Najlepša hvala.

Dobro jutro spoštovana predsednica odbora, spoštovane poslanke in poslanci!

Dovolite mi, da na kratko orišem namen in vsebino novega Zakona o informacijski varnosti, ki ga je pripravil urad kot pristojni organ za pripravo predpisov s področja informacijske in kibernetske varnosti. Seveda, kot sami veste in na žalost nas to tudi uči vsakodnevna praksa, je področje kibernetske varnosti izrazito intenzivno. Seveda tako z vidika groženj, ki se razvijajo, kot tudi z vidika odzivanja na te grožnje in nenazadnje tudi z vidika incidentov, ki jih dejansko vsakodnevno srečujemo. Tako, da je pravzaprav logično, da se mora tudi pravna materija, ki se ukvarja z informacijsko varnostjo temu ustrezno prilagajati. Evropska unija je v zadnjih desetih oziroma devetih letih sprejela dve direktivi, ki se tičeta pravzaprav kibernetske varnosti imenovane NIS, NIS 1, NIS 2. NIS 2, ta druga je bila sprejeta pred, se pravi leta 2000..., leta 2022, skratka in v principu nadaljujemo izhodišča, ki so bila postavljena že 2016. s prvo direktivo NIS. Seveda, vmes se je mnogo kaj zgodilo, tako z vidika groženj geopolitične situacije v svetu, tudi seveda z izkušnjami, ki smo jih imeli v pandemiji. Mnogi sektorji so postali popolnoma digitalizirani, ki prej pravzaprav še niso bili. In vsemu temu seveda se bo treba prilagoditi. Tako da logična posledica je bila tudi ta, da čeprav smo amandmirali že prejšnji zakon oziroma novelirali kar nekajkrat, se je potem seveda postavilo, postavila nova naloga, da se pripravi nov sistemski zakon s področja informacijske in kibernetske varnosti.

S tem predlogom, ki ga imate na mizi, Slovenija prenaša NIS 2 direktivo, ampak ne samo to, to se pravi, pomembno je, da mi informacijsko in kibernetsko varnost razumemo tudi kot seveda nacionalno, specifično vejo nacionalne varnosti. In tudi zato smo v predlogu predpisa v dveh smereh nadaljevali izkušnje in zahteve, po eni strani iz direktive, to je pa na nek način seveda minimalna harmonizacija, kar je zaveza vseh držav članic Evropske unije. Po drugi strani pa nadgraditi in izboljšati nacionalne specifike, ki smo nekatere imeli že v prejšnjem zakonu zelo dobre, nekatere seveda pa smo tudi v tem predlogu predpisov pripravili, popravili. Sam zakon je bil izjemno široko pravzaprav zastavljen tudi z vidika sodelovanja z akterji, ki so bili vključeni, tako da smo imeli dve javni obravnavi na eDemokraciji, imeli smo tri kroge medresorskega usklajevanja. Želeli smo dejansko narediti zakon, ki bo operativen, glede na to, da smo tudi organ, ki se operativno ukvarja s kibernetsko informacijsko varnostjo, in da bo dejansko ne samo še en dodaten birokratski predpis za nove zavezance in izvajalce zakona. Seveda tukaj moram poudariti, da zakon dejansko izjemno širi področje delovanja, tako da, tako v gospodarskem smislu namreč imamo precej več sektorjev, kot smo jih imeli v prvem zakonu, sektorju seveda, v katerih gospodarske družbe delujejo. Po drugi strani pa imamo enotno metodologijo, kdo bo vse zavezanec po novem zakonu, se pravi, v principu se bo nanašal na srednja in velika podjetja v 18. sektorjih, ki so definirani v prilogi zakona, v nekaterih primerih pa tudi na manjša podjetja, sploh tam, kjer so to podjetja, ki se seveda ukvarjajo z digitalno, digitalno infrastrukturo, kot so storitve zaupanja, kot seveda so domenski / nerazumljivo/ in tako naprej, tam so pa seveda vsi zavezani, ne glede na število zaposlenih. Po drugi strani, kar je zelo pomembno, zakon na nivoju EU prvič, kot eminenten sestavni del definira tudi javni sektor. Mi smo imeli že v sedanjem zakonu to urejeno, vendarle tukaj moram poudariti, da javni sektor postaja zaveza vseh držav članic in tudi zato seveda smo morali tudi ta sektor pravzaprav še delno razširiti, kar se tiče samih zavezancev in s tega zornega kota menimo, da je pravzaprav zelo pomembno, da se tudi javni organi, se pravi agencije, ministrstva in tako naprej, vključijo v samo materijo.

