ZAKON O SPREMEMBAH IN DOPOLNITVAH ZAKONA O INFORMACIJSKI VARNOSTI – 17. 2. 2023

S strani Urada Vlade RS za informacijsko varnost (URSIV) smo prejeli osnutek predloga Zakona o spremembah in dopolnitvah Zakona o informacijski varnosti (v nadaljevanju: Zakon). S spremembo Zakona o Vladi Republike Slovenije (ZVRS-J) in posledično po nujnem postopku predlaganem Zakonu o spremembah in dopolnitvah Zakona o državni upravi (ZDU-1O), ki je trenutno še v obravnavi v Državnem zboru RS, bo pristojnost upravljanja s centralnim državnim informacijsko-komunikacijskim omrežjem oziroma sistemom iz ministrstva, pristojnega za javno upravo, prešlo na novo ministrstvo pristojno za digitalno preobrazbo. Hkrati se bo pristojnost informacijske varnosti tudi še v tem delu prenesla na URSIV, ki je na podlagi Zakona o informacijski varnosti (ZInfV) pristojen nacionalni organ za informacijsko varnost.

Minimalne skupne zahteve glede informacijske varnosti državnih organov, organov lokalnih skupnosti, javnih agencij in nosilcev javnih pooblastil ter drugih subjektov, ki se povezujejo s centralnim informacijsko-komunikacijskim sistemom ureja Uredba o informacijski varnosti v državni upravi (Uredba), ki pa je v neskladju s sistemskim ZInfV. Uredba tudi ne predvideva nadzora in kazenskih določb, zato njeno izvajanja uredbe praktično ni možno nadzirati (razen v postopkih notranjih revizij), kar pa predstavlja veliko tveganje in izpostavljenost  državnega centralnega informacijsko-komunikacijskega sistema kibernetskim grožnjam.

Za učinkovito zagotavljanje informacijske in kibernetske varnosti centralnega informacijsko-komunikacijskega sistema je treba s sistemskim zakonom s področja informacijske varnosti predpisati obveznosti in minimalne tehnične ukrepe in zahteve, ki jih morajo subjekti, ki se povezujejo s centralnim informacijsko-komunikacijskim sistemom in hkrati še niso zavezani po ZInfV kot izvajalci bistveni storitev ali organi državne uprave (iz ZInfV) izpolnjevati, če želijo ostati povezani s tem sistemom ter hkrati omogočiti učinkovit nadzor in sankcioniranje predvidene ureditve. S tem namenom se predlaga določitev nove kategorije zavezancev v ZInfV, to so »povezani subjekti«, ki so bili sicer že doslej  zavezani upoštevati  veljavno  Uredbo o informacijski varnosti v državni upravi.

S predlogom Zakona se določa tudi pravna podlaga za izdajo uredbe na podlagi ZInfV, ki bo podrobneje opredelila minimalne skupne zahteve glede informacijske varnosti pri povezanih subjektih, v okvirih, ki jih določa veljavna  Uredba o informacijski varnosti v državni upravi in bo nadomestila navedeno uredbo. Tako se ne bo predpisovalo bistveno spremenjenih zahtev ali dodatnih obveznosti za povezane subjekte, omogočen pa bo nadzor nad izvajanjem zakona in na njegovi podlagi sprejete uredbe, ki ga bodo izvajali inšpektorji Urada Vlade RS za informacijsko varnost.

Vaše predloge, mnenja in pripombe nam lahko  posredujete do 17. 2. 2023 na elektronski naslov mateja.krvina(at)zdruzenejobcin.si.

* * *