Kaj je ZInfV-1 in kaj pomeni za podjetja v Sloveniji?


Kaj je ZInfV-1 in kaj pomeni za podjetja v Sloveniji?

Kaj je ZInfV-1 in kaj pomeni za podjetja v Sloveniji?

Znanje

INFORMACIJSKA VARNOSTKIBERNETSKA VARNOSTZINFV-1ZINFVZINFZINV

Naš tečaj bo vaše zaposlene in vodstvo pripravil na vzpostavitev učinkovite notranje varnostne enote – brez potrebe po širitvi ekipe ali zaposlitvi varnostnega direktorja. Pomagali vam bomo razporediti odgovornosti med obstoječim osebjem na podlagi skladne in preverljive politike varnosti. Ne glede na to, ali imate notranji ali zunanji IT-oddelek, mora biti njegova dejavnost pod nadzorom informacijske varnosti. Saj lahko tudi IT, če ni ustrezno nadzorovan in revidiran, sam postane vir tveganj.

Kibernetski napadi danes niso več vprašanje »če«, ampak »kdaj«. Napadalci ciljajo podjetja vseh velikosti, najpogosteje pa vstopijo skozi najšibkejši člen – človeka. E-pošta, gesla, lažne povezave, priponke ali telefonski klici so vsakodnevna tveganja, ki jih lahko zaposleni z znanjem prepoznajo in ustavijo pravočasno. Prijavi se na tečaj!

Ne glede na velikost bi moralo vsako podjetje ali organizacija imeti jasno določeno varnostno politiko ter nadzor nad informacijskimi sistemi in IT-osebjem. Nova zakonodaja, ZInfV-1, pa uvaja še posebne zahteve informacijske varnosti za večje organizacije oziroma za t. i. bistvene in pomembne subjekte. Ali vaše podjetje izvaja storitve, pomembne za delovanje države – npr. v transportu, dobavni verigi, energetiki ali zdravstvu? Če je odgovor “da”, potem skladnost z ZInfV-1 je zakonska obveznost.

Inšpekcija za informacijsko varnost bo nadzore začela z enim preprostim vprašanjem: »Prosimo, pokažite nam svojo varnostno dokumentacijo.« Zato je pametno ukrepati zdaj, še preden se začnejo izrekati globe.

Poleg varnostne politike mora imeti organizacija tudi dokazila, da je osebje ustrezno usposobljeno na področju kibernetske varnosti, saj je redno izobraževanje zaposlenih ena ključnih zakonskih obveznosti. V okviru naših storitev pripravimo varnostne politike skladno z mednarodnimi standardi ter poskrbimo za izobraževanja vaših zaposlenih, kot jih zahteva zakon, tako da bo vaša organizacija skladna, varna in pripravljena na morebitni nadzor.

Vsaka organizacija mora imeti varnostno politiko. Tudi če imate zunanji ali notranji SOC (VOC), je naše usposabljanje optimalna pot do skladnosti. Vodstvo in zaposleni bodo pridobili jasen vpogled v zakonske obveznosti, aktualne grožnje ter načine, kako preprečiti izgubo denarja zaradi kibernetskih napadov in se izogniti globam. Vse aktivnosti so dokumentirane in sledljive kar je ključno pri prihodnjih revizijah.

Priprava na ZInfV-1 brez odvečnih stroškov

Zakon o informacijski varnosti (ZInfV-1, Zinf) prinaša strožje zahteve za zaščito informacijskih sistemov, omrežij in osebnih podatkov. Te obveznosti se nanašajo na javni sektor in vse pogosteje zadevajo tudi srednje velika podjetja, ki obdelujejo podatke strank, uporabljajo spletne storitve ali so del dobavnih verig večjih organizacij. Čeprav morda danes še niste neposredno zavezani, se bo področje uporabe zakona v prihodnjih letih širilo, zato je pameten korak začeti s pripravami pravočasno.

Prvi in najpomembnejši korak je vzpostavitev politike informacijske varnosti ter postopkov za zaščito podatkov, dostopov in odzivanje na incidente. Pomanjkanje teh dokumentov predstavlja resno poslovno tveganje zaradi možnih kazni in zaradi finančnih prevar. Napadi, kot sta Vendor Email Compromise (VEC) in Vendor Invoice Fraud (VIF), pogosto uspejo prav zaradi neurejene interne komunikacije in pomanjkljive ozaveščenosti zaposlenih.

Če že imate zunanji SOC (security operations center) oz. VOC (varnostni operativni center), ste že naredili velik del poti proti skladnosti z ISO 27001, sistem nadzora, zaznavanja incidentov in odzivanja je namreč jedro zahtev standarda. Naslednji logični korak je optimizacija in formalizacija varnostne dokumentacije in ocene tveganj, kjer vam lahko učinkovito pomagamo.

