Z novim zakonom se bo v slovenski pravni red preneslo področno evropsko direktivo ter zagotovilo krepitev in nadaljnji razvoj zmogljivosti slovenske kibernetske obrambe, ki so bile zastavljene že v veljavnem zakonu iz leta 2018, je po seji vlade povedal direktor urada vlade za informacijsko varnost Uroš Svete.

Rok za prenos določb evropske direktive, bolj znane pod imenom NIS2, v nacionalne zakonodaje držav članic EU je potekel že 17. oktobra lani. Svete je povedal, da je v skladu z njo med drugim predvidena širitev kroga zavezancev, ki morajo sprejeti ukrepe za zagotavljanje kibernetske varnosti, tako da bodo med njimi subjekti tako javnega sektorja kot gospodarstva, pa tudi mestne občine.

Zavezanci bodo morali med drugim pripraviti oceno tveganj ter načrte za obvladovanje kibernetskih incidentov in za neprekinjeno poslovanje svojih bistvenih storitev. "Na eni strani bodo morali sami pri sebi urediti področje upravljanja z informacijskimi tehnologijami, na drugi pa bodo, če je takšna narava procesa, to zahtevali tudi od svojih dobaviteljev oz. zunanjih partnerjev," je povedal Svete.

Ker se dodajajo nove panoge in vključujejo vsa srednja in velika podjetja, bo zavezancev, ki bodo morali sprejeti specifične varnostne ukrepe ter uradu poročati o morebitnih incidentih, v skladu z novim zakonom precej več kot zdaj. "Danes imamo opravka z 80 zavezanci, po novem jih bomo imeli več kot 1000," je dejal. Če se je zdaj z zakonom ciljalo na najbolj pomembne akterje, se zdaj ta krog širi, je nadaljeval in ponazoril: "Lahko bomo videli, kaj se skriva pod vrhom ledene gore."

Zakon bo ponudil pravno podlago, da bodo lahko zavezancem v primeru velikih kibernetskih incidentov ponudili tehnične skupine za pomoč. "Vključili jih bomo v situacijski center kibernetske obrambe, ki ga gradimo skupaj z ministrstvom za obrambo in bo del urada za informacijsko varnost," je povedal. Investicijo v vrednosti 40 milijonov evrov je označil za veliko pridobitev za Slovenijo.

Zakon bo po njegovih besedah pomemben korak k temu, da bo prišlo do boljšega zaznavanja kibernetskih incidentov in hitrejšega odzivanja nanje, predvsem pa do bistveno manjše gospodarske škode, ki so jo kibernetski incidenti v zadnjih letih povzročili v Sloveniji in tudi v drugih državah. Na vprašanje, ali je Slovenija kibernetsko varna država, je odgovoril, da se gibljemo v zgornji sredini.

Izpostavil je, da informacijska varnost postaja odgovornost poslovodstva, "ne več nekih tehnikov, ki so bili ponavadi odgovorni za vse in na koncu tudi krivi za vse". Tudi zato bo v skladu z novim zakonom urad za informacijsko varnost izvajal izobraževanja za poslovodstvo, ki bodo obvezna. "To pomeni, da dejansko želimo kibernetsko in informacijsko varnost vključiti v upravljanje podjetja," je dejal.

Kot pomembno novost novega zakona je Svete omenil vzpostavitev platforme za samoregistracijo zavezancev, enotne platforme za prijavo incidentov in platforme za varno izmenjavo informacij. Za to bo skrbel urad za informacijsko varnost, ob čemer je direktor urada zagotovil, da bodo zavezancem kar se da olajšali administrativne postopke.

Sprejemu zakona v DZ bodo sledili predlog podzakonskih aktov in nove strategije kibernetske varnosti. Slednja bo usmerjena v kadre, je povedal Svete. Poleg tega bodo na uradu pripravili predlog zakona, ki se bo nanašal zgolj na financiranje kibernetske varnosti v slovenskih podjetjih, s čimer bo lahko Slovenija koristila dodatna evropska sredstva.

"Menimo, da bomo glede na vse izkušnje, ki jih imamo v zadnjih letih, ko je kibernetski prostor postal pravzaprav eden glavnih momentov tudi v geopolitičnem smislu, z zakonom dodatno okrepili sodelovanje ter obvladovanje kibernetskih incidentov in kriz tako v Sloveniji kot tudi v EU," je še dejal.