Na podlagi sedmega odstavka 21. člena Zakona o Vladi Republike Slovenije (Uradni list RS, št. 24/05 – uradno prečiščeno besedilo, 109/08, 38/10 – ZUKN, 8/12, 21/13, 47/13 – ZDU-1G, 65/14, 55/17 in 163/22) Vlada Republike Slovenije izdaja
o izvajanju uredbe (EU) o digitalni operativni odpornosti za finančni sektor
S to uredbo se za izvajanje Uredbe 2022/2554/EU Evropskega parlamenta in Sveta z dne 14. decembra 2022 o digitalni operativni odpornosti za finančni sektor in spremembi uredb (ES) št. 1060/2009, (EU) št. 648/2012, (EU) št. 600/2014, (EU) št. 909/2014 in (EU) 2016/2011 (UL L št. 333 z dne 27. 12. 2022, str. 1), zadnjič spremenjene z Delegirano uredbo Komisije (EU) 2025/420 z dne 16. decembra 2024 o dopolnitvi Uredbe 2022/2554/EU Evropskega parlamenta in Sveta v zvezi z regulativnimi tehničnimi standardi, v katerih se določijo merila za določitev sestave skupne pregledniške ekipe, ki zagotavljajo uravnoteženo udeležbo članov osebja iz evropskih nadzornih organov in ustreznih pristojnih organov, njihovo imenovanje, naloge in delovne dogovore (UL L št. 2025/420 z dne 24. 3. 2025), (v nadaljnjem besedilu: Uredba 2022/2554/EU), določajo pristojni organi za izvajanje Uredbe 2022/2554/EU in organ za izvajanje nalog penetracijskega testiranja, urejata način opravljanja nadzora ter poročanje o večjih incidentih, povezanih z IKT, in kibernetskih grožnjah, določajo nadzorni ukrepi ter prekrški in globe v zvezi z izvajanjem Uredbe 2022/2554/EU in te uredbe.
Izrazi, uporabljeni v tej uredbi, pomenijo enako kot izrazi, opredeljeni v Uredbi 2022/2554/EU.
(organi, pristojni za izvajanje Uredbe 2022/2554/EU in te uredbe)
(1) Pristojni organi za izvajanje Uredbe 2022/2554/EU in te uredbe so za finančne subjekte iz:
– točk (a) in (b) 46. člena Uredbe 2022/2554/EU: Banka Slovenije, razen glede nalog in pristojnosti bonitetnega nadzora, za katere je v skladu z Uredbo Sveta (EU) št. 1024/2013 z dne 15. oktobra 2013 o prenosu posebnih nalog, ki se nanašajo na politike bonitetnega nadzora kreditnih institucij, na Evropsko centralno banko (UL L št. 287 z dne 29. 10. 2013, str. 63) pristojna Evropska centralna banka,
– točk (c), (d), (e), (f), (g), (h), (i), (j), (n), (o), (p) in (q) 46. člena Uredbe 2022/2554/EU: Agencija za trg vrednostnih papirjev, razen če gre za subjekte iz prve in tretje alineje tega odstavka,
– točk (k), (l) in (m) 46. člena Uredbe 2022/2554/EU: Agencija za zavarovalni nadzor.
(2) Za pristojni organ iz petega odstavka 32. člena Uredbe 2022/2554/EU se štejejo vsi pristojni organi iz prejšnjega odstavka, vsak v okviru svojih pristojnosti, določenih v prvi do tretji alineji prejšnjega odstavka. Navedeni organi v okviru medsebojnega rednega sodelovanja imenujejo predstavnika na visoki ravni, kot je določeno v točki (b) četrtega odstavka 32. člena Uredbe 2022/2554/EU, in o tem obvestijo glavnega nadzornika iz 31. člena Uredbe 2022/2554/EU.
(3) Naloge penetracijskega testiranja v skladu s 26. in 27. členom Uredbe 2022/2554/EU izvaja Urad Vlade Republike Slovenije za informacijsko varnost (v nadaljnjem besedilu: URSIV). URSIV pri nalogah, povezanih s penetracijskim testiranjem, ki jih izvaja v okviru nalog strokovne podpore ter preventivnega delovanja in drugih nalog, na področju informacijske varnosti, kot jih določa zakon, ki ureja informacijsko varnost, na podlagi analize groženj v finančnem sektorju, sodeluje s pristojnimi organi iz prvega odstavka tega člena.