Če pa uporabljate MDR rešitev (Managed Detection and Response), na primer Sophos MDR, potem prav tako pokrivate ključne funkcije VOC-a: stalno spremljanje, zaznavanje groženj in odzivanje na incidente. To pomeni, da lahko brez ločene pogodbe za SOC znižate stroške, a kljub temu ohranite visoko raven zaščite. Kar MDR ne pokriva, so procesi, politike in usklajenost z zakonodajo – in prav tu vstopimo mi.

Naša storitev vCISO (virtualni Chief Information Security Officer) temelji na mednarodni platformi Cynomi, ki avtomatizira GAP analizo, pripravo varnostne dokumentacije, upravljanje nalog in spremljanje skladnosti z ISO 27001, NIS-2, GDPR ter ZInfV-1 in ZVOP-2. S tem vašemu podjetju omogočimo, da doseže profesionalno raven informacijske varnosti brez administrativnega bremena in visokih stroškov polne ISO certifikacije.

Zmanjšali boste svojo kibernetsko površino napada, izboljšali odzivnost ekipe in zagotovili pripravljenost na regulativne zahteve. Poseben poudarek namenjamo protifraudni ozaveščenosti – naš tečaj kibernetske varnosti je konkreten korak k oblikovanju kulture varnosti, ki preprečuje tako tehnične kot finančne incidente.

Cenik

Standartni modul: Poglej cene in prijavi se na tečaj

Paket Opis Cena (EUR)
Napredni modul (Pro) Vse iz paketa Standard + dodatna seja za vodstvo, prilagoditev vsebin glede na obstoječo varnostno politiko naročnika in svetovanje. po dogovoru
E-poštna zaščita (Email Audit) Pregled e-poštnega sistema (Google, Microsoft ipd.) za preprečevanje goljufij in lažnega predstavljanja, skladno z naraščajočimi standardi EU. Vključuje poročilo in priporočila za izboljšave. po dogovoru*
vCISO / Compliance Monitoring Skupaj s strateškimi partnerji nudimo rešitve za stalno spremljanje skladnosti (AI-nadzorne plošče Cynomi), XDR-rešitve ter preglede e-poštnih sistemov. po dogovoru*
Pentest / Varnostno testiranje Tradicionalno penetracijsko testiranje omrežij in spletnih aplikacij s poročilom o ranljivostih in priporočili. po dogovoru*
  • Paketa vCISO in Pentest ne vključujeta osnovnega usposabljanja, vendar nudimo popust pri nadgradnji iz paketa Lite, Standard ali Pro. ** Vse cene vključujejo DDV.

Usposabljanje zaposlenih v podjetjih

Zaposleni so prva obrambna linija vašega podjetja – in hkrati najpogostejša tarča napadalcev. Naše uvodno, a izjemno praktično usposabljanje traja 4 akademske ure in vključuje realistično phishing simulacijo, ki razkrije, kako pripravljeni so vaši zaposleni v praksi.

Program je namenjen vsem podjetjem, ki želijo hitro izboljšati varnostno kulturo, brez zapletenih tehničnih zahtev ali dolgoročnih pogodb. To je najboljši prvi korak k celoviti skladnosti z zakonodajo (NIS-2, ZInfV-1, GDPR, ISO 27001).

📄 Več o vsebini usposabljanja si oglejte v brošuri

ZInfV-1 – Kaj pomeni novi zakon o informacijski varnosti?

Vlada Republike Slovenije je 10. aprila 2025 sprejela besedilo predloga novega Zakona o informacijski varnosti (ZInfV-1 ali Zinf), ki ga je pripravil Urad Vlade Republike Slovenije za informacijsko varnost (URSIV). Predlog zakona, ki bo obravnavan v Državnem zboru po nujnem zakonodajnem postopku, predstavlja temeljni dokument za nadgradnjo nacionalnega sistema informacijske in kibernetske varnosti. Z njim se v slovenski pravni red prenaša evropska Direktiva (EU) 2022/2555, bolj znana kot NIS 2.

ZInfV-1 uvaja celovit pravni okvir za obvladovanje kibernetskih tveganj, pri čemer pomembno prispeva k povečanju kibernetske odpornosti države, tako v javnem kot zasebnem sektorju. Poseben poudarek daje področjem, ki so ključna za delovanje družbe in gospodarstva ter nemoteno izvajanje osnovnih storitev, kot so zdravstvo, energetika, promet in digitalna infrastruktura.

