Kontakt
slo
en
slo

Dobrodošli na našem blogu!

Ostanite na tekočem z dogodki in trendi v svetu tehnologije. Obiščite našo spletno stran za novice o naših izdelkih in prihajajočih dogodkih. Kot tehnološko podjetje si prizadevamo, da vam ponudimo najbolj inovativno in napredno tehnologijo, in želimo, da ste del tega. Bodite prvi, ki izve za našo najnovejšo programsko opremo ali prihajajočo predstavitev izdelka. Redno obiskujte našo spletno stran in ostanite v stiku z nami, da boste vedno korak pred drugimi.

Sinecon | Zagotavljamo uspešno izvedbo IT projektov | Blog

Zakon o informacijski varnosti (ZInfV-1)

Vse, kar morate vedeti o ZInfV-1

četrtek, 17. julij 2025

Novi Zakon o informacijski varnosti (ZInfV-1) predstavlja ključno nadgradnjo na področju kibernetske varnosti v Sloveniji. Njegov primarni cilj je vzpostaviti visoko raven kibernetske varnosti in okrepiti zaupanje v digitalno okolje na področjih, ki so vitalnega pomena za delovanje države in gospodarstva. Zakon sistemsko ureja nacionalni sistem informacijske varnosti, določa pristojne organe (kot je Urad Vlade RS za informacijsko varnost - URSIV) ter naloge skupin za odzivanje na incidente (CSIRT).

ZInfV-1 je v slovenski pravni red prenesel zahteve evropske direktive NIS2 (Direktiva 2022/2555/EU). To prinaša med drugim tudi razširitev obsega zavezancev, strožje varnostne zahteve in učinkovitejši nadzor.

Koga zakon zavezuje?

Zakon se nanaša na širok krog subjektov, ki so opredeljeni kot "zavezanci".

Ti vključujejo:

  • Subjekte, ki spadajo med vrste subjektov iz Prilog 1 (bistveni) ali 2 (pomembni) zakona, če izpolnjujejo določena merila (npr. pomemben vpliv na javni red/varnost/zdravje, sistemsko tveganje, poseben pomen na državni/lokalni ravni, velikost subjekta).
  • Organe javne uprave na državni ravni.
  • Subjekte, določene kot kritični na podlagi zakona o kritični infrastrukturi.
  • Subjekte, ki opravljajo storitve registracije domenskih imen (ne glede na velikost).
  • Subjekte, ki so v državnih načrtih zaščite in reševanja opredeljeni kot službe državnega pomena, če bi nedelovanje njihovih sistemov ogrozilo izvajanje teh nalog.
  • Mestne občine.

Zavezanci, za katere je vzpostavljen mehanizem za samoregistracijo, se morajo registrirati pri URSIV v 30 dneh od nastopa okoliščin, ki jih določajo kot zavezance (iz 6. in 7. člena tega zakona). URSIV na podlagi teh informacij vzpostavi seznam bistvenih in pomembnih subjektov ter subjektov, ki opravljajo storitve registracije domenskih imen.

Več o samoregistraciji in potrebnih informacij za registracijo preberite tukaj.

Bistveni in pomembni subjekti: razlika in sektorji

Zavezanci (razen ponudnikov registracije domenskih imen in nekaterih certificiranih subjektov) se delijo na bistvene in pomembne subjekte. Ta razlika vpliva na obseg nekaterih obveznosti in nadzornih ukrepov. Zakon (in s tem NIS2) zajema številne ključne sektorje:

Sektorji, ki spadajo med BISTVENE subjekte (Priloga 1):

  • Energija.
  • Promet.
  • Bančništvo.
  • Infrastruktura finančnega trga.
  • Zdravstvo.
  • Oskrba s pitno vodo.
  • Ravnanje z odpadno vodo.
  • Digitalna infrastruktura (vključno s ponudniki storitev DNS, registri vrhnjih domenskih imen (TLD), ponudniki storitev računalništva v oblaku, storitev podatkovnih centrov, omrežij za dostavo vsebine).
  • Javna uprava (na državni ravni).
  • Prostor.

