Uvod: Razumevanje zavezništva za kibernetsko varnost
Slovenska zakonodaja o kibernetski varnosti postavlja jasne obveznosti za določene organizacije, vendar mnoga podjetja še vedno ne vedo, ali spadajo med zavezance. Napačna ocena lahko privede do hudih posledic ali nepotrebnih stroškov. Ta vodnik vam pomaga določiti status vaše organizacije in razumeti praktične korake za skladnost.
Ključne točke:
- Zavezništvo ne temelji samo na velikosti podjetja, temveč tudi na vrsti dejavnosti
- Organizacije morajo upoštevati tri glavne kategorije: bistvene subjekte, ponudnike digitalnih storitev in javni sektor
- Pragovi se razlikujejo po sektorjih in vključujejo kvantitativne ter kakovostne kriterije
- Vodstvo nosi neposredno odgovornost za implementacijo ukrepov kibernetske varnosti
- Ključni roki za prilagoditev so 19. junij 2026 za stare zavezance in 20. december 2026 za nove
Kazalo vsebine:
- Kriteriji za določitev zavezništva
- Pravni okvir in zakonske podlage
- Odgovornost vodstva in upravljanja
- Praktični postopki in implementacija
- Pogoste napake in zmotna razumevanja
- Zaključek in naslednji koraki
Ta vodnik je namenjen vodstvenim delavcem, IT odgovornim osebam in pravnim svetovalcem v slovenskih organizacijah. Posebej koristen je za podjetja, ki delujejo v kritičnih sektorjih ali zagotavljajo digitalne storitve. Po branju boste razumeli katere organizacije spadajo med zavezance za kibernetsko varnost, ključne kriterije za določitev zavezništva, praktične korake za preverjanje statusa vaše organizacije ter časovnice in roke za prilagoditev zahtevam.
Glavni kontekst: Zakaj je določitev zavezništva kritična
Slovenija je z Zakonom o kibernetski varnosti (ZInfV-1) prenesla evropsko direktivo NIS2 v nacionalno zakonodajo. To pomeni strožji nadzor in jasno definirane kazni za organizacije, ki ne izpolnjujejo obveznosti. Rok za samoprijavo obstoječih zavezancev je bil 19. decembra 2025, naslednji ključni mejnik pa je 19. junij 2026 za prilagoditev starih zavezancev.
Večina organizacij se sooča z nejasnostjo glede svojega statusa. Tipična situacija je srednje podjetje, ki upravlja IT infrastrukturo za več strank iz kritičnih sektorjev. Vodstvo se sprašuje, ali njihova vloga pomeni avtomatično zavezništvo ali gre le za običajno poslovno razmerje. Podobno velja za javne ustanove, ki uporabljajo digitalne storitve, vendar niso prepričane o svojih obveznostih.
Problem se dodatno zaplete pri podjetjih, ki delujejo v več sektorjih hkrati. Uradni viri sicer določajo jasne kriterije, vendar njihova praktična uporaba zahteva natančno analizo poslovanja organizacije. V praksi se organizacije pogosto znajdejo v mejnih primerih, kjer ni jasno, ali presegajo pragove za zavezništvo.
Organizacije morajo najprej razumeti razliko med bistvenimi in pomembnimi subjekti ter kako se ta razlika odraža v praktičnih obveznostih. Bistveni subjekti imajo strožje zahteve glede poročanja in nadzora, medtem ko pomembni subjekti sledijo nekoliko blažjim pravilom. Kriterije velikosti in obsega poslovanja je treba oceniti v kontekstu celotne organizacijske strukture, vključno s povezanimi družbami.
Sektorska opredelitev glavne dejavnosti lahko predstavlja izziv za organizacije z diverzificiranim poslovanjem. Zakonodaja zahteva identifikacijo primarne dejavnosti, ki določa sektorsko uvrstitev in s tem povezane obveznosti. Vloga pri zagotavljanju kritičnih storitev se ocenjuje na podlagi vpliva morebitne prekinitve na družbo in gospodarstvo.
Napačna ocena statusa lahko privede do nepotrebnih stroškov ali pa do hudih posledic zaradi neupoštevanja zakonskih zahtev. Organizacije, ki se napačno opredelijo kot nezavezane, tvegajo visoke globe in pravne posledice. Po drugi strani organizacije, ki nepotrebno implementirajo zahtevne varnostne ukrepe, nosijo nepotrebne stroške in administrativno breme.
