39.a člen (prekrški povezanih subjektov) (1) Z globo od 500 do 10.000 eurov se za prekršek kaznuje pravna oseba, če: -        ne določi kontaktne osebe za informacijsko varnost in njenega namestnika ali ne posreduje njunih kontaktnih podatkov pristojnemu nacionalnemu organu (1. točka prvega odstavka 18.a člena tega zakona), -        ne pripravi analize obvladovanja tveganj informacijske varnosti z oceno sprejemljive ravni tveganj (2. točka prvega odstavka 18.a člena tega zakona), -        ne sprejme ali izvaja minimalnega obsega varnostnih ukrepov za zagotavljanje celovitosti, zaupnosti in razpoložljivosti omrežja in informacijskih sistemov, ki upoštevajo posebne potrebe delovnega področja povezanega subjekta (3. točka prvega odstavka 18.a člena tega zakona), -        ne pripravi navodil in postopkov za obvladovanje incidentov informacijske varnosti s protokolom obveščanja CSIRT organov državne uprave (4. točka prvega odstavka 18.a člena tega zakona), -        ne izvede odrejenih ukrepov CSIRT organov državne uprave v svojem informacijsko-komunikacijskem sistemu (četrti odstavek 29. člena tega zakona). (2) Z globo od 500 do 10.000 eurov se za prekršek iz prejšnjega odstavka kaznuje samostojni podjetnik posameznik ali posameznik, ki samostojno opravlja dejavnost. (3) Z globo od 200 do 2.000 eurov se za prekršek iz prvega odstavka tega člena kaznuje odgovorna oseba pravne osebe, samostojnega podjetnika posameznika oziroma posameznika, ki samostojno opravlja dejavnost, ter odgovorna oseba v državnem organu ali samoupravni lokalni skupnosti. 39.b člen (prekrški upravljavca centralnega informacijsko-komunikacijskega sistema) Z globo od 200 do 2.000 eurov se za prekršek kaznuje odgovorna oseba upravljavca centralnega informacijsko-komunikacijskega sistema, če: -        ne omogoča vpogleda v delovanje informacijske infrastrukture centralnega informacijsko-komunikacijskega za CSIRT organov državne uprave (tretji odstavek 29. člena tega zakona), -        ne izvede odrejenih ukrepov CSIRT organov državne uprave v svojem informacijsko-komunikacijskem sistemu (četrti odstavek 29. člena tega zakona).

34.a člen (nadzor nad povezanimi subjekti) (1) Inšpektor nadzira, ali povezani subjekti izpolnjujejo svoje obveznosti iz prve, druge, tretje in četrte alineje 18.a člena tega zakona, iz odločb, izdanih na podlagi četrtega odstavka 21. člena in četrtega odstavka 22. člena tega zakona, ter ali izvajajo na njihovi podlagi določene ukrepe za varnost omrežij in informacijskih sistemov ter ukrepe, odrejene na podlagi četrtega odstavka 29. člena tega zakona. (2) Inšpektor lahko od povezanih subjektov zahteva, da predložijo informacije, potrebne za oceno varnosti njihovih omrežij in informacijskih sistemov oziroma informacijskih storitev, vključno z dokumentiranimi varnostnimi pravili, ter dokaze o učinkovitem izvajanju varnostnih pravil. Kadar inšpektor zahteva take informacije ali dokaze, navede namen te zahteve in opredeli, katere dodatne informacije so potrebne. (3) Za dokaz o učinkovitem izvajanju varnostnih pravil iz prejšnjega odstavka se šteje ocena varnosti omrežij in informacijskih sistemov, ki jo je za povezane subjekte pripravil kvalificirani revizor. (4) Inšpektor lahko na podlagi ocene varnosti iz prejšnjega odstavka povezanih subjektov izreka ukrepe za odpravo ugotovljenih pomanjkljivosti. 34.b člen (nadzor nad upravljavcem centralnega informacijsko-komunikacijskega sistema) (1) Inšpektor nadzira, ali upravljavec centralnega informacijsko-komunikacijskega sistema izpolnjuje svoje obveznosti iz tretjega odstavka 29. člena tega zakona in ali izvaja ukrepe, odrejene na podlagi četrtega odstavka 29. člena tega zakona. (2) Inšpektor lahko od upravljavca centralnega informacijsko-komunikacijskega sistema zahteva, da predloži potrebne informacije za izvedbo nadzora iz prejšnjega odstavka. Kadar inšpektor zahteva take informacije ali dokaze, navede namen te zahteve in opredeli, katere dodatne informacije so potrebne. (3) Inšpektor lahko na podlagi ocene izpolnjevanja obveznosti in izvajanja ukrepov iz prvega odstavka tega člena izreka ukrepe za odpravo ugotovljenih pomanjkljivosti.

