Zakon o informacijski varnosti (ZinfV), ki izvira iz zahtev Evropske direktive NIS 2, je bil sprejet 23. maja 2025 na predlog državnega zbora. Z njegovo uveljavitvijo se je Slovenija zavezala k izpolnjevanju obveznosti, ki jih imajo vse članice Evropske unije na področju kibernetske varnosti. ZinfV pomeni pomemben premik pri zagotavljanju varnega digitalnega okolja in predstavlja celostno ureditev sistema informacijske varnosti na državni ravni.
Namen zakona in pričakovane obveznosti
Glavni cilj novega zakona je vzpostaviti pravni okvir, ki omogoča nadzor, regulacijo in kaznovanje ob morebitnih kršitvah. Obenem spodbuja razvoj digitalne odpornosti ter odgovorno ravnanje organizacij pri upravljanju informacijskih sistemov. Podjetja in ustanove, ki spadajo med zavezance, morajo izpolnjevati predpisane varnostne standarde in postopke, sicer jim grozijo sankcije.
Vsebina in področje uporabe ZinfV-1
ZinfV določa obseg uporabe, opredeljuje ključne izraze ter natančno določa, kdo se šteje za zavezanca. Poleg tega ureja naloge, pristojnosti in organizacijo nacionalnega organa za informacijsko varnost, organa za obvladovanje obsežnih incidentov in kriz, enotno kontaktno točko za kibernetsko varnost ter skupine za odzivanje na računalniške incidente (CSIRT). Posebno pozornost zakon namenja tudi Strategiji kibernetske varnosti Republike Slovenije, vprašanjem kibernetske obrambe in sodelovanju med državnimi organi ter tehničnimi ekipami. Njegov namen je sistematično urediti področje informacijske in kibernetske varnosti ter doseči visoko raven zaupanja v informacijsko-komunikacijske storitve, tehnologijo in postopke, ki so ključni za stabilno delovanje države in gospodarstva.
Zavezanci po zakonu
Med zavezance spadajo organizacije, ki delujejo v pomembnih sektorjih, na primer v zdravstvu, energetiki, bančništvu, javni upravi, digitalni infrastrukturi, financah, oskrbi s pitno vodo in področju IKT-storitev. Mednje sodijo tudi srednje velika podjetja z več kot 50 zaposlenimi ali z letnim prometom, višjim od 10 milijonov evrov, če njihovo delovanje vpliva na kritične storitve ali javni interes.
Vlada ima možnost razširiti seznam zavezancev, če presodi, da posamezna organizacija pomembno prispeva k varnosti države ali zaščiti javnih storitev.
Delitev zavezancev na bistvene in pomembne subjekte
Zakon razlikuje med bistvenimi in pomembnimi subjekti. Bistveni subjekti so večje organizacije iz ključnih sektorjev, ki zaposlujejo najmanj 250 oseb, imajo letni promet nad 50 milijonov evrov ali skupno letno bilanco nad 43 milijonov evrov. Mednje sodijo tudi ponudniki kvalificiranih storitev zaupanja, registri domen, ponudniki DNS-storitev in javnih elektronskih komunikacijskih omrežij. Sem se uvrščajo tudi državni organi, določeni kot kritična infrastruktura, ter izvajalci, ki jih na predlog pristojnega organa določi vlada. Pomembni subjekti pa so manjše organizacije iz istih ali podobnih sektorjev, ki nimajo obsega poslovanja bistvenih subjektov, vendar opravljajo dejavnosti pomembne za varnost, zaščito, reševanje ali delovanje javnih storitev.
Nadzor nad izvajanjem zakona
Izvajanje določb ZinfV nadzorujejo inšpektorji za informacijsko varnost pri nacionalnem organu. Ti preverjajo, ali so organizacije skladne z zahtevami zakona, njegovimi podzakonskimi akti in izdanimi odločbami. Na področju obrambe nadzor izvaja Inšpektorat Republike Slovenije za obrambo, na področju obveščevalno-varnostnih dejavnosti pa Inšpektorat Republike Slovenije za notranje zadeve. Inšpektorji so zadolženi tudi za spremljanje izvajanja evropskih uredb in certifikacijskih shem ter nadzor nad uresničevanjem izvedbenih aktov Evropske komisije, povezanih z direktivo NIS 2. Pri postopkih se uporabljajo določbe Zakona o inšpekcijskem nadzoru, razen v primerih, kjer ZinfV določa posebna pravila.
Ključne novosti zakona
ZinfV uvaja vrsto pomembnih sprememb. Mednje spadajo širitev kroga zavezancev, obveznost samoregistracije, dodatni ukrepi za obvladovanje tveganj, izvajanje ocene in samoocene skladnosti, redno usposabljanje odgovornih oseb, vzpostavitev usklajenega razkrivanja ranljivosti ter krepitev zaupanja v IKT proizvode, storitve in postopke. Zavezanci so vsa podjetja in organizacije iz kritičnih sektorjev, vključno z zdravstvom, energetiko, IT, prometom in bančništvom. Med njimi so tudi srednje velika podjetja s 50 ali več zaposlenimi ali letnim prometom nad 10 milijoni evrov, pri čemer vlada lahko po potrebi doda še druge pomembne subjekte.
Obveznosti organizacij po ZinfV-1
Organizacije morajo sistematično izvajati vrsto ukrepov, med drugim redno preverjati varnostne kopije in dnevnike, stalno ocenjevati tveganja, vzpostaviti varnostne politike in postopke, preverjati identitete uporabnikov ter upravljati dostop po načelu najmanjših pravic. Zakon prav tako zahteva nadzor nad dobavitelji, učinkovito obvladovanje varnostnih incidentov z obveznim poročanjem ter redno izobraževanje zaposlenih o kibernetski varnosti.
