CISOaaS.si
+386 51 401 301
[email protected]
GAP analiza GAP analiza GAP analiza
Kontakt Kontakt Kontakt
CISO as a Service
CISO as a Service

Pristojni organi in vloge

"Prevention is cheaper than a breach"

Pristojni organi in vloge pri izvajanju ZInfV-1

Zakon o informacijski varnosti je kompleksen pravni okvir, ki vključuje več različnih organov in vlog. Vsak ima svoje specifične odgovornosti in pristojnosti. Razumevanje, kdo je odgovoren za kaj, je bistvenega za pravilno izvajanje zakona. Ta članek pojasnjuje vloge pristojnih organov in kako delujejo skupaj.

Ključne točke:

  • SI-CERT (slovenski center za informacijsko varnost) je nacionalni organ za nadzor skladnosti
  • Informacijski pooblaščenec je odgovoren za varstvo osebnih podatkov po gdpr
  • Sektorski regulatorji imajo pristojnost v svojih sektorjih
  • Ciso ali varnostna oseba je ključna notranja vloga v organizaciji
  • Vodstvo organizacije nosi pravno odgovornost za skladnost
  • Medsectorska usklajenost je odgovorna vloga za koordinacijo

SI-CERT – slovenski center za informacijsko varnost

SI-CERT je nacionalni organ, ki je neposredno odgovoren za izvajanje ZInfV-1 in nadzor skladnosti zavezancev.

Glavne vloge SI-CERT-a

  • Nadzor skladnosti: Redni pregledi in inšpekcije zavezancev
  • Prejemanje prijav incidentov: Zbiranje podatkov o varnostnih incidentih v državi
  • Obveščanje javnosti: Objava opozoril o znanih varnostnih grožnjah
  • Izdajanje smernic: Objava uradnih smernic in interpretacij zakona
  • Izdajanje sankcij: Izrekanje kaznovali za kršitve zakona
  • Nacionalna koordinacija: Koordinacija odziva na večje varnostne incidente

Kako se kontaktira SI-CERT

SI-CERT ima naslednje kontaktne kanale:

Proces nadzora SI-CERT

SI-CERT izvaja nadzor na naslednji način:

  • Letni pregledi: SI-CERT lahko zahteva dokumentacijo in poročila o skladnosti
  • Namenske inšpekcije: Inšpektorji SI-CERT-a obiskejo organizacijo
  • Incidenti kot sprožilec: Če organizacija prijavi incident, SI-CERT analizira odgovornost
  • Pripomene in opozorila: SI-CERT najprej izda opozorilo
  • Sankcije: Če organizacija ne odpravi pomanjkljivosti, SI-CERT izda kaznovanje

Informacijski pooblaščenec

Informacijski pooblaščenec je samostojni organ, odgovoren za varstvo osebnih podatkov po GDPR.

Vloga informacijskega pooblaščenca

  • Nadzor GDPR skladnosti: Preverka, ali organizacije obdelujejo osebne podatke pravilno
  • Obveščanje varnostnih incidentov: Prejemanje obvestil o varnostnih incidentih
  • Ročica za pravice posameznikov: Obravnava pritožb posameznikov
  • Izdajanje kaznovih: Izrekanje kazni za kršitve GDPR

Sektorski regulatorji

Poleg SI-CERT-a, različni regulatorji nadzorujejo skladnost v svojih sektorjih:

Key sektorski regulatorji

  • Bančni nadzor: Banka Slovenije nadzira skladnost bank in finančnih institucij
  • Zdravstvo: Ministrstvo za zdravje in zdravstvene zavode
  • Promet: Agencija za varnost poti
  • Energetika: Agencija za energijo
  • Telekomunikacije: Agencija za komunikacijska omrežja in storitve (AKOS)
  • Lokalne skupnosti: Ministrstvo za upravno upravo

Vloga ciso v organizaciji

CISO (Chief Information Security Officer) ali varnostna oseba je ključna notranja vloga v zavezani organizaciji.

Odgovornosti ciso-ja

  • Varnostna strategija: Razvoj in ažuriranje varnostne strategije in politik
  • Risk management: Vodenje process ocene tveganj
  • Incident response: Koordinacija odziva na varnostne incidente
  • Usposabljanje: Zagotovitev usposabljanja zaposlenih
  • Komunikacija z organi: Pogajanja s SI-CERT-om in drugimi regulatorji
  • Poročanje vodstvu: Redna poročila o varnostnem stanju organizacije

Neposredna odgovornost direktorja

Zakon zahteva, da je CISO neposredno odgovoren direktorju ali članom uprave. To pomeni, da CISO ne sme biti pod nadzorom IT vodje.

Vloga vodstva organizacije

Vodstvo (direktor, uprava) nosi pravno odgovornost za skladnost s ZInfV-1.

Odgovornosti vodstva

  • Sprejemanje varnostne strategije: Potrditev varnostne strategije in politik
  • Dodeljevanje virov: Zagotovitev finančnih in kadrovskih virov
  • Redni nadzor: Prejemanje rednih poročil o varnostnem stanju
  • Osebna odgovornost: Nošenje osebne pravne odgovornosti za kršitve

Notranja in zunanja revizija

Mnoge organizacije so zahtevane, da imajo redne notranje ali zunanje revizije varnostnih ukrepov.

Vloga notranje revizije

  • Preverka, ali se politike res udejanjajo v praksi
  • Odkrivanje pomanjkljivosti in nepravilnosti
  • Poročanje vodstvu in nadzornemu telesu

Vloga zunanje revizije

  • Neodvisna ocena skladnosti s standardi
  • Certifikacija skladnosti (npr. iso 27001)
  • Periodični pregledi za vzdrževanje certifikacij

Medsebojna usklajenost organov

Različni organi se usklajevajo preko:

  • Komisija za informacijske varnosti: Telo, ki usklajavajo delo SI-CERT-a in sektorskih regulatorjev
  • Redne sestanke: Redna srečanja med organi
  • Skupne smernice: Izdajo skupnih smernic za zavezance

Zaključek in priporočila

Razumevanje vlog in pristojnosti različnih organov je ključno za pravilno izvajanje ZInfV-1. Priporočila:

  • Vzpostavite jasne kanale komunikacije z SI-CERT-om
  • Imenujte ciso, ki ima dostop do vrhnjega vodstva
  • Zagotovite, da vodstvo aktivno spremlja varnostno stanje
  • Redne preglede skladnosti s specializiranim zunanjim strokovnjakom
  • Dokumentirajte vse komunikacije z regulatorji

Potrebujete pomoč pri razumevanju vlog pristojnih organov? Kontaktirajte nas →

Scroll to top