Zakon o informacijski varnosti (Uradni list RS, št. 30/18 in 95/21) je obvezen za vse izvajalce bistvenih storitev in od njih zahteva:
– upoštevanje različnih določb o varnostnih zahtevah,
– izdelavo in periodične preverbe sistema in dokumentacije SUVI (sistem za upravljanje z varnostjo informacij) in SUNP (sistem za upravljanje neprekinjenega poslovanja)
– priglasitev incidentov CSIRTu.
22. člen novega ZVOP-2 za informacijske sisteme, v katerih se izvajajo posebne obdelave osebnih podatkov:
– določenih v zakonih, ki urejajo področja upravnih notranjih zadev, finančne uprave, državljanstva, Slovenske obveščevalno-varnostne agencije, obrambe, zdravstvenega varstva, obveznega zdravstvenega zavarovanja, uveljavljanja pravic iz javnih sredstev ter kazenskih in prekrškovnih evidenc, ali
– kadar se na podlagi zakonov v zbirki osebnih podatkov obdelujejo osebni podatki več kot 100.000 posameznikov, ali
– kadar upravljavec ali obdelovalec kot svojo temeljno dejavnost izvaja obsežne obdelave posebnih vrst osebnih podatkov, ali
– kadar se v zbirki osebnih podatkov obdeluje posebne vrste osebnih podatkov več kot 10.000 posameznikov
zahteva smiselno uporabo določb o varnostnih zahtevah in priglasitvi incidentov Zakona o informacijski varnosti. Pri tem ZVOP-2 zahteva, da se posebne obdelave osebnih podatkov iz 22. člena uskladijo z zahtevami Zakona o informacijski varnosti v roku treh let od uveljavitve ZVOP-2.
Izdelavo in periodične preverbe sistema in dokumentacije SUVI (sistema za upravljanje z varnostjo informacij) in SUNP (sistema za upravljanje neprekinjenega poslovanja) podrobneje opredeljujeta
Pravilnik o varnostni dokumentaciji in varnostnih ukrepih izvajalcev bistvenih storitev
ter
Pravilnik o varnostni dokumentaciji in varnostnih ukrepih organov državne uprave.
Izvajalci bistvenih storitev so pri tem določeni z:
in v njeni Prilogi: Seznam bistvenih storitev po področjih in podpodročjih, na katerih se izvajajo bistvene storitve.
Prihajajoče spremembe predpisa: