CISOaaS.si
+386 51 401 301
[email protected]
GAP analiza GAP analiza GAP analiza
Kontakt Kontakt Kontakt
CISO as a Service
CISO as a Service

Koga Zadeva

"Prevention is cheaper than a breach"

Koga zadeva ZInfV-1: praktični vodnik za določitev zavezanosti

Ena od največjih zmot pri ZInfV-1 je prepričanje, da zakon zadeva le velike korporacije in javne institucije. Realnost je precej drugačna. Zakon se nanaša na tisočev organizacij različnih velikosti, od manjših služb, ki upravljajo kritične podatke, do velikih multinacionalnih podjetij. Ta članek pojasnjuje natančno, koga zakon zadeva, in prinaša praktične primere za pomoč pri prepoznavanju, ali je vaša organizacija zavezana.

Ključne točke:

  • ZInfV-1 pokriva tri glavne kategorije: bistvene subjekte, ponudnike digitalnih storitev in javni sektor
  • Bistveni subjekti so organizacije v osmih kritičnih sektorjih s pragovi (npr. bančništvo, zdravstvo, energija)
  • Mnogih manjših organizacij se to ne sanja, a so zavezane kot ponudniki digitalnih storitev
  • Javni sektor je avtomatski zavezanec – vse državne in lokalne institucije
  • Prvo je treba razumeti, kateri pragovi veljajo za vašo dejavnost
  • Če niste prepričani, se dogovorite s SI-CERT ali strokovnjakom

Osem kritičnih sektorjev za bistvene subjekte

Bistveni subjekti so organizacije v teh osmih sektorjih, ki dosegajo določene pragove. Vsak sektor ima svoje specifične zahteve in pragove:

1. Energetika

Zavezani so operaterji, ki upravljajo elektrodistribucijskih sistemov, plinovodskih sistemov in toplovodnjaških sistemov z več kot 30.000 prebivalci v njihovem področju oskrbe.

Praktični primeri:

  • Elektro slovenija kot operater prenosnega omrežja – zavezana
  • Lokalnega distribucijskega podjetja, ki oskrbuje manjši kraj – morda ni zavezana, ali je zavezana glede na izračun
  • Toplarne, ki ogrevajo samo eno meščino – presodja glede na dejansko pokritost

2. Promet

Zavezani so operaterji kritične infrastrukture v cestnem, železniškem, letalskem in morskem prometu.

Praktični primeri:

  • Slovenske železnice – zavezane
  • Luka koper – zavezana kot upraviteljica pristanišča
  • Međednarodna avtocestna podjetja (npr. dars) – zavezana
  • Lokalni avtobusni prevoznik – pravilo: ni zavezanec, razen če del nacionalne mrežo

3. Bančništvo in finančne tržnice

Zavezani so vsi banki, zavarovalnice in finančne institucije, registrirane v Sloveniji. Pragov ni – vsa bančna podjetja so avtomatski zavezanci.

Praktični primeri:

  • Velika banka (npr banka) – zavezana
  • Manjša hranilnica – zavezana
  • Zavarovalnica – zavezana
  • Finančna podjetja (leasing, factoring) – zavezana

4. Zdravstvo

Zavezani so zdravstveni zavodi z več kot 250 zaposlenimi ali letni prihodki nad 50 milijonov EUR. Dodatno: vse bolnišnice so avtomatski zavezanke, ne glede na velikost.

Praktični primeri:

  • Splošna bolnica – zavezana (avtomatski)
  • Ambulanta z 10 zaposlenimi – ni zavezana
  • Zdravstveni dom s 200 zaposlenimi – ni zavezanec (pod pragom 250)
  • Zdravstveni dom s 300 zaposlenimi – zavezanec
  • Ordinacija splošnega zdravnika – ni zavezanca

5. Vode in vodooskrba

Zavezani so operaterji vodovodnih sistemov, ki oskrbujejo več kot 30.000 prebivalcev.

Praktični primeri:

  • Javno vodovodno podjetje, ki oskrbuje ljubljano – zavezano
  • Manjše vodovodne službe, ki oskrbujejo male naselja – ni zavezanec
  • Podjetja, ki čistijo odpadne vode za večji sistem – zavezano, če je del sistema

6. Digitalna infrastruktura

Zavezani so operaterji podatkovnih centrov, DNS registri, TLD operaterji in ponudniki kritičnih spletnih storitev.

Praktični primeri:

  • Družba, ki upravlja .si domeno – zavezana
  • Večji podatkovni center – zavezanec (posebno, če ima kritične storitve)
  • Manjši hosting ponudnik – bi bil zavezanec, če ponuja kritične storitve
  • Cloudni ponudnik (npr. amazon, microsoft) – zavezanec glede storitev za slovenske zavezance

7. Vesoljski sektor

Zavezani so operaterji satelitskih sistemov in njihovih daljinski upravnih centrov.

