NIS2 v Sloveniji: Ali zakon ZInfV-1 velja tudi za vaše malo podjetje?

Direktor malega podjetja preverja, ali je zavezanec po direktivi NIS2 in zakonu ZInfV-1

Deli:

V nabiralnik prileti mail največjega kupca: „Prosimo, do konca meseca izpolnite priloženi vprašalnik o kibernetski varnosti. Brez tega ne moremo podaljšati pogodbe.“ Petnajst strani vprašanj o varnostnih kopijah, dostopih, odzivu na incidente. Direktor proizvodnega podjetja s tridesetimi zaposlenimi ga prebere dvakrat in pokliče računovodkinjo: „Ali se ta NIS2 sploh tiče nas?“ Vprašanje, ki si ga od lanskega junija zastavlja na tisoče slovenskih podjetij — in odgovor je redko preprost da ali ne.

Kaj je ZInfV-1 in zakaj se NIS2 tiče tudi Slovenije?

Zakon o informacijski varnosti (ZInfV-1) je bil objavljen 4. junija 2025 v Uradnem listu RS št. 40/25, veljati pa je začel 19. junija 2025. Z njim je Slovenija v svoj pravni red prenesla evropsko direktivo NIS2, ki od držav članic zahteva višjo raven kibernetske varnosti v sektorjih, od katerih je odvisno delovanje družbe — od energetike in zdravstva do proizvodnje in digitalnih storitev.

Za občutek o razsežnosti: prejšnji zakon je zajemal približno 100 organizacij, ZInfV-1 pa jih po ocenah zajema okoli 1.000. Krog zavezancev se je torej razširil z upravljavcev kritične infrastrukture na običajna srednja in večja podjetja iz mnogih dejavnosti. Nadzor izvaja URSIV — Urad Vlade RS za informacijsko varnost, pri odzivanju na incidente pa sodeluje nacionalni SI-CERT.

Uradno besedilo zakona je objavljeno na PISRS, URSIV pa na gov.si objavlja tudi sproti posodobljena pojasnila z odgovori na pogosta vprašanja.

Zavezanci se delijo na bistvene in pomembne subjekte. O uvrstitvi odločata dve stvari hkrati: dejavnost (sektorji iz prilog 1 in 2 zakona) in velikost podjetja.

Kategorija

Tipična merila

Primeri sektorjev

Bistveni subjekti

Vsaj 250 zaposlenih ali 50 mio EUR letnega prometa oz. 43 mio EUR bilančne vsote (sektorji iz Priloge 1); nekateri ne glede na velikost (npr. DNS, registri domen, storitve zaupanja)

Energetika, promet, zdravstvo, bančništvo, digitalna infrastruktura, javna uprava

Pomembni subjekti

Srednja podjetja: vsaj 50 zaposlenih ali 10 mio EUR letnega prometa oz. bilančne vsote v zajetih sektorjih

Proizvodnja določenih izdelkov, živila, kemikalije, poštne in kurirske storitve, ravnanje z odpadki, digitalne storitve

Za bralca s petimi do petdesetimi zaposlenimi to v praksi pomeni: če imate manj kot 50 zaposlenih in manj kot 10 milijonov evrov prometa, najverjetneje niste neposredni zavezanec — razen v posebnih primerih, ko zakon zajame subjekt ne glede na velikost (npr. ponudniki storitev DNS) ali ko subjekt z odločbo določi vlada, ker je edini ponudnik določene storitve v državi.

Ker so merila odvisna od sektorja in podrobnosti, preverite svoj status na portalu URSIV, kjer je na voljo pripomoček za preverjanje zavezancev — ugibanje pri zakonu s takimi globami ni pametna strategija.

    Kateri roki veljajo in kateri so že mimo?

    Datum

    Kaj se zgodi

    19. junij 2025

    ZInfV-1 začne veljati; zakonski roki začnejo teči

    19. december 2025

    Rok za prvo samoregistracijo subjektov, ki so merila izpolnjevali že ob uveljavitvi — ta rok je že potekel

    Sproti (30 dni)

    Subjekt, ki merila izpolni pozneje (rast, prevzem, nova dejavnost), se mora samoregistrirati v 30 dneh

    19. december 2026

    Rok za vzpostavitev predpisanih varnostnih ukrepov (18 mesecev od uveljavitve po pojasnilih URSIV)

    Po letu 2026

    Stalna skladnost: redni pregledi, posodabljanje ukrepov, nadzor dobavne verige

    Dve stvari izstopata. Prvič: samoregistracija ni enkratno opravilo, ampak obveznost spremljanja. Podjetje, ki bo letos preseglo 50 zaposlenih ali 10 milijonov evrov prometa v zajetem sektorju, ima od takrat 30 dni časa za registracijo — ne glede na to, da je december 2025 mimo. Drugič: do roka za vzpostavljene ukrepe je še okoli pet mesecev. Kdor je zavezanec in še ni začel, nima več časovne rezerve, ima pa še dovolj časa za urejen pristop.

      Kaj morate kot zavezanec dejansko narediti?

      Zakon ne zahteva nakupa določene tehnologije, zahteva pa dokazljivo obvladovanje tveganj. V praksi to pomeni:

      • Ocena tveganj in varnostna politika: popis ključnih sistemov in podatkov, ocenjena tveganja ter sprejeti ukrepi — zapisano in sprejeto na ravni vodstva.
      • Tehnični in organizacijski ukrepi: upravljanje dostopov, varnostne kopije, posodabljanje sistemov, šifriranje, načrt neprekinjenega poslovanja.
      • Priglasitev incidentov: pomembne incidente je treba v predpisanih rokih priglasiti prek nacionalnega sistema; interno mora biti jasno, kdo, kdaj in kako to izvede.
      • Odgovornost in usposabljanje vodstva: informacijska varnost po ZInfV-1 ni naloga „računalničarja“, ampak odgovornost uprave; za odgovorne osebe je predpisano tudi usposabljanje.
      • Nadzor dobavne verige: zavezanec mora obvladovati tudi tveganja, ki jih v njegov sistem prinašajo dobavitelji in zunanji izvajalci.

