Delovni čas
Pon - pet: 9.00 - 14.00
ZInfV-1 kot temelj zaupanja in varnosti v digitalni družbi
Na podlagi Evropske direktive NIS 2 je bil v slovensko zakonodajo sprejet Zakon o informacijski varnosti (ZinfV-1). Zakon je bil na predlog državnega zbora sprejet 23. maja 2025. V domačo zakonodajo prenaša zahteve, ki jih Direktiva NIS 2 določa članicam Evropske Unije. Zakon predstavlja pomemben korak h krepitvi kibernetske varnosti Republike Slovenije, hkrati pa prinaša tudi bolj celovito ureditev sistema informacijske varnosti. V Uradnem listu RS je bil ZinfV-1 objavljen 4. junija, v veljavo pa je stopil 19. junija.
Namen zakona je vzpostaviti pravni okvir, ki omogoča učinkovito regulacijo, nadzor in sankcioniranje v primeru kršitev, hkrati pa spodbuja tudi digitalno odpornost. Tista podjetja in organizacije, ki so postale zavezanci po ZinfV-1, morajo izpolnjevati določene standarde in postopke, sicer jim grozije sankcije.
Ste tudi vi zavezanci? Kaj se od vas pričakuje? Kakšno odgovornost in obveznosti imate?
Uvodne določbe in področja uporabe ZinfV-1
ZinfV določa obseg uporabe, opredeljuje definicije ključnih izrazov in določa, kdo so zavezanci. Ureja pristojnosti, naloge, organizacijo in delovanje pristojnega nacionalnega organa za informacijsko varnost, organa za obvladovanje incidentov velikih razsežnosti in kriz, enotne konktaktne točke za kibernetsko varnost in skupin za odzivanje na incidente na področju računalniške varnosti. Ureja tudi sprejetje Strategije kibernetske varnosti Republike Slovenije, kibernetsko obrambo ter sodelovanje pristojnih državnih organov in skupin CSIRT.
Namen zakona sta sistemska ureditev področja informacijske in kibernetske varnosti ter zagotovitev visoke ravni kibernetske varnosti, vključno s krepitvijo zaupanja v proizvode informacijsko-komunikacijske tehnologije, storitve IKT in postopke IKT ter krepitvijo njihove varnosti v Republiki Sloveniji na področjih, ki so ključni za nemoteno delovanje države in ohranitev zagotavljanja ključnih družbenih in gospodarskih dejavnosti.
Kdo so zavezanci?
Po zakonu so zavezanci vse organizacije, ki delujejo v ključnih in pomembnih sektorjih, kot so energetika, zdravstvo, pitna voda, digitalna infrastruktura, bančništvo, finance, javna uprava ter informacijske in komunikacijske tehnologije. Med zavezance spadajo tudi srednje velika podjetja, ki imajo več kot 50 zaposlenih ali letni promet nad 10 milijoni evrov, ne glede na dejavnost, če njihovo delovanje vpliva na kritične storitve ali nemoteno delovanje družbe. Vlada lahko določi dodatne zavezance, kadar oceni, da ima organizacija pomembno vlogo pri zagotavljanju nacionalne varnosti ali javnega interesa.
Zavezanci se po zakonu delijo na bistvene in pomembne subjekte. Bistveni subjekti so večje organizacije iz ključnih sektorjev, ki imajo najmanj 250 zaposlenih, letni promet nad 50 milijonov evrov ali letno vsoto nad 43 milijonov evrov. Med bistvene subjekte sodijo tudi ponudniki kvalificiranih storitev zaupanja, registri domen (TLD), ponudniki storitev DNS in ponudniki javnih elektronskih komunikacijskih omrežij ali storitev, če imajo vsaj 50 zaposlenih in promet nad 10 milijonov evrov. V to skupino spadajo tudi državni subjekti, določeni kot kritična infrastruktura, ter drugi pomembni izvajalci, ki jih na predlog pristojnega organa določi vlada.
Pomembni subjekti pa so manjše organizacije iz sektorjev, ki so prav tako pomembni za delovanje družbe, a ne izpolnjujejo pogojev za bistvene subjekte. Sem spadajo tudi subjekti, ki jih na predlog pristojnega organa določi vlada, ter tisti, ki opravljajo dejavnosti, ki so pomembne za varnost, zaščito, reševanje ali delovanje javnih storitev, vendar ne dosegajo kriterijev bistvenih subjektov.
Nadzor in kazenske določbe
Za nadzor nad izvajanjem določb ZinfV-1 so pristojni inšpektorji za informacijsko varnost pri nacionalnem organu, ki skrbi za to področje. Ti inšpektorji preverjajo skladnost organizacij z zakonom, njegovimi podzakonskimi predpisi in odločbami, izdanimi na njihovi podlagi.
Na obrambnem območju nadzor opravlja Inšpektorat Republike Slovenije za obrambo, medtem, ko nadzor nad obveščevalno-varnostnimi dejavnostmi izvaja Inšpektorat Republike Slovenije za notranje zadeve.
