo tveganja ustrezno obvladovati z daljšo hrambo dnevniških zapisov«.
Za petim odstavkom se doda nov šesti odstavek, ki se glasi:
»(6) Dnevniški zapisi iz prejšnjega odstavka morajo biti hranjeni na način, ki zagotavlja njihovo avtentičnost, celovitost in razpoložljivost v primeru incidentov.«.
4. člen 
Za 18. členom se dodata novo V.a poglavje in nov 18.a člen, ki se glasita:
»V.a Informacijska varnost povezanih subjektov 
18.a člen 
(obveznosti povezanih subjektov) 
(1) Povezani subjekti so zavezani za izpolnjevanje obveznosti po tem zakonu, in sicer za:
– določitev kontaktne osebe za informacijsko varnost in njenega namestnika ter za posredovanje njunih kontaktnih podatkov pristojnemu nacionalnemu organu in vsakokratnih sprememb teh podatkov v 15 delovnih dneh od njihovega nastanka,
– pripravo analize obvladovanja tveganj informacijske varnosti z oceno sprejemljive ravni tveganj,
– sprejetje in izvajanje minimalnega obsega varnostnih ukrepov za zagotavljanje celovitosti, zaupnosti in razpoložljivosti omrežja in informacijskih sistemov, ki upoštevajo posebne potrebe delovnega področja povezanega subjekta, ter
– pripravo navodil in postopkov za obvladovanje incidentov informacijske varnosti s protokolom obveščanja CSIRT organov državne uprave, ki mu priglašajo incidente z možnim vplivom na centralno državno informacijsko-komunikacijsko omrežje oziroma sistem (v nadaljnjem besedilu: centralni informacijsko-komunikacijski sistem).
(2) Vlada podrobneje določi način izvajanja obveznosti iz prejšnjega odstavka in minimalni obseg varnostnih ukrepov povezanih subjektov glede informacijske varnosti ter metodologijo za pripravo analize obvladovanja tveganj iz druge alineje prejšnjega odstavka.
(3) V zvezi s priglasitvijo incidentov povezanih subjektov CSIRT organov državne uprave se smiselno uporabljajo tretji, četrti, peti in šesti odstavek 18. člena tega zakona.
(4) Centralni informacijsko-komunikacijski sistem je osrednji državni informacijsko-komunikacijski sistem v upravljanju ministrstva, pristojnega za upravljanje informacijsko-komunikacijskih sistemov, namenjen povezovanju lokalnih omrežij organov državne uprave in drugih subjektov za namene izvrševanja njihovih zakonskih obveznosti ter dostopu do skupnih informacijskih rešitev in informacijsko-komunikacijske infrastrukture preko centraliziranega upravljanja in nadzora. Centralni informacijsko-komunikacijski sistem uporabnikom zagotavlja tudi varen dostop do interneta.«.
5. člen 
V 24. členu se v prvem odstavku za besedilom »pristojno za obrambo,« doda besedilo »ministrstvo, pristojno za upravljanje informacijsko-komunikacijskih sistemov,«.
V drugem odstavku se besedilo »ministrstvo, pristojno za zagotavljanje elektronskih storitev javne uprave« nadomesti z besedilom »pristojni nacionalni organ, ministrstvo, pristojno za upravljanje informacijsko-komunikacijskih sistemov«.
6. člen 
V 25. členu se v petem odstavku za besedilom »določitve izvajalcev bistvenih storitev in organov državne uprave ter« doda besedilo »preprečevanja in«, za besedilom »delov omrežja in informacijskih storitev« pa se doda besedilo »izvajalcev bistvenih storitev in«.
7. člen 
V 27. členu se v drugem odstavku na koncu 18. točke pika nadomesti s podpičjem, za njim pa se doda nova 19. točka, ki se glasi:
»19. določi enotno informacijsko varnostno politiko, razen za informacijsko-komunikacijske sisteme, namenjene področju obrambe, varstva pred naravnimi in drugimi nesrečami, policije, internega informacijskega sistema notranjih zadev, obveščevalno-varnostne dejavnosti, zunanjih zadev, preprečevanja in odkrivanja pranja denarja in financiranja terorizma ter opravljanja plačilnega prometa za proračunske uporabnike.«.
