Nov zakon o informacijski varnosti - ZInfV-1

Sprejet je novi Zakon o informacijski varnosti (ZInfV-1) Ur.l.RS, št.40/2025, s katerim je Slovenija prenesla več evropskih aktov, med drugim direktivo NIS 2, Akt o kibernetski varnosti ter Akt o kibernetski solidarnosti. Glede na vse večji pomen in hkrati ranljivost digitalnih tehnologij predstavlja zakon ključen korak za zagotavljanje informacijske varnosti in učinkovito odzivanje na kibernetske incidente, kar je bistvenega pomena za varno digitalno okolje – tako v zasebnem kot poslovnem življenju.

S sprejetjem ZInfV-1 Slovenija nadgrajuje nacionalni sistem kibernetske varnosti in v slovenski pravni red prenaša Direktivo (EU) 2022/2555 o ukrepih za visoko skupno raven kibernetske varnosti v Uniji (t. i. direktiva NIS 2).

ZInfV-1: pomemben korak k večji kibernetski varnosti

Zakon predstavlja pomembno sistemsko ureditev področja informacijske varnosti. Njegovi cilji vključujejo:

• vzpostavitev enotnega nacionalnega okvira za informacijsko varnost,
• krepitev odpornosti kritičnih sistemov in storitev,
• izboljšanje pripravljenosti na kibernetske grožnje,
• usklajevanje z evropskimi predpisi (zlasti direktivo NIS 2),
• okrepitev sodelovanja med javnim in zasebnim sektorjem.

Zakon prispeva k večji digitalni odpornosti države in varnosti prebivalcev ter zmanjšuje tveganje hudih posledic zaradi vedno bolj sofisticiranih kibernetskih napadov.

Ključne novosti zakona

1. Širši nabor zavezancev

Zavezanci so:

• vse organizacije iz kritičnih sektorjev (npr. zdravstvo, energetika, IT, promet, bančništvo ipd.),
• srednje velika podjetja z več kot 50 zaposlenimi ali letnim prometom nad 10 milijonov evrov.

Poleg subjektov, navedenih v prilogah zakona, lahko vlada določi dodatne zavezance glede na njihov pomen za nemoteno delovanje družbe.

2. Obvezni ukrepi za obvladovanje tveganj

Zakon uvaja konkretne obveznosti, ki jih morajo organizacije sistemsko uvesti:

• redno preverjanje varnostnih kopij in dnevniških zapisov,
• redno ocenjevanje tveganj,
• vzpostavitev varnostnih politik in postopkov,
• preverjanje identitet uporabnikov ter upravljanje dostopov po načelu najmanjših pravic,
• sistematično izobraževanje zaposlenih o kibernetski varnosti,
• varnostne politike za ključne dobavitelje (nadzor nad dobavno verigo),
• učinkovito obvladovanje varnostnih incidentov ter obvezno poročanje v zakonskih rokih.

3. Odgovornost poslovodstva

Kibernetska varnost ni več zgolj odgovornost IT oddelkov. Zakon določa, da morajo člani poslovodstva dokazljivo zagotavljati izvajanje varnostnih politik in nadzirati njihovo uresničevanje. Nevednost ne bo več opravičljiva – uvedena je osebna odgovornost.

4. Stroge sankcije in sistemski nadzor

Zakon predvideva visoke denarne kazni in druge ukrepe za neskladnost. URSIV (Urad za informacijsko varnost) ima ključno vlogo pri:

• nadzoru izvajanja zakona,
• svetovanju zavezancem,
• pripravi smernic in standardov,
• usklajevanju nacionalnih prizadevanj na področju kibernetske varnosti

Kaj to pomeni za vašo organizacijo?

Če vaše podjetje sodi med zavezance po ZInfV-1, boste morali:

• oceniti obstoječe ukrepe informacijske varnosti,
• vzpostaviti ali posodobiti varnostne politike in postopke,
• zagotoviti redno usposabljanje zaposlenih,
• vzpostaviti mehanizme za učinkovito obvladovanje in poročanje o varnostnih incidentih.

Priporočljivo je, da se z zahtevami zakona seznanite čim prej in začnete z ustreznimi pripravami.

Za lažjo orientacijo so na Uradu Vlade Republike Slovenije za informacijsko varnost pripravili odgovore na pogosta vprašanja, ki naslavljajo ključne dileme zavezancev in strokovne javnosti.