CISOaaS.si
+386 51 401 301
[email protected]
GAP analiza GAP analiza GAP analiza
Kontakt Kontakt Kontakt
CISO as a Service
CISO as a Service

Kaj Je Zinfv 1

"Prevention is cheaper than a breach"

Kaj je zakon o informacijski varnosti (ZInfV-1)

Zakon o informacijski varnosti (ZInfV-1) je temeljni pravni okvir, ki regulira varnost informacijskih sistemov in kritične infrastrukture v Republiki Sloveniji. Ta zakon prenaša Direktivo NIS2 Evropske unije v slovensko zakonodajo in je stupio na snagu junija 2025. Zanima vas, kaj to pomeni za vašo organizacijo? Ta članek pojasnjuje ključne koncepte, obveznosti in rokove.

Ključne točke:

  • ZInfV-1 stupio na snagu junija 2025 in postavlja nove obveznosti za tisočev organizacij
  • Zakon pokriva tri glavne kategorije zavezancev: bistvene subjekte, ponudnike digitalnih storitev in javni sektor
  • Roki za prilagoditev: 19. junij 2026 za stare zavezance, 20. december 2026 za nove zavezance
  • Kazni za neupoštevanje: 8.000-200.000 eur za pravne osebe
  • Nadzor izvršuje SI-CERT (hrvatski center za informacijsku varnost)
  • Zakon zahteva jasne varnostne politike, dokumentacijo, incident response plane in redne preglede

Zgodovinski kontekst in uvedba zakona

Slovenija se je soočala s hitro rastočimi kibernetskimi grožnjami in potreba po poenotenih, zavezujočih standardih je postala nujnost. Direktiva NIS2 Evropske unije je postavila okvir, ki ga je moral sprejeti vsak član EU. ZInfV-1 je slovenski odgovor na to zahtevo, ki presega osnovne minimalne standarde in prilagaja zahteve specifičnemu okviru slovenskega gospodarstva in javnega sektorja.

Predhodna zakonodaja (Zakon o varnosti omrežij in informacijskih sistemov – ZVarOIS) je pokrivala le operaterje ključnih storitev in ponudnike digitalnih storitev. ZInfV-1 pa razširja obveznosti na širši spekter organizacij, vključno s tistimi, ki imajo pomembno vlogo v gospodarstvu in javnem sektoru.

Tri kategorije zavezancev po ZInfV-1

Zakon razlikuje tri glavne kategorije zavezancev, od katerih ima vsaka različne ravni obveznosti in pragov:

1. Bistveni subjekti (critical entities)

Bistveni subjekti so organizacije, ki opravljajo ključne storitve v osmih kritičnih sektorjih. Ti sektorji so:

  • Energetika (elektrika, plin, toplota)
  • Promet (cestni, železniški, letalski, morski)
  • Bančništvo in finančne tržnice
  • Zdravstvo in zdravstveni sistemi
  • Vode in vodooskrba
  • Digitalna infrastruktura (podatkovni centri, dns, tld registri)
  • Vesoljski sektor (sateliti, sistemske storitve)
  • Javna uprava (državne institucije, lokalne skupnosti)

Bistveni subjekti so obvezani vzpostaviti red vzpostavljen sistem upravljanja tveganj, ki temelji na riziko-orientiram pristopu. Zakon od njih zahteva tudi vzpostavitev funkcije CISO (Chief Information Security Officer) ali podobne vloge, ki je direktno odgovorna vodstvu organizacije.

2. Ponudniki digitalnih storitev (digital service providers)

V to kategorijo spadajo:

  • Ponudniki oblačnih storitev (cloud computing)
  • Ponudniki hostinga in podatkovnih storitev
  • Ponudniki spletnih storitev (e-pošta, komunikacije)
  • Platforme za elektronsko poslovanje

Ti ponudniki morajo izpolnjevati zmanjšane zahteve glede dokumentacije primerjamo z bistvenimi subjekti, vendar pa so odgovorni za varnost podatkov in storitev svojih strank. Ravno tako morajo vzpostaviti postopke za odzivanje na varnostne incidente.

3. Javni sektor in javne uprave

Javne institucije, lokalne skupnosti in druge javne institucije spadajo tudi med zavezance. Njihove obveznosti so pogosto razširjene, saj upravljajo kritično infrastrukturo in občutljive podatke občanov. Zahteve za njih vključujejo tudi varnost fizičnega dostopa do podatkov in sistemov, prav pa tudi zagotavljanje kontinuitete poslovanja.