Za drugim odstavkom se doda nov tretji odstavek, ki se glasi:
»(3) Pristojni nacionalni organ je pristojen za načrtovanje in upravljanje proračunskih virov na področju informacijske varnosti v državni upravi, razen za izvajanje tehničnih nalog informacijske varnosti oziroma kibernetske obrambe pri upravljanju centralnega informacijsko-komunikacijskega sistema oziroma upravljanju informacijsko-komunikacijskih sistemov, namenjenih področju obrambe, varstva pred naravnimi in drugimi nesrečami, policije, internega informacijskega sistema notranjih zadev, obveščevalno-varnostne dejavnosti, zunanjih zadev, preprečevanja in odkrivanja pranja denarja in financiranja terorizma ter opravljanja plačilnega prometa za proračunske uporabnike.«.
8. člen 
V 29. členu se drugi odstavek spremeni tako, da se glasi:
»(2) CSIRT organov državne uprave poleg drugih nalog, določenih s tem zakonom, izvaja še naslednje naloge:
1. sprejema priglasitve incidentov, obravnava ter ocenjuje incidente informacijske varnosti v državni upravi in se odziva nanje ter podatke o tem evidentira, hrani in varuje;
2. zavezancem, za katere je pristojen, nudi metodološko podporo, pomoč in sodelovanje pri pojavitvi incidenta;
3. spremlja in se odziva na incidente v organih državne uprave in povezanih subjektih;
4. opozarja, obvešča ter razširja informacije o tveganjih in incidentih informacijske varnosti v državni upravi in povezanih subjektih ter objavlja opozorila o tveganjih in ranljivostih na področju informacijske varnosti;
5. opravlja dinamične analize tveganja in incidentov informacijske varnosti ter spremlja razmere;
6. izmenjuje informacije o incidentih informacijske varnosti s skupinami za odzivanje na incidente informacijske varnosti v državi in tujini;
7. sodeluje z nacionalnim CSIRT in pristojnim nacionalnim organom ter jima na poziv na varen način nudi informacije o izvajanju svojih pristojnosti na podlagi tega zakona.«.
Za drugim odstavkom se dodata nova tretji in četrti odstavek, ki se glasita:
»(3) CSIRT organov državne uprave je za namen učinkovitega izvajanja nalog informacijske in kibernetske varnosti ter kibernetske obrambe pooblaščen za neposredni, nujni in sorazmerni vpogled v delovanje informacijske infrastrukture centralnega informacijsko-komunikacijskega sistema, upravljavec centralnega informacijsko-komunikacijskega sistema pa mu mora to omogočiti.
(4) Za namen pravočasnega odzivanja na kibernetske grožnje in preprečevanja škodljivih posledic morebitnega težjega ali kritičnega incidenta ter zaradi izvajanja kibernetske obrambe je CSIRT organov državne uprave pooblaščen, da upravljavcu centralnega informacijsko-komunikacijskega sistema oziroma povezanim subjektom odredi ustrezne, nujne in sorazmerne ukrepe, ki jih morajo ti nemudoma oziroma v postavljenem roku izvesti v svojem informacijsko-komunikacijskem sistemu.«.
9. člen 
V 31. členu se v prvem odstavku za besedilom »22. člena tega zakona,« doda besedilo »ter nad izvajanjem odrejenih ukrepov iz četrtega dostavka 29. člena tega zakona«.
Za četrtim odstavkom doda nov peti odstavek, ki se glasi:
»(5) Inšpektor lahko v inšpekcijskem postopku na podlagi obrazloženega predloga zavezanca za podaljšanje rokov za odpravo nepravilnosti in pomanjkljivosti, ki je dan pred potekom roka za izvedbo odrejenih ukrepov, podaljša roke za odpravo nepravilnosti in pomanjkljivosti oziroma izvedbo odrejenih ukrepov, pri tem pa upošteva že izvedene aktivnosti zavezanca za odpravo nepravilnosti in pomanjkljivosti, objektivne okoliščine za zamudo in posledice za javni interes.«.
