Slovenija je sprejela zakon, ki za številna podjetja odpira povsem novo poglavje v razumevanju kibernetske varnosti. Vas zadeva? Z veliko verjetnostjo – da.
Kaj se je zgodilo?
Po dolgih letih premikov v počasnem posnetku je Slovenija 23. maja 2025 sprejela nov Zakon o informacijski varnosti (ZInfV-1). Gre za nacionalni odgovor na evropsko direktivo NIS2, ki želi okrepiti kibernetsko odpornost držav članic in posledično tudi zasebnega sektorja.
Čeprav smo čakali skoraj dve leti, je čas za praznovanje mimo. Zdaj je ključno vprašanje: Ali ste pripravljeni?
Kaj prinaša ZInfV-1?
1. Širši krog zavezancev
ZInfV-1 razširja obseg subjektov, ki so dolžni izpolnjevati zahteve glede informacijske varnosti. Poleg kritične infrastrukture zakon vključuje tudi srednje velika podjetja in organizacije, ki opravljajo bistvene storitve za delovanje družbe in gospodarstva.
Za razliko od prejšnje zakonodaje, ki je pokrivala zgolj tiste organizacije, ki upravljajo z »nacionalno kritično infrastrukturo«, novi zakon seže veliko širše:
- zavezanci postanejo tudi podjetja z več kot 50 zaposlenimi in letnim prometom nad 10 milijoni evrov
- obveznosti niso več zgolj priporočila, temveč konkretni, zakonsko določeni ukrepi
- uvedene so kazni za neizpolnjevanje, ki lahko dosegajo milijonske zneske
- zahteva se celovit sistemski pristop, ne zgolj osnovna tehnična zaščita
ZInfV-1 ne cilja le na energetski sektor in telekomunikacije. V skladu z evropskimi smernicami zakon širi obseg na organizacije iz:
- bančništva
- logistike
- farmacije
- informacijske tehnologije
- zdravstva
- javnega sektorja
V resnici bo zakon zadel vse, ki poslujejo na trgih, kjer je skladnost s kibernetsko varnostjo predpogoj za poslovanje.
Kot je jasno povedal Uroš Lesjak, direktor podjetja Innovis:
“Največja past je po mojem mnenju občutek, da je časa še dovolj.”
2. Povečane obveznosti glede varnosti
Zakon ni le formalizem, temveč uvaja konkretne zahteve, ki jih mora podjetje implementirati v svojo strukturo. Med ključnimi ukrepi so:
- redno preverjanje varnostnih kopij in dnevniških zapisov
- redno ocenjevanje tveganj
- vzpostavitev varnostnih politik in postopkov
- preverjanje identitet uporabnikov in upravljanje dostopov po principu najmanjših pravic
- sistematično izobraževanje zaposlenih o kibernetski higieni
- varnostne politike za ključne dobavitelje (nadzor nad dobavno verigo)
- obvladovanje varnostnih incidentov in obvezno poročanje v zakonskih rokih
3. Strožje sankcije za neizpolnjevanje obveznosti
Neposredna odgovornost poslovodstva
Eden ključnih premikov je ta, da zakon ne naslavlja več zgolj IT oddelka. Odgovornost zdaj nosijo člani poslovodstva, ki morajo dokazljivo zagotavljati varnostne politike in spremljati njihovo izvajanje.
To pomeni, da izgovor “nisem vedel” ne bo več veljaven, če tveganj niste obvladovali.
Boštjan Vrečko iz Telekoma Slovenije poudarja:
“Glede na trenutno raven skladnosti z varnostnimi zahtevami bo ZInfV-1 terjal precejšnje prilagoditve procesov in uvedbo dodatnih notranjih kontrol.”
Zakon predvideva stroge sankcije, vključno z visokimi denarnimi kaznimi in drugimi ukrepi, ki dodatno poudarjajo pomen proaktivnega pristopa k informacijski varnosti.
4. Krepitev vloge Urada za informacijsko varnost (URSIV)
URSIV bo imel ključno vlogo pri:
- nadzoru nad izvajanjem zakona,
- svetovanju zavezancem,
- pripravi smernic in standardov,
- koordinaciji nacionalnih prizadevanj na področju kibernetske varnosti.
ZInfV-1 vzpostavlja podlago za učinkovitejšo in sistematično obravnavo kibernetskih tveganj na ravni države.
Kaj to pomeni za vaše podjetje?
Če vaše podjetje spada med zavezance po ZInfV-1, boste morali:
- oceniti obstoječe ukrepe informacijske varnosti
- vzpostaviti ali posodobiti varnostne politike in postopke
- zagotoviti usposabljanje zaposlenih
- vzpostaviti mehanizme za obvladovanje in poročanje o incidentih
Priporočljivo je, da se čim prej seznanite z zahtevami zakona in začnete z ustreznimi pripravami.
Kot opozarja Igor Makar iz Smart Com:
“Podjetja, ki poslujejo na trgih, kjer je zakonodaja že uveljavljena, bi morala ukrepe vzeti že veliko prej.”
In prav ima. V mednarodnem okolju podjetje brez certificiranega pristopa k obvladovanju kibernetskih tveganj hitro izpade iz verige dobaviteljev.
Kako naprej?
Začnite tukaj: https://inovis.si/nis2-vprasalnik/
Koraki, ki jih lahko naredite takoj:
- Identificirajte, ali ste zavezanec (glede na število zaposlenih, promet in panogo)
- Določite odgovorne osebe za izvajanje varnostnih ukrepov
- Vzpostavite ali posodobite politike informacijske varnosti
- Pripravite procese in kontaktne točke za poročanje o incidentih
- Začnite z usposabljanjem zaposlenih
Mi smo tukaj, da vam pomagamo
Če ste se znašli v kategoriji zavezancev, se je ključno vprašanje premaknilo iz “Ali nas to zadeva?” v “Kako se čim prej prilagodimo?”
S podjetji že izvajamo:
- oceno skladnosti z ZInfV-1
- izdelavo akcijskih načrtov
- svetovanje pri uvedbi tehničnih in organizacijskih ukrepov
- usposabljanje vodstva in zaposlenih
Če želite konkretne korake za svoje podjetje, pišite nam. Prehod skozi ZInfV-1 ni nujno zapleten. Je pa nujno pravočasen.
Za več informacij nas kontaktirajte in skupaj bomo poskrbeli za varno in skladno poslovanje vašega podjetja.krbeli za varno in skladno poslovanje vašega podjetja.