Sektorji, ki spadajo med POMEMBNE subjekte (Priloga 2):

  • Poštne in kurirske storitve.
  • Ravnanje z odpadki.
  • Proizvodnja (nekaterih kritičnih izdelkov, kot so zdravila, medicinske naprave, kemikalije).
  • Preskrba s hrano (proizvodnja, predelava, distribucija).
  • Digitalne storitve (kot so platforme storitev socialnega mreženja, spletne tržnice, spletni iskalniki, ponudniki upravljanih storitev, ponudniki upravljanih varnostnih storitev).
  • Raziskovalne organizacije.
  • Subjekti, ki izvajajo storitve registracije domenskih imen, so zavezanci, vendar niso razvrščeni kot bistveni ali pomembni subjekti za namen večine zakonskih obveznosti in nadzora.

Katere so ključne obveznosti za zavezance?

Zakon nalaga vrsto obveznosti za zagotavljanje visoke ravni kibernetske varnosti:

  • Obvladovanje tveganj: Zavezanci morajo sprejeti tehnične, operativne in organizacijske ukrepe za zagotavljanje varnosti omrežnih in informacijskih sistemov ter zmanjšanje vpliva incidentov. Ukrepi morajo temeljiti na pristopu "vseh nevarnosti" in vključujejo npr. varnost dobavne verige, upravljanje ranljivosti, uporabo večfaktorske avtentikacije, varnostne kopije. Ukrepi morajo biti učinkoviti, prilagojeni, skladni, sorazmerni, konkretni in preverljivi.
  • Varnostna dokumentacija: Bistveni in pomembni subjekti morajo vzpostaviti in vzdrževati dokumentiran sistem vodenja informacijske varnosti (SVIV) in sistem vodenja neprekinjenega poslovanja (SVNP). To vključuje analizo tveganj, politiko neprekinjenega poslovanja, popis ključnih sistemov, načrte za odzivanje na incidente ter načrte varnostnih ukrepov.
  • Priglašanje incidentov: Bistveni in pomembni subjekti morajo nemudoma priglasiti pristojni skupini CSIRT (SI-CERT ali SIGOV-CERT) vse pomembne incidente. Pomemben incident je tisti, ki povzroči resne operativne motnje, finančne izgube ali vpliva na druge s precejšnjo škodo. Možna je tudi prostovoljna priglasitev drugih incidentov ali groženj.
  • Usposabljanje in ozaveščanje: Odgovorne osebe (vodstvo) se morajo usposabljati na področju obvladovanja tveganj (vsaj vsaka 4 leta). Zaposleni se morajo redno usposabljati za prepoznavanje tveganj. Skrbniki IKT sistemov morajo opraviti redno letno usposabljanje.
  • Samoregistracija: Zavezanci, za katere je vzpostavljen mehanizem, se morajo registrirati pri URSIV v 30 dneh. Več preberite tukaj.
  • Vodenje dnevniških zapisov (logov): Bistveni in pomembni subjekti morajo beležiti dogodke v svojih sistemih za zaznavanje incidentov. Zapisi morajo omogočiti rekonstrukcijo in analizo incidentov in se hranijo vsaj 6 mesecev.
  • Ocena in samoocena skladnosti: Bistveni subjekti morajo izvajati oceno skladnosti (revizijo) vsaj enkrat na dve leti. Pomembni subjekti izvedejo samooceno vsaj enkrat na dve leti. Stroške revizij in samoocen praviloma krije zavezanec.
  • Varnost dobavne verige: Zavezanci morajo upoštevati tveganja v dobavni verigi in določiti minimalne varnostne zahteve za ključne dobavitelje/ponudnike storitev.
  • Certificiranje: Spodbuja se uporaba kvalificiranih storitev zaupanja in certificiranih IKT proizvodov/storitev po evropskih shemah.

Nadzor in pristojni organi

URSIV (Urad Vlade RS za informacijsko varnost)
Glavni pristojni nacionalni organ. Koordinira sistem, pripravlja strategije, sodeluje z drugimi organi, vodi mednarodno sodelovanje, pripravlja predpise in izvaja inšpekcijski nadzor prek Inšpekcije za informacijsko varnost.

Skupine CSIRT
Določene s strani vlade za obravnavo incidentov. SIGOV-CERT je pristojen za javno upravo in nekatere ponudnike storitev zaupanja. SI-CERT je pristojen za druge zavezance in prostovoljne priglasitve, deluje pa tudi kot koordinator za usklajeno razkrivanje ranljivosti. Zagotavljajo tehnično pomoč, opozorila, obravnavajo incidente in sodelujejo v mednarodnih mrežah.

