Kaj je ZInfV-1 in kaj pomeni za podjetja v Sloveniji?
Znanje
• INFORMACIJSKA VARNOST • KIBERNETSKA VARNOST • ZINFV-1 •
Vlada Republike Slovenije je 10. aprila 2025 sprejela besedilo predloga novega Zakona o informacijski varnosti (ZInfV-1), ki ga je pripravil Urad Vlade Republike Slovenije za informacijsko varnost (URSIV). Predlog zakona, ki bo obravnavan v Državnem zboru po nujnem zakonodajnem postopku, predstavlja temeljni dokument za nadgradnjo nacionalnega sistema informacijske in kibernetske varnosti. Z njim se v slovenski pravni red prenaša evropska Direktiva (EU) 2022/2555, bolj znana kot NIS 2.
ZInfV-1 uvaja celovit pravni okvir za obvladovanje kibernetskih tveganj, pri čemer pomembno prispeva k povečanju kibernetske odpornosti države, tako v javnem kot zasebnem sektorju. Poseben poudarek daje področjem, ki so ključna za delovanje družbe in gospodarstva ter nemoteno izvajanje osnovnih storitev, kot so zdravstvo, energetika, promet in digitalna infrastruktura.
Zakon jasno opredeljuje vloge, pristojnosti in naloge ključnih akterjev na področju informacijske varnosti. Med njimi so nacionalni organ za informacijsko varnost, enotna kontaktna točka za kibernetsko varnost, organ za obvladovanje incidentov večjih razsežnosti in kriznih situacij ter CSIRT skupine za odzivanje na varnostne incidente. Novi zakon določa tudi zavezance – javne in zasebne subjekte, ki delujejo na področjih, navedenih v prilogah zakona – in jim nalaga izvajanje ustreznih ukrepov za obvladovanje tveganj ter obveznost priglasitve pomembnih incidentov.
Pomembna novost je uvedba več digitalnih orodij: vzpostavljena bo platforma za samoregistracijo zavezancev, enotna točka za prijavo incidentov in sistem za varno izmenjavo informacij. Zakon hkrati ureja tudi sodelovanje med državnimi organi in CSIRT skupinami pri obrambi pred kibernetskimi grožnjami, mehanizme nadzora, pravila o prostovoljni prijavi incidentov in pogoje za certificiranje na področju kibernetske varnosti. Predvideno je tudi sprejetje nacionalne Strategije kibernetske varnosti in načrta za odzivanje ob incidentih, ki bo opredelil ukrepe za obvladovanje tudi najbolj resnih kibernetskih kriz.
Vlada je pri pripravi zakonskega besedila upoštevala izkušnje iz dosedanjega upravljanja incidentov, ugotovitve vaj kriznega odzivanja in priporočila različnih deležnikov s področja kibernetske varnosti. Novi zakon krepi njihovo medsebojno sodelovanje in koordinacijo ter postavlja temelje za nadaljnjo krepitev nacionalnih zmogljivosti za odzivanje in obrambo.
Zakon bo začel veljati petnajsti dan po objavi v Uradnem listu Republike Slovenije. S tem bo Slovenija naredila pomemben korak naprej pri zagotavljanju kibernetske varnosti in zaščiti ključnih družbenih ter gospodarskih funkcij pred vse pogostejšimi in kompleksnejšimi digitalnimi grožnjami.
Kateri so največji izzivi za podjetja?
Največji izzivi za podjetja, zlasti mala in srednja, bodo:
-
Pomanjkanje strokovnega kadra.
-
Omejeni finančni viri.
-
Časovne omejitve pri uvajanju kompleksnih varnostnih rešitev.
-
Razumevanje novih obveznosti in vodenje ustrezne dokumentacije.
Kaj morajo podjetja vedeti o NIS-2 in noveli ZInfV-1?
Podjetja naj se obrnejo na zanesljive in izkušene partnerje na področju kibernetske varnosti, ki lahko ponudijo celosten nabor tehničnih rešitev za izpolnjevanje zahtev ZInfV-1.
Uvedba evropske direktive NIS 2 v slovensko zakonodajo z novelo Zakona o informacijski varnosti (ZInfV-1) prinaša nove zahteve za podjetja in njihove dobavitelje. Zakon uvaja strožja pravila za obvladovanje kibernetskih tveganj in odgovornost vodstva podjetij. To pomeni, da bo poslovodstvo postalo neposredno odgovorno za kibernetsko varnost, kar vključi ne le tehnične ukrepe, temveč tudi strateške odločitve.
Nekaj ključnih sprememb, ki jih prinaša NIS 2, je obveznost, da poslovodstvo prevzame aktivno vlogo pri obvladovanju kibernetskih tveganj. Prej so bile odgovornosti pogosto prepuščene IT in varnostnim ekipam, zdaj pa so postale strateška naloga. Vodstvo mora odobriti varnostne ukrepe in zagotoviti, da se ukrepi izvajajo v skladu z zakonodajo. To vključuje tudi formalno usposabljanje za obvladovanje kibernetskih tveganj in razumevanje vpliva varnostnih incidentov na poslovanje.
Po mnenju strokovnjakov, kot je Milan Gabor iz podjetja Viris d.o.o., varnostni pregledi razkrivajo resne ranljivosti, ki lahko povzročijo škodo. V 30-40 % pregledov so odkrili kritične ranljivosti, kot so dostop brez avtentikacije ali zastarela programska oprema. Pomanjkanje rednega preverjanja varnosti lahko resno ogrozi poslovanje, zato podjetja ne smejo zanemariti teh postopkov.
NIS 2 uvaja strožje sankcije za podjetja, ki ne izpolnijo obveznosti, in to vključuje tudi osebno odgovornost članov poslovodstva. Kazni so lahko visoke in vključujejo tudi prepoved opravljanja vodstvenih funkcij v primeru hudih kršitev. To pomeni, da bodo podjetja morala izboljšati svojo pripravljenost na kibernetske grožnje, da se izognejo morebitnim kaznim.
NIS 2 še posebej poudarja pomembnost varnosti dobavnih verig, ki so v preteklosti pogosto zanemarjene. Podjetja morajo biti pozorna na tveganja, ki izhajajo iz sodelovanja z dobavitelji in partnerji. Ta tveganja lahko vplivajo na celotno organizacijo, zato je nujno, da podjetja izvajajo ustrezne ukrepe za obvladovanje teh tveganj.
Tudi ob uvedbi najboljših varnostnih ukrepov, ni mogoče popolnoma preprečiti kibernetskih napadov. Zato je ključnega pomena, da podjetja vzpostavijo in preizkusijo načrte za odzivanje na incidente. To vključuje pripravo odzivnih ekip, ukrepe za zajezitev napada, zbiranje dokazov, obveščanje ter obnovo sistemov. Hitro okrevanje po napadu je konkurenčna prednost, saj vsak dan nedelovanja povzroči stroške in škodo ugledu podjetja.
Za uspešno implementacijo NIS 2 bodo morali člani poslovodnih organov redno izpopolnjevati svoje znanje o kibernetskih tveganjih in njihovem vplivu na poslovanje podjetja. To vključuje tudi usposabljanje na področju obvladovanja tveganj kibernetske varnosti ter pripravo na različne scenarije varnostnih incidentov.
Zadnje raziskave kažejo, da je zavedanje o teh spremembah v Sloveniji vse večje, saj podjetja hitreje sprejemajo nujnost ukrepanja v skladu z novo zakonodajo.