Zakon o informacijski varnosti ureja področje informacijske in kibernetske varnosti ter vzpostavlja nacionalni sistem za informacijsko varnost v Sloveniji. Določa, katere pristojnosti in naloge imajo posamezni nacionalni organi, organ za obvladovanje večjih incidentov in kriz, enotna kontaktna točka ter skupine za odzivanje na računalniške incidente (CSIRT skupine). Zakon predvideva tudi sprejem Strategije kibernetske varnosti Republike Slovenije, določa področje kibernetske obrambe ter načine sodelovanja med pristojnimi organi in CSIRT skupinami. Za nemoteno delovanje ključnih družbenih in gospodarskih dejavnosti predpisuje ukrepe za upravljanje kibernetskih tveganj, obveznosti poročanja zavezancev o incidentih ter možnost prostovoljnega obveščanja o dogodkih. Prav tako določa pravila za izmenjavo informacij, nadzor nad izvajanjem varnostnih ukrepov ter področje certificiranja na področju kibernetske varnosti.
ZInfV-1 bo pomembno prispeval k večji kibernetski odpornosti slovenskega gospodarstva. Podjetja bodo okrepila zaščito omrežij in informacijskih sistemov, kar bo zmanjšalo tveganje napadov in finančne posledice. Zakon uvaja obveznosti za upravljanje tveganj in odzivanje na incidente, kar povečuje pripravljenost na kibernetske grožnje. Uskladitev z evropskimi pravili in standardizacija postopkov bosta olajšali čezmejno poslovanje, zlasti za izvoznike. Naraščajoče povpraševanje po varnostnih rešitvah bo spodbujalo inovacije, ustvarjalo nova delovna mesta in krepilo regijski razvoj. Zakon bo prispeval tudi k zmanjšanju gospodarskih izgub, večjemu zaupanju uporabnikov v digitalne storitve ter spodbudil tesnejše sodelovanje med javnim in zasebnim sektorjem. Na dolgi rok bodo vlaganja v varnost upravičena skozi preprečene incidente, nižje stroške ter učinkovitejšo izmenjavo znanja in virov.
Nov Zakon o informacijski varnosti in ključne novosti
Nov Zakon o informacijski varnosti prinaša nekatere ključne novosti. To so med drugim:
- Razširitev kroga zavezancev.
- Obveznost samoregistracije.
- Dodatni ukrepi za obvladovanje tveganj.
- Izvajanje ocene in samoocene skladnosti.
- Izvajanje rednega usposabljanja odgovornih oseb.
- Vzpostavitev usklajenega razkrivanja ranljivosti.
- Krepitev zaupanja v IKT proizvode, storitve in postopke.
Po novem so zavezanci vse organizacije iz kritičnih sektorjev (na primer zdravstvo, energetika, IT, promet, bančništvo in podobno) ter srednje velika podjetja z več kot 50 zaposlenimi ali letnim prometom nad 10 milijoni evrov. Vlada lahko določi tudi dodatne zavezance glede na njihov pomen za nemoteno delovanje družbe. Zakon o informacijski varnosti uvaja tudi konkretne obveznosti, ki jih morajo organizacije sistemsko uvesti. To so: redno preverjanje varnostnih kopij in dnevniških zapisov; redno ocenjevanje tveganj; vzpostavitev varnostnih politik in postopkov; preverjanje identitet uporabnikov ter upravljanje dostopov po načelu najmanjših pravic; sistematično izobraževanje zaposlenih o kibernetski varnosti; varnostne politike za ključne dobavitelje (nadzor nad dobavno verigo); učinkovito obvladovanje varnostnih incidentov ter obvezno poročanje v zakonskih rokih. Poleg tega IT oddelki niso več edini, odgovorni za kibernetsko varnost. Zakon določa, da morajo člani poslovodstva dokazljivo zagotavljati izvajanje varnostnih politik. Nadzirati morajo tudi uresničevanje le-teh, saj je za neizpolnjevanje uvedena osebna odgovornost. Z zakonom so določene tudi visoke denarne kazni in drugi ukrepi za neskladnosti. Pri tem ima Urad za informacijsko varnost ključno vlogo pri nadzoru izvajanja zakona; svetovanju zavezancem; pripravi smernic in standardov ter usklajevanju nacionalnih prizadevanj na področju kibernetske varnosti.
Kaj to pomeni za Vas?
Če vaše podjetje sodi med zavezance po novem zakonu, boste morali oceniti vaše obstoječe ukrepe informacijske varnosti; vzpostaviti ali posodobiti varnostne politike in postopke; zagotoviti redno usposabljanje zaposlenih ter vzpostaviti mehanizme za učinkovito obvladovanje in poročanje o varnostnih incidentih.
Pri vsem zgoraj naštetem Vam lahko pomagamo tudi mi. Z našimi strokovnjaki iz različnih področjih smo vam vedno na voljo.
