Za skladnost z ZInfV-1 ne zadoščajo več vprašalniki in dokumenti – kaj je še potrebno?

Novi Zakon o informacijski varnosti (ZInfV-1) je za številne slovenske organizacije prinesel pomembne zahteve na področju kibernetske varnosti. Ključni rok za uvedbo ukrepov za obvladovanje tveganj za bistvene in pomembne subjekte je 19. december 2026. Tisti, ki bodo zamujali, se ne bodo soočili le z visokimi globami, temveč tudi z bistveno večjim poslovnim tveganjem.

ZInfV‑1 – zakon o informacijski varnosti

ZInfV-1 je začel veljati 19. junija 2025 in v slovenski pravni red prenaša zahteve evropske direktive NIS2.

Številna podjetja informacijsko varnost še vedno razumejo predvsem kot administrativno nalogo: pripraviti dokumentacijo, izpolniti vprašalnike in zaključiti projekt.

Toda zakon od organizacij zahteva nekaj bistveno pomembnejšega, dokazljivo sposobnost prepoznavanja, upravljanja in zmanjševanja kibernetskih tveganj.

Ključno vprašanje zato ni: Ali smo izpolnili obrazec?

Temveč: Ali lahko dokažemo, da bomo ob incidentu ohranili delovanje ključnih poslovnih storitev?

Kazni in tveganja

Globe lahko za bistvene subjekte dosežejo do 10 milijonov EUR oziroma 2 % letnega prometa, za pomembne subjekte pa do 7 milijonov EUR oziroma 1,4 % letnega prometa. Zakon predvideva tudi inšpekcijske ukrepe, revizije skladnosti, zavezujoče odredbe ter globe tudi za samostojne podjetnike in odgovorne osebe.

A največje tveganje niso globe. Največje tveganje so poslovne posledice: izpadi, incidenti, pritiski dobavne verige in izguba zaupanja.

Kdo so zavezanci?

Mnogi še vedno zmotno verjamejo, da zakon velja le za največja podjetja.

V resnici je odločilna kombinacija dejavnosti podjetja in njegove velikosti. Pri nekaterih organizacijah pa se zakon uporablja ne glede na število zaposlenih ali prihodke.

Zajeti so sektorji in vrste subjektov iz Priloge 1 in Priloge 2 ZInfV-1, med drugim energetika, promet, zdravstvo, digitalna infrastruktura, upravljanje storitev IKT, poštne storitve in ravnanje z odpadki.

Zato je za številna podjetja prvo vprašanje pravzaprav: Ali sploh vemo, ali smo zavezanci?

Od regulative do konkretnih ukrepov

V podjetju SoftwareOne opažajo, da organizacije najpogosteje potrebujejo prav jasen vpogled v trenutno stanje in konkreten načrt nadaljnjih korakov. Zato so razvili pristop, ki temelji na rešitvi Sentra Assessment.

Sentra Assessment je orodje, podprto z umetno inteligenco, ki združuje regulativne zahteve in praktični pogled na informacijske sisteme organizacije. Njegov namen ni priprava še enega poročila o skladnosti, temveč pomoč pri odločanju, katere ukrepe je smiselno izvesti najprej in kje lahko organizacija z najmanjšim vložkom doseže največji učinek.

Za razvojem rešitve stojita Damjan Praznik in Gorazd Šemrov. Praznik ima več kot 16 let izkušenj na področju informacijske varnosti, upravljanja tveganj in regulative, medtem ko je Šemrov arhitekt informacijskih sistemov z 25 leti izkušenj, od tega je 13 let deloval pri Microsoftu.

Jasni rezultati v samo dveh tednih

Od uvodnega sestanka do zaključne predstavitve organizacija v približno dveh tednih pridobi:

Čas za ukrepanje je zdaj

Čeprav se december 2026 zdi še daleč, priprava na zahteve ZInfV-1 ni projekt, ki ga je mogoče kakovostno izvesti v zadnjih nekaj tednih.

Organizacije, ki začnejo pravočasno, pridobijo bistveno več kot zgolj skladnost z zakonodajo. Pridobijo jasen pregled nad tveganji, boljšo odpornost na incidente in večjo zanesljivost poslovanja.

Če želite izvedeti, ali ZInfV-1 zajema tudi vas in kako pripravljena je vaša organizacija na zahteve ZInfV-1, obiščite spletno stran za posvet.