Kriteriji za določitev zavezništva
Določitev zavezništva temelji na treh glavnih kategorijah, ki jih opredeljuje ZInfV-1. Vsaka kategorija ima specifične pragove in merila, ki organizaciji pomagajo ugotoviti, ali spada pod zakonske obveznosti. Razumevanje teh kategorij je ključno za pravilno samoevalvacijo in pripravo na morebitne obveznosti.
Upravljavci bistvenih storitev
Upravljavci bistvenih storitev so organizacije, ki zagotavljajo kritično infrastrukturo v ključnih sektorjih. Zakon opredeljuje osem glavnih sektorjev: energetika, promet, bančništvo, finančno tržne infrastrukture, zdravstvo, oskrba s pitno vodo, digitalna infrastruktura in vesoljski sektor. Vsak sektor ima specifične kriterije, ki upoštevajo posebnosti dejavnosti in vpliv na družbo.
Pragovi pomembnosti se razlikujejo po sektorjih in kombinirajo kvantitativne ter kakovostne kriterije. V energetiki so zavezanci proizvajalci z močjo nad 250 MW, operaterji prenosnih sistemov in večji distributerji z več kot 100.000 odjemalci. Transportni sektor vključuje letališča z več kot 150.000 potnikov letno, pristanišča s prometom nad 1,5 milijona ton tovora ter železniške operaterje na glavnih progah.
V bančništvu spadajo pod zavezništvo vse banke, hranilnice in pomembnejši plačilni sistemi z dnevnim prometom nad 100 milijonov EUR. Zdravstvene ustanove postanejo zavezanke, če presegajo 500 ležišč ali zagotavljajo specialistične storitve na nacionalni ravni. Oskrba s pitno vodo vključuje sisteme, ki oskrbujejo več kot 50.000 prebivalcev.
V praksi organizacija postane zavezanka avtomatično, če izpolnjuje kvantitativne pragove. Dodatno pristojni organi ocenjujejo tudi kakovostne dejavnike, kot je vpliv morebitne prekinitve storitve na družbo ali gospodarstvo. Ta ocena upošteva geografsko razporeditev storitev, alternativne možnosti in čas, potreben za obnovitev delovanja.
Ponudniki digitalnih storitev
Ponudniki digitalnih storitev predstavljajo hitro rastočo kategorijo zavezancev, ki vključuje spletne trgovine, platforme računalništva v oblaku, iskalnike in družbena omrežja. Digitalizacija poslovanja je povečala število organizacij, ki spadajo v to kategorijo, zato je pomembno razumeti specifične kriterije in pragove.
Ključni kriterij je kombinacija letnega prometa in števila uporabnikov v Sloveniji. Zavezanke postanejo organizacije z letnim prometom nad 2 milijona EUR in več kot 10.000 aktivnimi uporabniki v Sloveniji. Pri spletnih trgovinah se upošteva promet iz spletnih prodaj, pri platformah v oblaku pa vrednost storitev, ki jih nudijo slovenskim strankam.
Družbena omrežja in iskalniki imajo nekoliko drugačne pragove in morajo presegati mejo 50.000 registriranih slovenskih uporabnikov z aktivnostjo v zadnjih 12 mesecih. SaaS platforme spadajo pod regulacijo, če njihove storitve uporablja več kot 5.000 slovenskih podjetij ali če dosegajo letni promet nad 5 milijonov EUR iz slovenskega trga.
Mnoge organizacije se v tej kategoriji soočajo z nejasnostmi pri štetju uporabnikov. Zakon zahteva aktivne uporabnike v zadnjih 12 mesecih, ne le registriranih računov. To pomeni, da morajo organizacije vzdrževati natančne evidence o uporabniški aktivnosti in redno preverjati skladnost s pragovi. Posebej zahtevno je vrednotenje B2B storitev, kjer en uporabniški račun lahko predstavlja celotno organizacijo z več sto zaposlenimi.
Javni sektor in državne institucije
Javni sektor ima najširši obseg zavezništva in vključuje različne ravni javne uprave ter javne zavode. Vključuje vsa ministrstva, vladne službe, lokalne skupnosti nad 10.000 prebivalcev in javne zavode, ki zagotavljajo storitve širšemu krogu uporabnikov. Ta kategorija ima posebne značilnosti, ki se razlikujejo od zasebnega sektorja.
