Subjekti, ki so na dan uveljavitve Zakona o informacijski varnosti (ZinfV-1) izpolnjevali merila za zavezance, bodo morali do 19. decembra 2025 izvesti samoregistracijo. Vendar na Uradu Republike Slovenije za informacijsko varnost beležijo zelo majhno število samoregistracij. Med zavezanci v javnem sektorju se je namreč do konca novembra samoregistriralo okoli 30 odstotkov, v zasebnem sektorju pa je samoregistriranih okoli 16 odstotkov zavezancev. Kot so izpostavili v URSIV-u je bilo največ samoregistracij je bilo izvedenih s strani subjektov, ki so bili zavezanci že po starem Zakonu o informacijski varnosti, pri čemer glede samoregistracije ni prevladoval noben sektor.
Enostavno odkrivanje ali je podjetje zavezano samoregistraciji
Na URSIV-u sicer zaznavajo veliko vprašanj podjetij glede identificiranja storitev na podlagi katerih bi se uvrstili med zavezance po ZInfV-1, kaj je lahko posledica neusklajenosti storitve iz Prilog 1 in Priloge 2 ZinfV-1 s Standardno klasifikacijo dejavnosti (SKD). Veliko vprašanj se nanaša tudi na morebitno preverjanje pravilnosti samoregistracije ali izdajanja potrdil o tem, ali je subjekt zavezanec ali ne.
Za čim bolj jasen postopek ter identifikacijo, ali je subjekt zavezanec ali ne, so v Uradu pripravili spletni obrazec, ki omogoča, da subjekt najprej preveri, če izpolnjuje merila v skladu z ZInfV-1.
V primeru, da se izkaže, da je subjekt zavezanec, lahko prek omenjenega spletnega obrazca tudi odda določene podatke v skladu z 8. členom ZInfV-1. V primeru, da subjekt ni zavezanec, o tem ne prejme posebnega potrdila, niti mu ga URSIV ne bo izdal, saj ZInfV-1 tega ne predvideva. Slednje namreč ni bilo potrebno niti z vidika prenosa Direktive NIS 2 v pravni red RS z ZInfV-1 niti z vidika izvajanja ZInfV-1.
Načeloma velja, da se morajo zavezanci iz 6. člena ZInfV-1 samoregistrirati preko mehanizma za samoregistracijo najkasneje v 30 dneh od dneva, ko izpolnijo kriterije iz 6. in 7. člena ZInfV-1. To pomeni, da gre hkrati tudi za obvezo spremljanja okoliščin lastnega izpolnjevanja ali neizpolnjevanja zadevnih pogojev, kar se tekom časa lahko spreminja. Tako lahko podjetja korektno izpolnjujejo obveznost samoregistracije oziroma sporočajo morebitne spremembe v zahtevanih rokih. Ti so sicer podrobneje obravnavani v 8. členu ZInfV-1.
Kakšen je časovni okvir za samoprijavo?
Zavezanci imajo glede zahtev iz ZInfV-1 različne roke za doseganje skladnosti, v 6 mesecih za določene subjekte in za vse ostale 30 dni od ugotovitve, da izpolnjujejo merila za zavezance. Rok za izvedbo ukrepov za obvladovanje tveganj za informacijsko in kibernetsko varnost, kamor spada priprava varnostne dokumentacije in izvedba ukrepov za obvladovanje tveganj, je bil osemnajst mesecev od uveljavitve ZInfV-1, torej do 19. decembra 2025.
Preverite ukrepe za obvladovanje kibernetske varnosti in odpornosti po ZinfV-1
Kot pravijo v URSIV-u so morali subjekti, ki so bili določeni kot izvajalci bistvenih storitev na podlagi 6. člena starega zakona o informacijski varnosti (ZInfV) in organi državne uprave, ki so bili določeni na podlagi 9. člena ZInfV, sprejeti ukrepe za obvladovanje tveganj za informacijsko in kibernetsko varnost iz 21. in 22. člena ZinfV-1 v enem letu od njegove uveljavitve. Vse ostale zahteve iz ZInfV-1 kot so priglasitev incidentov, ocena in samoocena skladnosti, usposabljanja in izobraževanja pa veljajo že od uveljavitve ZInfV-1, torej od 19. junija 2025.
Kako se bo URSIV odzval na nizko število samoregistracij še ni znano. V njegovi sestavi deluje samostojna notranja organizacijska enota Inšpekcija za informacijsko varnost. Slednja je pristojna za izvajanje inšpekcijskega nadzora nad zavezanci Zakona o informacijski varnosti, pri čemer so sami prekrški za neskladnost z zakonom in predvidene globe zanje opredeljeni v kazenskih določbah ZInfV-1.
