Nove obveznosti za podjetja in javne ustanove pri zaščiti pred kibernetskimi grožnjami

Zakon o informacijski varnosti (ZinfV) ureja področje informacijske in kibernetske varnosti ter opredeljuje nacionalni sistem informacijske varnosti v Republiki Sloveniji. Pri tem ureja pristojnosti, naloge, organizacijo in delovanje pristojnega nacionalnega organa za informacijsko varnost, organa za obvladovanje incidentov velikih razsežnosti in kriz, enotne kontaktne točke za kibernetsko varnost, skupine za odzivanje na incidente na področju računalniške varnosti (CSIRT) in sprejem Strategije kibernetske varnosti Republike Slovenije. Hkrati določa tudi kibernetsko obrambo ter sodelovanje pristojnih državnih organov in skupin CSIRT.

Državni zbor je 23. maja 2025 na predlog Vlade sprejel predlagani ZInfV-1, katerega namen je sistemska ureditev področja informacijske oziroma kibernetske varnosti in zagotovitev visoke ravni kibernetske varnosti v Republiki Sloveniji. Sprejeti zakon tako vsebuje določbe, ki prenašajo Direktivo (EU) 2022/2555 (NIS 2) in tudi nacionalne določbe za doseganje namena zakona v Republiki Sloveniji. Glavne spremembe se kažejo v širitvi kroga zavezancev, jasnejšem zapisu o varnostni dokumentaciji ter ukrepih za obvladovanje tveganj za kibernetsko varnost bistvenih in pomembnih subjektov. Zakon bo začel veljati 19. junija 2025.

Širitev nabora zavezancev po ZinfV-1

Novi zakon natančno določa zavezance, ki praviloma izhajajo iz vrst javnih ali zasebnih subjektov iz prilog zakona, nekatere zavezance (na primer subjekte, ki so določeni kot kritični na podlagi zakona, ki ureja področje kritične infrastrukture) pa glede na njihov pomen določa ne glede na priloge. V skladu z direktivo NIS 2 širi nabor sektorjev in subjektov.

Zavezanci se delijo na bistvene in pomembne subjekte. Med bistvene subjekte spadajo tisti iz visoko kritičnih sektorjev (energija, promet, bančništvo, zdravje), ki imajo primeroma vsaj 250 zaposlenih in letni promet vsaj 50 milijonov evrov ali letno bilančno vsoto vsaj 43 milijonov evrov; so ponudniki kvalificiranih storitev zaupanja in registri vrhnjih domenskih imen ne glede na njihovo velikost; ali pa ponudniki javnih elektronskih komunikacijskih omrežij ali javno dostopnih elektronskih komunikacijskih storitev, ki imajo vsaj 50 zaposlenih in letni promet oziroma letno bilančno vsoto vsaj 10 milijonov evrov. Med njih uvrščamo tudi subjekte javne uprave na državni ravni.

Pomembni subjekti pa so tisti iz visoko kritičnih ali drugih kritičnih sektorjev (poštne storitve, ravnanje z odpadki, proizvodnja kemikalij, živilska industrija itd.), ki se ne štejejo za bistvene subjekte. Gre torej za vse preostale subjekte, ki spadajo v področje uporabe predlaganega zakona in niso opredeljeni kot bistveni subjekti. Zakon izrecno določa, da Banka Slovenije ni zavezanec po tem zakonu.

Samoregistracija zavezancev

Urad Republike Slovenije za informacijsko varnost (URSIV) bo vzpostavil mehanizem za samoregistracijo zavezancev, in sicer v štirih mesecih od uveljavitve zakona. Postopek samoregistracije bodo morali izvesti vsi zavezanci, razen tisti, ki jih zakon izrecno izključuje. Zavezanci se bodo morali prek mehanizma za samoregistracijo registrirati v tridesetih dneh od dneva, ko so nastopile okoliščine, na podlagi katerih izpolnjujejo merila za zavezanstvo.

Tridesetdnevni rok za samoregistracijo za zavezance, ki jim je bila vročena odločba, teče od dneva vročitve odločbe. Tisti zavezanci, ki ob uveljavitvi zakona že izpolnjujejo merila, opravijo prvo registracijo po mehanizmu za samoregistracijo v šestih mesecih od uveljavitve tega zakona. Do vzpostavitve mehanizma za samoregistracijo se informacije pošljejo v digitalni obliki na elektronski naslov URSIV.

Odgovornost za izvajanje ukrepov za obvladovanje tveganj za kibernetsko varnost

Novi zakon uvaja več ukrepov glede obveznosti poročanja o incidentih in sodelovanja z organi kazenskega pregona, obvladovanje tveganj in varnost dobavne verige. Pri vsem je najpomembnejše to, da so odgovorne osebe pravnih oseb oziroma člani poslovodnih organov bistvenega ali pomembnega subjekta odgovorne za izvajanje ukrepov za obvladovanje tveganj za kibernetsko varnost v skladu z določbami tega zakona.

Odgovorne osebe morajo tudi odobriti ukrepe za obvladovanje tveganj za kibernetsko varnost, nadzirati njihovo izvajanje, se izobraževati oziroma usposabljati na področju obvladovanja tveganj kibernetske varnosti, redno usposabljanje pa morajo zagotoviti tudi zaposlenim.

Vir: Zakon o informacijski varnosti – ZInfV-1.