(5) Inšpektor lahko v inšpekcijskem postopku na podlagi obrazloženega predloga zavezanca za podaljšanje rokov za odpravo nepravilnosti in pomanjkljivosti, ki je dan pred potekom roka za izvedbo odrejenih ukrepov, podaljša roke za odpravo nepravilnosti in pomanjkljivosti oziroma izvedbo odrejenih ukrepov, pri tem pa upošteva že izvedene aktivnosti zavezanca za odpravo nepravilnosti in pomanjkljivosti, objektivne okoliščine za zamudo in posledice za javni interes.

, ter nad izvajanjem odrejenih ukrepov iz četrtega dostavka 29. člena tega zakona

(2) CSIRT organov državne uprave poleg drugih nalog, določenih s tem zakonom, izvaja še naslednje naloge: 1.      sprejema priglasitve incidentov, obravnava ter ocenjuje incidente informacijske varnosti v državni upravi in se odziva nanje ter podatke o tem evidentira, hrani in varuje; 2.      zavezancem, za katere je pristojen, nudi metodološko podporo, pomoč in sodelovanje pri pojavitvi incidenta; 3.      spremlja in se odziva na incidente v organih državne uprave in povezanih subjektih; 4.      opozarja, obvešča ter razširja informacije o tveganjih in incidentih informacijske varnosti v državni upravi in povezanih subjektih ter objavlja opozorila o tveganjih in ranljivostih na področju informacijske varnosti; 5.      opravlja dinamične analize tveganja in incidentov informacijske varnosti ter spremlja razmere; 6.      izmenjuje informacije o incidentih informacijske varnosti s skupinami za odzivanje na incidente informacijske varnosti v državi in tujini; 7.      sodeluje z nacionalnim CSIRT in pristojnim nacionalnim organom ter jima na poziv na varen način nudi informacije o izvajanju svojih pristojnosti na podlagi tega zakona.

(3) CSIRT organov državne uprave je za namen učinkovitega izvajanja nalog informacijske in kibernetske varnosti ter kibernetske obrambe pooblaščen za neposredni, nujni in sorazmerni vpogled v delovanje informacijske infrastrukture centralnega informacijsko-komunikacijskega sistema, upravljavec centralnega informacijsko-komunikacijskega sistema pa mu mora to omogočiti. (4) Za namen pravočasnega odzivanja na kibernetske grožnje in preprečevanja škodljivih posledic morebitnega težjega ali kritičnega incidenta ter zaradi izvajanja kibernetske obrambe je CSIRT organov državne uprave pooblaščen, da upravljavcu centralnega informacijsko-komunikacijskega sistema oziroma povezanim subjektom odredi ustrezne, nujne in sorazmerne ukrepe, ki jih morajo ti nemudoma oziroma v postavljenem roku izvesti v svojem informacijsko-komunikacijskem sistemu.

(3) Pristojni nacionalni organ je pristojen za načrtovanje in upravljanje proračunskih virov na področju informacijske varnosti v državni upravi, razen za izvajanje tehničnih nalog informacijske varnosti oziroma kibernetske obrambe pri upravljanju centralnega informacijsko-komunikacijskega sistema oziroma upravljanju informacijsko-komunikacijskih sistemov, namenjenih področju obrambe, varstva pred naravnimi in drugimi nesrečami, policije, internega informacijskega sistema notranjih zadev, obveščevalno-varnostne dejavnosti, zunanjih zadev, preprečevanja in odkrivanja pranja denarja in financiranja terorizma ter opravljanja plačilnega prometa za proračunske uporabnike.