Zakon jasno opredeljuje vloge, pristojnosti in naloge ključnih akterjev na področju informacijske varnosti. Med njimi so nacionalni organ za informacijsko varnost, enotna kontaktna točka za kibernetsko varnost, organ za obvladovanje incidentov večjih razsežnosti in kriznih situacij ter CSIRT skupine za odzivanje na varnostne incidente. Novi zakon določa tudi zavezance – javne in zasebne subjekte, ki delujejo na področjih, navedenih v prilogah zakona – in jim nalaga izvajanje ustreznih ukrepov za obvladovanje tveganj ter obveznost priglasitve pomembnih incidentov.

Pomembna novost je uvedba več digitalnih orodij: vzpostavljena bo platforma za samoregistracijo zavezancev, enotna točka za prijavo incidentov in sistem za varno izmenjavo informacij. Zakon hkrati ureja tudi sodelovanje med državnimi organi in CSIRT skupinami pri obrambi pred kibernetskimi grožnjami, mehanizme nadzora, pravila o prostovoljni prijavi incidentov in pogoje za certificiranje na področju kibernetske varnosti. Predvideno je tudi sprejetje nacionalne Strategije kibernetske varnosti in načrta za odzivanje ob incidentih, ki bo opredelil ukrepe za obvladovanje tudi najbolj resnih kibernetskih kriz.

Vlada je pri pripravi zakonskega besedila upoštevala izkušnje iz dosedanjega upravljanja incidentov, ugotovitve vaj kriznega odzivanja in priporočila različnih deležnikov s področja kibernetske varnosti. Novi zakon krepi njihovo medsebojno sodelovanje in koordinacijo ter postavlja temelje za nadaljnjo krepitev nacionalnih zmogljivosti za odzivanje in obrambo.

Zakon bo začel veljati petnajsti dan po objavi v Uradnem listu Republike Slovenije. S tem bo Slovenija naredila pomemben korak naprej pri zagotavljanju kibernetske varnosti in zaščiti ključnih družbenih ter gospodarskih funkcij pred vse pogostejšimi in kompleksnejšimi digitalnimi grožnjami.

Kateri so največji izzivi za podjetja?

Največji izzivi za podjetja, zlasti mala in srednja, bodo pomanjkanje strokovnega kadra, in razumevanje novih obveznosti in vodenje ustrezne dokumentacije. Zakon o informacijski varnosti (ZInfV-1) je pomemben mejnik v slovenskem pristopu k obvladovanju kibernetskih tveganj. Z njim se Slovenija pridružuje evropskim državam, ki so v svojo zakonodajo prenesle direktivo NIS-2, s čimer se postavlja jasen okvir odgovornosti in ukrepov za zagotavljanje visoke stopnje kibernetske odpornosti. Cilj zakona je zmanjšati verjetnost in vpliv incidentov, ki bi lahko ogrozili delovanje družbe, gospodarstva ali javnih storitev, ter zagotoviti, da podjetja in organizacije pravočasno vzpostavijo mehanizme za upravljanje informacijske varnosti.

ZInfV-1 ni zgolj tehnični zakon, temveč prinaša tudi spremembo v razumevanju upravljanja tveganj. V ospredje postavlja odgovornost vodstva, ki mora sprejeti konkretne ukrepe, dodeliti vire in nadzorovati izvajanje varnostnih politik. Ne gre več za prostovoljno odločitev podjetja, ampak za zakonsko obveznost, ki jo spremljajo visoke kazni v primeru neskladnosti. Varnostna vprašanja tako postajajo del strateškega upravljanja, ne le domene IT oddelkov.

Zakon posebej poudarja pomen izobraževanja in ozaveščanja zaposlenih, saj so človeški faktor in pomanjkanje znanja pogosto glavni razlog za varnostne incidente. Zato morajo zavezanci redno izvajati usposabljanja, simulacije in notranje preglede, s katerimi preverjajo svojo pripravljenost. Prav tako morajo zagotoviti sledljivost in pravočasno poročanje o incidentih pristojnim organom, kar omogoča boljšo koordinacijo odziva na nacionalni ravni.

V praksi bo ZInfV-1 vplival na številna podjetja, ki morda še niso popolnoma seznanjena s svojimi obveznostmi. Mnoge organizacije bodo morale prvič formalno dokumentirati svoj sistem upravljanja varnosti, imenovati odgovorno osebo ter pripraviti načrte neprekinjenega poslovanja. Čeprav zakon zahteva dodatne procese in vire, pa dolgoročno prinaša koristi – večjo odpornost, boljše zaupanje strank in manjšo izpostavljenost kibernetskim grožnjam, ki so v zadnjih letih postale stalnica poslovnega okolja.