Posebnost javnega sektorja je, da pragovi ne temeljijo na prometu, temveč na obsegu storitev in številu uporabnikov. Občine postanejo zavezanke, če imajo več kot 10.000 prebivalcev ali če upravljajo kritično komunalno infrastrukturo, kot so večji vodovodski sistemi, čistilne naprave ali energetska infrastruktura. Javni zavodi spadajo pod zavezništvo, če njihove storitve uporablja več kot 5.000 uporabnikov letno.
Izobraževalne ustanove imajo specifične kriterije, ki upoštevajo število študentov ali učencev ter vrsto izobraževanja. Univerze in večje fakultete so avtomatično zavezanke, srednje šole postanejo zavezanke, če imajo več kot 1.000 učencev ali če izvajajo specializirane programe. Zdravstvene ustanove v javnem sektorju sledijo podobnim kriterijem kot zasebne, vendar z dodatnimi obveznostmi glede sodelovanja z nacionalnimi organi.
Javne organizacije imajo dodatne obveznosti glede poročanja in morajo vzpostaviti tesnejše sodelovanje z nacionalnimi organi za kibernetsko varnost. To vključuje redne varnostne preglede, izmenjavo informacij o grožnjah in koordinacijo odzivov na incidente. Javni sektor mora tudi zagotoviti transparentnost svojih varnostnih ukrepov, kolikor to ne ogroža varnosti.
Pravni okvir in zakonske podlage
Slovenski pravni okvir kibernetske varnosti temelji na ZInfV-1, ki implementira evropsko direktivo NIS2. Zakon določa jasne obveznosti in sankcije za zavezance ter vzpostavlja nadzorni okvir z jasno opredeljenimi pristojnostmi in postopki. Razumevanje pravnega okvira je ključno za pravilno implementacijo zahtev in izogibanje pravnim tveganjem.
Zakon o informacijski varnosti (ZInfV-1)
ZInfV-1 v 15. členu opredeljuje glavne obveznosti zavezancev, ki vključujejo vzpostavitev ustreznih tehničnih in organizacijskih ukrepov, redno ocenjevanje tveganj ter takojšnje poročanje o varnostnih incidentih. Tehnični ukrepi obsegajo zaščito omrežij, sistemov in podatkov, medtem ko organizacijski ukrepi vključujejo politike, postopke in usposabljanje zaposlenih.
Zakon v 45. členu določa, da morajo zavezanci prijaviti resne incidente v 24 urah od odkritja. Resni incidenti so tisti, ki pomembno vplivajo na kontinuiteto storitev, povzročijo materialno škodo ali ogrozijo varnost ljudi. Poročanje mora vsebovati opis incidenta, oceno vpliva, sprejete ukrepe in načrt za preprečevanje podobnih dogodkov.
Kazni so občutne in se gibljejo od 8.000 do 200.000 EUR za pravne osebe, odvisno od kršitve in velikosti organizacije. Najhujše sankcije se izrekajo za neporočanje resnih incidentov ali zavajanje pristojnih organov. Odgovorne osebe se lahko kaznujejo z globami do 4.000 EUR in začasno prepovedjo opravljanja funkcij.
Zakon daje SI-CERT obsežna pooblastila za nadzor in lahko zahteva dostop do sistemov, dokumentacije ter izvedbo varnostnih pregledov. V skrajnih primerih lahko odredi začasno prekinitev storitev, če ugotovi neposredno grožnjo za varnost. Organizacije morajo omogočiti dostop do svojih prostorov in sistemov ter zagotoviti sodelovanje svojih zaposlenih.
Uredbe in podzakonski akti
Uredba o kibernetski varnosti podrobneje opredeljuje tehnične standarde in postopke, ki jih morajo zavezanci implementirati. Zavezanci morajo implementirati ukrepe, skladne z ISO 27001 ali enakovrednimi standardi, kot so NIST Cybersecurity Framework ali COBIT. Uredba določa tudi minimalne zahteve za varnostne politike in postopke odzivanja na incidente.