(4) V primeru, da URSIV v okviru izvajanja nalog, povezanih s penetracijskim testiranjem ugotovi, da finančni subjekt, določen v prvem odstavku tega člena, krši določbe, kot jih glede penetracijskega testiranja določata 26. in 27. člen Uredbe 2022/2554/EU, o tem obvesti organ iz prvega odstavka tega člena.
(poročanje o IKT incidentih in kibernetskih grožnjah)
(1) V skladu s prvim in četrtim odstavkom 19. člena Uredbe 2022/2554/EU finančni subjekti, določeni v prvi, drugi in tretji alineji prvega odstavka prejšnjega člena, o večjih incidentih, povezanih z IKT, poročajo pristojnim organom iz prvega odstavka prejšnjega člena in skupinam za odzivanje na incidente s področja računalniške varnosti (v nadaljnjem besedilu: CSIRT).
(2) V primeru večjega incidenta, povezanega z IKT, ki bi lahko povzročil večje motnje in škodo, finančni subjekti, določeni v prvi, drugi in tretji alineji prvega odstavka prejšnjega člena, postopajo v skladu s tretjim odstavkom 19. člena Uredbe 2022/2554/EU.
(3) Poleg obvezne priglasitve večjega incidenta, povezanega z IKT, lahko finančni subjekti pristojne organe iz prvega odstavka prejšnjega člena in CSIRT prostovoljno obvestijo tudi o pomembnih kibernetskih grožnjah, če menijo, da je grožnja relevantna za finančni sistem, uporabnike storitev ali stranke, in jim predložijo ustrezne informacije.
(4) Pristojni organi iz prvega odstavka prejšnjega člena o večjih incidentih, povezanih z IKT, s katerimi so bili seznanjeni na podlagi prvega, drugega ali tretjega odstavka tega člena, tedensko poročajo URSIV.
(5) Ne glede na rok iz prejšnjega odstavka pristojni organi iz prvega odstavka prejšnjega člena brez nepotrebnega odlašanja, v vsakem primeru pa v 24 urah od priglasitve, obvestijo URSIV o zaznavi takšnega incidenta v primeru, da je incident iz prvega odstavka tega člena finančnemu subjektu:
– povzročil ali bi mu lahko povzročil znatne operativne motnje pri opravljanju storitev ali finančne izgube ali
– vplival ali bi lahko vplival na druge fizične ali pravne osebe s povzročitvijo precejšnje premoženjske ali nepremoženjske škode.
(način opravljanja nadzora)
Pristojni organi iz prvega odstavka 3. člena te uredbe opravljajo nadzor nad izvajanjem Uredbe 2022/2554/EU in te uredbe:
1. s spremljanjem, zbiranjem in preverjanjem objavljenih informacij in poročil institucij, ki morajo na podlagi Uredbe 2022/2554/EU poročati pristojnim organom,
2. s pridobivanjem informacij in opravljanjem nadzora v skladu z drugim odstavkom 50. člena Uredbe 2022/2554/EU,
3. z izvajanjem pristojnosti glede naprednega testiranja orodij, sistemov in postopkov IKT na podlagi penetracijskega testiranja na podlagi analize groženj,
4. z izrekanjem ukrepov iz 6. člena te uredbe,
5. s sodelovanjem z glavnim nadzornikom in drugimi pristojnimi organi v nadzorniškem forumu za nadzor ključnih tretjih ponudnikov storitev IKT v skladu z 32. členom Uredbe 2022/2554/EU.
(ukrepi pristojnih organov)
Če pristojni organ iz prvega odstavka 3. člena te uredbe ugotovi kršitev Uredbe 2022/2554/EU ali te uredbe, lahko izreče ukrep:
– iz četrtega odstavka 50. člena in ob upoštevanju 51. člena Uredbe 2022/2554/EU,
– iz 8. člena te uredbe,
– iz drugega odstavka 47. člena Uredbe 2022/2554/EU,
– iz 54. člena Uredbe 2022/2554/EU tako, da na svojih uradnih spletiščih objavi informacije v zvezi z ukrepi nadzora, ki jih izreče zaradi kršitev določb Uredbe 2022/2554/EU.
