Zakon o informacijski varnosti (februar 2024)

Urad Vlade Republike Slovenije za informacijsko varnost je objavil predlog novega Zakona o informacijski varnosti (povezava).

Predlog zakona v šestem odstavku 3. člena izrecno navaja, da se zakon uporablja za mestne občine in občine, ki imajo sedeže v krajih, kjer so sedeži upravnih enot. Mestne občine bodo v skladu z zakonom “pomembni subjekti” in tako odgovorne za izvajanje ukrepov za obvladovanje tveganj za kibernetsko varnost v skladu z določbami tega zakona (19. člen).

Mestne občine bodo morale sprejeti ustrezne in sorazmerne tehnične, operativne in organizacijske ukrepe za obvladovanje tveganj za varnost omrežnih in informacijskih sistemov (20. člen). Ti ukrepi bodo morali obsegati najmanj:

1.    politike o analizi tveganja in varnosti informacijskih sistemov;

2.    obvladovanje incidentov;

3.    neprekinjeno poslovanje, vključno z upravljanjem varnostnih kopij in vnovično vzpostavitvijo delovanja po nepredvidljivih dogodkih ter za obvladovanje kriz;

4.    varnost dobavne verige, vključno z vidiki, povezanimi z varnostjo, ki se nanašajo na odnose med posameznim subjektom in njegovimi neposrednimi dobavitelji ali ponudniki storitev;

5.    varnost pri pridobivanju, razvoju in vzdrževanju omrežnih in informacijskih sistemov, vključno z obravnavanjem in razkrivanjem ranljivosti;

6.    politike in postopke za oceno učinkovitosti ukrepov za obvladovanje tveganj za kibernetsko varnost;

7.    osnovne prakse kibernetske higiene in usposabljanje na področju kibernetske varnosti;

8.    politike in postopke v zvezi z uporabo kriptografije in po potrebi šifriranjem;

9.    varnost človeških virov, politike nadzora dostopa in upravljanje sredstev;

10. uporabo večfaktorske avtentikacije ali rešitev neprekinjene avtentikacije, varovanih glasovnih, video in besedilnih komunikacij in varnih sistemov za komunikacije v sili znotraj subjekta, kadar je to primerno.

Mestne občine lahko pripombe na predlog zakona posredujejo na ZMOS do 11. 3. 2024.