Zakon o elektronskih komunikacijah (ZEKom)

Zakon o elektronskih komunikacijah opredeljuje dolžnosti operaterjev, ki zagotavljajo delovanje komunikacijskih omrežij. ZEKom-1 prinaša kar nekaj novosti na področju varnosti omrežij, saj v VII. poglavju obravnava “varnost omrežij in storitev ter delovanje v izjemnih stanjih,” kjer določi, da morajo operaterji izdelati varnostni načrt, v njem pa predvideti ukrepe za zmanjševanje verjetnosti nastopa varnostnega incidenta, ter definirati ukrepe, če do njega pride. Operaterji morajo o kršitvah varnosti in celovitosti obveščati regulatorni organ (Apek, Agencijo za pošto in elektronske komunikacije), ta pa v primeru varnostnih incidentov lahko primer posreduje na SI-CERT (81. člen).

XII. poglavje obravnava “obdelavo osebnih podatkov in varstvo zasebnosti elektronskih komunikacij”. Opredeljuje tudi hrambo prometnih podatkov in neželene komunikacije (spam), vendar ta del opisujemo posebej.

VII. VARNOST OMREŽIJ IN STORITEV TER DELOVANJE V IZJEMNIH STANJIH

79. člen
(varnost omrežij in storitev)

(1) Operaterji morajo sprejeti ustrezne tehnične in organizacijske ukrepe za ustrezno obvladovanje tveganja za varnost omrežij in storitev, zlasti zaradi preprečevanja in zmanjševanja učinkov varnostnih incidentov na uporabnike in medsebojno povezana omrežja. Sprejeti ukrepi morajo ob upoštevanju stanja zagotoviti raven varnosti, primerno predvidenemu tveganju.

(2) Med ukrepe iz prvega odstavka spada tudi sprejem in izvajanje ustreznega varnostnega načrta, ki ga operater določi kot poslovno skrivnost.

(3) Varnostni načrt zajema najmanj:

– opredelitev vseh varnostnih tveganj znotraj operaterja, kakor tudi tistih zunaj operaterja, ki lahko ogrozijo delovanje javnega komunikacijskega omrežja oziroma lahko motijo delovanje javno dostopnih elektronskih komunikacijskih storitev, ki jih ta operater ponuja,

– opredelitev verjetnosti dogodka za vsa varnostna tveganja iz prejšnje alineje,

– opredelitev stopnje negativnih učinkov in posledic za delovanje javnega komunikacijskega omrežja, in za javno dostopne komunikacijske storitve za vsa varnostna tveganja iz prve alineje,

– opredelitev ukrepov za zmanjšanje verjetnosti za nastop varnostnega incidenta,

– opredelitev ukrepov za zmanjšanje negativnih učinkov in omilitev posledic varnostnega incidenta,

– opredelitev ustreznega načina organiziranja varnosti znotraj operaterja, katerega integralni del je varnost omrežja, informacijskega sistema in fizično varovanje objektov in naprav,

– opredelitev ustreznega načina zagotovitve kadrovske zasedbe na ključnih delovnih mestih pri operaterju, ki se poklicno ukvarjajo z varnostjo,

– opredelitev načina rednega preverjanja skladnosti izvajanih ukrepov in postopkov s tistimi, ki so opisani v varnostnem načrtu.

80. člen (celovitost omrežij)

Operaterji omrežij morajo sprejeti vse potrebne ukrepe za zagotovitev celovitosti svojih omrežij, da se zagotovi neprekinjeno izvajanje storitev prek teh omrežij.

81. člen

(obveznost obveščanja in poročanja o kršitvah varnosti ali celovitosti)

(1) Operaterji morajo, takoj ko to zaznajo, obvestiti agencijo o vseh kršitvah varnosti ali celovitosti, če so te kršitve pomembno vplivale na delovanje javnih komunikacijskih omrežij ali izvajanje javnih komunikacijskih storitev.

(2) Agencija o posameznih kršitvah varnosti omrežij in storitev ter o kršitvah celovitosti omrežij po potrebi in glede na stopnjo kršitve obvešča nacionalno kontaktno točko za obravnavo varnostnih incidentov (SI-CERT).

(3) Agencija obvešča o posameznih kršitvah varnosti omrežij in storitev ter o kršitvah celovitosti omrežij po potrebi in glede na stopnjo kršitve nacionalne regulatorne organe v drugih državah članicah EU in Evropsko agencijo za varnost omrežij in informacij (ENISA).