Naj še povem, da kar se tiče same, pravzaprav same vsebine, da bo zakon zelo pomembno spremenil način dojemanja kibernetske varnosti. Torej, to ni več samo zgolj tehnični, bi rekel, vidik, ampak je vsebina s katero se mora ukvarjati poslovodstva in vodstva organov, ki so zavezani. To pomeni, da zakon dejansko izhaja iz tako imenovanega vseobsežnega pristopa, v angleščini se temu reče / nerazumljivo/, ki pomeni, da grožnje kibernetske varnosti ne izhajajo samo iz kibernetskega prostora, ampak tudi iz naravnega okolja. Kot sami veste, smo imeli zelo, bi rekel, veliko in pomembno izkušnjo iz poplav pred nekaj leti, ki so zelo, v veliki meri, bi rekel, prizadele tudi digitalno infrastrukturo in tam smo videli, kaj pomeni tudi, ko poplave pravzaprav prekinejo informacijsko delovanje določenega dela države. Skratka to, ta moment je zelo pomemben in seveda nenazadnje tudi človek je del kibernetskega prostora.

Se pravi, kar seveda izhaja tudi v logičnih ukrepih, da se seveda sama informacijska varnost ne more zagotavljati zgolj in samo s tehničnimi ukrepi. To je zelo pomembno. Ne glede na to menimo, da bodo potrebna dodatna finančna in kadrovska, bi rekel, sredstva, investicije tako na ravni države kot na ravni podjetij, pa vendarle navkljub temu bodo ta sredstva, te investicije bistveno manjše kot so posledice samih incidentov in napadov. Namreč, sama ideja, NIS2 direktive je ravno ta, da se z novimi zavezami pravzaprav izboljša konkurenčnost evropskega gospodarstva in tukaj moram tudi poudariti pomembnost dobavnih verig, zlasti za slovensko gospodarstvo, ki je zelo izvozno usmerjeno in odprto in podporno za tudi večje ekonomije in seveda zaveza, in torej obveznost zavezancev bo, da bodo tudi zelo natančno spremljali dobavno verigo, svojo dobavno verigo, kako se drži pravil informacijske varnosti. Skratka, ta del mislim, da je velik korak naprej, da pravzaprav s tem zelo izboljšujemo osnovo, po drugi strani pa nadgrajujemo tudi sistemske ukrepe in odzivanje, od seveda obvladovanja kibernetskih kriz do sodelovanja v Evropski uniji, znotraj Evropske unije, in predvsem, kar je zelo pomembno, sodelovanje znotraj države Republike Slovenije. Torej, mi nadgrajujemo kibernetsko obrambo kot eno specifiko, ki smo jo poznali, ki jo poznamo že od 2018. leta. Ta moment je zelo pomemben, ker se integrira različne organe in sedaj tudi prvič odpiramo možnost sodelovanja posameznikom, da se pridružijo pravzaprav kibernetski obrambi kot del kibernetske rezerve. To mislim, da je zelo pomembno, da razumemo samo poslanstvo, pa tudi naravo kibernetskega prostora, ki je izrazito pravzaprav dvojen, ko gre za vlogo države in pa zasebnega sektorja pri zagotavljanju same varnosti.

Zdaj, kar se tiče, da zaključim samo pravzaprav usklajevanje. Mi smo resnično v tem predlogu poskušali slediti izkušnjam, interesom seveda države kot take in nenazadnje tudi pobudam, ki smo jih dobili. Tako da tako se pravi, v sami javni obravnavi, kot v medresorskem usklajevanju in ne nazadnje tudi potem v usklajevanju z Zakonodajno-pravno službo Državnega zbora, ki se ji tudi zahvaljujem za zelo obširno mnenje o zakonu. Skratka, dejstvo je, da na vsak način želimo pravzaprav kar se da kvaliteten predpis, ki, kot rečeno, bo omogočal operativno delovanje in odzivanje na kibernetske incidente in grožnje. In seveda tudi dal nek nov zagon tako državi kot podjetjem, ker kot sami veste, če smo nekoč imeli digitalni svet, pa kibernetski svet, se danes pravzaprav te ločnice več ne da potegniti in so tudi zato danes novi sektorji povezani z, bi rekel, storitvami, kot so, ne vem, odpadne vode, kot je jasno, energetika, kot so poštne storitve, digitalna infrastruktura. Skratka, pravzaprav danes zelo težko najdemo še neko gospodarsko dejavnost in panogo, ki naj bi bila odvisna od digitalne infrastrukture in s tega zornega kota je predpis izjemno horizontalen, moram pa tudi poudariti, da je usklajen s parcialnimi predpisi, tako z vidika kritične infrastrukture, - nov Zakon o kritični infrastrukturi ste poslanci in poslanke že sprejeli, - kot tudi z vidika uredbe Dora, ki se nanaša na finančni sektor.

Skratka, dejstvo je, da bodo se tudi v prihodnje še razvijale parcialne, bi rekel, pravne norme, ker se tudi seveda tehnologija diverzificira po posameznih sektorjih, ampak osnovni horizontalni predpis pa seveda mora biti, jasno, Zakon o informacijski varnosti.

Tako, da toliko mogoče za uvod, da ne bom predolg. Hvala še enkrat za besedo in seveda smo pripravljeni na pojasnila in na vaša vprašanja.