Skoči do osrednje vsebine
Prijava v aplikacijo

Ste pozabili geslo?

Registracija
Predlagam vladi
Predlog z odzivom pristojne institucije
  ⟨ prejšnji     naslednji ⟩  

Vzpostavitev nacionalnega neodvisnega strežniškega sistema za zaščito finančnih podatkov vseh rezidentov Republike Slovenije

395 OGLEDOV 3 KOMENTARJI

Spoštovani,

glede na naraščajoče grožnje globalnih kibernetskih napadov, ki ciljajo predvsem na finančne institucije in osebne podatke, predlagam naslednji strateški in varnostni ukrep:

Vzpostavitev posebnega, suverenega strežniškega sistema znotraj Republike Slovenije, ločenega od globalnih omrežij, ki bi bil izključno namenjen zaščiti:

bančnih računov in transakcijskih sistemov vseh rezidentov Republike Slovenije – tako državljanov kot tudi oseb s stalnim ali začasnim dovoljenjem za prebivanje in delo;

osebnih finančnih podatkov in identifikacijskih informacij;

delovanja ključnih informacijskih sistemov povezanih z bančnim, davčnim in socialnim sektorjem.

Predlagani sistem naj izpolnjuje naslednje pogoje:

1. Fizično nahajališče znotraj Republike Slovenije, pod suverenim nadzorom slovenskih varnostnih institucij.

2. Ločenost od mednarodnih digitalnih tokov (t.i. “air-gapped” ali pol-suverena varna povezava).

3. Zaposlovanje izključno slovenskih IT-strokovnjakov z visokim varnostnim preverjanjem.

4. Možnost hitrega preklopa sistema v režim notranje zaščite ob zaznavi zunanje grožnje.

5. Združljivost z evropsko zakonodajo, a z jasnim poudarkom na digitalni suverenosti in zaščiti vseh prebivalcev Slovenije.

Cilj predloga: zagotoviti digitalno varnost, neprekinjeno delovanje finančnih sistemov in zaščito prihrankov vseh, ki prebivajo in prispevajo k razvoju Republike Slovenije, ne glede na državljanstvo.

Zahvaljujem se za vaš čas in pričakujem resno obravnavo pobude.

24 glasov

4 glasovi

Če bo predlog prejel vsaj 23 glasov za in več glasov za kot proti, ga bomo poslali v obravnavo pristojnemu ministrstvu.

AVTOR H Hx4 26 predlogov
STATUS PREDLOGA
  • PREDLOG POSLAN
  • KONEC OBRAVNAVE
  • ODGOVOR

Odgovor


1. 8. 2025

Odziv Ministrstva za finance

Uredba (EU) 2022/2554, znana kot DORA, in spremljajoča Direktiva (EU) 2022/2556 sta ključna pravna akta Evropske unije, ki vzpostavljata enoten okvir za zagotavljanje digitalne operativne odpornosti finančnega sektorja. Namen DORA je okrepiti odpornost finančnih subjektov proti kibernetskim grožnjam in drugim tveganjem, povezanim z informacijsko-komunikacijskimi tehnologijami (IKT). Uredba zahteva od finančnih institucij, kot so banke, zavarovalnice, investicijska podjetja, upravljavci skladov in ponudniki plačilnih storitev, da vzpostavijo robustne sisteme za obvladovanje IKT tveganj, poročanje o incidentih in zagotavljanje neprekinjenega poslovanja.

Ključne zahteve DORA, ki so relevantne za navedeno pobudo vključujejo:

  • Obvladovanje tveganj IKT: Finančni subjekti morajo vzpostaviti celovite politike za prepoznavanje, preprečevanje in obvladovanje IKT tveganj, vključno s kibernetskimi napadi in tehničnimi motnjami.
  • Poročanje o incidentih: Subjekti morajo poročati o večjih IKT incidentih pristojnim organom, kot so Banka Slovenije, Agencija za trg vrednostnih papirjev ali Agencija za zavarovalni nadzor.
  • Nadzor tretjih oseb: DORA uvaja okvir za nadzor kritičnih ponudnikov IKT storitev,
  • Neprekinjeno poslovanje: Finančni subjekti morajo imeti načrte za neprekinjeno poslovanje in okrevanje po katastrofah.

V zvezi z zaščito bančnih računov in plačilnih sistemov z vidika predpisov, ki urejajo opravljanje plačilnih storitev pojasnjujemo, da opravljanje plačilnih storitev v Republiki Sloveniji ureja Zakon o plačilnih storitvah, storitvah izdajanja elektronskega denarja in plačilnih sistemih (Uradni list RS, št. 7/18, 9/18 – popr., 102/20, 113/24 in 17/25 – ZPPDFT-2B, v nadaljevanju: ZPlaSSIED). Z ZPlaSSIED je bila v slovensko zakonodajo prenesena Direktiva (EU) 2015/2366 Evropskega parlamenta in Sveta z dne 25. novembra 2015 o plačilnih storitvah na notranjem trgu, spremembah direktiv 2002/65/ES, 2009/110/ES ter 2013/36/EU in Uredbe (EU) št. 1093/2010 ter razveljavitvi Direktive 2007/64/ES (v nadaljevanju: Direktiva 2015/2366/EU). Za Direktivo 2015/2366/EU velja načelo popolne harmonizacije, kar pomeni, da države članice ne smejo določiti drugačnih ali dodatnih zahtev, kot jih predpisuje omenjena direktiva.

