Če je člen 21 ZInfV-1 okvir (dokumenti, ki opisujejo sistem), je člen 22 izvedba — konkretni ukrepi, ki jih mora organizacija dejansko izvajati. Zakon v drugem odstavku 22. člena našteva 17 obveznih varnostnih ukrepov, ki morajo biti tehnični, operativni in organizacijski, njihov namen pa je zagotavljanje celovitosti, avtentičnosti, zaupnosti in razpoložljivosti omrežnih in informacijskih sistemov.
V tem članku gremo skozi vseh 17 ukrepov: kaj zahteva zakon, kaj to pomeni v praksi in kje organizacije najpogosteje zgrešijo.
Kaj zahteva 22. člen
Bistveni in pomembni subjekti morajo sprejeti ukrepe, ki temeljijo na pristopu upoštevanja vseh nevarnosti — torej ne le kibernetskih, temveč tudi fizičnih groženj okolju, v katerem sistemi delujejo. Ukrepi morajo biti sorazmerni s tveganji, prilagojeni velikosti subjekta in skladni z evropskimi ter mednarodnimi standardi.
Zakon prav tako zahteva, da se ukrepi najmanj enkrat letno preverjajo (22. člen, peti odstavek) in da organizacija ob ugotovljenih pomanjkljivostih nemudoma sprejme popravne ukrepe.
Vseh 17 ukrepov
1. Podpora vodstva in vključitev v letni načrt
Vodstvo subjekta mora aktivno podpirati zagotavljanje informacijske in kibernetske varnosti ter to področje vključiti v letni načrt poslovanja ali letni program dela. To ni formalnost — pomeni, da mora imeti kibernetska varnost dodeljen proračun, odgovornosti in prostor na dnevnem redu vodstva.
2. Integriteta kadrov
Zagotavljanje integritete kadrov v povezavi z informacijsko varnostjo pred zaposlitvijo, med zaposlitvijo in ob prenehanju ali spremembi zaposlitve. Zakon tukaj napotuje na 23. člen ZInfV-1 (preverjanje preteklosti). V praksi to pomeni preverjanje kandidatov za ključna delovna mesta, jasne varnostne obveznosti v pogodbah in odvzem dostopov ob odhodu zaposlenega.
3. Kibernetska higiena in usposabljanje
Osnovne prakse kibernetske higiene in redno usposabljanje na področju informacijske in kibernetske varnosti. To je eden najcenejših in najučinkovitejših ukrepov — človeška napaka ostaja najpogostejši vektor napadov. Usposabljanja morajo biti redna, ne enkratna.
4. Nadzor dostopov in upravljanje pooblastil
Varnost človeških virov, preverjanje identitete uporabnikov, zagotavljanje ustrezne ravni dostopnosti informacij in upravljanje pooblastil za dostop. V praksi: načelo najmanjših privilegijev, redno pregledovanje dostopnih pravic in jasna evidenca, kdo ima dostop do česa.
5. Varnostne kopije podatkov
Izvajanje in upravljanje varnostnih kopij podatkov. Izgleda preprosto, ampak je v praksi pogosto podcenjeno — varnostne kopije, ki niso nikoli testirane z obnovo, niso zanesljive. Ukrep je tesno povezan z DRP (načrt obnovitve po nesreči) iz člena 21.
6. Dnevniški zapisi
Zagotavljanje in ohranjanje dnevniških zapisov o delovanju omrežnih in informacijskih sistemov. Zakon napotuje na 24. člen ZInfV-1, ki zahteva hrambo dnevniških zapisov najmanj šest mesecev. Brez dnevnikov ni mogoče ugotoviti, kaj se je zgodilo ob incidentu, niti izpolniti obveznosti poročanja iz 30. člena.
7. Upravljanje omrežnih in informacijskih sistemov
Upravljanje omrežnih in informacijskih sistemov z določitvijo ustrezne odgovornosti za njihovo zaščito. Ključna beseda je “odgovornost” — za vsak sistem mora biti jasno določeno, kdo je odgovoren za njegovo varnost, posodabljanje in nadzor.
