Najlepša hvala za besedo.

Dobro jutro vsem!

Dovolite mi, da predstavim osnovne premise in namen sprememb Zakona o informacijski varnosti po nujnem postopku in seveda tudi naš odnos do amandmaja oziroma pojasnilo, zakaj in čemu je namenjen.

Torej, kot najbrž veste kot uporabniki, če ne drugače, je informacijska tehnologija izrazito dinamično razvojno okolje, še toliko bolj, seveda, je pa dinamično in spremenljivo okolje dela, ki se nanaša na kibernetsko varnost. Seveda, temu ustrezno moramo kot pristojni organ, ki pripravlja predpise s področja informacijske kibernetske varnosti, delovati tudi na Uradu Vlade Republike Slovenije za informacijsko varnost in slediti tako tehnološkim razvojem, izzivom, grožnjam kot tudi spremembam v smislu upravljanja oziroma v našem primeru, ko gre za organiziranost zlasti iz izvršne veje oblasti in povezanim s tem Zakonom o Vladi oziroma Zakonom o državni upravi. Nujni postopek je na tem področju varnosti pravzaprav bolj pravilo, žal, kot izjema, ker kot rečeno, smo ravno na področju normative skorajda vedno korak za aktivnostmi, ki jih imajo pravzaprav različni akterji v kibernetskem prostoru in jih lahko označujemo kot malopridne aktivnosti.

Namen te spremembe bi lahko v najkrajšem možnem okviru strnil v dejstvo, da smo imeli do sedaj v Republiki Sloveniji dva predpisa, ko gre za državno upravo in organe v tem smislu, ko gre za informacijsko varnost, torej Zakon o informacijski varnosti in Uredbo o informacijski varnosti v državni upravi, ki je nastala oziroma katera podlaga je bil Zakon o državni upravi. Ta dva predpisa si nista bila pravzaprav v harmoničnem odnosu, še celo več, bila sta na nekih točkah celo kontradiktorna in seveda je nujno potrebno, če želimo razviti kolikor toliko odporen sistem kibernetske varnosti, da imamo harmonizirane predpise. Torej, prvi namen seveda je bil ta, da se vse normativno pravzaprav okolje združi v krovnem zakonu, ki je Zakon o informacijski varnosti. In druga zadeva, kot sem že prej rekel, odraža se tudi pravzaprav sprememba v tem smislu v izvršni veji oblasti, kjer smo pravzaprav kot urad dejansko v poziciji, ko prevzemamo pravzaprav osebno vlogo za informacijsko varnost v državni upravi. Glede na to, da smo smiselno povezali, kot že rečeno, oba predpisa, smo tudi uvedli novo kategorijo zavezancev v predlog, ki ga imate pred sabo, to so tako imenovani povezani subjekti. Torej, tu imamo kategorijo pravzaprav povezanih subjektov, ki se vključujejo, priključujejo v centralni državni informacijsko-komunikacijski sistem. In seveda to je velik napredek, glede na to, da so bili ti akterji že sicer zavezani po prejšnji uredbi, vendar uredba ni poznala inšpekcijskega nadzora, to je bilo mnenje tudi Ministrstva za javno upravo. Prav tako pravzaprav ni bilo mogoče izdajati tem akterjem, ki se povezujejo v ta centralni sistem, informacijski sistem, zavezujočih navodil v primeru, ko gre za kibernetske incident napade; to smo sedaj uredili. Se pravi, ta situacija je v tem primeru sinhronizirana in nam daje tako z vidika preventive, ko gre za preprečevanje morebitnih incidentov, torej, ko gre za tako iskanje in opozarjanje na ranljivosti, kot tudi, ko gre za navodila, odločbe, ko gre za napade in v zadnji fazi za inšpekcijski nadzor teh izvajanj, nam da vso potrebno zakonsko osnovo.

Na koncu te kratke predstavitve se še zahvalil Zakonodajno-pravni službi za podano mnenje in seveda tudi za konstruktivno sodelovanje. In zaradi tega sodelovanja oziroma tega, bi rekel, konstruktivnega delovanja je bil tudi včeraj s strani koalicije, poslanskih skupin koalicije, torej Svobode, Socialnih demokratov in Poslanske skupine Levice, vložen amandma k 4. členu predlaganega zakona. Ta amandma podpiramo v tem smislu, da je pomemben doprinos k večji jasnosti in določnosti predlaganega zakona. Namreč, nanaša se na to, da smo dodatno definirali, kaj je ta centralno informacijsko- komunikacijski sistem. Smo pa tudi potem v amandmaju predlagali spremembo obveznosti oziroma sam naslov, ki se glasi Obveznosti povezanih subjektov.

No, morda bi še eno zadevo tudi komentiral, v zvezi s podanim mnenjem Zakonodajno-pravne službe k 11. členu predlaganega zakona, ko gre za razlikovanja v predvidenih pravzaprav oziroma predvidene prekrškovne ureditve. Torej, res je, da imamo sedaj po zakonu oziroma da bomo imeli po zakonu tri kategorije zavezancev, torej izvajalce bistvenih storitev, ki so v večini podjetja, pomembna seveda za delovanje države v sektorjih, ki so določeni. Potem so organi državne uprave kot tisti jedrni državni organi, brez katerih država kot taka ne more delovati in so pomembni tudi za nacionalno varnost. In tretja kategorija so ti povezani subjekti. No, in povezani subjekti seveda imajo v tem smislu resnično predvidene manjše, torej nižje prekrške. Namreč, mi tolmačimo, da načelo enakosti pred zakonom zahteva, da različne dejanske situacije različno obravnavamo. In ti povezani subjekti niso določeni kot zavezanci zato, ker bi bili tako silno pomembni za državo ali pa ker bi imeli neke bistvene storitve, ampak zato, ker se povezujejo v centralni informacijski sistem, ki je pomemben za državo in lahko zaradi svojega, bi rekel, svoje slabe kibernetske higiene ali pa ne obvladovanja kibernetskih incidentov vplivajo negativno na ta centralni informacijski sistem. S tega zornega kota so tudi njihove obveznosti nižje, kot so pri prvih dveh kategorijah zavezancev. In tudi temu ustrezno smo potem v prekrškovnem delu sledili tej logiki, se pravi, načela enakosti.

Naj za konec povem, da takšen pristop tudi nova evropska direktiva NIZ-2 uveljavlja, ki jo bomo v Sloveniji morali sprejeti, prenesti drugo leto, se pravi, jeseni 2024, z novim zakonom. In tudi ona pozna različne kategorije pravzaprav zavezancev in tudi tam seveda se predvidevajo različni mehanizmi, ko gre za samo izvajanje nadzora. Tako da ta neke vrste segmentacija ni slovenska specifika, ampak sledimo pravzaprav tudi mednarodnem okolju.

Toliko mogoče z moje strani. Seveda, če so kakršnakoli vprašanja ali komentarji, sva s pomočnikom in našo sistemsko pravnico z veseljem na voljo. Hvala.