Poleg tega so inšpektorji pristojni tudi za nadzor nad izvajanjem evropskih uredb in certifikacijskih shem s področja kibernetske varnosti ter za spremljanje, kako se v Sloveniji izvajajo izvedbeni akti Evropske komisije, povezani z Direktivo NIS 2. Pri izvajanju nadzora se uporabljajo določbe Zakona o inšpekcijskem nadzoru, razen v primerih, kjer ZinfV-1 določa posebna pravila ali postopke.
V primeru kršitev so z zakonom določene globe za bistvene in pomembne subjekte, globe za kršitev Uredbe 2019/881EU, odmerjanje sankcij za prekrške, izrekanje globe v hitrem prekrškovnem postopku ter uporaba določb o prekrških.
Izobraževanje in uposabljanje
ZinfV-1 poudarja tudi pomen nenehnega izobraževanja in usposabljanja zaposlenih na področju kibernetske varnosti. Organizacije morajo zagotoviti, da zaposleni razumejo tveganja, povezana z uporabo informacijskih sistemov, in znajo ustrezno ukrepati ob morebitnih incidentih. Usposabljanja morajo biti redna, prilagojena delovnim mestom in vključevati tudi vodstvene strukture, saj je zavedanje in odgovornost vseh zaposlenih ključna za učinkovito obvladovanje kibernetskih groženj in skladnost z zahtevami zakona.
Zagotavljanje informacijske varnosti in ukrepi za obvladovanje tveganj
Bistveni in pomembni subjekti morajo vzpostaviti in izvajati ustrezne tehnične, operativne in organizacijske ukrepe. S temi zagotavljajo celovitost, avtentičnost, zaupnost in razpoložljivost svojih omrežij ter informacijskih sistemov. Ti ukrepi morajo omogočati učinkovito obvladovanje tveganj za varnost sistemov, ki jih uporabljajo pri svojem delovanju ali nudenju storitev, ter preprečevati ali zmanjševati vpliv morebitnih varnostnih incidentov na uporabnike in druge povezane storitve.
Varnostni ukrepi morajo temeljiti na celostnem pristopu, ki upošteva vse možne nevarnosti in vključuje zaščito tako informacijskih sistemov kot tudi njihovega fizičnega okolja pred incidenti in motnjami.
Pomen ZinfV-1 za varnost in zaupanje
S sprejetjem zakona se pričakuje več koristi, kot so na primer:
- Povečana odpornost digitalne infrastrukture in storitev na kibernetske grožnje.
- Večje zaupanje uporabnikov in partnerjev.
- Preprečevanje večjih incidentov in zmanjšanje posledic njihovih učinkov.
- Jasnost odgovornosti, saj je definiran sistem sankcij in nadzora, ki velja za vse zavezance zakona.
Ključne novosti zakona
Zakon o informacijski varnosti (ZinfV-1) prinaša nekatere ključne novosti. To so med drugim:
- Razširitev kroga zavezancev.
- Obveznost samoregistracije.
- Dodatni ukrepi za obvladovanje tveganj.
- Izvajanje ocene in samoocene skladnosti.
- Izvajanje rednega usposabljanja odgovornih oseb.
- Vzpostavitev usklajenega razkrivanja ranljivosti.
- Krepitev zaupanja v IKT proizvode, storitve in postopke.
Zakon po novem določa, da so zavezanci vsa podjetja in organizacije iz kritičnih sektorjev, kot so zdravstvo, energetika, informacijska tehnologija, promet, bančništvo in podobno. med zavezance spadajo tudi srednje velika podjetja, ki imajo več kot 50 zaposlenih ali letnim prometom nad 10 milijoni evrov. Vlada lahko med zavezance vključi tudi druge subjekte, če so le-ti pomembni za nemoteno delovanje družbe.
ZinfV-1 organizacijam in podjetjem nalaga vrsto konkretnih obveznosti, ki jih morajo sistemsko izvajati. Med njimi so: redno preverjanje varnostnih kopij in dnevniških zapisov; stalno ocenjevanje tveganj; vzpostavitev varnostnih politik in postopkov; preverjanje identitet uporabnikov; upravljanje dostopov po načelu najmanjših pravic… Poleg tega zakon zahteva tudi redno izobraževanje zaposlenih o kibernetski varnosti, vzpostavitev nadzora nad dobavitelji in učinkovito obvladovanje varnostnih incidentov z obveznim poročanjem v določenih rokih.
Ključna novost je, da odgovornost za informacijsko varnost ni več omejena le na IT oddelke. Člani poslovodstva morajo dokazljivo zagotavljati izvajanje varnostnih politik ter nadzirati njihovo uresničevanje. V primeru neskladnosti zako predvideva osebno odgovornost vodstva in visoke denarne kazni.
Pri tem ima pomembno vlogo tudi Urad za informacijsko varnost, ki skrbi za nadzor izvajanja zakona, svetovanje zavezancem, pripravo smernic in standardov ter usklajevanje nacionalnih prizadevanj na področju kibernetske varnosti.