Zakon o informacijski varnosti (ZInfV-1), ki je stopil v veljavo leta 2024, predstavlja implementacijo evropske direktive NIS-2 v slovenski pravni red. Gre za zakon, ki določa obveznosti podjetij in javnih organov glede kibernetske varnosti, upravljanja tveganj in poročanja o incidentih.

ZInfV-1 velja za vse bistvene in pomembne subjekte, ki delujejo v sektorjih, kot so energetika, transport, zdravstvo, digitalne storitve, upravljanje javnih omrežij, vladne storitve, proizvodnja in IKT. Zakon je izjemno pomemben, saj uvaja obveznosti ne le za tehnično infrastrukturo, temveč tudi za vodstvo organizacij, ki mora poskrbeti za izvajanje ukrepov, usposabljanje osebja in redno preverjanje skladnosti.

ZInfV-1 je implementacija direktive NIS-2

Evropska Direktiva (EU) 2022/2555 (NIS-2) zahteva, da vse države članice zagotovijo visoko raven kibernetske varnosti za ključne in pomembne gospodarske subjekte. Slovenski ZInfV-1 je to direktivo v celoti prenesel v nacionalno zakonodajo in določa:

  • kdo so zavezanci po zakonu,
  • rok za samoregistracijo,
  • obveznost vzpostavitve sistema upravljanja varovanja informacij (ISMS),
  • ukrepe za obvladovanje tveganj, ter
  • redno poročanje o varnostnih incidentih pristojnemu organu ali skupini CSIRT.

Za vse subjekte, ki izpolnjujejo pogoje po 6. členu ZInfV-1, velja obveznost samoregistracije in skladnosti z zahtevami najkasneje v šestih mesecih od uveljavitve zakona.

Kdo je zavezanec po ZInfV-1?

Če imate vsaj 50 zaposlenih in letni promet ali bilančno vsoto nad 10 milijonov EUR, ter delujete v sektorju, ki je naveden v Prilogi 1 ali 2 zakona, obstaja velika verjetnost, da ste zavezanec po ZInfV-1. Poleg tega so ponudniki javnih elektronskih komunikacijskih storitev zavezanci ne glede na svojo velikost.

Zavezanec je lahko tudi subjekt, ki:

  • zagotavlja ključne digitalne storitve,
  • obdeluje osebne podatke velikega števila uporabnikov,
  • je del oskrbovalne verige za bistvene storitve (npr. IT vzdrževalec, ponudnik oblačnih storitev, ponudnik spletne infrastrukture).

Če niste prepričani, ali sodite med zavezance, priporočamo hitro preverbo v skladu s 3., 6. in 7. členom ZInfV-1 ali IT pregled skladnosti.

Obveznosti po ZInfV-1

Zavezanci morajo:

  • vzpostaviti sistem upravljanja informacijske varnosti (SUIV) in neprekinjenega poslovanja (SUNP),
  • izvesti ukrepe za obvladovanje tveganj (21. in 22. člen),
  • izvajati redna usposabljanja osebja za prepoznavanje in obvladovanje kibernetskih groženj,
  • poročati o incidentih v roku 24 oziroma 72 ur po zaznavi,
  • hraniti varnostno dokumentacijo in dokazila o skladnosti.

Vodstvo organizacije (direktor, uprava, predstojniki) je po ZInfV-1 odgovorno za izvajanje ukrepov, in v primeru neizpolnjevanja lahko tudi osebno odgovarja.

Kaj vam lahko ponudimo

Kot svetovalci za kibernetsko skladnost in varnost, vam pomagamo pri vseh korakih izpolnjevanja zahtev ZInfV-1:

  • IT varnostni pregled (audit) – preverimo, ali vaša infrastruktura in politika ustrezata zahtevam NIS-2 in ZInfV-1.
  • Usposabljanje za zaposlene in vodstvo – izpolnite zakonsko obveznost in okrepite odpornost ekipe.
  • Priprava varnostne dokumentacije in politik – po meri vaše organizacije.
  • Podpora pri samoregistraciji in komunikaciji z URSIV / CSIRT.

Z našo pomočjo se lahko izognete kaznim in zagotovite skladnost z zakonodajo na pregleden in praktičen način.

Kontaktirajte nas še danes za preverbo, ali ste zavezanec po ZInfV-1, in prejmite ponudbo za IT audit in usposabljanje.


𝕏   Facebook   Viber LinkedIn


clanek011

Standardi

Kako deluje kibernetsko zavarovanje (2025)?

Znanje

Informacijska varnost: Najpogostejše oblike kibernetskih napadov (2025)?

Znanje

Evropska unija in zaščita podatkov: Kaj prinaša leto 2025?

Standardi

Kaj je ISO 27001 in kako pomaga podjetjem pri zagotavljanju varnosti informacij

Standardi

Kaj je NIS-2 in DORA?