Z novim Zakonom o informacijski varnosti (ZInfV-1) Slovenija vstopa v povsem novo obdobje urejanja informacijske in kibernetske varnosti. Število zavezancev – po novem imenovanih bistveni in pomembni subjekti – je z dosedanjih 69 poskočilo na okoli 1.000 zavezancev po ocenah URSIV in celo na okrog 1.200 po ocenah ponudnikov storitev kibernetske varnosti. V središču izvajanja tega zakona je Inšpekcija za informacijsko varnost pri URSIV, ki jo vodi direktor Matjaž Mravljak. Njihov pristop bo, kot poudarja, kombinacija proaktivnega nadzora, pragmatičnosti in jasnega sporočila: prikrivanje incidentov se dolgoročno ne izplača.
Kako bodo izbirali zavezance za nadzor?
Tako kot drugi inšpektorati tudi Inšpekcija za informacijsko varnost vsako leto pripravi usmeritve za delo. V okviru ZInfV-1 bodo razvili lastno metodologijo za redne sistemske inšpekcijske nadzore nad bistvenimi subjekti. Direktor URSIV postavlja splošne usmeritve, inšpekcija pa bo pri izbiri nadzorovanih subjektov upoštevala več ključnih elementov, ki se opirajo na tveganja:
- kritičnost storitve za delovanje države in družbe (telekomunikacije, energetika, oskrba z vodo, javna uprava, zdravstvo …),
- trenutno oceno ogroženosti in kibernetskega tveganja,
- druge dejavnike, ki jih bodo opredelili v interni metodologiji.
Že danes inšpekcija uporablja specializirana orodja za spremljanje varnostnega stanja organizacij. Na začetku leta so pripravili seznam zavezancev, ki jih bodo bolj podrobno spremljali, glede na prepoznana tveganja. Kot pravi Mravljak, so se morali z razširitvijo kroga zavezancev osredotočiti predvsem na najbolj kritične panoge, kjer bi incident lahko povzročil največje sistemske posledice. Prej je bilo namreč zavezancev le 69 in so lahko spremljali skoraj vse.
Ali bomo konkretno pri njih uvedli postopke ali jih bomo samo opozorili, bomo še videli po pregledu stanja.
Prva postaja: samoregistracija
Zavezanci so morali po določbah ZinfV-1 do 22. decembra 2025 izvesti samoregistracijo in glede na svojo dejavnost določiti, v katero skupino spadajo, med bistvene ali pomembne subjekte. Čeprav je zavezancev okoli 1.000 je do 19. januarja 2026 samoregistracijo izvedlo okoli 650 subjektov, pri čemer manjka večina operaterjev telekomunikacij ter organov državne uprave.
»Nimamo v načrtu, da bi intenzivno iskali, kdo se je samoregistriral in kdo se ni. Za to niti nimamo ljudi. Sicer obveznosti iz ZinfV-1 niso vezane na samoregistracijo. Če bomo na takega zavezanca naleteli v okviru izvajanja rednih nalog, bomo ustrezno reagirali,« je povedal Mravljak.
Obveznost prijave kibernetskih incidentov že velja – ne glede na to, ali so vsi tehnični in organizacijski ukrepi že v celoti izvedeni.
Nove zavezance, ki jih v inšpekciji poznajo in se še niso samoregistrirali, bodo v prehodnem obdobju zagotovo preverili. Tako Mravljak: »Ali bomo konkretno pri njih uvedli postopke ali jih bomo samo opozorili, bomo še videli po pregledu stanja.«
Redni, izredni inšpekcijski nadzori in prijave incidentov
Redni nadzori bodo torej temeljili na metodologiji in oceni kritičnosti oziroma tveganjih, izredni nadzori pa ostajajo podobni kot doslej:
- ob pomembnih kibernetskih incidentih s širšim vplivom,
- ko incident pride v javnost in bo vpliv opazen v družbi,
- ali ko inšpekcija prejme prijavo.
ZInfV-1 uvaja pomembno razliko med postopnim uvajanjem ukrepov in takojšnjo obveznostjo poročanja o incidentih. Za bivše zavezance po prejšnjem zakonu in operaterje telekomunikacij velja prehodno obdobje za izvedbo ukrepov do 19. junija 2026, za nove zavezance do 19. decembra 2026. Toda obveznost prijave kibernetskih incidentov že velja – ne glede na to, ali so vsi tehnični in organizacijski ukrepi že v celoti izvedeni.
Sankcije: od opozoril do milijonskih glob
ZInfV-1 predvideva visoke globe, a inšpekcija ne namerava voditi »inkasantne« politike. Mravljak poudarja dve skupini okoliščin za kaznovanje kršiteljev. Večina prekrškov po ZInfV-1 namreč izhaja iz malomarnosti oziroma opustitve dolžnega ravnanja, na primer izvedbe ocene tveganj ali uvajanja ukrepov, pa tudi opustitve dolžnega nadzorstva nad izvajanjem storitev ključnih dobaviteljav. V drugi skupini, ko gre za najvišje globe, so te po pravilu rezervirane za primere izkazane zavestne oziroma zavedne malomarnosti in za najhujše posledice.
