Kontakt
slo
en
slo

Dobrodošli na našem blogu!

Ostanite na tekočem z dogodki in trendi v svetu tehnologije. Obiščite našo spletno stran za novice o naših izdelkih in prihajajočih dogodkih. Kot tehnološko podjetje si prizadevamo, da vam ponudimo najbolj inovativno in napredno tehnologijo, in želimo, da ste del tega. Bodite prvi, ki izve za našo najnovejšo programsko opremo ali prihajajočo predstavitev izdelka. Redno obiskujte našo spletno stran in ostanite v stiku z nami, da boste vedno korak pred drugimi.

Sinecon | Zagotavljamo uspešno izvedbo IT projektov | Blog

9 korakov do skladnosti z Zakonom o informacijski varnosti (ZInfV-1)

Vodnik za podjetja

torek, 28. oktober 2025

Avtor: Božo Berič

ZInfV-1, ki v slovenski pravni red prenaša evropsko direktivo NIS 2, uvaja strožje zahteve za organizacije, ki upravljajo kritično infrastrukturo ali digitalne storitve. Poleg večje odgovornosti vodstva zakon prinaša tudi visoke globe za neskladnost.

Več o ZInfV-1 si preberite tukaj.

Ker razumemo izzive, s katerimi se soočajo podjetja pri doseganju skladnosti. smo razvili celovit pristop, ki vas v 9 korakih pripelje do skladnosti z ZInfV-1.
Naša ekipa izkušenih strokovnjakov za informacijsko varnost bo z vami na vsakem koraku.

1. korak: Preverjanje zavezanosti: Ali ste zavezanec?

Naša ekipa opravi hitro analizo in predvidi ali ste kandidati za zavezance, oziroma ali bi lahko sodili med bistvene ali pomembne subjekte. V primeru, da izpolnjujete pogoje za zavezance, vas vodimo skozi celoten postopek registracije pri URSIV. Ta korak je ključen za nadaljnje postopke oziroma delo. 

Rezultat: Opredelitev o zavezanosti za ZInfV-1 in pomoč pri izvedbi registracije.

Več o postopku si lahko preberete tukaj.

2. korak: Analiza vrzeli

V primeru identifikacije zavezanosti, moramo pred uvedbo ukrepov za dosego skladnosti, oceniti trenuten nivo informacijske varnosti v vaši organizaciji. 
V okviru analize vrzeli (GAP analiza) za skladnost z zakonom ZInfV-1 se izvede celovito analizo. Ta vključuje identifikacijo ključnih vrzeli v trenutnem stanju skladnosti, kot so pomanjkljivosti v procesih, dokumentaciji in tehničnih sistemih. Na podlagi ugotovitev se pripravi strukturirano poročilo, ki vsebuje jasno predstavitev identificiranih vrzeli. Poročilo strankam omogoča natančen vpogled v trenutno stanje, razumevanje potrebnih korakov za izboljšave in služi kot osnova za nadaljnje aktivnosti, vključno z implementacijo in izobraževanji.

Rezultat: Podrobno poročilo s pojasnili in navodili za dosego skladnosti s posameznimi zahtevami.

3. korak: Opredelitev strategije sistema vodenja informacijske varnosti in neprekinjenega poslovanja

Pripravimo in prilagodimo strategijo vodenja informacijske varnosti in neprekinjenega poslovanja, primerno za vaše poslovanje. 
V okviru strategije se izvede načrt uvedbe sistema vodenja.

Rezultat: Dokumentirana strategija z določenimi koraki za vzpostavitev sistema vodenja.

4. korak: Svetovanje in pomoč pri vzpostavitvi sistema vodenja

Vodimo vas skozi vse korake vzpostavitve sistema vodenja s pomočjo pri izdelavi vse potrebne dokumentacije.
•    Vzpostavitev sistema vodenja informacijske varnosti in neprekinjenega poslovanja.
•    Priprava potrebnih politik in postopkov.
•    Opredelitev vlog in odgovornosti v sistemu vodenja.

Organizacija mora vzpostaviti učinkovito vodenje vseh področij informacijske varnosti.

Rezultat: Vzpostavljen sistem vodenja.

5. korak: Kontinuirano vzdrževanje sistema vodenja

Pomagamo izobraziti in usposobiti skrbnike za kontinuirano vzdrževanje sistema vodenja.

V kontinuirano vzdrževanje sistema vodenja sodi med drugim tudi upravljenje z:

  • Večfaktorsko avtentikacijo ter upravljanje z identitetami.
  • Upravljanje ranljivosti in varnostne kopije.
  • Dnevniški zapisi dogodkov.
  • Redno posodabljanje programske opreme.
  • Postopki za odziv na incidente.

