Pomoč zavezancem po novi zakonodaji iz informacijske varnosti

V EU in tudi v Sloveniji se je sprejelo precej nove zakonodaje, ki ureja po dročje informacijske varnosti. Ena od posledic množične digitalizacije je naša (po polna) odvisnost od delujočih informacijskih sistemov. Cilj nove zakonodaje sta zato poe notenje in standardizacija ukrepov informacij ske varnosti.

Od nove zakonodaje je najpomembnej ši Zakon o informacijski varnosti (ZINFV-1), ki prenaša evropsko direktivo NIS2 v sloven ski pravni red. Zakon že velja in se med dru gim uporablja za obveznost priglasitve varno stih incidentov na SI-CERT. Druga zakonoda ja je Uredba EU DORA, ki se nanaša na finanč ne subjekte in se že neposredno uporablja za banke in zavarovalnice. Tretji je Zakon o kritič ni infrastrukturi, ki je že sprejet, ni pa še imple mentiran do konca. Četrti pa je Zakon o var stvu osebnih podatkov ZVOP-2, kjer se kmalu izteče prehodno obdobje. Peta je Uredba EU Cyber Ressilance Act, ki se nanaša na tehnične izdelke in programsko opremo.

Pomembni datumi:

• 19. december 2025 – rok za samo registraci jo zavezancev po ZInfv-1 pri URSIV

• 23. januar 2026 – konec triletnega preho dnega obdobja iz 23. člena Zakona o var stvu osebnih podatkov ZVOP-2

• 19. junij 2026 – rok za implantacijo ukrepov po ZInfv-1 za obstoječe zavezance (cca 70 zavezancev) • poletje 2026 – Vlada RS določi zavezan ce po Zakonu o kritični infrastrukturi in nji hovo kritično infrastrukturo (posebej po membno, če zavezanec ni neposredno po ZINFV-1).

• 19. december 2026 – rok za implantacijo ukrepov po ZInfv-1 za nove zavezance (veli ka večina zavezancev)

• EU Cyber Ressilance Act – september 2026 – poročanje o ranljivosti in polna uveljavitev v 2027

Nove zavezance lahko v glavnem razdelimo v tri sklope:

Neposredni zavezanci po ZINFV-1 (bi stveni ali pomembni subjekti).

Preverite, ali vaša dejavnost ustreza dejavnostim iz PRILOG 1, 2 ali 3, še posebej, če imate več kot 50 za poslenih in letne prihodke ali aktivo ve čjo od 10 mio EUR. Obstajajo pa tudi izje me! Posebej opozarjamo, da med proizvajal ce elektrike štejejo tudi podjetja, ki imajo v la sti ali upravljanju (manjše) sončne elektrarne predstavlja zunanji IT-izvajalec ali dobavitelj programske opreme s samo nekaj zaposle nimi. Mogoča je tudi kombinacija, ko je podjetje zavezanec in hkrati pomemben dobavitelj za druge. Kot prvi korak predlagamo, da preveri te, ali boste zavezanci neposredno ali po sredno in za katero zakonodajo. Če je od govor da ali mogoče/verjetno, preverite, kako bo to vplivalo na vaše poslovanje in do kdaj morate kaj narediti. To se naredi z analizo razkoraka (analizo GAP). in elektriko odvajajo v omrežje (proizvodnja in/ali promet z elektriko), pri čemer velikost ali majhnost tega prometa ni kriterij. Npr. grad beno podjetje ali čistilni servis, ki ima dovolj velike prihodke in število zaposlenih in ima sončno elektrarno.

Zavezanci po 23. členu ZVOP-2

(skoraj celotno zdravstvo, podjetja ki imajo podat ke o več kot 100.00 osebah na podlagi zakona …). Če ima ZInfv-1 za večino zavezancev krite rij velikost zavezanca (50 zaposlenih in 10 mio EUR prometa), po 23. členu ZVOP-2 to ni po membno. Tudi če je samo nekaj zaposlenih in redno dostopajo do državnega zdravstvene ga informacijskega sistema kot koncesionarji v zdravstvu, so zavezanci. Zavezanec mora po skrbeti za smiselne varovalne ukrepe za infor macijske sisteme. Smiselno pomeni, da se naj prej opravi analiza razkoraka (analiza GAP), ka teri informacijski sistemi so podvrženi in kako so trenutno zaščiteni.

Pomembni dobavitelji

(angl. Supply Chain) zavezancev, ki ne bodo neposredni za vezanci, so pa pomembni dobavitelji za prvo in drugo kategorijo. Eden od obveznih ukre pov ZInfv-1 namreč zahteva, da opravljate nadzor nad dobavitelji, ki morajo zagotavlja ti izpolnjevanje primerljivih varnostnih ukre pov, kot to velja za zavezance. In to mora biti preverljivo in dokazljivo. Praktičen primer predstavlja zunanji IT-izvajalec ali dobavitelj programske opreme s samo nekaj zaposle nimi. Mogoča je tudi kombinacija, ko je podjetje zavezanec in hkrati pomemben dobavitelj za druge.

Kot prvi korak predlagamo, da preveri te, ali boste zavezanci neposredno ali po sredno in za katero zakonodajo. Če je od govor da ali mogoče/verjetno, preverite, kako bo to vplivalo na vaše poslovanje in do kdaj morate kaj narediti. To se naredi z analizo razkoraka (analizo GAP).

Tako boste hitro dobili oceno, kje ste danes in katere naložbe boste morali izpeljati v 2026. Pri DATAINFO.SI.si smo jih izvedli že prek 30. Delujemo po mednarodnem standardu ISO IEC 27001 za informacijsko varnost. Za brezplačni posvet nas pokličete na 02 620 43 00 ali pišite na info@datainfo.si. Več informacij na www.datainfo.si

NOVO: Pripravili smo tudi DATAINFO.SI VIP (varnostno informacijski portal) za pomoč pri zagotavljanju vaše skladnosti z novo zakono dajo.