1. januarja 2020 je začela delovati Uprava za informacijsko varnost (UIV), ki bo bdela nad informacijsko varnostjo organov državne uprave, izvajalcev bistvenih storitev ponudnikov digitalnih storitev. Med drugimi nalogami bo uprava imela tudi inšpekcijska pooblastila.

Omenjene organizacije morajo od začetka letošnjega leta zagotavljati ustrezno informacijsko (kibernetsko) varnost, četudi so se doslej morda uspele ogniti zahtevam Informacijskega pooblaščenca, ki je vsaj pri večjih upravljavcih zahteval podobne standarde, kot jih bo brž ko ne zahteval tudi UIV. Že posplošeno sklepanje pokaže, da bodo vsi zavezanci morali izpolnjevati zahteve standardov ISO/IEC 27001 in ISO/IEC 27002, kar v praksi že zahteva tudi Informacijski pooblaščenec (za večje organizacije).

Poleg ustanovitve UIV so z uveljavitvijo zakona dodatne naloge opredeljene tudi za SI-CERT, ustanavlja se CSIRT organov državne uprave, uvajajo pa se tudi nekatere nove zahteve za zavezance glede izdelave dokumentacije, ki se nanaša na varnostne politike in arhitekturo IKT.

Vsekakor je to pomemben korak Slovenije k informacijski varnosti, kjer smo skozi leta kar nekako spali na tem področju – posebej v primerjavi z najrazvitejšimi državami na tem področju. Kar je za »nove« zavezance še posebej pomembno, pa je tudi določilo zakona, ki določa, da mora inšpektor UIV v primeru, da zazna kršitev GDPR/ZVOP-1/ZVOP-2, o tem obvestiti Informacijskega pooblaščenca. To v praksi pomeni, da bodo zavezanci lahko kaznovani z dveh strani. Zato je še kako pomembno, da zavezanci – če to še niso – svoje poslovanje čim prej začnejo prilagajati zahtevam UIV in mednarodno sprejetih standardov varovanja informacij.

Kaj konkretno je treba storiti, bomo govorili na prihajajoči delavnici dobre prakse, posebna sekcija na to temo (predvsem o pristojnostih in razmejitvah nalog različnih »sodelujočih« organov) bo namenjena tudi na 6. Konferenci Dnevi prava zasebnosti in varovanja informacij, ki bo 23. in 24. aprila 2020 potekala v Termah Olimia.

Vir: Klemen Kraigher Mišič, univ. dipl. prav., MBA, direktor Info hiše d. o. o. in dolgoletni nadzornik za varstvo osebnih podatkov pri Informacijskem pooblaščencu RS.