Rezultat: Učinkovito vodenje in vzdrževanje sistema vodenja.

6. korak: Izobraževanje in usposabljanje zaposlenih

Pripravimo in izvedemo prilagojena izobraževanja za vse ravni zaposlenih - od osnovnega osveščanja do specialističnih usposabljanj za vodstvo in IKT skrbnike.

Zakon zahteva tudi redno izvajanje izobraževanj za dvig zavedanja tveganj in osnove informacijske varnosti za vse zaposlene, saj informacijska varnost ni odgovornost le vodstva ali IT oddelka, temveč celotne organizacije.

  • Redna izobraževanja zaposlenih (phishing, ravnanje s podatki, varna uporaba IKT).
    Več informacij tukaj.
  • Usposabljanje vodstva (upravljanje tveganj, odgovornosti) ) - vsaj vsaka 4 leta.
    Več informacij tukaj.
  • Letna izobraževanja IKT skrbnikov (tehnični ukrepi, odziv na incidente).
    Več informacij tukaj.

Rezultat: Ozaveščeni zaposleni in dokumentirana izobraževanja.

V letu 2025 smo uspešno izobrazili več kot 1000 zaposlenih Zdravstvenega doma Ljubljana na področju osnov kibernetske varnosti.

7. korak: Upravljanje incidentov

Vzpostavimo sistem za zaznavanje incidentov, pripravimo jasne postopke odziva in poskrbimo za pravilno poročanje pristojnim organom.

  • Zaznavanje in obravnavo varnostnih incidentov.
  • Poročanje incidentov pristojnim organom (URSIV, CSIRT).
  • Dokumentiranje odzivov in izboljšanje procesov po incidentu.

Ti postopki omogočajo sprotno zaznavanje ranljivosti.

Rezultat: Delujoč sistem upravljanja incidentov s podporo.

8. korak: Upravljanje dobavne verige

Kibernetska varnost se ne konča pri vašem požarnem zidu. Ocenimo vaše ključne dobavitelje, pripravimo varnostne zahteve za pogodbe in vzpostavimo sistem spremljanja kibernetske varnosti pri partnerjih. Poskrbimo za:

  • Oceno ključnih dobaviteljev.
  • Minimalne varnostne zahteve v pogodbah.
  • Vključitev kibernetske varnosti v pogodbene obveznosti.
  • Zahteve za poročanje incidentov tudi s strani dobaviteljev.

Rezultat: Varnostno urejena dobavna veriga z jasnimi pogodbenimi zahtevami.

9. korak: Redno testiranje, revizije in priprava na nadzor

URSIV in CSIRT skupine bodo izvajale nadzore. Vzpostavite sistem rednega preverjanja varnosti:

  • Penetracijski testi.
  • Phishing kampanje in simulacije napadov.
  • Revizije in samoocene (bistveni subjekti: 1× na 2 leti; pomembni: samoocene 1× na 2 leti).
  • Hranjenje dokazil o izpolnjevanju obveznosti.

Rezultat: Učinkovit sistem informacijske varnosti in neprekinjenega poslovanja ter skladnost z ZInfV-1.

_______________________________________________________________________________________________________________________

Začnite danes - kontaktirajte nas za brezplačno svetovanje

Skladnost z ZInfV-1 ni enkraten projekt, temveč proces, ki zahteva strateško načrtovanje, tehnično izvedbo in popolno dokumentacijo z rednim vzdrževanjem. Z upoštevanjem predstavljenih korakov boste ne le izpolnili zakonske zahteve, temveč tudi okrepili odpornost vaše organizacije na kibernetske grožnje. Ne čakajte do zadnjega trenutka. Globe za neskladnost so visoke, roke pa se hitro bližajo.

Če ste v fazi načrtovanja ali že izvajate ukrepe, je zdaj pravi trenutek, da preverite, ali imate vzpostavljen celovit pristop.  V primeru potrebe po strokovni podpori se obrnite na naše izkušene svetovalce, ki vam z veseljem pomagajo pri vzpostavitvi skladnosti in dolgoročni kibernetski varnosti.

Kontaktirajte nas za več informacij

_______________________________________________________________________________________________________________________

Sinecon - vaš zanesljiv partner pri doseganju skladnosti z ZInfV-1

Za več informacij ali svetovanje smo vam na voljo na: info@sinecon.eu

Več o storitvah na področju informacijske varnosti preberite tukaj.