Ključni rokovi in odloki

Zakon je prinesel jasne rokove za prilagoditev:

  • 19. junij 2026: Rok za prilagoditev zavezancev, ki so bili zavezani po prejšnji zakonodaji (stari zavezanci)
  • 20. december 2026: Rok za prilagoditev novih zavezancev, ki jih zavezuje ZInfV-1 prvič

Organizacije, ki ne dosežejo skladnosti do teh rokov, se sooči s sankcijami. Komisija za informacijske varnosti (pri SI-CERT-u) lahko izdaja odločbe o odpravi pomanjkljivosti in določa daljši rock za odpravo, vendar pa za večje kršitve takoj sledi kazenske sankcije.

Glavne obveznosti za zavezance

Vse zavezane organizacije morajo izpolnjevati naslednje obveznosti:

Varnostna strategija in politike

Vsaka organizacija mora imeti jasno, pisano varnostno strategijo, ki je podpisana na nivoju vodstva. Ta strategija mora vključevati:

  • Identifikacija kritičnih informacijskih sistemov in podatkov
  • Varnostne cilje in prioritete
  • Odgovornosti posameznih vloge in oddelkov
  • Časovnico za implementacijo ukrepov
  • Proračun za izvajanje varnostnih ukrepov

Upravljanje tveganj

Zakon zahteva redne ocene tveganj, ki jih je treba izvajati vsaj letno, ali hitreje, če se pojavi sprememba v informatičnem okolju. Ocena tveganj mora vključevati:

  • Identifikacijo vseh informacijskih sredstev
  • Oceno verjetnosti varnostnih grožnj
  • Oceno mogočih posledic varnostnih incidentov
  • Prioritizacijo tveganj
  • Akcijski načrt za zmanjšanje tveganj

Incident response plan

Vsaka organizacija mora imeti vzpostavljen in testirano incident response plan, ki vključuje:

  • Postopke za odkrivanje in prijavo incidentov
  • Vloge in odgovornosti med incidentom
  • Komunikacijske protokole (notranja in zunanja komunikacija)
  • Postopce za zaustavljanje incidenta in povrnitve sistemov
  • Postopce za forenzično analizo in dokumentacijo

Sankcije za neupoštevanje

Zakon predvideva jasne kazni za tiste, ki ne dosežejo skladnosti:

  • Pravne osebe: 8.000-200.000 EUR (odvisno od resnosti kršitve)
  • Fizične osebe (direktorji, menedžerji): Osebna odgovornost do 20.000 EUR
  • Dodatne sankcije: Ustavitev storitve, omejitve poslovanja, javno objavo kršitve

Posebno visoke kazni se predvidevajo za organizacije, ki:

  • Niso prijavile resnega varnostnega incidenta SI-CERT-u
  • Niso vzpostavile osnovnih varnostnih ukrepov
  • Niso zagotovile usposabljanja zaposlenih
  • Niso vzdrževale dokazil o skladnosti

Vloga SI-CERT in nadzora

SI-CERT (Slovenski center za informacijsko varnost) je nacionalni organ, odgovoren za:

  • Nadzor skladnosti s ZInfV-1
  • Obveščanje organizacij o varnostnih grožnjah
  • Sprejemanje prijav o varnostnih incidentih
  • Izdajanje smernic in priporočil
  • Usklajevanje odziva na nacionalne varnostne incidente

SI-CERT je edini organ, ki ima pristojnost pregledovati skladnost in izdajati odločbe o sankcijah. Če vaša organizacija sumí, da spada med zavezance, je priporočljivo, da se osebe z vašega vodstva ali iz IPTV-ja neposredno povežejo s SI-CERT-om za pojasnjavanje obveznosti.

Zaključek in naslednji koraki

ZInfV-1 je korenita sprememba pravnega okvira za kibernetsko varnost v Sloveniji. Če vaša organizacija spada med zavezance, je nujno, da takoj začnete s pripravami. Prvo je treba:

  • Ugotoviti, ali vas zakon zadeva
  • Oceniti trenutno stanje varnosti
  • Razviti akcijski načrt za doseganje skladnosti
  • Dodeliti potrebne vire in odgovorne osebe
  • Redna spremljanja napredka proti rokom za skladnost

Trebate pomoč pri razumevanju ZInfV-1 in skladnosti? Kontaktirajte nas →

Scroll to top