(4) Če agencija meni, da je razkritje kršitve iz prejšnjega odstavka v javnem interesu, lahko o tem sama obvesti javnost ali pa to naloži operaterju, ki ga zadeva kršitev varnosti in celovitosti.

(5) Agencija Evropski komisiji in ENISA vsako leto najpo- zneje do konca februarja za preteklo leto predloži kratko letno poročilo o prejetih prijavah in ukrepih, ki so bili sprejeti v skladu s prvim, drugim oziroma tretjim odstavkom tega člena.

82. člen (revizija varnosti)

(1) Operaterji morajo na zahtevo agencije privoliti v revizijo varnosti, ki jo na stroške operaterja izvede usposobljena neodvisna organizacija, ki rezultate te revizije, ki ohrani stopnjo zaupnosti iz drugega odstavka 79. člena tega zakona, posreduje agenciji in revidirancu.

(2) Operater mora za izvedbo revizije iz prejšnjega odstavka izbrati eno izmed neodvisnih revizijskih organizacij, ki so registrirane pri Slovenskem inštitutu za revizijo, ter o izbrani revizijski organizaciji in o začetku postopka revizije varnosti obvestiti agencijo v roku 30 dni od zahteve agencije iz prejšnjega odstavka.

(3) V primeru, da operater ne ravna v skladu s prejšnjim odstavkom, določi agencija neodvisno revizijsko organizacijo, ki je registrirana pri Slovenskem inštitutu za revizijo, za izvedbo revizije iz prvega odstavka tega člena. Stroške revizije poravna revidiranec.

83. člen
(ukrepi v primeru izjemnih stanj)

(1) Operaterji morajo v primeru izjemnih stanj prednostno zagotavljati delovanje tistih delov omrežja, ki so nujni za nemoteno delovanje omrežij nosilcev varnostnega in obrambnega sistema ter sistema zaščite in reševanja. Za čim krajše izpade teh omrežij morajo operaterji po potrebi predvideti tudi nadomestne poti. S tem namenom morajo svoje ukrepe predhodno uskladiti z nosilci varnostnega in obrambnega sistema ter sis- tema zaščite in reševanja.

(2) Operaterji, ki zagotavljajo javno telefonsko omrežje, morajo svoje omrežje prilagoditi tako, da omogoča dodelitev prednosti komunikacijam z določenih omrežnih priključnih točk pred komunikacijami s preostalih omrežnih priključnih točk (v nadaljnjem besedilu: funkcija prednosti). Komunikacija, ki ji je dodeljena funkcija prednosti v javnem telefonskem omrežju določenega operaterja, to prednost ohrani tudi v javnih telefonskih omrežjih drugih operaterjev. V izjemnih stanjih lahko operaterji omogočijo delovanje omrežnih priključnih točk s prednostjo tudi tako, da omejijo ali prekinejo delovanje preostalih telefonskih priključkov.

(3) Vlada z uredbo določi skupine uporabnikov, ki imajo pravico do omrežnih priključnih točk s prednostjo v skladu s prejšnjim odstavkom.

(4) Vlada s sklepom določi tudi druge ukrepe in omeji- tve ali prekinitve delovanja, povezane z zagotavljanjem javnih komunikacijskih omrežij ali storitev ob naravnih in drugih nesrečah ali ob katastrofalnem izpadu omrežja, če je to potrebno zaradi odprave nastalih razmer.

(5) Ukrepi, izdani na podlagi četrtega odstavka tega člena, morajo biti določeni v takšnem obsegu in veljavni toliko časa, kolikor je to nujno potrebno za odpravo izjemnih stanj iz prvega odstavka tega člena.

84. člen
(razpoložljivost javno dostopnih storitev)

(1) Izvajalci javno dostopnih telefonskih storitev, ki se zagotavljajo po javnih komunikacijskih omrežjih, morajo sprejeti ustrezne tehnične in organizacijske ukrepe, ki omogočajo, da so njihove dejavnosti v primeru izjemnih stanj čim manj motene. Izvajalci javno dostopnih telefonskih storitev morajo te ukrepe izvajati ves čas trajanja okoliščin, zaradi katerih so bili sprejeti.

(2) Z ukrepi iz prejšnjega odstavka mora biti zagotovljeno, da se v najkrajšem času zagotovi razpoložljivost javno dostopnih telefonskih storitev. S temi ukrepi se mora omogočiti zlasti neprekinjen dostop do in uporaba številk za klic v sili, predvsem do enotne evropske telefonske številke za klice v sili 112, šte- vilke policije 113 in do enotne evropske telefonske številke za prijavo pogrešanih otrok 116 000.