01 515 56 88 | info@iepri.si |

slovenščina sl

Od 19.6.2025 velja novi Zakon o informacijski varnosti ZInfV-1

  • Domov
  • Novice
  • Od 19.6.2025 velja novi Zakon o informacijski varnosti ZInfV-1

23.5.2025 je bil sprejet Zakon o informacijski varnosti ZInfV-1 ki nadomešča ZInfV iz leta 2018. Zakon začne veljati 19.6.2025 ter bistveno širi krog zavezancev oz. izvajalcev kritičnih (bistvenih in pomembnih) storitev.

 

Zavezanci po zakonu so izvajalci kritičnih storitev  z vsaj 50 zaposlenimi in letnim prometom ali letno bilančno vsoto vsaj 10 milijonov eurov z naslednjih področij:

1. Energija 2. Promet 3. Bančništvo 4. Infrastruktura finančnega trga 5. Zdravje 6. Pitna voda 7. Odpadna voda 8. Digitalna infrastruktura 9. Upravljanje storitev IKT (med podjetji) 10. Javna uprava 11. Vesolje 12. Poštne in kurirske storitve 13. Ravnanje z odpadki 14. Izdelava, proizvodnja in distribucija kemikalij 15. Pridelava, predelava in distribucija živil 16. Proizvodnja medicinskih pripomočkov, računalnikov, elektronskih in optičnih izdelkov, električnih naprav, drugih strojev in naprav, motornih vozil, prikolic in polprikolic, drugih vozil in plovil 17. Digitalni ponudniki 18. Raziskave 19. Javna uprava (javne agencije, javni skladi, javni zavodi, druge osebe javnega prava oziroma neodvisni državni organ)

 

Zavezanci so, ne glede na število zaposlenih ali bilančno vsoto tudi:

 

  1. ponudniki javnih elektronskih komunikacijskih omrežij ali javno dostopnih elektronskih komunikacijskih storitev,
  2. ponudniki storitev zaupanja,
  3. registri TLD imen in ponudniki storitev DNS
  4. subjekti, ki so določeni kot kritični na podlagi zakona, ki ureja kritično infrastrukturo,
  5. subjekti, ki opravljajo storitve registracije domenskih imen, ne glede na njihovo velikost,
  6. mestne občine kot subjekti javne uprave na lokalni ravni.

 

Zavezanci se morajo preko mehanizma za samoregistracijo registrirati v šestih mesecih od uveljavitve zakona, to je do 20.12.2025

 

Zavezanci vzpostavijo in vzdržujejo dokumentirani sistem upravljanja varovanja informacij in sistem upravljanja neprekinjenega poslovanja (21. člen zakona), ki morata obsegati najmanj:

 

  1. politiko ali področne politike o varnosti omrežnih in informacijskih sistemov,
  2. natančen in posodobljen popis informacijskih in drugih sredstev in podatkov, potrebnih za nemoteno delovanje omrežnih in informacijskih sistemov,
  3. analizo obvladovanja tveganj,
  4. politiko in načrt neprekinjenega poslovanja,
  5. načrt obnovitve in ponovne vzpostavitve delovanja omrežnih in informacijskih sistemov ,
  6. načrt odzivanja na incidente s protokolom obveščanja pristojne skupine CSIRT,
  7. načrt varnostnih ukrepov za zagotavljanje celovitosti, avtentičnosti, zaupnosti in razpoložljivosti omrežnih in informacijskih sistemov,
  8. politiko s postopki za presojo učinkovitosti varnostnih ukrepov za obvladovanje tveganj za informacijsko in kibernetsko varnost.

 

Zavezanci morajo prav tako sprejeti tehnične, operativne in organizacijske ukrepe za zagotavljanje celovitosti, avtentičnosti, zaupnosti in razpoložljivosti omrežnih in informacijskih sistemov oziroma za obvladovanje tveganj za varnost omrežnih in informacijskih sistemov, ki jih uporabljajo za svoje delovanje (22.člen zakona). Varnostni ukrepi za zagotavljanje informacijske in kibernetske varnosti morajo obsegati vsaj:

 

  1. podporo vodstva subjekta ter vključitev področja v letni načrt poslovanja,
  2. zagotavljanje integritete kadrov pred zaposlitvijo, med zaposlitvijo in ob prenehanju ali spremembi zaposlitve,
  3. osnovne prakse kibernetske higiene in usposabljanje na področju informacijske in kibernetske varnosti,
  4. varnost človeških virov, preverjanje identitete uporabnikov, zagotavljanje ravni dostopnosti informacij in upravljanje pooblastil za dostop,
  5. izvajanje in upravljanje varnostnih kopij podatkov,
  6. zagotavljanje in ohranjanje dnevniških zapisov o delovanju omrežnih in informacijskih sistemov,
  7. upravljanje omrežnih in informacijskih sistemov z določitvijo ustrezne odgovornosti za njihovo zaščito,
  8. politike in postopke v zvezi z uporabo kriptografije in po potrebi s šifriranjem,
  9. upravljanje prometa in komunikacij,
  10. varnost dobavne verige z določitvijo ustreznih minimalnih zahtev za ključne dobavitelje ali ponudnike storitev
  11. fizično in tehnično varovanje prostorov ter dostopov do prostorov,
  12. varnostne mehanizme v posamezni aplikativni programski opremi,
  13. upravljanje in preprečevanje izrab tehničnih ranljivosti,
  14. zaščito pred zlonamerno programsko kodo ter način zaznavanja poskusov vdorov in preprečevanja incidentov,
  15. uporabo večfaktorske avtentikacije ali rešitev neprekinjene avtentikacije, kadar je to potrebno zaradi obvladovanja tveganj,
  16. uporabo varovanih glasovnih, video in besedilnih komunikacij in varnih sistemov za komunikacije v sili in
  17. politike in postopke v zvezi z uporabo oblačnih storitev, ki jih uporabljajo za svoje delovanje ali opravljanje storitev

 

Zavezanci pri tem obvezne ukrepe za obvladovanje tveganj za informacijsko in kibernetsko varnost iz 21. (varnostna dokumentacija)  in 22. člena (ukrepi za obvladovanje tveganj)  zakona sprejmejo v osemnajstih mesecih od uveljavitve zakona, to je do 20.12.2026.

 

Zavezanci ki so bili določeni kot izvajalci bistvenih storitev na podlagi 6. člena ZInfV in organi državne uprave, ki so bili določeni na podlagi 9. člena ZInfV, sprejmejo ukrepe za obvladovanje tveganj za informacijsko in kibernetsko varnost iz 21. (varnostna dokumentacija) in 22. člena (ukrepi za obvladovanje tveganj) zakona v enem letu od uveljavitve zakona, to je do 20.6.2025.

 

Bistveni in pomembni subjekti, ki so operaterji po Zakonu o elektronskih komunikacijah (Uradni list RS, št. 130/22 in 18/23 – ZDU-1O), sprejmejo ukrepe za obvladovanje tveganj za informacijsko in kibernetsko varnost iz 21. in 22. člena v enem letu od uveljavitve zakona, to je do 20.6.2025.