19.   določi enotno informacijsko varnostno politiko, razen za informacijsko-komunikacijske sisteme, namenjene področju obrambe, varstva pred naravnimi in drugimi nesrečami, policije, internega informacijskega sistema notranjih zadev, obveščevalno-varnostne dejavnosti, zunanjih zadev, preprečevanja in odkrivanja pranja denarja in financiranja terorizma ter opravljanja plačilnega prometa za proračunske uporabnike.

izvajalcev bistvenih storitev in

preprečevanja in

ministrstvo, pristojno za upravljanje informacijsko-komunikacijskih sistemov,

V.a Informacijska varnost povezanih subjektov 18.a člen (obveznosti povezanih subjektov) (1) Povezani subjekti so zavezani za izpolnjevanje obveznosti po tem zakonu, in sicer za: -        določitev kontaktne osebe za informacijsko varnost in njenega namestnika ter za posredovanje njunih kontaktnih podatkov pristojnemu nacionalnemu organu in vsakokratnih sprememb teh podatkov v 15 delovnih dneh od njihovega nastanka, -        pripravo analize obvladovanja tveganj informacijske varnosti z oceno sprejemljive ravni tveganj, -        sprejetje in izvajanje minimalnega obsega varnostnih ukrepov za zagotavljanje celovitosti, zaupnosti in razpoložljivosti omrežja in informacijskih sistemov, ki upoštevajo posebne potrebe delovnega področja povezanega subjekta, ter -        pripravo navodil in postopkov za obvladovanje incidentov informacijske varnosti s protokolom obveščanja CSIRT organov državne uprave, ki mu priglašajo incidente z možnim vplivom na centralno državno informacijsko-komunikacijsko omrežje oziroma sistem (v nadaljnjem besedilu: centralni informacijsko-komunikacijski sistem). (2) Vlada podrobneje določi način izvajanja obveznosti iz prejšnjega odstavka in minimalni obseg varnostnih ukrepov povezanih subjektov glede informacijske varnosti ter metodologijo za pripravo analize obvladovanja tveganj iz druge alineje prejšnjega odstavka. (3) V zvezi s priglasitvijo incidentov povezanih subjektov CSIRT organov državne uprave se smiselno uporabljajo tretji, četrti, peti in šesti odstavek 18. člena tega zakona. (4) Centralni informacijsko-komunikacijski sistem je osrednji državni informacijsko-komunikacijski sistem v upravljanju ministrstva, pristojnega za upravljanje informacijsko-komunikacijskih sistemov, namenjen povezovanju lokalnih omrežij organov državne uprave in drugih subjektov za namene izvrševanja njihovih zakonskih obveznosti ter dostopu do skupnih informacijskih rešitev in informacijsko-komunikacijske infrastrukture preko centraliziranega upravljanja in nadzora. Centralni informacijsko-komunikacijski sistem uporabnikom zagotavlja tudi varen dostop do interneta.

(6) Dnevniški zapisi o delovanju ključnih, krmilnih ali nadzornih informacijskih sistemov ali delov omrežja iz prejšnjega odstavka morajo biti hranjeni na način, ki zagotavlja njihovo avtentičnost, celovitost in razpoložljivost v primeru incidentov.

, lahko pa tudi za daljše obdobje, kadar iz analize obvladovanja tveganj in ocene sprejemljive ravni tveganj izhaja, da bi bilo tveganja ustrezno obvladovati z daljšo hrambo dnevniških zapisov

in preprečevanja

, in -        državni organi, organi lokalnih skupnosti, javne agencije in nosilci javnih pooblastil ter drugi subjekti, ki niso organi državne uprave iz prejšnje alineje ali izvajalci bistvenih storitev iz prve alineje tega odstavka in se povezujejo s centralnim državnim informacijsko-komunikacijskim omrežjem oziroma sistemom (v nadaljnjem besedilu: povezani subjekti).