8. Kriptografija in šifriranje
Politike in postopki v zvezi z uporabo kriptografije in po potrebi s šifriranjem. To vključuje šifriranje podatkov v mirovanju in prenosu, upravljanje kriptografskih ključev in opredelitev, kateri podatki zahtevajo šifriranje.
9. Upravljanje prometa in komunikacij
Upravljanje omrežnega prometa in komunikacij. Segmentacija omrežij, nadzor nad prometom med conami, varnost brezžičnih komunikacij in nadzor nad zunanjim dostopom.
10. Varnost dobavne verige
Varnost dobavne verige z določitvijo ustreznih minimalnih zahtev za ključne dobavitelje ali ponudnike storitev. Zakon v četrtem odstavku 22. člena dodatno zahteva, da subjekti upoštevajo ranljivosti specifične za posameznega dobavitelja, kakovost njihovih varnostnih praks in rezultate morebitnih usklajenih ocen tveganja na ravni EU.
To je eden zahtevnejših ukrepov, ker posega izven meja lastne organizacije — zahteva pregled pogodb, SLA-jev in varnostnih zahtev do tretjih strank.
11. Fizično in tehnično varovanje
Fizično in tehnično varovanje prostorov ter dostopov do prostorov, kjer so ključni deli omrežnih in informacijskih sistemov. Strežniške sobe, komunikacijska vozlišča, arhivi — vse, kar podpira delovanje kritičnih sistemov, mora biti fizično zaščiteno.
Za bistvene subjekte iz sektorja digitalne infrastrukture zakon v dvanajstem odstavku dodatno predpisuje obvezno organiziranje varovanja v skladu s predpisi o zasebnem varovanju.
12. Varnost aplikativne programske opreme
Varnostni mehanizmi v posamezni aplikativni programski opremi, vključno z varnostjo pri pridobivanju, razvoju in vzdrževanju omrežnih in informacijskih sistemov ter obravnavanjem in razkrivanjem ranljivosti. V praksi: varna programska zasnova (secure by design), varnostno testiranje pred produkcijo in postopek za obravnavo odkritih ranljivosti.
13. Upravljanje tehničnih ranljivosti
Upravljanje in preprečevanje izkoriščanja tehničnih ranljivosti. Redno skeniranje, pravočasno nameščanje popravkov in upravljanje izjem, ko popravkov ni mogoče namestiti takoj. Zakon v osmem odstavku 22. člena posebej prepoveduje uporabo rešitev z aktivno izkoriščanimi ranljivostmi brez dodatne ocene tveganj.
14. Zaščita pred zlonamerno kodo
Zaščita pred zlonamerno programsko kodo ter način zaznavanja poskusov vdorov in preprečevanja incidentov. Klasičen protivirusni pristop je le del rešitve — sodobna zaščita vključuje EDR (Endpoint Detection and Response), analizo vedenja in nadzor omrežja.
15. Večfaktorska avtentikacija
Uporaba večfaktorske avtentikacije ali rešitev neprekinjene avtentikacije, kadar je to potrebno zaradi obvladovanja tveganj. Zakon ne zahteva MFA absolutno za vse — zahteva pa, da organizacija na podlagi ocene tveganj ugotovi, kje je MFA nujen (tipično: oddaljeni dostop, privilegirani računi, kritični sistemi).
16. Varovane komunikacije
Uporaba varovanih glasovnih, video in besedilnih komunikacij ter varnih sistemov za komunikacije v sili, kadar je to glede na dejavnost subjekta primerno. V kriznih situacijah morajo obstajati alternativni komunikacijski kanali, ki niso odvisni od ogroženih sistemov.
17. Oblačne storitve
Politike in postopki v zvezi z uporabo oblačnih storitev, ki jih organizacija uporablja za svoje delovanje ali opravljanje storitev. Oblačne storitve prinašajo specifična tveganja — od lokacije podatkov in jurisdikcije do odvisnosti od ponudnika in pravic do revizije.