Zavezanci lahko na globe zagotovo računajo, ko bo kibernetski incident ustvaril posledice kot posledico malomarnosti zavezanca.
»Tukaj je posebna situacija, ker se globe izrekajo zaradi malomarnosti. Če bomo ugotovili, da ni dokumentacije, da je indiferenten odnos do kibernetske varnosti, da se ni izvajalo ocene tveganj in varnostnih ukrepov, potem bodo globe. Če bodo odkrite manjše kršitve skladnosti, se bomo lahko odzvali tudi z izdajo prekrškovne odločbe z izrekom opomina ali celo z opozorilom,« je razložil Mravljak.
Zavezanci lahko na globe zagotovo računajo, ko bo kibernetski incident ustvaril posledice kot posledico malomarnosti zavezanca. Sploh v primerih ko bo, hipotetično, ugotovljeno, da je bil incident posledica večjega neskladja z zakonom. Takrat bo lahko prišla v poštev tudi najvišja globa.
Pri tem v javnem sektorju globa pravni osebi (organ uprave, ministrstvo, organ v sestavi) ni možna – sankcionira se odgovorna oseba, na primer predstojnik organa, minister, generalni direktor ali načelnik. En organ namreč drugemu ne more izreči globe, ker se oba financirata iz istega vira – proračuna države. Kot izpostavlja Mravljak gre vedno za individualno odgovornost. Na drugi strani, v gospodarstvu, je drugače. Kaznovani sta lahko tako pravna oseba kot tudi odgovorna oseba pravne osebe.
Zakon določa zelo visoke najvišje globe za najhujše kršitve:
- za bistvene subjekte: do 10 milijonov evrov za pravno osebo in do 10.000 evrov za odgovorno osebo,
- za pomembne subjekte: do 7 milijonov evrov za pravno osebo in do 7.000 evrov za odgovorno osebo.
Po kazenskem oziroma prekrškovnem pravu se lahko najvišje globe izrekajo samo za direkten naklep. V primeru kršitve ZInfV-1 pa gre za opustitvena ravnanja, torej za zavedno ali nezavedno malomarnost kot obliko naklepa. Te najvišje globe so tako predvidene za primere, ko bi se, denimo, izkazalo, da je bil hud kibernetski incident neposredna posledica večjih neskladij z zahtevami ZInfV-Vsekakor lahko v takšnih primerih zavezanci torej računajo na strožji prekrškovni pristop, brez odpustkov.
Dva postopka: upravni in prekrškovni
Ko inšpektor ugotovi kršitev, se lahko razvijeta dva vzporedna toka.
Inšpekcijski upravni postopek. Ta se izvede, če gre za manjša neskladja in zavezanec konstruktivno sodeluje. Zadeve se pogosto rešijo že z zapisnikom, v katerem se dogovorijo roki in način odprave nepravilnosti. Kadar gre za večje neskladnosti ali nesodelovanje, se izda upravna odločba, ki določa ukrepe in roke za odpravo pomanjkljivosti.
Po izkušnjah iz prejšnjega zakona se je pretežni del zadev uredil že z zapisnikom, le približno manj kot tretjina je prerasla v upravne odločbe.
Če zavezanec odrejenih ukrepov ne izvede, lahko inšpekcija izvede postopek (prisilne) izvršitve odločbe in izreka periodično (mesečno) globo za neizvajanje odločbe, dokler ni izvršena.
Roke za izvedbo ukrepov je mogoče podaljšati pred potekom na podlagi vloge zavezanca, kadar zavezanec aktivno sodeluje in objektivno utemelji zamik, na primer zaradi postopkov javnega naročanja v javnem sektorju. Po izkušnjah iz prejšnjega zakona se je pretežni del zadev uredil že z zapisnikom, le približno manj kot tretjina je prerasla v upravne odločbe.
Prekrškovni postopek. V primeru ugotovljene kršitve se lahko izda prekrškovna odločba, pri čemer je možen tudi (prekrškovni) opomin s stroški postopka, kadar je kršitev manjša in okoliščine to dopuščajo. Pri odločanju o višini globe bodo inšpektorji upoštevali celoten kontekst: ali je organizacija ocenjevala tveganja in izvajala ukrepe ali je imela urejeno dokumentacijo ali je bil odnos do kibernetske varnosti resnično malomaren ali morda gre zgolj za delne, manjše odklone od zahtev.
Ključna vloga odgovornih oseb
ZInfV-1 zelo jasno poudarja osebno odgovornost. V javnem sektorju se sankcije primarno dotaknejo odgovornih oseb, ne institucij kot takih. V gospodarstvu se odgovornost deli med pravno osebo in odgovorno osebo (npr. člana uprave, direktorja, CISO, tudi člane nadzornega sveta).
Odgovornost je osebna in merljiva.