Tehnični standardi vključujejo zahteve za šifriranje podatkov, upravljanje dostopov, varnostno kopiranje in obnovitev sistemov. Organizacijski standardi pokrivajo upravljanje tveganj, kontinuiteto poslovanja, usposabljanje zaposlenih in upravljanje dobaviteljev. Uredba določa tudi minimalne zahteve za dokumentacijo in evidence, ki jih morajo zavezanci vzdrževati.
Časovnica implementacije je razdeljena v tri faze z jasno opredeljenimi roki. Rok za samoprijavo obstoječih zavezancev je bil 19. december 2025. Stari zavezanci se morajo prilagoditi novim zahtevam do 19. junija 2026, novi zavezanci pa imajo čas do 20. decembra 2026. Vmesni roki vključujejo predložitev načrtov implementacije in poročil o napredku.
Postopek prijavljanja poteka preko spletnega portala SI-CERT, kjer organizacije predložijo podatke o svojih storitvah, sistemih in odgovornih osebah. Podroben vodnik za prijavo pomaga pri pravilnem izpolnjevanju obrazcev in pripravi zahtevane dokumentacije. Portal omogoča tudi spremljanje statusa prijave in komunikacijo s pristojnimi organi.
Odgovornost vodstva in upravljanja
Vodstvo zavezanih organizacij nosi neposredno odgovornost za kibernetsko varnost in ne more delegirati te odgovornosti izključno na tehnične službe. ZInfV-1 v 18. členu določa, da mora uprava formalno sprejeti politike varnosti in zagotoviti ustrezna sredstva za implementacijo. Ta pristop odraža spoznanje, da je kibernetska varnost strateška zadeva, ki zahteva vodstveno podporo in angažiranost.
Vloga uprave in vodstva
Direktorji in člani uprave so osebno odgovorni za sprejem letnega načrta kibernetske varnosti in odobritev proračuna za implementacijo potrebnih ukrepov. Morajo zagotoviti, da ima organizacija imenovanega odgovornega za kibernetsko varnost z ustreznimi pooblastili in viri. Ta oseba mora imeti neposreden dostop do vodstva in možnost eskalacije kritičnih varnostnih vprašanj.
V praksi to pomeni, da se vodstvo ne more sklicevati na nepoznavanje tehničnih podrobnosti kot izgovor za neizpolnjevanje obveznosti. Zakon zahteva, da uprava prejema redna poročila o stanju varnosti in se odzove na priporočila strokovnih služb. Vodstvo mora tudi zagotoviti, da so varnostni ukrepi integrirani v vse poslovne procese in odločitve.
Pravne posledice vključujejo osebne globe do 4.000 EUR za odgovorne osebe in potencialno civilno odgovornost za škodo, ki nastane zaradi neustreznega upravljanja kibernetskih tveganj. Še posebej pomembno je dokumentiranje odločitev vodstva glede varnostnih investicij in ukrepov. SI-CERT pri nadzoru preverja, ali ima organizacija dokazila o obravnavi varnostnih vprašanj na ravni uprave in ali so bila sprejeta ustrezna sredstva.
Vodstvo mora tudi zagotoviti kulturo varnosti v organizaciji, kar vključuje redno komunikacijo o pomenu kibernetske varnosti, priznavanje dobrih praks in sankcioniranje kršitev varnostnih politik. Ta kulturni vidik je pogosto zanemarjen, vendar je ključen za uspešno implementacijo varnostnih ukrepov.
Organizacijske strukture
Vsaka zavezana organizacija mora imenovati odgovorno osebo za kibernetsko varnost (CISO) z ustrezno strokovno izobrazbo in izkušnjami. Ta oseba mora imeti neposreden dostop do vodstva in pooblastila za sprejem nujnih varnostnih ukrepov. CISO je odgovoren za razvoj varnostnih politik, koordinacijo implementacije ukrepov in komunikacijo z zunanjimi partnerji.
Manjše organizacije lahko funkcijo CISO zaupajo zunanjemu strokovnjaku ali specializirani družbi, vendar mora biti zagotovljena stalna dosegljivost in poznavanje specifik organizacije. Zunanja CISO storitev mora vključevati redne obiske, dostop do sistemov in dokumentacije ter možnost takojšnjega odziva ob incidentih.
