Na podlagi tretjega odstavka 21. člena in prvega odstavka 25. člena Zakona o Vladi Republike Slovenije (Uradni list RS, št. 24/05 – uradno prečiščeno besedilo, 109/08, 38/10 – ZUKN, 8/12, 21/13, 47/13 – ZDU-1G, 65/14 in 55/17) ter 27. člena Zakona o informacijski varnosti (Uradni list RS, št. 30/18 in 95/21) Vlada Republike Slovenije izdaja
o ustanovitvi, nalogah in organizaciji Urada Vlade Republike Slovenije za informacijsko varnost
S tem odlokom se ustanovi Urad Vlade Republike Slovenije za informacijsko varnost (v nadaljnjem besedilu: urad) ter se v skladu s tem odlokom, Zakonom o informacijski varnosti (Uradni list RS, št. 30/18 in 95/21; v nadaljnjem besedilu: zakon) in z drugimi predpisi določijo njegove naloge in organiziranost.
Urad je samostojna vladna služba, ki kot pristojni državni organ za informacijsko varnost opravlja naloge na področju informacijske in kibernetske varnosti po zakonu, ki ureja informacijsko varnost, predpisih Evropske unije s področja informacijske varnosti, po ratificiranih mednarodnih sporazumih in drugih predpisih. V povezavi z navedenim opravlja zlasti naslednje naloge:
1. usklajuje delovanje sistema informacijske varnosti;
2. vzpostavlja zmogljivosti za izvajanje kibernetske obrambe;
3. vsem zavezancem iz 5. člena zakona pri izvajanju njihovih nalog nudi strokovno podporo pri zagotavljanju informacijske varnosti;
4. zagotavlja analize, metodološko podporo in preventivno delovanje na področju informacijske varnosti ter daje mnenja s področja svojih pristojnosti;
5. sodeluje z organi in organizacijami, ki delujejo na področju informacijske varnosti, predvsem z nacionalnim CSIRT, varnostno-operativnimi centri, regulatorji in nadzorniki področij iz drugega odstavka 5. člena zakona, z Agencijo za komunikacijska omrežja in storitve Republike Slovenije, z informacijskim pooblaščencem in organi kazenskega pregona ter ponudniki varnostnih rešitev;
6. zavezance iz 5. člena zakona ozavešča o pomembnosti prijave incidenta z znaki kaznivega dejanja, ki se preganja po uradni dolžnosti, organom kazenskega pregona v skladu s Kazenskim zakonikom;
7. usklajuje usposabljanje, vaje in izobraževanje glede informacijske varnosti ter ozavešča javnost o informacijski varnosti;
8. spodbuja in podpira raziskave in razvoj na področju informacijske varnosti;
9. izvaja preskuse informacijsko-komunikacijskih tehnologij na področju informacijske varnosti;
10. zagotavlja pripravo in izvajanje strategije kibernetske varnosti;
11. izdela državni načrt odzivanja na incidente ob upoštevanju strategije, načrtov nacionalnega CSIRT in CSIRT organov državne uprave, drugih pristojnih organov ter varnostne dokumentacije zavezancev;
12. pregleduje ustreznost določitve izvajalcev bistvenih storitev in organov državne uprave najmanj vsaki dve leti ter Vladi Republike Slovenije (v nadaljnjem besedilu: vlada) po potrebi predlaga posodobitev določitev;
13. za namene pregleda Direktive 2016/1148/ES Evropsko komisijo najmanj vsaki dve leti obvešča o ukrepih za določitev storitev izvajalcev bistvenih storitev, o njihovem številu ter pomenu, seznamu bistvenih storitev ter pragih za določitev ustrezne ravni opravljanja storitev izvajalcev bistvenih storitev glede na število uporabnikov ali pomen posameznega izvajalca bistvenih storitev;
14. je enotna kontaktna točka za zagotavljanje čezmejnega sodelovanja z ustreznimi organi drugih držav članic EU ter mrežo skupin CSIRT in skupino za sodelovanje, v katero prispeva svojega predstavnika;
15. izpolnjuje druge obveznosti obveščanja Evropske komisije in skupine za sodelovanje ter uradnega obveščanja drugih mednarodnih organizacij;
16. izvaja druge naloge mednarodnega sodelovanja;
17. pripravlja predloge predpisov s področja informacijske in kibernetske varnosti;
18. izvaja naloge državnega certifikacijskega organa za kibernetsko varnost;
19. odloča o sprejetju ukrepov ob težjem ali kritičnem incidentu ali kibernetskem napadu ali stanju povečane ogroženosti ter obvešča vlado in Svet za nacionalno varnost o sprejetih ukrepih;
20. obvešča vlado in Svet za nacionalno varnost o stanju povečane ogroženosti varnosti omrežij ali informacijskih sistemov zaradi verjetnosti izvedbe kritičnega incidenta ali kibernetskega napada;
21. izvaja nadzor nad izvajanjem določb zakona, ki ureja informacijsko varnost, in na njegovi podlagi sprejetih predpisov;
22. opravlja naloge CSIRT organov državne uprave;
23. opravlja druge naloge s področja informacijske in kibernetske varnosti, določene z zakonom in predpisi, sprejetimi na njegovi podlagi, ter s sklepi vlade.
Urad vodi direktor, ki je za delo urada odgovoren predsedniku vlade in vladi.
Direktorja urada imenuje in razrešuje vlada na predlog predsednika vlade.
Pri vodenju urada ima direktor enaka pooblastila, kakor jih ima minister pri vodenju ministrstva.
PREHODNI IN KONČNA DOLOČBA
Akt o notranji organizaciji in sistemizaciji delovnih mest v uradu izda vršilec dolžnosti direktorja urada po predhodnem soglasju vlade najpozneje v desetih dneh od ustanovitve urada.
Urad se ustanovi 20. julija 2021, naloge pa začne opravljati 31. julija 2021.
Ta odlok začne veljati naslednji dan po objavi v Uradnem listu Republike Slovenije.
Št. 00701-21/2021
Ljubljana, dne 15. julija 2021
EVA 2021-1411-0002
Vlada Republike Slovenije
predsednik