To pomeni, da kibernetska varnost ni več zgolj naloga IT-oddelka. Odgovorne osebe morajo aktivno zagotavljati:
- da se namenijo potrebna sredstva za informacijsko in kibernetsko varnost;
- da se izvede ocena tveganj in analiza vplivov na poslovanje;
- da se pripravijo in izvajajo ustrezni ukrepi;
- da se incidenti prijavljajo in ne prikrivajo;
- da obstaja sled za odločitve in ukrepe.
Mravljak ob tem podaja pomenljivo sporočilo: »V našem okolju, kjer je kultura prikrivanja incidentov še vedno razširjena in uveljavljena, je to jasen premik: odgovornost je osebna in merljiva.«
Po izkušnjah inšpekcije je zrelost subjektov v zasebnem sektorju praviloma višja kot v državni upravi.
Kako naj se zavezanci pripravijo?
Mravljakovo priporočilo je zelo konkretno: do prehodnih rokov (19. junij 2026 oziroma 19. december 2026) ni več tako daleč, kot se zdi na prvi pogled. Zavezanci bi morali čim prej:
- opraviti analizo vrzeli – kje so v odnosu do zahtev ZInfV-1 in podzakonskih aktov;
- izvesti analizo vplivov na poslovanje – katere storitve in procesi so kritični, na katera sredstva (IT-sistemi, aplikacije, podatki) se naslanjajo, kakšne so posledice izpadov;
- izdelati obvezno varnostno dokumentacijo iz ZInfV-1;
- na podlagi tega pripraviti in v praksi implementirati načrt ukrepov – tehničnih, organizacijskih, procesnih, kadrovskih.
Po izkušnjah inšpekcije je zrelost subjektov v zasebnem sektorju praviloma višja kot v državni upravi, a tudi tam stanje še zdaleč ni takšno, kot bi si želeli. ZInfV-1 prinaša jasno sporočilo vsem: kibernetska varnost postaja regulirana, nadzorovana in sankcionirana obveznost.
Na pomoč tudi zunanji revizorji
Kot nakazuje Mravljak, se Inšpekcija za informacijsko varnost sooča s precejšnjo kadrovsko stisko, kar je odraz splošne situacije na trgu dela. Trg kompetentnih strokovnjakov za kibernetsko varnost, še posebej takih z znanjem tehnike in prava, je izredno omejen. Povpraševanje po CISO-jih in varnostnih strokovnjakih je veliko, država pa težko konkurira zasebnemu sektorju pri plačah in pogojih dela.
Kot kompenzacijski ukrep lahko inšpektor odredi izvedbo zunanje revizije informacijskih sistemov.
»Težko je najti ustrezen kader. Izvedemo lahko le določeno število nadzorov, saj so ti zelo zahtevni, tako tehnično kot pravno. Nastopajo visoke globe, postopki so zahtevni, zadaj so odvetniške družbe - samo ena napaka in postopek lahko pade. Treba je imeti tudi dobro pravno znanje,« je izzive orisal Mravljak.
Kot kompenzacijski ukrep lahko inšpektor odredi izvedbo zunanje revizije informacijskih sistemov. Revizijsko poročilo, ki ga izdela licenciran revizor informacijskih sistemov (v Sloveniji jih je trenutno okoli 27), je za inšpekcijo na nek način lahko izenačeno z zapisnikom inšpekcijskega nadzora. Inšpektor bo nato na tej podlagi lahko odredil izvedbo priporočil iz revizijskega poročila (za kar ima izrecno podlago v ZInfV-1) in spremljal njihovo izvajanje.
Med zaupanjem in strahom
ZInfV-1 je stroga zakonodaja z visokimi globami, a način izvajanja bo odločil, ali bodo zavezanci v inšpekciji videli partnerja ali zgolj organ za nadzor in sankcije. Iz Mravljakovih poudarkov je razvidno, da se inšpekcija zaveda tankega ravnovesja. Istočasno se želijo izogniti prikrivanju incidentov in spodbujajo proaktivno poročanje, bodo pa ob večjih incidentih in ugotovljenih hudih neskladjih primorani uporabili tudi najstrožja orodja, ki jim jih daje zakon.
Želijo se izogniti prikrivanju incidentov in spodbujajo proaktivno poročanje.
»Pri nas je kultura prikrivanja incidentov razširjena in uveljavljena. Spodbujamo zavezance, da prijavljajo incidente. To še ne pomeni, da bo prišlo do inšpekcijskega nadzora, ampak bo to prej signal, da sistem zaznave pri njih deluje. Temu se seveda ne bodo izognili, če bo informacija o incidentu prišla v javnost in bo incident imel občuten negativni vpliv v družbi,« je zaključil Mravljak.
Zavezanci so tako pred prednostno nalogo, saj morajo čimprej izvesti potrebne korake na poti do skladnosti z ZInfV-1, v okviru katerih bodo razumeli svoje obveznosti, realno ocenili svoja tveganja, razvili in dokumentirali ukrepe, zagotavljali neprekinjeno poslovanje ter prenehali s skrivanjem incidentov. V kibernetski varnosti bosta namreč odslej neukrepanje in molk najdražja možna izbira.
