Končno sprejet dopolnjen Zakon o kritični infrastrukturi
Državni zbor je ob koncu preteklega tedna sprejel dopolnjen zakon o kritični infrastrukturi s katerim Republika Slovenija v svoj pravni red uvaja EU direktivo CER. K razpravam in oblikovanju predloga zakona je pomembno prispeval tudi Institut za korporativne varnostne študije s podporo celotnega Slovenskega združenja za korporativno varnost.
Cilj Direktive 2022/2557 sta neprekinjeno opravljanje bistvenih storitev na notranjem trgu za ohranjanje ključnih družbenih funkcij ali gospodarskih dejavnosti in krepitev odpornosti kritičnih subjektov, ki opravljajo te storitve. Državam članicam med drugim določa obveznost, da sprejmejo posebne ukrepe za neprekinjeno opravljanje bistvenih storitev, torej tistih, ki so ključne za ohranitev življenjsko pomembnih družbenih funkcij, gospodarskih dejavnosti, javnega zdravja in varnosti ali okolja. V povezavi s tem posebej nalaga državam članicam, da identificirajo kritične subjekte v 11 sektorjih (energetika, promet, bančništvo, infrastruktura finančnega trga, zdravje, pitna voda, odpadna voda, digitalna infrastruktura, javna uprava, vesolje ter pridelava, predelava in distribucija živil) in jih podpirajo pri izpolnjevanju njihovih obveznosti.
Najpomembnejše rešitve v zakonu so:
- v ospredje se postavljajo bistvene storitve, ki so ključne za ohranitev življenjsko pomembnih družbenih funkcij, gospodarskih dejavnosti, javnega zdravja in varnosti ali okolja, in njihovo neprekinjeno zagotavljanje v 11 sektorjih kritične infrastrukture (v veljavnem zakonu jih je osem);
- spremenjen je koncept zaščite kritične infrastrukture in prehod h krepitvi odpornosti kritičnih subjektov ter kritične infrastrukture, ki omogoča zagotavljanje bistvenih storitev;
- opredeljen je nacionalni okvir za odpornost kritičnih subjektov, ki obsega strategijo za odpornost kritičnih subjektov in nacionalno oceno tveganja za opravljanje bistvenih storitev;
- določen je postopek ugotavljanja in določanja kritičnih subjektov in kritične infrastrukture ter ugotavljanja kritičnih subjektov, ki opravljajo bistvene storitve za šest ali več držav članic oz. v šestih ali več državah članicah za kritične subjekte posebnega evropskega pomena;
- opredeljeni so ukrepi za zagotavljanje odpornosti kritičnih subjektov pri opravljanju bistvenih storitev;
- vzpostavljen je mehanizem za priglasitev izrednih dogodkov in sistema zgodnjega opozarjanja v podporo odločanju o odzivanju na izredne dogodke;
- določa imenovanje koordinacijske skupine za usklajen in učinkovit odziv na izredne dogodke na področju kritične infrastrukture;
- nalaga obveznost sprejema izvršilnega predpisa in aktov glede ugotavljanja, določanja in odpornosti kritičnih subjektov ter njihove kritične infrastrukture za zagotavljanje neprekinjenega opravljanja bistvenih storitev.
Zakon prenaša večino določb direktive, za preostale pa narekuje pripravo podzakonskih aktov, torej uredbe in sklepa Vlade Republike Slovenije. Vlada bo z uredbo določila bistvene storitve, podsektorje in kategorije subjektov, izmed katerih bodo nosilci sektorjev ugotovili kritične subjekte. Nosilci sektorjev kritične infrastrukture bodo morali pri ugotavljanju kritičnih subjektov upoštevati strategijo o odpornosti kritičnih subjektov in rezultate nacionalne ocene tveganja za opravljanje bistvenih storitev ter kriterije in njihove mejne vrednosti.
Obseg obveznosti kritičnih subjektov (upravljavcev kritične infrastrukture) se z uveljavitvijo zakona sicer bistveno ne širi. Kot do zdaj bodo morali upravljavci kritične infrastrukture po zakonu pripraviti oceno tveganja za bistveno storitev, ki jo zagotavljajo, in na njeni podlagi sprejeti ukrepe za odpornost. Ohranja se dosedanja rešitev, da lahko vlada v primeru, ko kritičnemu subjektu naloži dodatne ukrepe, take ukrepe tudi financira. Dodatna obveznost je posredovanje podatkov kritičnega subjekta Nacionalnemu centru za krizno upravljanje za namen zgodnjega opozarjanja in podpore odločanju o odzivanju na izredne dogodke. Namen vzpostavitve sistema zgodnjega opozarjanja sta zaznavanje in analiza razlik v vrednostih kazalnikov po posameznih sektorjih, preden te prerastejo v izredne dogodke ali motnje pri opravljanju bistvenih storitev.