Inšpekcija za informacijsko varnost
Notranja enota URSIV za inšpekcijski nadzor. Ima široka pooblastila za preglede, dostop do sistemov in dokumentacije. Nadzor nad bistvenimi subjekti je lahko naključen. Nadzor nad pomembnimi subjekti se izvede na podlagi dokazov/indicijev o kršitvah. Inšpektor lahko odredi različne ukrepe, vključno z revizijami, obveščanjem uporabnikov ali začasno prepovedjo izvajanja storitev/vodstvenih funkcij (za bistvene subjekte, razen javne uprave). Ukrepi morajo biti učinkoviti, sorazmerni in odvračilni.

Predpisane kazni za kršitve

ZInfV-1 določa globe za kršitve obveznosti, pri čemer se višina globe za pravne osebe razlikuje med bistvenimi in pomembnimi subjekti, in se določa glede na letni promet ali bilančno vsoto. Pri odmeri sankcij se upoštevajo okoliščine vsakega primera, kot so resnost, trajanje, prejšnje kršitve, povzročena škoda, naklep/malomarnost, sprejeti ukrepi za zmanjšanje škode in sodelovanje z inšpektorje

Za BISTVENE subjekte (pravne osebe):

  • Globa od 0,5 % do 2 % skupnega letnega prometa doseženega v preteklem poslovnem letu, vendar ne manj kot 10.000 EUR in ne več kot 10.000.000 EUR, odvisno od tega, kateri znesek je višji. To velja za vrsto kršitev, kot so neizpolnjevanje obveznosti glede upravljanja tveganj, varnostne dokumentacije, vodenja logov, priglašanja incidentov, samoregistracije, zagotavljanja informacij, določitve revizorja ipd..
  • Globa za samostojnega podjetnika posameznika ali posameznika, ki samostojno opravlja dejavnost: od 1.000 EUR do 10.000 EUR.
  • Globa za odgovorno osebo pravne osebe ali drugega subjekta (vodstvo): od 500 EUR do 3.000 EUR.

Za POMEMBNE subjekte (pravne osebe):

  • Globa od 0,3 % do 1,4 % skupnega letnega prometa doseženega v preteklem poslovnem letu, vendar ne manj kot 7.000 EUR in ne več kot 7.000.000 EUR, odvisno od tega, kateri znesek je višji. To velja za podobne vrste kršitev kot pri bistvenih subjektih.
  • Globa za samostojnega podjetnika posameznika ali posameznika, ki samostojno opravlja dejavnost: od 500 EUR do 7.000 EUR.
  • Globa za odgovorno osebo pravne osebe ali drugega subjekta (vodstvo): od 500 EUR do 3.000 EUR.

Zakon določa tudi globe za druge zavezance, ki niso bistveni ali pomembni (npr. upravljavci centralnega državnega IKT sistema) ter globe za kršitve Uredbe o kibernetski varnosti (certificiranje).

Pomembni datumi

19. 6. 2025

Začetek veljavnosti ZInfV-1

do 19. 12. 2025

Rok za samoregistracijo vseh subjektov, ki so ob uveljavitvi zakona izpolnjevali pogoje iz 6. in 7. člena ZInfV-1.

do 19. 6. 2026

Rok za vzpostavitev ukrepov informacijske in kibernetske varnosti za obstoječe zavezance:
• izvajalce bistvenih storitev,
• organe državne uprave,
• ponudnike digitalnih storitev po prejšnjem ZInfV.

do 19. 12. 2026

Rok za dosego skladnosti - za nove zavezance, ki pogoje za zavezanca izpolnijo po uveljavitvi zakona.

 

Za več informacij ali svetovanje nas kontaktirajte na info@sinecon.eu

Več o storitvah na področju informacijske varnosti preberite tukaj.

URSIV je pripravil priročnik, ki vam nudi napotke za pripravo dokumentacije in ukrepov skladnih z zakonom. Več lahko preberete tukaj.

Pogosta vprašanja in odgovori v zvezi z ZInfV-1 pa so zbrani tukaj.

Tags: sineconiso 27001:2022kibernetska varnostZInfV-1NIS2

More links

Evropski sklad Gospodarski razvoj Slovenski podjetniški sklad