Večje organizacije morajo vzpostaviti varnostni tim z jasno opredeljenimi vlogami za obvladovanje incidentov, ocenjevanje tveganj in komunikacijo z zunanjimi partnerji. Tim mora vključevati predstavnike različnih oddelkov, kar zagotavlja celostni pristop k varnosti. Struktura tima mora omogočati hitro odločanje in implementacijo ukrepov ob kriznih situacijah.
Izobraževanje zaposlenih je obvezno in mora vključevati letno usposabljanje o prepoznavanju groženj ter postopke odzivanja na incidente. Program usposabljanja mora biti prilagojen različnim vlogam v organizaciji in mora vključevati praktične vaje ter simulacije incidentov. Uradni viri zagotavljajo smernice za pripravo izobraževalnih programov in ocenjevanje njihove učinkovitosti.
Praktični postopki in implementacija
Samoevalvacija zavezništva zahteva sistematičen pristop k pregledu celotnega poslovnega modela in organizacijske strukture. Organizacije morajo najprej analizirati svoje ključne storitve in določiti, ali spadajo med bistvene subjekte kritične infrastrukture. Ta proces običajno traja 2-3 tedne za srednjo organizacijo in zahteva sodelovanje različnih oddelkov.
V praksi se podjetja najpogosteje zataknejo pri določitvi mejnih vrednosti in pravilnem štetju uporabnikov ali obsega storitev. Telekomunikacijski operater z 80.000 uporabniki mora natančno prešteti aktivne povezave in ločiti med poslovnimi ter zasebnimi uporabniki. Finančna institucija mora ovrednotiti letni obseg transakcij in določiti, kateri deli poslovanja spadajo pod regulacijo.
Še posebej zahtevno je vrednotenje digitalnih storitev, kjer je treba upoštevati mesečne aktivne uporabnike in geografsko razporeditev. Organizacije morajo vzpostaviti sisteme za spremljanje uporabniške aktivnosti in redno preverjanje skladnosti s pragovi. To vključuje implementacijo analitičnih orodij in vzpostavitev procesov za redno poročanje o ključnih metrikah.
Praktični koraki za samoevalvacijo vključujejo analizo ključnih poslovnih procesov in storitev, pregled tehnične infrastrukture in sistemov, izračun uporabnikov ali obsega storitev ter dokumentiranje ugotovitev za morebitni pregled pristojnih organov. Organizacije morajo pripraviti tudi načrt za spremljanje sprememb, ki bi lahko vplivale na status zavezništva.
Registracija pri SI-CERT poteka preko spletnega portala in zahteva priložitev osnovnih podatkov o organizaciji, vključno z opisom storitev, tehnično infrastrukturo in kontaktnimi podatki. Rok za prilagoditev starih zavezancev je 19. junij 2026, medtem ko imajo novi zavezanci čas do 20. december 2026. Spremembe v statusu zavezništva je treba prijaviti v 30 dneh od nastanka sprememb.
Registracija in prijavljanje
Postopek registracije vključuje predložitev obsežne dokumentacije, ki mora vsebovati organizacijske podatke, opis ključnih storitev in kontaktne informacije odgovorne osebe za kibernetsko varnost. Dokumentacija mora vsebovati tudi oceno tveganja, načrt kontinuitete poslovanja in pregled trenutnih varnostnih ukrepov.
Mnoge organizacije podcenjujejo čas, potreben za pripravo dokumentacije in zbiranje vseh zahtevanih podatkov. Povprečno podjetje potrebuje 4-6 tednov za pripravo popolne prijave, še posebej če gre za prvo registracijo. Priprava na skladnost z ZInfV-1 zahteva koordinacijo med različnimi oddelki in lahko vključuje tudi najemanje zunanjih svetovalcev.
Portal SI-CERT omogoča postopno predložitev dokumentacije in spremljanje statusa prijave. Organizacije lahko prejemajo povratne informacije o pomanjkljivostih in imajo možnost dopolnitve dokumentacije. Pomembno je, da organizacije vzdrževajo ažurne podatke in redno posodabljajo informacije o spremembah v poslovanju ali infrastrukturi.
Pogoste napake in zmotna razumevanja
Najpogostejša zmota pri določevanju zavezništva je prepričanje, da velikost podjetja avtomatično določa obveznosti. V resnici lahko majhna energetska družba s 15 zaposlenimi postane zavezanec, če upravlja kritično infrastrukturo, medtem ko veliko IT podjetje s 500 zaposlenimi morda sploh ni zavezano, če ne izpolnjuje specifičnih kriterijev za digitalne storitve.
