Od zakonske obveznosti do strateške prednosti

Zakon o informacijski varnosti (ZInfV-1) za številne organizacije pomeni temeljno spremembo razumevanja vloge informacijske varnosti: ta ne more biti omejena zgolj na tehnično delovanje informacijsko-tehnoloških služb, temveč bolj kot doslej postaja primarna odgovornost poslovodstva in vodstvenih struktur. S tem se cilji informacijske varnosti v sodobni organizaciji še bolj povezujejo in dopolnjujejo s strateškimi poslovnimi cilji, informacijska tveganja pa postajajo neločljiv del kritičnih tveganj, s katerimi se ukvarja poslovodstvo. 

 

“Izkušnje iz prakse jasno kažejo, da ugotavljanje potreb in odprava največjih pomanjkljivosti običajno zahteva od šest do dvanajst mesecev.”

Kot svetovalec in presojevalec na področju informacijske in kibernetske varnosti v praksi pogosto opažam, da organizacije ZInfV-1 dojemajo predvsem kot tehnično oziroma administrativno obveznost. V resnici zakon nalaga zelo jasne odgovornosti poslovodstvu in od njega zahteva dejaven, sistematičen in odgovoren pristop k upravljanju vseh tveganj, kjer pa se še posebej izpostavlja vpliv informacijskih in kibernetskih groženj. Za številne člane poslovodstev to prinaša potrebo po pridobivanju novih znanj, tudi takšnih, ki jim tako strokovno kot osebnostno doslej niso bila blizu. 

 

Če pa želijo zares razumeti svoje obveznosti in sprejemati pravilne odločitve, od katerih je v veliki meri odvisna stabilnost nadaljnjega poslovanja, morajo informacijsko in kibernetsko varnost obravnavati kot sestavni del veščin, potrebnih za uspešno vodenje organizacij. To zahteva razumevanje tveganj, jasne razmejitve odgovornosti ter vzpostavitev ustreznih notranjih pravil in nadzornih mehanizmov, ki presegajo zgolj tehnične rešitve in posegajo v organizacijsko kulturo ter način odločanja. Prav v tem premiku se skriva največ izzivov – pa tudi priložnosti. 

 

ZInfV-1 v 2026

Leto 2026 bo prelomno na področju informacijske in kibernetske varnosti. ZInfV-1 namreč ne dopušča več odlašanja – zakon dosedanja priporočila in dobre prakse spreminja v konkretne obveznosti z jasnimi roki in uvaja nove mehanizme preverjanja skladnosti. Iz lastnih izkušenj lahko povem, da bo uspešna zagotovitev skladnosti organizacij v veliki meri odvisna od tega, ali bodo pravočasno in sistematično uredile področje informacijske in kibernetske varnosti. Pri tem pa nikakor ne gre spregledati, da osnovni namen prilagoditve ni formalna skladnost z zakonodajo, pač pa povečanje odpornosti organizacije na dejanske grožnje, ki predstavljajo bistveno višje tveganje od zagroženih kazni, ki jih uvaja novi zakon. 

 

Ključna zakonska roka, ki ju v letu 2026 ni več mogoče prezreti:

  • 19. junij 2026 – obvezna vzpostavitev ukrepov za obstoječe zavezance 
  • 19. december 2026 – obvezna vzpostavitev ukrepov za nove zavezance 

 

Informacijska varnost kot temelj zaupanja in odpornega poslovanja 

ZInfV-1 informacijsko in kibernetsko varnost umešča med ključne pogoje stabilnega in zaupanja vrednega poslovanja, zakonske zahteve pa segajo precej dlje od same uvedbe tehničnih varnostnih ukrepov. 

 

Organizacije morajo v prvi vrsti zagotoviti: 

  • celovito varnostno dokumentacijo, 
  • obvladovanje informacijskih in drugih sredstev ter podatkov, 
  • sistematično obvladovanje tveganj, 
  • skrb za varnost dobavne verige, 
  • skrb za primerno organizacijsko kulturo in ukrepe za dvig kibernetske higiene 
  • učinkovito upravljanje varnostnih incidentov z obvezno priglasitvijo, 
  • načrte za neprekinjeno poslovanje in okrevanje po morebitni prekinitvi, 
  • ustrezno samoregistracijo in poročanje, 
  • pripravljenost na nadzore, revizije in sodelovanje s pristojnimi institucijami, 
  • splošni dvig kibernetske odpornosti. 

Vse našteto pomeni, da zakon zahteva strukturiran, dokumentiran in ponovljiv pristop k informacijski in kibernetski varnosti – ne gre za enkraten projekt, temveč trajen proces. 

 

Poslovodstvo v središču odgovornosti

Ena najpomembnejših novosti ZInfV1 je poudarjena odgovornost poslovodstev. Zakon jim nalaga, da: 

  • vzpostavijo in vzdržujejo dokumentiran sistem vodenja informacijske varnosti in sistem vodenja neprekinjenega poslovanja, 
  • odobrijo ukrepe za obvladovanje tveganj, 
  • zagotovijo izvedbo ukrepov za obvladovanje tveganj in nadzirajo njihovo izvajanje, 
  • poskrbijo za obvezno strokovno usposabljanje poslovodstva, skrbnikov informacijsko-komunikacijskih sistemov in redno usposabljanje vseh zaposlenih na področju obvladovanja tveganj za informacijsko in kibernetsko varnost ter njihovega vpliva na poslovanje organizacije. 

