7 določil ZInfV-1, ki bodo mnoge najbrž presenetila

Zakon o informacijski varnosti (ZInfV-1) ni zgolj IT ali tehnični zakon, temveč je upravljavski, odgovornostni in nacionalno varnostni, saj pomembno spreminja razmerje med državo, organizacijami in njihovimi vodilnimi.

Zato v nadaljevanju predstavljamo sedem določil ZInfV-1, ki bodo mnoge uprave in nadzorne svete morda presenetile, ko se bodo z zakonom srečali v praksi.

1. Zavezanci so lahko tudi manjša podjetja

Zakon načeloma cilja na večje organizacije (≥ 50 zaposlenih in ≥ 10 mio € prihodkov), vendar v 6. členu določa več izjem, kjer velikost ni odločilna.

Zavezanec ste lahko tudi kot na primer:

• edini ponudnik določene storitve v Republiki Sloveniji,
• subjekt, katerega izpad bi lahko pomembno vplival na javno varnost ali javno zdravje,
• subjekt posebnega pomena za državo ali lokalno skupnost.

Za številna manjša in specializirana podjetja to pomeni, da lahko spadajo med zavezance, ne da bi se tega sploh zavedali.

2. Načelo vseh nevarnosti

ZInfV-1 temelji na načelu vseh nevarnosti (all hazards), po katerem se informacijska in kibernetska varnost obravnavata ne glede na izvor grožnje.

Varnostni ukrepi in odzivi se nanašajo na učinek dogodka na delovanje sistemov, ne glede na to, ali grožnja izvira iz:

• kibernetskih napadov,
• tehničnih okvar,
• človeških napak ali zlorab,
• naravnih nesreč ali
• drugih nekibernetskih ali hibridnih vzrokov.

Načelo je razvidno iz namena zakona (2. člen) ter iz povezovanja kibernetskih incidentov z nekibernetskimi in hibridnimi tveganji v okviru strategije in kriznega upravljanja (9. in 12. člen).

3. Preverjanje dejanske tehnične odpornosti

Inšpekcijski nadzor po ZInfV-1 ni omejen zgolj na pregled pravilnikov in formalnih politik, temveč v skladu z opredelitvijo iz 5. člena (inšpekcijski varnostni pregled) lahko vključuje:

• identifikacijo ranljivosti,
• preverjanje učinkovitosti varnostnih ukrepov,
• oceno sposobnosti zaznavanja in odzivanja na kibernetske incidente.

To pomeni, da dokumentacija brez dejansko delujočih varnostnih mehanizmov ne zadostuje. 

4. Prepoved opravljanja dejavnosti in vodstvenih funkcij

V primeru hujših ali ponavljajočih se kršitev zakonodaja poleg drugih ukrepov v 46. členu omogoča:

• začasno prepoved opravljanja dejavnosti zavezanca in
• prepoved opravljanja poslovodstvenih oziroma vodstvenih funkcij odgovornim osebam.

Gre za enega ostrejših mehanizmov zakona, saj odgovornost ni več omejena zgolj na organizacijo, temveč lahko neposredno prizadene vodstvo.

5. Preverjanje preteklosti ključnih oseb

V 23. členu zakon določa možnost varnostnega preverjanja oseb, ki imajo ali bodo imele pooblastila za:

• neposredni ali oddaljeni dostop do ključnih informacijskih sistemov,
• sodelovanje pri obvladovanju incidentov.

Preverjanje se lahko nanaša tudi na zaposlene pri pogodbenih izvajalcih, kar pomembno razširja obseg tega določila. Pri tem ne gre za klasično nekaznovanost, temveč za presojo z vidika varnostnega tveganja in zanesljivosti.

6. Upoštevajo se tudi skorajšnji incidenti

Prijava ni obvezna zgolj za incidente, ki so že povzročili škodo, ampak so v skladu z 29. členom relevantni tudi dogodki, ki bi lahko povzročili resne motnje pri izvajanju storitev ali premoženjsko oziroma nepremoženjsko škodo, vendar so bili pravočasno preprečeni.

7. Javno komuniciranje v primeru incidenta

Če kibernetski incident preraste v dogodek nacionalne razsežnosti, v skladu z 12. členom:

• komunikacijo z javnostjo koordinira pristojni nacionalni organ,
• sporočila za javnost pripravi služba vlade,
• mediji jih smejo objaviti le v nespremenjeni obliki.

V takih primerih organizacija nima več popolnega nadzora nad javnim komuniciranjem, saj prevlada javni interes in nacionalna varnost.

Podobnih določil je v ZInfV-1 še več.

Zato je za uprave, nadzorne svete in vodilne v organizacijah priporočljivo, da zakon vsaj preberejo in ga ne obravnavajo zgolj kot še eno obveznost, temveč kot del upravljanja tveganj in njihovih odgovornosti.