Zakon ZInfV-1 je tu – kaj zdaj?

Z majem 2025 se je v Sloveniji začela uporabljati nova zakonodaja na področju informacijske varnosti – Zakon o informacijski varnosti (ZInfV-1), ki v slovenski pravni red prenaša evropsko direktivo NIS-2. Ta zakon uvaja strožje zahteve za zagotavljanje kibernetske varnosti in širi krog zavezancev na mnoga podjetja, ki doslej teh obveznosti niso imela.

ZInfV-1 jasno določa, da kibernetska varnost ni več zgolj tehnična naloga IT-oddelkov, temveč celovita organizacijska odgovornost – od najvišjega vodstva navzdol. Podjetja, ki sodijo v področje uporabe zakona, morajo imenovati odgovorno osebo za upravljanje kibernetske varnosti, izvajati redne ocene tveganj, vzpostaviti notranje varnostne politike ter poročati o incidentih in sprejeti ustrezne tehnične varnostne ukrepe.

Zakaj ZInfV-1 ni le obremenitev, temveč tudi priložnost?

Čeprav zakon nalaga novosti, pa prinaša tudi priložnost za izboljšanje kibernetske odpornosti in konkurenčne prednosti. V sodobnem poslovnem okolju je zaupanje ključni kapital – in podjetja, ki lahko zanesljivo zaščitijo podatke svojih strank in partnerjev, imajo pomembno prednost.

ZInfV-1 je priložnost za podjetja, da postavijo varnost kot strateško prioriteto, z njo okrepijo notranje procese, dvignejo raven zavedanja v organizaciji in dolgoročno izboljšajo svojo odpornost na grožnje, ki postajajo vedno bolj sofisticirane. Varnostne investicije so tako hkrati tudi poslovne investicije.

Kaj se spreminja?

Nekatere ključne novosti zakona vključujejo:

• bistveno širši nabor zavezancev,
• obvezno poročanje o incidentih v kratkih časovnih okvirih,
• stroge kazni za neizpolnjevanje zahtev (vključno z upravno odgovornostjo vodstva),
• vzpostavitev različnih tehničnih varnostnih ukrepov.

To pomeni, da morajo tudi podjetja, ki niso neposredno žrtve napadov, poskrbeti za skladnost – saj lahko nezavarovana točka v dobavni verigi pomeni ranljivost za celotni sistem.

Kje začeti?

Začetek se začne z osnovnim vprašanjem: ali vaše podjetje sploh spada med zavezance?

Če je odgovor da (ali če niste prepričani), je čas za oceno pripravljenosti na ZInfV-1. To vključuje:

• analizo razkoraka in na podlagi tega priprava organizacijskih in tehničnih ukrepov skladno z zakonodajo,
• opredelitev odgovorne osebe za informacijsko varnost,
• vzpostavitev ukrepov za upravljanje tveganj,
• vzpostavitev različnih tehničnih varnostnih ukrepov,
• in uvedbo postopkov za zaznavanje, obravnavo in poročanje incidentov.

Pomembno je tudi izobraževanje zaposlenih, saj človeški faktor ostaja ena najpogostejših vstopnih točk za kibernetske napade.

Kaj sledi?

Zakon je že v veljavi in prinaša nova pravila igre. Kibernetska varnost ni več možnost, temveč nuja. A podjetja, ki se na zakon odzovejo pravočasno, celovito in strateško, ne bodo le skladna – temveč tudi bolje pripravljena na prihodnost, v kateri so digitalna tveganja nova resničnost.

Želite preveriti, ali vaše podjetje izpolnjuje zahteve ZInfV-1 in kako lahko okrepite svojo kibernetsko varnost?

Stopite v stik z našimi strokovnjaki in se dogovorite za posvet: bmilicevic@nil.com (Branko Miličević, vodja razvoja poslovanja za varnost na NIL-u).