Agencija za trg vrednostnih papirjev v tarifi, ki jo izda v skladu z zakonom, ki ureja trg finančnih instrumentov, Agencija za zavarovalni nadzor v tarifi, ki jo izda v skladu z zakonom, ki ureja zavarovalništvo, ter Banka Slovenija v tarifi, ki jo izda v skladu z zakonom, ki ureja delovanje Banke Slovenije, zakonom, ki ureja bančništvo, ter zakonom, ki ureja plačilne storitve, storitve izdajanja elektronskega denarja in plačilne sisteme, določijo višino:
– takse za odločanje o posamičnih zadevah na podlagi Uredbe 2022/2554/EU in te uredbe,
– nadomestila za opravljanje drugih nalog v zvezi z izvajanjem Uredbe 2022/2554/EU in te uredbe ter
– letnega nadomestila za nadzor, ki ga opravlja na podlagi Uredbe 2022/2554/EU in te uredbe.
(1) Z globo od 25.000 do 250.000 eurov se za prekršek kaznuje pravna oseba, ki:
1. nima urejenega, enkrat letno pregledanega in ustrezno dokumentiranega okvirja obvladovanja tveganj na področju IKT, kot je določeno v II. poglavju Uredbe 2022/2554/EU, vključno s finančnimi subjekti, ki jim je določen poenostavljen okvir obvladovanja tveganj na področju IKT, za katere velja 16. člen Uredbe 2022/2554/EU,
2. nima vzpostavljenega postopka obvladovanja incidentov, povezanih z IKT, skladno s 17. členom Uredbe 2022/2554/EU,
3. ne poroča o večjih incidentih, povezanih z IKT, kot to določa prvi odstavek 19. člena Uredbe 2022/2554/EU,
4. vsaj enkrat letno ne testira vseh sistemov in aplikacij IKT, ki podpirajo kritične ali pomembne funkcije, skladno s 24. členom Uredbe 2022/2554/EU, in tega ustrezno ne dokumentira,
5. nima urejenega programa za testiranja digitalne operativne odpornosti v skladu s 24., 25. in 26. členom Uredbe 2022/2554/EU,
6. v skladu s prvim odstavkom 26. člena Uredbe 2022/2554/EU vsaj enkrat na tri leta oziroma tako pogosto, kot zahteva pristojni organ, ne izvede naprednega penetracijskega testiranja na podlagi analize groženj,
7. krši določbe 27. člena Uredbe 2022/2554/EU glede zahtev za preizkuševalce za izvedbo penetracijskega testiranja na podlagi analize groženj,
8. pristojnemu organu najmanj enkrat letno ne poroča podatkov, kot to določa drugi pododstavek tretjega odstavka 28. člena Uredbe 2022/2554/EU,
9. ne upošteva zahteve pristojnega organa v skladu s tretjim pododstavkom tretjega odstavka 28. člena Uredbe 2022/2554/EU,
10. pravočasno ne obvesti pristojnega organa o kakršnem koli načrtovanem pogodbenem dogovoru, kot to določa četrti pododstavek tretjega odstavka 28. člena Uredbe 2022/2554/EU,
11. pristojnemu organu ne pošlje poročil, pojasnil, podatkov ali dokumentacije ali mu ne omogoči pregleda poslovanja v skladu s prvim in drugim odstavkom 50. člena Uredbe 2022/2554/EU.
(2) Z globo od 25.000 do 500.000 eurov se za prekršek kaznuje pravna oseba, ki se po zakonu, ki ureja gospodarske družbe, šteje za srednjo ali veliko gospodarsko družbo, ki stori prekršek iz prejšnjega odstavka.
(3) Z globo od 2.500 do 10.000 eurov se za prekršek kaznuje odgovorna oseba pravne osebe, ki stori prekršek iz prvega odstavka tega člena.
(višina globe v hitrem prekrškovnem postopku)
Za prekrške iz te uredbe se sme v hitrem postopku izreči globa tudi v znesku, ki je višji od najnižje predpisane globe, določene s to uredbo.
Ta uredba začne veljati petnajsti dan po objavi v Uradnem listu Republike Slovenije.
Št. 00704-75/2025
Ljubljana, dne 10. aprila 2025
EVA 2024-1611-0062
Vlada Republike Slovenije
