Nov Zakon o informacijski varnosti (ZInfV-1): Ključne novosti in obveznosti zavezancev

Zgodovinski razvoj in sprejem ZInfV-1

Republika Slovenija že več let aktivno naslavlja izzive na področju digitalne zaščite. Proces se je začel leta 2016 z oblikovanjem strategije za kibernetsko odpornost, ki je postavila temelje za varovanje ključnih digitalnih omrežij. Leta 2018 je sledil Zakon o informacijski varnosti (ZInfV), ki je implementiral začetno evropsko direktivo na tem področju, pokrivajoč bistvene storitve, javni sektor in izbrane digitalne platforme. Leta 2020 je Nacionalni svet za varnost opozoril na povečano stopnjo kibernetskih tveganj, kar je bilo še posebej izrazito med predsedovanjem Slovenije Svetu EU, ko so bile teme digitalizacije in varnosti v ospredju. Ta ugotovitev je pokazala, da obstoječa ureditev ni več ustrezna, kar je privedlo do prenove leta 2021 (ZInfV-A). Takrat je bil ustanovljen Urad Vlade RS za informacijsko varnost (URSIV) kot samostojna institucija, saj je neodvisnost postala ključna za učinkovit nadzor.

Leta 2022 je Evropska unija sprejela novo Direktivo NIS2, ki je zahtevala prenos v nacionalne zakonodaje do oktobra 2024. Slovenija je na tej podlagi leta 2023 pripravila osnutek Zakona o informacijski varnosti (ZInfV-1), ki vključuje evropske zahteve in nekatere dodatne določbe. Po večmesečnih usklajevanjih je zakon Državni zbor potrdil maja 2025, objavljen pa je bil 4. junija 2025, z uveljavitvijo 19. junija 2025. Direktiva NIS 2 je osrednji evropski pravni dokument za kibernetsko varnost, ki posodablja obstoječe uredbe, kot sta eIDAS in zakonik o elektronskih komunikacijah, ter razširja obseg na več sektorjev z namenom zagotavljanja enotne visoke varnostne ravni. Med ključnimi zahtevami so upravljanje tveganj, prijava incidentov, varnost oskrbovalnih verig in meddržavno sodelovanje.

Glavne značilnosti in organizacijska ureditev

ZInfV-1 nadgrajuje prejšnjo zakonodajo z bolj celovitim pristopom, ki vključuje varnostne strategije, načrte za odzivanje in usposabljanja. Direktiva NIS 2 nalaga državam članicam, da določijo pristojne institucije, pri čemer je Slovenija izbrala centraliziran model z URSIV kot vodilnim organom, podprtima pa ga skupina SI-CERT in vladna enota SIGOV-CERT za javni sektor. URSIV skrbi za preverjanje skladnosti, izdaja priporočila in izvaja sankcije, vključno s popravnimi ukrepi ali denarnimi kaznimi, ki segajo do 10 milijonov evrov ali 2 % letnega prometa za ključne subjekte oziroma do 7 milijonov evrov ali 1,4 % za pomembne subjekte. Zakon vključuje tudi druge evropske predpise, kot so Akt o kibernetski varnosti in Uredba o evropskem kompetenčnem centru.

Medtem ko ZInfV-1 v osnovi sledi Direktivi NIS 2, prinaša nekatere specifičnosti, ki odražajo slovenski kontekst, kot je združevanje več pravil v en dokument za lažjo uporabo, kar pa lahko povzroči zaplete pri usklajevanju z drugimi evropskimi okviri. Direktiva določa splošne nadzorne pristojnosti, medtem ko ZInfV-1 URSIV podeljuje podrobnejše pooblastila, vključno z inšpekcijskimi pregledi in širšimi sankcijami. Zakon omejuje uporabo, saj so finančne ustanove izvzete in podvržene posebnemu Aktu o digitalni odpornosti (DORA). Prav tako posebej obravnava obrambni sektor, kar presega minimalne evropske zahteve.

Direktiva NIS 2 poudarja pomen odpornosti oskrbovalnih verig, a pušča metode odprte, medtem ko ZInfV-1 uvaja specifične zahteve, kot so certificiranje IKT-proizvodov in stalno spremljanje dobaviteljev. To zahteva od subjektov natančno evidenco partnerjev in vključevanje varnostnih pogojev v pogodbe, kar je za manjša podjetja zahtevno, a nujno glede na pogoste napade. Prav tako uvaja pojem "zaščitenih podatkov", ki omogoča URSIV fleksibilnejše ravnanje z občutljivimi informacijami, kar pa lahko povzroči pravne ali operativne izzive zaradi prekrivanja z drugimi predpisi.

Obveznosti zavezancev in poročanje

Zavezanci morajo vzpostaviti ukrepe za preprečevanje tveganj, pripraviti odzivne protokole, zagotoviti varnost v oskrbovalnih verigah in izobraževati osebje. Hujše incidente je treba takoj prijaviti URSIV ali nacionalni skupini CSIRT, pri čemer je obvezna javna objava, če je ogrožena javna varnost. Prav tako zakon spodbuja prostovoljno sporočanje manj resnih dogodkov za izboljšanje informacijske izmenjave. Nadzor izvaja URSIV z možnostjo pregledov in ukrepov, globe pa lahko dosežejo 10 milijonov evrov za ključne subjekte.

Zavezanci so določeni v 6. in 7. členu zakona, vključno z bistvenimi subjekti iz sektorjev, kot so energija in zdravstvo, ter pomembnimi iz drugih področij, kot so poštne storitve. Kriteriji vključujejo vsaj 50 zaposlenih in 10 milijonov evrov letnega prometa, pri čemer so nekateri, kot ponudniki komunikacijskih storitev, zavezani ne glede na velikost. Status se ugotovi na podlagi samoprijave in evropskih smernic o združenih podjetjih.

Zakon zajema približno 1.000 subjektov, kar je znatna razlika v primerjavi s prejšnjim zakonom, ki je vključeval le okoli 100, kar izhaja iz širših kriterijev Direktive NIS 2. Subjekti se morajo prijaviti URSIV v pol leta od uveljavitve, ukrepe za obvladovanje tveganj pa morajo uresničiti v 12 do 18 mesecih, kar pomeni rok do konca leta 2026.

ZInfV-1 pomeni pomemben napredek v varovanju Slovenije pred kibernetskimi grožnjami, a uspeh je odvisen od izvedbe. Integracija evropskih pravil prinaša poenostavitve, a tudi izzive, ki zahtevajo previdnost. URSIV bo igral ključno vlogo pri zagotavljanju jasnih navodil in podpori pri prehodu.

Priporočila in pravna pomoč

Podjetja naj preverijo, ali so zavezana po zakonu, in se samoregistrirajo ter sprejmejo ukrepe za obvladovanje tveganj. Priporočamo tudi pregled politik, usposabljanja in dobavne verige. Odvetniška pisarna Križanec & Partnerji iz Ljubljane ima bogate izkušnje na področju informacijske in kibernetske varnosti. Naši odvetniki nudijo strokovno svetovanje in pravno zastopanje v vseh postopkih, povezanih z ZInfV-1, vključno s samoregistracijo, obvladovanjem tveganj ter uveljavljanjem pravic in obveznosti pred pristojnimi organi. Za dodatne informacije in pravno svetovanje v zvezi z novim zakonom se lahko obrnete na našega strokovnjaka za informacijsko pravo, odvetnika Dinarja Rahmatullina.