Storitve Informacijske varnosti - Sinecon

_______________________________________________________________________________________________________________________

Pogosta vprašanja in odgovori (FAQ)

Vir: ZInfV-1_Odgovori-na-vprasanja.pdf

1.    vprašanje: Kje lahko najdem celotno vsebino Zakona o informacijski varnosti (ZInfV-1)?

Odgovor: Zakon o informacijski varnosti (ZInfV-1), objavljen v Uradnem listu RS, št. 40/25, je začel veljati 19. junija 2025. Zakon uvaja celovit okvir za obvladovanje kibernetskih tveganj in prinaša pomembne obveznosti za organizacije, ki sodijo med zavezance.
Celotna vsebina zakona je dostopa tukaj.

2.    vprašanje: Kdo so bistveni in pomembni subjekti?

Odgovor:
Bistveni subjekti so:

  • vrste subjektov iz Priloge 1, ki imajo vsaj 250 zaposlenih ali letni promet vsaj 50 milijonov eurov ali letno bilančno vsoto vsaj 43 milijonov eurov,
  • ponudniki kvalificiranih storitev zaupanja in registri vrhnjih domenskih imen ter ponudniki storitev DNS, ne glede na njihovo velikost,
  • ponudniki javnih elektronskih komunikacijskih omrežij ali javno dostopnih elektronskih komunikacijskih storitev, ki imajo vsaj 50 zaposlenih in letni promet ali letno bilančno vsoto vsaj 10 milijonov eurov,
  • subjekti javne uprave na državni ravni,
  • vse druge vrste subjektov iz Priloge 1 ZInfV-1, ki jih na podlagi 2. do 5. točke drugega odstavka 6. člena zakona in na predlog pristojnega nacionalnega organa določi vlada z odločbo;
  • subjekti, ki so določeni kot kritični na podlagi zakona, ki ureja področje kritične infrastrukture;
  • subjekti iz sektorja 9. Upravljanje storitev IKT iz Priloge 1 in niso subjekti iz 1. do 6. točke drugega odstavka 7. člena, ki jih na predlog pristojnega nacionalnega organa določi vlada.

Pomembni subjekti so:

  • vrste subjektov iz Priloge 2 ZInfV-1, vključno s tistimi, ki jih na podlagi 2. do 5. točke drugega odstavka 6. člena in na predlog pristojnega nacionalnega organa določi vlada z odločbo,
  • subjekti iz 3. točke tretjega odstavka 6 člena, ki jih na predlog pristojnega nacionalnega organa določi vlada z odločbo. Pristojni nacionalni organ pripravi predlog na podlagi pobude Uprave Republike - Slovenije za zaščito in reševanje, ki vsebuje poimenski seznam zadevnih subjektov, in 
  • drugi subjekti ali organi iz 6. člena zakona, ki niso bistveni subjekti na podlagi drugega odstavka 7. člena

3.    vprašanje: Ali je zavezanec dolžan izvesti postopek samoregistracije?

Odgovor: Zavezanci, ki ob uveljavitvi zakona izpolnjujejo merila iz 6. in 7. člena ZInfV-1, morajo opravijo prvo registracijo po mehanizmu za samoregistracijo v šestih mesecih od uveljavitve zakona. V skladu z 8. členom ZInfV-1 morajo zavezanci izvesti postopek samoregistracije. Do vzpostavitve uradnega mehanizma za samoregistracijo informacije posredujejo v digitalni obliki na elektronski naslov Urada Vlade Republike Slovenije za informacijsko varnost na elektoronski naslov: gp.uiv@gov.si.
Več o postopku samoregistracije preberite na našem blogu: ZInfV-1: vse kar morate vedeti o samoregistraciji

4.    vprašanje: Katere storitve na področju informacijske varnosti ponuja Sinecon?

Odgovor: Sinecon vam pomaga vzpostaviti učinkovite rešitve za zaščito informacijskih sistemov in krepitev zaupanja v digitalno okolje. Naše storitve vključujejo:

  • Analizo in pregled trenutnega stanja varnosti.
  • Svetovanje in implementacijo varnostnih rešitev.
  • Pripravo dokumentacije (varnostne politike, postopki, načrti za odzivanje na incidente).
  • Pripravo na certifikacije ISO 27001 in/ali ISO 22301.
  • Zagotavljanje skladnosti z zakonodajo (ZInfV-1), direktivo NIS2 in uredbo DORA.
  • Izobraževanja za vodstvo, implementatorje in zaposlene (Udeleženeci prejmejo potrdilo o prisotnosti).

_______________________________________________________________________________________________________________________

Tags: kibernetska varnostZInfV-1NIS2

More links

 
Evropski sklad Gospodarski razvoj Slovenski podjetniški sklad