Drugi razširjen mit je, da IT podjetja avtomatično spadajo med zavezance za kibernetsko varnost. Dejansko mora IT podjetje zagotavljati digitalne storitve z določenim obsegom uporabnikov ali prihodkov, da postane zavezanec. Razvoj programske opreme na naročilo ali IT podpora sama po sebi ne pomeni zavezništva, razen če storitve dosegajo zakonsko določene pragove.
Outsourcing storitev ne odpravi odgovornosti matične organizacije, kar je tretja pogosta napaka. Banka ostaja zavezanec tudi, če prenese IT storitve na zunanjega ponudnika. Pogodba z zunanjim izvajalcem mora jasno določiti odgovornosti za kibernetsko varnost in poročanje o incidentih. Organizacije morajo vzpostaviti nadzor nad zunanjimi ponudniki in zagotoviti skladnost z varnostnimi zahtevami.
Spregledane obveznosti
Organizacije pogosto spregledajo obveznost rednega poročanja o varnostnih incidentih, kar predstavlja eno najresnejših kršitev zakonodaje. Vsak incident, ki vpliva na kontinuiteto storitev ali ogroža varnost podatkov, mora biti prijavljen SI-CERT v 24 urah. To velja tudi za manjše motnje, ki jih organizacije običajno obravnavajo interno, če imajo potencial za širši vpliv.
Upravljanje dobaviteljev predstavlja dodatno področje, kjer se pojavljajo napake in kjer organizacije podcenjujejo svoje obveznosti. Zavezanci morajo vzpostaviti postopke za preverjanje varnostnih ukrepov pri ključnih dobaviteljih in jih redno pregledovati. To vključuje ocenjevanje varnostnih politik dobaviteljev, preverjanje implementacije ukrepov in spremljanje incidentov v dobavni verigi.
Zanemarjanje te obveznosti lahko privede do resnih varnostnih vrzeli v celotni verigi oskrbe in povzroči odgovornost za škodo, ki nastane zaradi pomanjkljivosti pri dobaviteljih. Organizacije morajo vzpostaviti jasne pogodbe z dobavitelji, ki določajo varnostne zahteve in omogočajo nadzor skladnosti.
Dokumentacijske obveznosti so pogosto podcenjene, vendar predstavljajo pomemben del skladnosti z zakonodajo. Organizacije morajo vzdrževati evidence o vseh varnostnih ukrepih, incidentih, usposabljanjih in pregledih. Ta dokumentacija mora biti dostopna pristojnim organom in redno posodabljana.
Zaključek in naslednji koraki
Določitev zavezništva za kibernetsko varnost ni enostavna naloga in zahteva temeljito analizo poslovnega modela, tehnične infrastrukture in vloge organizacije v širšem gospodarskem sistemu. Ključni kriteriji vključujejo velikost organizacije, sektor delovanja in vlogo v kritični infrastrukturi, vendar se ti kriteriji pogosto prepletajo in zahtevajo strokovno presojo.
Organizacije morajo upoštevati tri glavne kategorije zavezancev: upravljavce ključne infrastrukture, ponudnike digitalnih storitev in javne subjekte. Vsaka kategorija ima specifične pragove in obveznosti, ki se bodo v prihodnjih mesecih še zaostrili z implementacijo novih tehničnih standardov in strožjim nadzorom.
Pravni okvir jasno določa odgovornosti vodstva in zahteva aktivno vlogo uprave pri zagotavljanju kibernetske varnosti. Organizacije ne smejo podcenjevati kompleksnosti implementacije in morajo pravočasno začeti s pripravo na izpolnjevanje obveznosti.
Naslednji koraki:
- Izvedite temeljito analizo svojega poslovnega modela in določite, ali izpolnjujete kriterije za zavezništvo
- Pripravite dokumentacijo o trenutnih varnostnih ukrepih in identificirajte vrzeli glede na zakonske zahteve
- Vzpostavite organizacijske strukture za upravljanje kibernetske varnosti in imenujte odgovorno osebo
Če niste prepričani o svojem statusu ali potrebujete pomoč pri implementaciji zahtev, se obrnite na strokovnjake za kibernetsko varnost ali pravne svetovalce s specializacijo na tem področju.