10. člen 
Za 34. členom se dodata nova 34.a in 34.b člen, ki se glasita:
»34.a člen 
(nadzor nad povezanimi subjekti) 
(1) Inšpektor nadzira, ali povezani subjekti izpolnjujejo svoje obveznosti iz prve, druge, tretje in četrte alineje 18.a člena tega zakona, iz odločb, izdanih na podlagi četrtega odstavka 21. člena in četrtega odstavka 22. člena tega zakona, ter ali izvajajo na njihovi podlagi določene ukrepe za varnost omrežij in informacijskih sistemov ter ukrepe, odrejene na podlagi četrtega odstavka 29. člena tega zakona.
(2) Inšpektor lahko od povezanih subjektov zahteva, da predložijo informacije, potrebne za oceno varnosti njihovih omrežij in informacijskih sistemov oziroma informacijskih storitev, vključno z dokumentiranimi varnostnimi pravili, ter dokaze o učinkovitem izvajanju varnostnih pravil. Kadar inšpektor zahteva take informacije ali dokaze, navede namen te zahteve in opredeli, katere dodatne informacije so potrebne.
(3) Za dokaz o učinkovitem izvajanju varnostnih pravil iz prejšnjega odstavka se šteje ocena varnosti omrežij in informacijskih sistemov, ki jo je za povezane subjekte pripravil kvalificirani revizor.
(4) Inšpektor lahko na podlagi ocene varnosti iz prejšnjega odstavka povezanih subjektov izreka ukrepe za odpravo ugotovljenih pomanjkljivosti.
34.b člen 
(nadzor nad upravljavcem centralnega informacijsko-komunikacijskega sistema) 
(1) Inšpektor nadzira, ali upravljavec centralnega informacijsko-komunikacijskega sistema izpolnjuje svoje obveznosti iz tretjega odstavka 29. člena tega zakona in ali izvaja ukrepe, odrejene na podlagi četrtega odstavka 29. člena tega zakona.
(2) Inšpektor lahko od upravljavca centralnega informacijsko-komunikacijskega sistema zahteva, da predloži potrebne informacije za izvedbo nadzora iz prejšnjega odstavka. Kadar inšpektor zahteva take informacije ali dokaze, navede namen te zahteve in opredeli, katere dodatne informacije so potrebne.
(3) Inšpektor lahko na podlagi ocene izpolnjevanja obveznosti in izvajanja ukrepov iz prvega odstavka tega člena izreka ukrepe za odpravo ugotovljenih pomanjkljivosti.«.
11. člen 
Za 39. členom se dodata nova 39.a in 39.b člen, ki se glasita:
»39.a člen 
(prekrški povezanih subjektov) 
(1) Z globo od 500 do 10.000 eurov se za prekršek kaznuje pravna oseba, če:
– ne določi kontaktne osebe za informacijsko varnost in njenega namestnika ali ne posreduje njunih kontaktnih podatkov pristojnemu nacionalnemu organu (1. točka prvega odstavka 18.a člena tega zakona),
– ne pripravi analize obvladovanja tveganj informacijske varnosti z oceno sprejemljive ravni tveganj (2. točka prvega odstavka 18.a člena tega zakona),
– ne sprejme ali izvaja minimalnega obsega varnostnih ukrepov za zagotavljanje celovitosti, zaupnosti in razpoložljivosti omrežja in informacijskih sistemov, ki upoštevajo posebne potrebe delovnega področja povezanega subjekta (3. točka prvega odstavka 18.a člena tega zakona),
– ne pripravi navodil in postopkov za obvladovanje incidentov informacijske varnosti s protokolom obveščanja CSIRT organov državne uprave (4. točka prvega odstavka 18.a člena tega zakona),
– ne izvede odrejenih ukrepov CSIRT organov državne uprave v svojem informacijsko-komunikacijskem sistemu (četrti odstavek 29. člena tega zakona).
