Novi Zakon o informacijski varnosti (ZInfV-1) – (delni) prenos evropske zakonodaje v slovenski pravni red

Evropska unija (EU) se je celovito lotila zakonodajnega urejanja zelo raznolikih vidikov sodobnih informacijskih tehnologij. Poleg splošnih pravnih virov EU je mogoče kot relevantne predpise na tem področju upoštevati strateške dokumente (na primer Skupno komunikacijo Evropskega parlamenta in Sveta: Kibernetska strategija Evropske unije za digitalno desetletje),^[1] predpise, ki urejajo umetno inteligenco, ravnanje z osebnimi podatki oziroma varovanje zasebnosti (na primer z vidika varstva spolne nedotakljivosti in zasebnosti otrok, zlasti na internetu, pridobivanja podatkov za namene kazenskega postopka, možnosti ponovne uporabe podatkov), pa tudi take, ki urejajo konkurenco in zaščito potrošnikov.

Osrednje pa je seveda področje, na katerem je bil sprejet Zakon o informacijski varnosti – 1 (Uradni list RS, št. 40/25 – ZInfV-1), tj. področje informacijske varnosti. Tudi to področje je predmet podrobne ureditve na ravni EU. Že leta 2016 ga je uredila Direktiva (EU) 2016/1148 Evropskega parlamenta in Sveta z dne 6. julija 2016 o ukrepih za visoko skupno raven varnosti omrežij in informacijskih sistemov v Uniji (Direktiva NIS 1).^[2] Na njeni podlagi je bil sprejet Zakon o informacijski varnosti (ZInfV).^[3] Leta 2022 pa je Direktivo NIS 1 zaradi neučinkovitosti in pomanjkljivosti nadomestila Direktiva (EU) 2022/2555 Evropskega parlamenta in Sveta z dne 14. decembra 2022 o ukrepih za visoko skupno raven kibernetske varnosti v Uniji, spremembi Uredbe (EU) št. 910/2014 in Direktive (EU) 2018/1972 ter razveljavitvi Direktive (EU) 2016/1148 (Direktiva NIS 2).^[4] Na njeni podlagi je bil sprejet ZInfV-1.

Ni pa to edini pravni vir EU o informacijski varnosti. Uredba (EU) 2019/881 Evropskega parlamenta in Sveta z dne 17. aprila 2019 o Agenciji Evropske unije za kibernetsko varnost (ENISA) in o certificiranju informacijske in komunikacijske tehnologije na področju kibernetske varnosti ter razveljavitvi Uredbe (EU) št. 526/2013 (Akt o kibernetski varnosti)^[5] na primer z namenom zagotavljanja pravilnega delovanja notranjega trga in visoke ravni kibernetske varnosti, kibernetske odpornosti in zaupanja v EU določa cilje, naloge in organizacijske zadeve Agencije EU za kibernetsko varnost (ENISA) ter okvir za vzpostavitev evropskih certifikacijskih shem za kibernetsko varnost za proizvode IKT, storitve IKT in postopke IKT v EU.^[6]

Za finančni sektor je relevantna Uredba (EU) 2022/2554 Evropskega parlamenta in Sveta z dne 14. decembra 2022 o digitalni operativni odpornosti za finančni sektor in spremembi uredb (ES) št. 1060/2009, (EU) št. 648/2012, (EU) št. 600/2014, (EU) št. 909/2014 in (EU) 2016/1011 (DORA),^[7] ki ureja enotne zahteve glede varnosti omrežnih in informacijskih sistemov za podpiranje poslovnih procesov finančnih subjektov.

Eden najnovejših sprejetih predpisov EU s tega področja je Uredba (EU) 2024/2847 Evropskega parlamenta in Sveta z dne 23. oktobra 2024 o horizontalnih zahtevah glede kibernetske varnosti za izdelke z digitalnimi elementi in spremembi uredb (EU) št. 168/2013 in (EU) 2019/1020 ter Direktive (EU) 2020/1828 (Akt o kibernetski odpornosti).^[8] Med drugim določa bistvene zahteve glede kibernetske varnosti za zasnovo, razvoj in proizvodnjo izdelkov z digitalnimi elementi ter obveznosti gospodarskih subjektov v zvezi s kibernetsko varnostjo teh izdelkov.^[9]

Z ZInfV-1 se v pravni red Republike Slovenije končno prenaša Direktiva NIS 2 in ureja izvajanje Akta o kibernetski varnosti, Uredbe (EU) 2021/887 Evropskega parlamenta in Sveta z dne 20. maja 2021 o vzpostavitvi Evropskega industrijskega, tehnološkega in raziskovalnega kompetenčnega centra za kibernetsko varnost ter Mreže nacionalnih koordinacijskih centrov,^[10] ter Uredbe 2025/38.^[11] Ne ureja pa izvajanja Akta o umetni inteligenci. ZInfV-1 je začel veljati 19. junija 2025. Slovenija je s tem sicer zamudila rok iz 41. člena Direktive NIS 2 (za sedem mesecev), zaradi česar je Evropska komisija pred tem (tj. maja 2025) že začela uradni postopek ugotavljanja kršitve prava EU.^[12]

Ne glede na izpolnitev zakonodajne obveznosti pa iz ZInfV-1 izhaja, da mu sledi še nadaljnje strokovno in zakonodajno delo. Ureditev ZInfV-1 je namreč resda vsebinsko širša, pa tudi bolj poglobljena kot ureditev ZInfV, vendar zahteva sprejetje številnih podzakonskih predpisov oziroma aktov, strategij in načrtov, tako pri zavezancih kot tudi pri državnih organih. Prav tako določa obsežno nadgradnjo tega na področju pritegnitve dela strokovnjakov s področja informacijske in kibernetske varnosti.

Več informacij o zavezancih po ZInfV-1, njihovih temeljnih obveznostih ter pristojnostih organov najdete v Uvodnih pojasnilih k ZInfV-1.

1 <https://digital-strategy.ec.europa.eu/en/library/eus-cybersecurity-strategy-digital-decade-0> (21. 5. 2025).

2 Uradni list EU L 194, 19. julij 2016.

3 Uradni list RS, št. 30/18, 95/21, 130/22 – ZEKom-2, 18/23 – ZDU-1O in 49/23.

4 Uradni list EU L 333, 27. december 2022.

5 Uradni list EU L 151, 7. junij 2019.

6 Akt o kibernetski varnosti, 1. člen.

7 Uradni list EU L 333, 27. december 2022.

8 Uradni list EU L, 2024/2847, 20. november 2024.

9 Akt o kibernetski odpornosti, 1. člen.

10 Uradni list EU L 202, 8. junij 2021, str. 1.

11 ZInfV-1, 2. člen.

12 Evropska komisija: Commission calls on 19 Member states to fully transpose the NIS2 Directive, 7. maj 2025, <https://digital-strategy.ec.europa.eu/en/news/commission-calls-19-member-states-fully-transpose-nis2-directive> (6. 6. 2025).

Avtorica: doc. dr. Sabina Zgaga Markelj.