V zvezi z vprašanjem varnosti podatkov o bančnih oziroma transakcijskih računov je treba poudariti, da ZPlaSSIED na podlagi Direktive 2015/2366/EU podrobneje predpisuje pravila, ki zagotavljajo varno opravljanje plačilnih storitev, vključno z varovanjem podatkov, ki so povezani z opravljanjem plačilnih storitev. V skladu s tem morajo ponudniki plačilnih storitev vzpostaviti okvir z ukrepi za zmanjšanje tveganj in nadzorne mehanizme za obvladovanje operativnih in varnostnih tveganj, povezanih s plačilnimi storitvami, ki jih opravljajo in o tem redno obveščati Banko Slovenije. Prav tako ZPlaSSIED določa, v katerih primerih mora ponudnik plačilnih storitev pri izvajanju plačilnih transakcij uporabiti močno avtentikacijo stranke, ki se zahteva v primerih, ko obstaja večje tveganje prevar in zlorab. Ponudniki plačilnih storitev morajo imeti vzpostavljene tudi ustrezne varnostne ukrepe, s katerimi zavarujejo zaupnost in celovitost osebnih varnostnih elementov uporabnikov plačilnih storitev.

Podatki o transakcijskih računih, ki jih imajo imetniki transakcijskih računov odprte pri bankah in hranilnicah v Republiki Sloveniji, se vodijo v registru transakcijskih računov, ki ga upravlja Agencija RS za javnopravne evidence in storitve (v nadaljevanju: AJPES). Register transakcijskih računov je podrobneje urejen v ZPlaSSIED. Med drugim zakon določa, da so podatki o transakcijskih računih v registru transakcijskih računov javni in brezplačno dostopni na spletni strani AJPES, razen podatkov o transakcijskih računih fizičnih oseb, ki niso javni.

V predlogu so omenjeni tudi transakcijski sistemi, vendar tega pojma predpisi z našega delovnega področja ne poznajo, zato domnevamo, da je imel predlagatelj v mislih plačilne sisteme, ki omogočajo izvrševanje plačilnih transakcij med ponudniki plačilnih storitev. V zvezi s tem je treba omeniti, da večje plačilne sisteme, ki se uporabljajo za izvajanje plačilnih transakcij v Republiki Sloveniji, praviloma upravljajo subjekti izven Republike Slovenije in zato niso pod slovensko jurisdikcijo.

Glede na predhodno navedeno predloga za vzpostavitev posebnega, suverenega strežniškega sistema znotraj Republike Slovenije, ki bi bil namenjen zaščiti bančnih računov in transakcijskih sistemov vseh rezidentov Republike Slovenije, ne podpiramo.

Hkrati bi še opozorili, da je potrebno v primeru vzpostavitve suverenega strežniškega sistema zagotoviti skladnost z EU zakonodajo (DORA, NIS2 in GDPR) in interoperabilnost, saj mora ločen strežniški sistem omogočati nemoteno čezmejno poslovanje, ki mora biti združljivo z evropskimi finančnimi sistemi.
 

Odziv Ministrstva za digitalno preobrazbo

1. Državna uprava ima ločeno omrežje HKOM za povezavo med ključnimi informacijskimi sistemi državne uprave, tudi na področju davčnega in socialnega sektorja. Bančni sektor sodeluje pri izmenjavi finančnih podatkov z državno upravo preko varnih povezav in sistemov za kibernetsko zaščito.

Informacijski sistemi državne uprave, torej tudi informacijski sistemi s področja davčnega in socialnega sektorja so fizično v Sloveniji. Povezave z mednarodnimi digitalnimi tokovi potekajo preko varnih povezav, kar zahteva tudi evropska zakonodaja.

Kar pa se tiče bank oziroma bančnega sistema, le te niso v naši pristojnosti.

2. Za zaščito finančnih podatkov (bančnih računov in transakcijskih sistemov vseh rezidentov Republike Slovenije – tako državljanov kot tudi oseb s stalnim ali začasnim dovoljenjem za prebivanje in delo; osebnih finančnih podatkov in identifikacijskih informacij; delovanja ključnih informacijskih sistemov povezanih z bančnim, davčnim in socialnim sektorjem…), pa je pristojna Banka Slovenije.

Naloge Banke Slovenije, kot krovne inštitucije fiskalnega sistema RS, so med drugim tudi:

  • upravljanje plačilnih sistemov,
  • upravljanje uradnih deviznih rezerv in drugega premoženja Banke Slovenije,
  • deluje lahko kot plačilni in/ali fiskalni agent države in kot predstavnik države v mednarodnih denarnih organizacijah,
  • vodenje računov za Republiko Slovenijo, državne organe in osebe javnega prava,
  • opravlja naloge finančne, denarne, bančne in plačilnobilančne statistike,
  • upravlja centralni kreditni register in podobno,

in je kot taka pristojna za izvajanje strateških in varnostnih ukrepov za zaščito finančnih sistemov in prihrankov vseh, ki prebivajo in prispevajo k razvoju RS.

Dodatno so za zaščito osebnih, davčnih in socialnih podatkov pristojna resorna ministrstva, ki lahko pristopijo k izgradnji takega sistema. MDP upravlja informacijski sistem državne uprave in skrbi za horizontalne storitve, medtem ko je Banka Slovenije samostojna institucija in informacijski sistem državne uprave se ne povezuje z bančnim sistemom.

Komentarji




Imate težave pri uporabi orodja ali pa nam morda želite sporočiti predlog za izboljšavo njegovih funkcionalnosti?
Na voljo smo vam na e-naslovu: predlagam.vladiping@govpong.si