Praktični primeri:

  • Telekomunikacijska podjetja, ki upravljajo satelitske sisteme – zavezana
  • Manjša podjetja, ki samo uporabljajo satelitske storitve – ni zavezanec

8. Javna uprava in javni sektor

Avtomatski zavezanci: vse državne institucije, ministrstvi, lokalne skupnosti, javne agencije in javni zavodi.

Praktični primeri:

  • Ministrstvo – zavezano
  • Občina – zavezana
  • Javna varnostna agencija – zavezana
  • Javni zavod za izobraževanje – zavezanec, če spada pod pogoje

Ponudniki digitalnih storitev – druga kategorija zavezancev

Ne glede na sektor ali velikost, organizacije postanejo zavezance, če ponujajo te digitalne storitve:

Kaj šteje kot ponudnik digitalnih storitev

  • Ponudniki oblačnih storitev (cloud computing – iaas, paas, saas)
  • Ponudniki hostinga in podatkovnih storitev
  • Ponudniki spletnega dostopa (internet service providers – isp)
  • Ponudniki e-pošte in sistemov za komunikacije
  • Ponudniki platform za elektronsko poslovanje
  • Ponudniki cdn (content delivery network) storitev

Praktični primeri:

  • It podjetje, ki ponuja oblačno storitev za slovenska podjetja – zavezanec
  • Spletni trgovec, ki samo prodaja svoje proizvode – ni zavezanec kot “ponudnik storitev” (je samo uporabnik it storitev)
  • Teleoperater, ki ponuja internet storitve – zavezanec
  • Zasebna oseba, ki gosti spletni blog na svoji storitve – ni zavezanec (ker storitev ne ponuja tretjim osebam)
  • Manjše it podjetje, ki upravlja podatkovne centre – zavezanec

Javni sektor – tretja kategorija

Vse naslednje institucije so avtomatski zavezanke:

  • Državne institucije in ministrstvi
  • Lokalne skupnosti (občine, mestne občine)
  • Javne agencije in službi
  • Javni zavodi (zdravstvo, izobraževanje, varnost)
  • Javne podjetje s posebnim javnim interesom
  • Institucije, katere katerih financira proračun (država, lokalne skupnosti)

Kako ugotoviti, ali ste zavezanec?

Postopek za ugotavljanje zavezanosti je preprost:

Korak 1: preverite sektor

Ali delujete v enem od osmih kritičnih sektorjev? Če je odgovor “ne”, preidite na Korak 3.

Korak 2: preverite pragove (le, če ste v kritičnem sektoru)

Ali dosežete pragove za vašo dejavnost? Pragovi so različni glede na sektor (npr. zdravstvo ima prag 250 zaposlenih, energetika prag za oskrbo 30.000 prebivalcev). Če dosegate pragove, ste zavezanec.

Korak 3: ali ponujate digitalne storitve?

Ali vaše podjetje ponuja katero od naštetih digitalnih storitev tretjim osebam? Če je odgovor “da”, ste zavezanec, ne glede na sektor ali velikost.

Korak 4: ali ste v javnem sektoru?

Ali je vaša organizacija državna ali lokalna institucija? Če je odgovor “da”, ste avtomatski zavezanec.

Praktični primeri zavezanosti

Primer 1: velika banka

Velika banka s 500 zaposleniki in 2 milijardami EUR depozitov – zavezanca, ker spada v sektor bančništva brez pragov.

Primer 2: majhna ambulanta

Ordinacija splošnega zdravnika s 3 zaposleniki – NI zavezanca, ker ni bolnišnica in ne dosega praga 250 zaposlenih.

Primer 3: it podjetje s cloud storitvami

IT podjetje z 20 zaposleniki, ki ponuja oblačne storitve slovenskim podjetjem – zavezanca, ker je ponudnik digitalnih storitev.

Primer 4: manjše vodovodna služba

Vodovodna služba, ki oskrbuje malo meščino s 5.000 prebivalci – NI zavezanca, ker ne dosega praga 30.000 prebivalcev.

Primer 5: občina

Občina s 20.000 prebivalci – zavezanca avtomatski, ker je javni sektor.

Kaj se zgodi, če niste prepričani?

Če niste prepričani, ali vas zakon zadeva, imate naslednje možnosti:

  • Obrnite se neposredno na SI-CERT za uradni odgovor
  • Naredi s strokovnjakom, ki ima izkušnje s ZInfV-1
  • Preberite svoje pogodbe z regulatorji – pogosto vsebujejo napomene o zavezanosti
  • Vprašajte svoje industrijske asociacije ali zbornice – ta imajo pogosto jasne smernice

Niste prepričani, ali vas ZInfV-1 zadeva? Kontaktirajte nas za jasno analizo vaše zavezanosti →

Scroll to top