Odgovori na pogosta vprašanja o novem Zakonu o informacijski varnosti (ZInfV-1)

27. 5. 2025

Urad Vlade Republike Slovenije za informacijsko varnost

S sprejetjem novega Zakona o informacijski varnosti (ZInfV-1) je Slovenija dobila posodobljen zakonodajni okvir za zagotavljanje informacijske in kibernetske varnosti. Za lažjo orientacijo pri novostih zakona smo pripravili odgovore na pogosta vprašanja, ki naslavljajo ključne dileme zavezancev in strokovne javnosti.

Zakon prinaša pomembne spremembe za javni in zasebni sektor ter določa širok nabor obveznosti za subjekte, ki delujejo na kritičnih in pomembnih področjih. V podporo razumevanju teh sprememb smo pripravili dokument, ki vsebuje odgovore na več kot 20 aktualnih vprašanj. Ta pokrivajo ključna področja, kot so npr.:

Kako ugotoviti, ali je organizacija zavezanec po ZInfV-1,
Postopke samoregistracije in roke za prijavo,
Vloge in odgovornosti pristojnega nacionalnega organa (PNO) ter skupin za odzivanje na incidente na področju računalniške varnosti (CSIRT),
Komunikacijske kanale in infrastrukturo za izmenjavo informacij,
Obveznosti glede poročanja o incidentih in sodelovanja z organi kazenskega pregona,
Ukrepe za obvladovanje tveganj in varnost dobavne verige,
Certifikacijske sheme za IKT produkte in dostop do relevantnih baz podatkov,
Samooceno skladnosti, nadzori in pristojnosti inšpekcij,
Vlogo URSIV pri izvajanju zakona in podpori zavezancem.

Dokument bomo sproti dopolnjevali in posodabljali glede na spremembe v praksi, nove interpretacije in dodatne informacije. Za dodatna vprašanja smo na voljo na gp.uiv@gov.si.

ZInfV-1: odgovori na vprašanja

Pomembna pojasnila glede razlage zakonodaje EU

Za odločanje o razlagi in uporabi Direktive (EU) 2022/2555 (NIS 2) ni pristojen Urad Vlade Republike Slovenije za informacijsko varnost (URSIV), ampak na podlagi Pogodbe o delovanju Evropske unije (PDEU) Sodišče EU opravlja nadzor nad zakonitostjo aktov EU ter odloča o veljavnosti in razlagi aktov EU. Posredovana pojasnila tudi nimajo vpliva na morebitne upravne, sodne in druge postopke, sprožene na podlagi ZInfV-1 ali Direktive NIS 2, ker lahko posamezni pristojni organi pri odločanju zavzamejo drugačno stališče. Prav tako s podanimi pojasnili ne nastane svetovalno oziroma pooblastilno razmerje v smislu stranka: pooblaščenec.

Pojasnjujemo še, da vsebina ZInfV-1 v pretežni meri izhaja iz Direktive NIS 2, med tem ko so nekatere njegove določbe povsem nacionalnega izvora in se ne prevzemajo iz omenjene direktive. Kot izhaja iz člena 5 Direktive NIS 2 gre za direktivo minimalne harmonizacije, kar pomeni, da lahko države članice pri prenosu te direktive sprejmejo ali ohranijo določbe, ki zagotavljajo višjo raven kibernetske varnosti pod pogojem, da so take določbe v skladu z obveznostmi držav članic, določenimi v pravu EU.