(2) Z globo od 500 do 10.000 eurov se za prekršek iz prejšnjega odstavka kaznuje samostojni podjetnik posameznik ali posameznik, ki samostojno opravlja dejavnost.
(3) Z globo od 200 do 2.000 eurov se za prekršek iz prvega odstavka tega člena kaznuje odgovorna oseba pravne osebe, samostojnega podjetnika posameznika oziroma posameznika, ki samostojno opravlja dejavnost, ter odgovorna oseba v državnem organu ali samoupravni lokalni skupnosti.
39.b člen 
(prekrški upravljavca centralnega informacijsko-komunikacijskega sistema) 
Z globo od 200 do 2.000 eurov se za prekršek kaznuje odgovorna oseba upravljavca centralnega informacijsko-komunikacijskega sistema, če:
– ne omogoča vpogleda v delovanje informacijske infrastrukture centralnega informacijsko-komunikacijskega za CSIRT organov državne uprave (tretji odstavek 29. člena tega zakona),
– ne izvede odrejenih ukrepov CSIRT organov državne uprave v svojem informacijsko-komunikacijskem sistemu (četrti odstavek 29. člena tega zakona).«.
PREHODNE IN KONČNE DOLOČBE 
12. člen 
(prehodno obdobje) 
(1) Ministrstvo, pristojno za upravljanje informacijsko-komunikacijskih sistemov, sporoči pristojnemu nacionalnemu organu podatke o povezanih subjektih v enem mesecu od uveljavitve tega zakona.
(2) Pristojni nacionalni organ od ministrstva, pristojnega za upravljanje informacijsko-komunikacijskih sistemov, prevzame naloge iz spremenjenega drugega odstavka 29. člena zakona ter arhive, dokumentacijo, javne uslužbence, pravice proračunske porabe, opremo in druge zbirke podatkov oziroma evidence iz prevzetega delovnega področja trideseti dan od uveljavitve tega zakona.
(3) Do prevzema nalog iz prejšnjega odstavka izvaja naloge iz novega tretjega odstavka 27. člena zakona ministrstvo, pristojno za upravljanje informacijsko-komunikacijskih sistemov.
(4) Pristojni nacionalni organ uskladi splošni akt o notranji organizaciji in sistemizaciji delovnih mest z določbami tega zakona v tridesetih dneh od uveljavite tega zakona.
(5) Povezani subjekt mora izpolniti obveznosti iz novega 18.a člena, in sicer iz prvega odstavka:
– iz prve alineje glede določitve kontaktne osebe za informacijsko varnost in njenega namestnika ter posredovanja njunih kontaktnih podatkov pristojnemu nacionalnemu organu v tridesetih dneh od uveljavitve tega zakona,
– iz druge, tretje in četrte alineje v šestih mesecih od uveljavitve tega zakona.
13. člen 
(izdaja podzakonskih predpisov) 
(1) Vlada izda podzakonski predpis iz novega 18.a člena zakona v šestdesetih dneh od uveljavitve tega zakona.
(2) Vlada uskladi Odlok o ustanovitvi, nalogah in organizaciji Urada Vlade Republike Slovenije za informacijsko varnost (Uradni list RS, št. 114/21) s tem zakonom v enem mesecu od njegove uveljavitve.
14. člen 
(prenehanje veljavnosti in podaljšanje uporabe) 
Z dnem uveljavitve tega zakona preneha veljati Uredba o informacijski varnosti v državni upravi (Uradni list RS, št. 29/18 in 131/20), ki pa se uporablja do pričetka uporabe podzakonskega predpisa iz novega 18.a člena zakona.
15. člen 
(začetek veljavnosti) 
Ta zakon začne veljati naslednji dan po objavi v Uradnem listu Republike Slovenije.
Št. 011-02/23-14/11
Ljubljana, dne 18. aprila 2023
EPA 705-IX
Državni zbor 
Republike Slovenije 
mag. Urška Klakočar Zupančič 
predsednica 

AAA Zlata odličnost

Nastavitve piškotkov

Vaše trenutno stanje

Prikaži podrobnosti