      Nisem zavezanec — me NIS2 vseeno doseže?

      Zelo verjetno da, samo po drugi poti. Zadnja alineja prejšnjega poglavja je razlog za vprašalnik iz uvoda: ker morajo zavezanci nadzorovati svojo dobavno verigo, te zahteve prelivajo na svoje dobavitelje — tudi na podjetja z desetimi zaposlenimi. Če prodajate večjemu kupcu iz energetike, logistike, živilske industrije ali javnemu sektorju, boste varnostna vprašanja prej ali slej dobili v pogodbo, ne v zakon.

      Za malo podjetje je to lahko celo prednost. Konkurent, ki na vprašalnik odgovori z „bomo preverili“, izgubi posel; podjetje, ki ima urejene varnostne kopije, dostope in osnovno dokumentacijo, pa mimogrede pridobi točke pri kupcih, ki jih zakonodaja priganja. Urejena digitalizacija poslovanja se torej obrestuje dvakrat — podobno kot pri prehodu na obvezne e-račune, kjer prav tako zmagujejo tisti, ki se pripravijo pred rokom. [TOMAŽ: interna povezava na članek /obvezni-e-racuni-2028]

      Kakšne so globe in kdo osebno odgovarja?

      Kdo

      Najvišja globa

      Bistveni subjekti

      Do 10 milijonov EUR ali 2 % letnega prometa (uporabi se višji znesek)

      Pomembni subjekti

      Do 7 milijonov EUR ali 1,4 % letnega prometa

      Vodstvo (odgovorne osebe)

      Upravne globe do 10.000 EUR; možna tudi odškodninska in v skrajnih primerih kazenska odgovornost

      Poleg glob lahko nadzorni organ odredi popravljalne ukrepe, revizije skladnosti in zavezujoče odredbe, v skrajnem primeru tudi prepoved opravljanja dejavnosti ali zamenjavo vodilnih. Sporočilo zakonodajalca je nedvoumno: kibernetska varnost je poslovna, ne tehnična tema — in odgovornost zanjo nosi vodstvo, ne strežniška omara.

      Kje začeti, če je do decembra 2026 še pet mesecev?

      1. Preverite status na portalu URSIV: ali ste zavezanec, in če ste, ali je bila samoregistracija opravljena. Če ste merila izpolnili po 19. 6. 2025, teče 30-dnevni rok.
      2. Naredite popis: kateri sistemi in podatki so za vaše poslovanje nepogrešljivi (računi, plače, naročila, proizvodnja) in kje se nahajajo.
      3. Zaprite osnovne luknje: varnostne kopije z rednim testom obnovitve, dvostopenjska prijava, odvzem dostopov nekdanjim sodelavcem, posodobljeni sistemi.
      4. Uredite dokumentacijo in odgovornosti: kratka varnostna politika, določena odgovorna oseba, postopek ob incidentu z internim „koga pokličem“ seznamom.
      5. Preglejte dobavitelje in orodja: kje so vaši podatki, kdo ima dostop in ali ponudniki vaših poslovnih programov skladnost jemljejo resno. Če razmišljate o prenovi poslovne programske opreme, je smiselno izbrati sistem, ki ima zahteve glede varnosti in skladnosti (NIS2, GDPR) vgrajene — v Entexii so evidence dostopov, revizijske sledi in podpora skladnosti del sistema, ne dodaten projekt.
      6. Usposobite ljudi: večina incidentov se začne s klikom na napačno priponko; kratka delavnica za zaposlene je najcenejši varnostni ukrep.


      Podjetja, ki bodo te korake izvedla do jeseni, bodo december 2026 dočakala z urejeno dokumentacijo — in z odgovori, ki jih veliki kupci že danes zahtevajo v vprašalnikih.

      Pogosta vprašanja

      Imam 20 zaposlenih in 2 milijona evrov prometa. Sem zavezanec po ZInfV-1?

      Najverjetneje ne, razen če opravljate dejavnost, ki jo zakon zajema ne glede na velikost (npr. storitve DNS, registri domen, storitve zaupanja), ali če vas z odločbo določi vlada. Status preverite s pripomočkom na portalu URSIV.

      Rok za samoregistracijo je bil 19. decembra 2025. Kaj, če sem ga zamudil?

      Registrirajte se čim prej — obveznost z zamudo roka ne preneha, tveganje sankcij pa raste. Subjekti, ki merila izpolnijo po uveljavitvi zakona, imajo 30-dnevni rok od nastopa okoliščin.

      Ali moram kot zavezanec kupiti certifikat, npr. ISO 27001?

      Zakon certifikata ne predpisuje kot pogoj. Zahteva dokazljive ukrepe za obvladovanje tveganj; uveljavljeni standardi so lahko koristna pot do tega, niso pa edina.

      Moj kupec zahteva izpolnjen varnostni vprašalnik, čeprav nisem zavezanec. Ali ga smem ignorirati?

      Pravno vas ZInfV-1 ne zavezuje, poslovno pa vas zavezuje pogodba s kupcem — zavezanci morajo nadzorovati dobavno verigo, zato tovrstne zahteve prehajajo v pogodbe. Neizpolnjen vprašalnik pogosto pomeni izgubljen posel.