Na podlagi drugega odstavka 18.a člena Zakona o informacijski varnosti je bila v Uradnem listu št. 118/23 objavljena Uredba o varnostni dokumentaciji in minimalnih varnostnih ukrepih povezanih subjektov.

Področje urejanja uredbe je doslej urejala Uredba o informacijski varnosti v državni upravi, ki je bila izdana na podlagi zakona, ki ureja državno upravo in je urejala minimalne skupne zahteve glede informacijske varnosti državnih organov, organov lokalnih skupnosti, javnih agencij in nosilcev javnih pooblastil ter drugih subjektov, ki se povezujejo s centralnim informacijsko-komunikacijskim sistemom.

Uredba o informacijski varnosti v državni upravi je bila v neskladju s sistemskim Zakonom s področja informacijske varnosti (ZInfV), ob tem praktično ni bilo mogoče nadzirati njenega izvajanja (razen v postopkih notranjih revizij), kar je bilo ocenjeno za veliko tveganje in izpostavljenost državnega centralnega informacijsko-komunikacijskega sistema kibernetskim grožnjam. Zato je bil sprejet Zakon o spremembah in dopolnitvah Zakona o informacijski varnosti (ZInfV-B), ki je že na zakonski ravni v novem 18.a členu uredil osnovne obveznosti povezanih subjektov glede informacijske varnosti, za podrobnejše urejanje tega področja pa je pooblastil vlado (gre za predmetni predlog uredbe).

Hkrati je ZInfV-B za te zavezance (povezane subjekte) na zakonski ravni uredil tudi nadzor in sankcije za morebitne kršitve obveznosti. Po prehodni določbi 14. člena ZInfV-B je z dnem uveljavitve tega zakona prenehala veljati Uredba o informacijski varnosti v državni upravi, ki pa se uporablja do pričetka uporabe podzakonskega predpisa iz novega 18.a člena ZInfV-B.

Sicer bi morali povezani subjekti že sedaj izpolnjevati pogoje določene iz Uredbe o informacijski varnosti v državni upravi, ki je bistveno bolj obširna od predloga uredbe, zato prilagoditev predlagani uredbi ne bi smela povzročiti težav. Osnovne obveznosti povezanih subjektov je ob tem predvidel tudi že ZInfV-B, predlagana uredba jih le podrobneje ureja.

Uredba začne veljati 1. januarja 2024, uporabljati pa se začne 1. maja 2024. Urad Vlade Republike Slovenije za informacijsko varnost bo na svoji spletni strani objavil prva priporočila za pripravo varnostne dokumentacije iz četrtega odstavka 4. člena te uredbe v 60 dneh od njene uveljavitve. Ministrstvo za digitalno preobrazbo, ki je upravljavec centralnega informacijsko-komunikacijskega sistema, pa bo na svoji spletni strani objavilo zahteve iz prvega in iz sedmega odstavka 8. člena te uredbe v 60 dneh od njene uveljavitve.