Pregled vseh 17 ukrepov
| # | Ukrep | Narava |
|---|---|---|
| 1 | Podpora vodstva, letni načrt | Organizacijski |
| 2 | Integriteta kadrov (člen 23) | Organizacijski |
| 3 | Kibernetska higiena, usposabljanje | Organizacijski |
| 4 | Nadzor dostopov, pooblastila | Tehnični / organizacijski |
| 5 | Varnostne kopije | Tehnični |
| 6 | Dnevniški zapisi (člen 24) | Tehnični |
| 7 | Upravljanje sistemov, odgovornosti | Operativni |
| 8 | Kriptografija, šifriranje | Tehnični |
| 9 | Upravljanje prometa in komunikacij | Tehnični |
| 10 | Varnost dobavne verige | Organizacijski |
| 11 | Fizično in tehnično varovanje | Fizični |
| 12 | Varnost aplikativne programske opreme | Tehnični |
| 13 | Upravljanje tehničnih ranljivosti | Operativni |
| 14 | Zaščita pred zlonamerno kodo | Tehnični |
| 15 | Večfaktorska avtentikacija | Tehnični |
| 16 | Varovane komunikacije | Tehnični |
| 17 | Oblačne storitve | Organizacijski / tehnični |
Kaj 22. člen zahteva poleg seznama ukrepov
Posamezni ukrepi so le del slike. Člen 22 v nadaljnjih odstavkih postavlja tudi pravila za izvedbo:
Sorazmernost (tretji odstavek): ukrepi morajo upoštevati stopnjo izpostavljenosti tveganjem, velikost subjekta, verjetnost pojava incidentov in resnost morebitnih posledic. Manjše podjetje z nižjo izpostavljenostjo ni dolžno implementirati enakega obsega ukrepov kot veliki sistemski operater.
Dobavna veriga (četrti odstavek): organizacija mora upoštevati ranljivosti specifične za posameznega dobavitelja in splošno kakovost njihovih varnostnih praks. To vključuje tudi rezultate usklajenih ocen tveganja za kritične dobavne verige na ravni EU.
Letno preverjanje (peti odstavek): ukrepi se morajo preverjati najmanj enkrat letno in ob zaznanih ranljivostih. Ugotovljene pomanjkljivosti zahtevajo takojšnje popravne ukrepe.
Šest lastnosti ukrepov (trinajsti odstavek): zakon zahteva, da so ukrepi učinkoviti, prilagojeni, skladni, sorazmerni, konkretni in preverljivi — torej mora biti organizacija zmožna dokazila o izvedbi predložiti pristojnemu organu.
Kako se člen 22 povezuje z drugimi členi
Ukrepi iz 22. člena ne živijo v vakuumu. Dokumenti iz člena 21 so okvir, znotraj katerega se ukrepi izvajajo. Posamezni ukrepi pa so direktno povezani z dodatnimi zahtevami:
- Ukrep 2 (integriteta kadrov) → 23. člen (preverjanje preteklosti)
- Ukrep 6 (dnevniški zapisi) → 24. člen (hramba 6 mesecev)
- Celotni ukrepi → podlaga za načrt ukrepov iz dokumentacije po 21. členu
- Učinkovitost ukrepov → predmet presoje po 25. členu (ocena ali samoocena vsaj vsaki 2 leti)
- Incidenti (ukrep 14, 6) → poročanje po 30. členu (24h / 72h / 1 mesec)
Sklep
Sedemnajst ukrepov iz 22. člena ZInfV-1 ni seznam za odkljukanje — je minimalni nabor področij, ki jih mora organizacija aktivno obvladovati. Vsak ukrep zahteva prilagoditev konkretni situaciji organizacije, njenim tveganjem in obsegu delovanja.
Ključno sporočilo zakona ni “naredite vse naenkrat”, temveč “naredite sorazmerno, dokumentirano in preverljivo”. Organizacija, ki začne z oceno tveganj, določi prioritete in ukrepe izvaja postopno, bo v bistveno boljšem položaju kot tista, ki čaka na zadnji trenutek pred rokom.