Novi zakon čez prvo sito: kdo vse bo moral bolj skrbeti za kibernetsko varnost?

Na vladi so potrdili predlog novega zakona o informacijski varnosti, s katerim v slovensko zakonodajo prenašajo nekatere evropske akte in krepijo nacionalni sistem kibernetske varnosti. Predlog zakona morajo sedaj potrditi še poslanci, vlada pa ga v parlament pošilja po nujnem postopku.
Kot je na novinarski konferenci po seji vlade povedal direktor Urada vlade RS za informacijsko varnost (URSIV) Uroš Svete, je v zakonu predvidena širitev zavezancev, ki morajo sprejeti ukrepe za zagotavljanje kibernetske varnosti. Med njimi bodo tako subjekti javnega sektorja kot tudi gospodarstva.

Zavezanci bodo morali med drugim pripraviti oceno tveganj ter načrte za obvladovanje kibernetskih incidentov in za neprekinjeno poslovanje svojih bistvenih storitev. "Na eni strani bodo morali sami pri sebi urediti področje upravljanja z informacijskimi tehnologijami, na drugi pa bodo, če je takšna narava procesa, to zahtevali tudi od svojih dobaviteljev oz. zunanjih partnerjev," je povedal Svete.

Velik skok zavezancev: z 80 na več kot 1.000

Širitev kroga zavezancev je osrednja sprememba, ki jo predvideva predlog zakona. V njem so določeni nekateri dodatni sektorji, v katerih bodo podjetja in javni subjekti postali zavezanci za zagotavljanje kibernetske varnosti.

Nabor teh sektorjev je v slovenskem zakonu enak kot v evropski direktivi. Med njimi so denimo sektorji bančništva, odpadnih voda, storitev IKT, javne uprave, vesolja, poštnih storitev, proizvodnje kemikalij, raziskav ...

Drugi kriterij za določanje novih zavezancev med podjetji bo poleg področja delovanja tudi njihova velikost. Na ravni EU je ta pogoj enak in velja za srednja (od 50 do 250 zaposlenih) in velika podjetja (več kot 250 zaposlenih). Nekatera podjetja, kot so na primer ponudniki domenskih storitev, bodo zavezanec postala tudi, če bi ustrezala opredelitvi manjšega podjetja. Na novo bodo med zavezance prešle tudi vse slovenske mestne občine.
Širitev kroga zavezancev bo precejšnja. Po ocenah URSIV bo število zavezancev s sedanjih 80 naraslo na več kot 1.000. Do sedaj je moral urad nove zavezance z odločbo predlagati vladi, ki jih je nato potrdila. Nov zakon uvaja samoregistracijo za subjekte, ki bodo izpolnjevali pogoje in bodo tako po novem postali zavezanci. Ta podjetja in javne službe se bodo morale same registrirati in uradu poslati zahtevane podatke. Kdor tega ne bo storil, bo tvegal globo inšpekcije. Dosedanji zavezanci bodo morali svoje delovanje z novim zakonom uskladiti v enem letu po uveljavitvi zakona, novi pa v letu in pol.

Za olajšanje dela bodo na upravi pripravili platformo, na kateri bodo preverili, ali so postali zavezanci, in URSIV poslali zahtevane podatke. Prek omenjene platforme bo potekala vsa komunikacija z zavezanci, ki bodo tam lahko prijavili tudi morebitne kibernetske incidente. Platforma bo ob napadu smiselno obvestila vse pristojne službe, URSIV omogočila direktno komunikacijo z zavezancem in ob zahtevi napadenega podjetja ali druge službe policiji poslala prijavo kaznivega dejanja. Platformo bodo morali vzpostaviti najkasneje do junija 2026.

Uvaja se lestvica ocenjene kibernetske ogroženosti države

Zakon bo ponudil pravno podlago, da bodo lahko zavezancem v primeru velikih kibernetskih incidentov ponudili tehnične skupine za pomoč. "Vključili jih bomo v situacijski center kibernetske obrambe, ki ga gradimo skupaj z ministrstvom za obrambo in bo del urada za informacijsko varnost," je povedal Svete.

Z zakonom se spreminja tudi način ocenjevanja ogroženosti kibernetske varnosti v Sloveniji. Doslej je URSIV lahko razglasil stanje povečane ogroženosti. To so storili, ko je bilo ogroženih večje število ljudi, ki so na primer imeli ranljive naprave ali sisteme. Po novem bomo v Sloveniji imeli petstopenjsko lestvico, ki bo podobna lestvici teroristične ogroženosti države. Poleg tega bodo odgovornost za izvajanje ukrepov za kibernetsko varnost v skladu z zakonom prevzeli člani poslovodnih organov podjetij.

URSIV bo skušal poiskati tudi dodatne strokovnjake s področja kibernetske varnosti, se pa ob tem zavedajo, da je zaposlitev v javnem sektorju kljub plačni reformi pri iskanju kadrov težko konkurenčna zasebnemu sektorju in tujini.

Zakon bo po besedah direktorja urada Uroša Sveteta pomemben korak k temu, da bo prišlo do boljšega zaznavanja kibernetskih incidentov in hitrejšega odzivanja nanje, predvsem pa do bistveno manjše gospodarske škode, ki so jo kibernetski incidenti v zadnjih letih povzročili v Sloveniji in tudi v drugih državah. "Menimo, da bomo glede na vse izkušnje, ki jih imamo v zadnjih letih, ko je kibernetski prostor postal pravzaprav eden glavnih momentov tudi v geopolitičnem smislu, z zakonom dodatno okrepili sodelovanje ter obvladovanje kibernetskih incidentov in kriz tako v Sloveniji kot tudi v EU," je še dejal.