Ljubljana, 17. april 2018
Leta 2016 je Evropski parlament sprejel ti. Direktivo NIS, uradno: Direktiva (EU) 2016/1148 Evropskega parlamenta in Sveta z dne 6. julija 2016 o ukrepih za visoko skupno raven varnosti omrežij in informacijskih sistemov v Uniji. Že samo ime nakazuje, da je cilj direktive dvig ravni informacijske varnosti in vzpostavitev skupnih mehanizmov za odzivanje na kibernetske grožnje. Direktiva državam članicam nalaga, da vzpostavijo nacionalni okvir za varnost omrežij in informacij, ki vsebuje državno strategijo, vsaj en odzivni center in pristojni nacionalni organ, ki usklajuje aktivnosti na ravni države. Nato določi mehanizme sodelovanja znotraj EU in določi sedem sektorjev, kjer morajo države določiti izvajalce bistvenih storitev, ter ločeno ponudnike digitalnih storitev (v kontekstu direktive so to spletni iskalniki, tržnice in računalništvo v oblaku). Ti bodo obvezani sprejeti določene ukrepe za zviševanje ravni informacijske varnosti, med drugim tudi obvezno sporočanje opaženih varnostnih incidentov.
Vloga SI-CERT
Republika Slovenija je direktivo prenesla v Zakon o informacijski varnosti, ki je bil 17. aprila 2018 izglasovan v Državnem zboru, brez glasu proti. Čeprav je že prej v Zakonu o elektronskih komunikacijah in Strategiji kibernetske varnosti RS SI-CERT v javnem zavodu Arnes bil s strani države prepoznan kot nacionalni odzivni center (in je tako sprejet tudi v mednarodni CSIRT skupnosti), sedaj tudi Zakon o informacijski varnosti jasno to opredeli in zavezancem nalaga obvezno sporočanje incidentov na SI-CERT. Dodatne naloge bodo seveda zahtevale krepitev same ekipe SI-CERT in nadgradnjo infrastrukture. V ta namen smo tudi prijavili projekt za dodelitev evropskih sredstev v okviru programa Connecting Europe Facility, ta pa so bila s strani Evropske komisije odobrena februarja letos ob podpori Ministrstva za javno upravo RS.
Za nekatere teme še prezgodaj
Ob pripravi prvega osnutka zakona smo na SI-CERT želeli vključiti v zakon tudi temo odgovornega razkrivanja ranljivosti in predlagali člen:
(odgovorno razkrivanje ranljivosti)
(1) Prijavo, ki opisuje ranljivost informacijskega sistema, lahko prijavitelj prijavi koordinatorju odgovornega razkritja. To vlogo opravlja nacionalni CSIRT, pristojni nacionalni organ, ali druga oseba, ki jo prijavitelj samostojno izbere za koordinatorja.
(2) Koordinator razkritja prijavo po morebitnem preverjanju posreduje upravljalcu informacijskega sistema, na katerega se nanaša, pri čemer zakrije identiteto prijavitelja. V roku 45 dni od seznanitve upravitelja prijavitelj in koordinator ne smeta razkriti narave ranljivosti in drugih okoliščin odkritja ranljivosti tretjim osebam ali javnosti.
(3) Prijavitelj in upravljalec informacijskega sistema se preko koordinatorja lahko sporazumno dogovorita za krajši ali daljši čas nerazkritja ranljivosti.
(4) Koordinator lahko razkrije identiteto prijavitelja le na podlagi odredbe sodišča.
Ker v času medresorskega usklajevanja zakona ni bilo enotnega mnenja o načinu opredelitve odgovornega razkrivanja, bo to temo potrebno širše zaobjeti v bodoče.
Dodano 3. 5. 2018: Zakon o informacijski varnosti je bil objavljen dne 26. 4. 2018 v Uradnem listu RS, št. 30/2018.