Pomoč zavezancem po novi zakonodaji iz informacijske varnosti
V EU in tudi v Sloveniji se je sprejelo precej nove zakonodaje, ki ureja področje informacijske varnosti. Ena od posledic množične digitalizacije je naša (popolna) odvisnost od delujočih informacijskih sistemov. Cilj nove zakonodaje sta zato poenotenje in standardizacija ukrepov informacijske varnosti.
Od nove zakonodaje je najpomembnejši Zakon o informacijski varnosti (ZINFV-1), ki prenaša evropsko direktivo NIS2 v slovenski pravni red. Zakon že velja in se med drugim uporablja za obveznost priglasitve varnostih incidentov na SI-CERT. Druga zakonodaja je Uredba EU DORA, ki se nanaša na finančne subjekte in se že neposredno uporablja za banke in zavarovalnice. Tretji je Zakon o kritični infrastrukturi, ki je že sprejet, ni pa še implementiran do konca. Četrti pa je Zakon o varstvu osebnih podatkov ZVOP-2, kjer se kmalu izteče prehodno obdobje. Peta je Uredba EU Cyber Ressilance Act, ki se nanaša na tehnične izdelke in programsko opremo.

Pomembni datumi:
• 19. december 2025 – rok za samo registracijo zavezancev po ZInfv-1 pri URSIV
• 23. januar 2026 – konec triletnega prehodnega obdobja iz 23. člena Zakona o varstvu osebnih podatkov ZVOP-2
• 19. junij 2026 – rok za implantacijo ukrepov po ZInfv-1 za obstoječe zavezance (cca 70 zavezancev)
• poletje 2026 – Vlada RS določi zavezance po Zakonu o kritični infrastrukturi in njihovo kritično infrastrukturo (posebej pomembno, če zavezanec ni neposredno po ZINFV-1).
• 19. december 2026 – rok za implantacijo ukrepov po ZInfv-1 za nove zavezance (velika večina zavezancev)
• EU Cyber Ressilance Act – september 2026 – poročanje o ranljivosti in polna uveljavitev v 2027
Nove zavezance lahko v glavnem razdelimo v tri sklope:
Neposredni zavezanci po ZINFV-1 (bistveni ali pomembni subjekti). Preverite, ali vaša dejavnost ustreza dejavnostim iz PRILOG 1, 2 ali 3, še posebej, če imate več kot 50 zaposlenih in letne prihodke ali aktivo večjo od 10 mio EUR. Obstajajo pa tudi izjeme! Posebej opozarjamo, da med proizvajalce elektrike štejejo tudi podjetja, ki imajo v lasti ali upravljanju (manjše) sončne elektrarnein elektriko odvajajo v omrežje (proizvodnja in/ali promet z elektriko), pri čemer velikost ali majhnost tega prometa ni kriterij. Npr. gradbeno podjetje ali čistilni servis, ki ima dovolj velike prihodke in število zaposlenih in ima sončno elektrarno.
Zavezanci po 23. členu ZVOP-2 (skoraj celotno zdravstvo, podjetja ki imajo podatke o več kot 100.00 osebah na podlagi zakona …). Če ima ZInfv-1 za večino zavezancev kriterij velikost zavezanca (50 zaposlenih in 10 mio EUR prometa), po 23. členu ZVOP-2 to ni pomembno. Tudi če je samo nekaj zaposlenih in redno dostopajo do državnega zdravstvenega informacijskega sistema kot koncesionarji v zdravstvu, so zavezanci. Zavezanec mora poskrbeti za smiselne varovalne ukrepe za informacijske sisteme. Smiselno pomeni, da se najprej opravi analiza razkoraka (analiza GAP), kateri informacijski sistemi so podvrženi in kako so trenutno zaščiteni.
Pomembni dobavitelji (angl. Supply Chain) zavezancev, ki ne bodo neposredni zavezanci, so pa pomembni dobavitelji za prvo in drugo kategorijo. Eden od obveznih ukrepov ZInfv-1 namreč zahteva, da opravljate nadzor nad dobavitelji, ki morajo zagotavljati izpolnjevanje primerljivih varnostnih ukrepov, kot to velja za zavezance. In to mora biti preverljivo in dokazljivo. Praktičen primerpredstavlja zunanji IT-izvajalec ali dobavitelj programske opreme s samo nekaj zaposlenimi.
Mogoča je tudi kombinacija, ko je podjetje zavezanec in hkrati pomemben dobavitelj za druge.
Kot prvi korak predlagamo, da preverite, ali boste zavezanci neposredno ali posredno in za katero zakonodajo. Če je odgovor da ali mogoče/verjetno, preverite, kako bo to vplivalo na vaše poslovanje in do kdaj morate kaj narediti. To se naredi z analizo razkoraka (analizo GAP).
Tako boste hitro dobili oceno, kje ste danes in katere naložbe boste morali izpeljati v 2026. Pri DATAINFO.SI.si smo jih izvedli že prek 30. Delujemo po mednarodnem standardu ISO IEC 27001 za informacijsko varnost.
Za brezplačni posvet nas pokličete na 02 620 43 00 ali pišite na info@datainfo.si.
Več informacij na www.datainfo.si
NOVO: Pripravili smo tudi DATAINFO.SI VIP (varnostno informacijski portal) za pomoč pri zagotavljanju vaše skladnosti z novo zakonodajo.



Komentarji
s56rsv | 6.12.2025 | 15:12
Ali bi prosim lektorirali tekste, kakršen je ta, in ki ste ga najverjetneje prepustili v prevod umetni inteligenci. Poln je napak. Hvala !
s56rsv | 6.12.2025 | 15:15
Kakšen stavek je na primer ta: "Posebej opozarjamo, da med proizvajal ce elektrike štejejo tudi podjetja, ki imajo v la sti ali upravljanju (manjše) sončne elektrarne predstavlja zunanji IT-izvajalec ali dobavitelj programske opreme s samo nekaj zaposle nimi." ???
Matjaž Klančar | 6.12.2025 | 15:21
Pozdravljeni, kot je označeno, gre za oglas. Oglasov pa v uredništvu ne lektoriramo, saj za vsebino odgovarja naročnik. Vendar se z vami strinjam, to bo treba popraviti.