 

Čeprav je določene naloge, ki jih zakon nalaga poslovodstvu, mogoče operativno prenesti, zakon jasno poudarja, da prenos nalog še ne pomeni tudi prenosa zakonite odgovornosti. Za dejanski prenos morajo biti izpolnjeni trije pogoji: 

  • jasna pooblastila in zagotovljeni viri,  
  • ustrezna kompetentnost imenovane osebe ter 
  • izvajanje dolžnega nadzora.  

V praksi razumevanje odgovornosti lahko botruje neustreznim odločitvam in s tem odpira dodatna tveganja za ustrezno prilagoditev organizacije na nove zahteve. 

 

Kaj se zgodi, če ZInfV-1 ostane le “na papirju” 

Neupoštevanje ali zgolj formalno izpolnjevanje zahtev ima lahko obsežne negativne učinke: 

  • denarne in druge kazni (tudi v milijonih evrov), 
  • osebno odgovornost poslovodstva, 
  • inšpekcijski nadzor in ukrepe, vključno z začasno omejitvijo ali prepovedjo dejavnosti, 
  • odškodninske zahtevke prizadetih strank ali partnerjev, 
  • izpad poslovanja in neposredno poslovno škodo, 
  • resno škodo ugledu in izgubo zaupanja, 
  • zmanjšano konkurenčnost ter težave pri sodelovanju v dobavnih verigah, 
  • in – kar je pogosto spregledano – povečano izpostavljenost kibernetskim napadom. 

ZInfV-1 zato ne pomeni dodatnih administrativnih zahtev, temveč konkretno zaščito pred tveganji, ki lahko ogrozijo obstoj organizacije. 

 

Strokovno priporočilo: skladnost vključite med ključne strateške odločitve 

Organizacijam vedno svetujem, naj se ZInfV-1 lotijo postopno in premišljeno po sledečem naboru korakov: 

  1. preverite, ali je bila samoregistracija opravljena pravočasno in pravilno (rok za prvo registracijo je potekel 19. decembra 2025), 
  2. pregled varnostne pripravljenosti, ugotavljanje dejanskih potreb in načrtovanje ukrepov za dvig varnostne zrelosti vključno s prilagoditvijo na zakonske zahteve, 
  3. pregled varnostne in druge povezane dokumentacije, prilagoditev, zagotovitev notranje skladnosti in po potrebi izdelava manjkajočih dokumentov, 
  4. načrtovanje in pomoč pri izvedbi organizacijskih, procesnih in tehnoloških sprememb, 
  5. uvedba in dokumentiranje varnostnih ukrepov, 
  6. redno preverjanje, izboljševanje in poročanje, 
  7. uvedba stalnega  izobraževanja zaposlenih in vodstva. 

Izkušnje iz prakse jasno kažejo, da ugotavljanje potreb in odprava največjih pomanjkljivosti običajno zahteva od šest do dvanajst mesecev. Skladnost z zahtevami pa ni cilj, ki bi ga dosegli enkrat in za vselej, temveč pot nenehnega izboljševanja, na kateri se tehnologija, notranji postopki in organizacijska kultura razvijajo skupaj. 

 

Brezplačna podpora v obliki uporabnih virov 

Pri doseganju skladnosti organizacijam ni treba začeti iz nič. Urad vlade za informacijsko varnost (URSIV) redno objavlja kakovostne, brezplačne in praktično uporabne vsebine: 

  • Druga, dopolnjena izdaja Priročnika kibernetske varnosti – celovit in praktičen vodnik, ki povezuje zakonodajne zahteve z dejanskimi varnostnimi praksami. 
  • Vzročna varnostna dokumentacija – izjemno koristen pripomoček za organizacije, ki vzpostavljajo ali nadgrajujejo ISMS in želijo dokumentacijo uskladiti z zakonom. 
  • Spletne delavnice o izpolnjevanju zakonskih obveznosti – namenjene vodstvu in odgovornim osebam, ki želijo razumeti, kaj ZInfV-1 v praksi pomeni za njihovo organizacijo. 
  • Usposabljanja odgovornih oseb za obvladovanje tveganj informacijske in kibernetske varnosti – ključna podpora pri vzpostavitvi kompetentnih notranjih vlog. 

S tem boste bistveno skrajšali čas uvajanja in možnosti napačne interpretacije zakona. 

 

Strokovna delavnica: Korak za korakom do skladnosti z zahtevami ZInfV-1

 

Ključen nasvet za leto 2026 

Sporočilo ZInfv-1 je jasno – informacijska varnost je temelj sodobnega poslovanja. Organizacije, ki zakon razumejo zgolj kot obveznost, bodo vedno korak zadaj. Tiste pa, ki ga vzamejo kot priložnost za boljše upravljanje, večjo odpornost in zaupanje partnerjev, bodo dolgoročno konkurenčnejše in stabilnejše. 

 

Če k temu dodamo še znanje, izkušnje in podporo preverjenih zunanjih strokovnjakov za informacijsko varnost, postane pot do skladnosti bistveno bolj obvladljiva – in predvsem smiselna. Zato ne čakajte na zakonske roke, ampak začnite že danes. Če ocenjujete, da vam lahko pri tem pomagamo, nam pišite.