Po napovedi Sekcije za kibernetsko varnost (SeKV) pri Združenju za informatiko in telekomunikacije GZS bo zaradi prilagajanja ukrepom Zakona o informacijski varnosti (ZinfV-1) leto 2026 zaznamovano z večjim povpraševanjem po stalnih varnostnih storitvah, avtomatiziranem preizkušanju odpornosti, sistematičnem spremljanju dobavne verige ter kriptografski zaščiti.
Konec lanske pomladi, točneje 19. junija 2025, je Zakon o informacijski varnosti (ZinfV-1) v slovenski pravni red prenesel EU-direktivo o omrežni in informacijski varnosti NIS 2. Na časovnici, ki jo je podal zakon, se bistveni in pomembni subjekti nahajajo v prehodnem obdobju, v katerem morajo izvesti pričakovane ukrepe – prvi do 19. junija in drugi do 19. decembra 2026. Nova zakonodaja je precej razširila krog zavezancev, s čimer je k vlaganjem in razvoju kibernetske varnosti spodbudila tako rekoč celotno slovensko gospodarstvo.
To neposredno spodbuja profesionalizacijo trga ter povečuje povpraševanje po kakovostnih rešitvah in storitvah.
V osrednji slovenski cehovski povezavi, ki spaja ponudnike in uporabnike rešitev in storitev za kibernetsko varnost obravnavajo ZInfV-1 kot prelomni mejnik za trg kibernetske varnosti. “Prvič imamo celovit in operativno usmerjen zakonodajni okvir, ki jasno postavlja odgovornosti, zahteve po dokazljivosti in trajnem upravljanju varnosti. To neposredno spodbuja profesionalizacijo trga ter povečuje povpraševanje po kakovostnih rešitvah in storitvah,” je dejal Mihael Nagelj, predsednik SeKV.
Da ima ZInfV-1 izrazit in dolgoročno pozitiven vpliv na trg informacijskih varnostnih rešitev in storitev v Sloveniji se strinja tudi Mitja Trampuž, direktor podjetja CREAPLUS in podpredsednik SeKV. Zakon jasno zahteva sistemsko, dokazljivo in neprekinjeno obvladovanje informacijskih varnostnih tveganj, kar presega zgolj uvedbo posameznih tehničnih ukrepov.
V pripravljenosti na zakonodajo med zavezanci precejšnje razlike
»Organizacije, ki imajo že vzpostavljena standarda ISO/IEC 27001 in ISO 22301, so v bistveno boljšem izhodišču, saj ZInfV-1 temelji na enakih osnovnih načelih, kot so upravljanje s tveganji, jasne odgovornosti, dokumentirani postopki in stalno izboljševanje,« pravi Trampuž.
Po Nagljevih besedah v SeKV opažajo, da njihovi člani že aktivno pomagajo zavezancem pri implementaciji zahtev. “To ustvarja zdrav ekosistem, kjer se regulatorni okvir ne razume kot administrativna obremenitev, temveč kot priložnost za dvig splošne odpornosti slovenskega gospodarstva in javnega sektorja.” Pri tem ima pomembno vlogo tudi URSIV (Urad Republike Slovenije za informacijsko varnost), saj s smernicami in nadzornimi aktivnostmi vpliva na enotno razumevanje zahtev.
Mihael Nagelj, predsednik SeKV
Trampuž na drugi strani ugotavlja, da je pripravljenost zavezancev zelo neenakomerna. Organizacije, ki so se že prej sistematično ukvarjale z upravljanjem tveganj in so varnost obravnavale kot del poslovnega upravljanja, danes lažje naslavljajo zahteve ZInfV-1.
»Pri številnih drugih pa opažamo, da varnost še vedno ni celostno upravljana. Pogosto so uvedene posamezne tehnične rešitve, manjkajo pa formalne ocene tveganj, redno preizkušanje postopkov ter jasna odgovornost vodstva,« je izpostavil Trampuž.
Pri tem je navedel konkreten primer, ki se v praksi pogosto pojavi. Gre za to, da organizacija ima uvedene napredne varnostne rešitve, nima pa dokumentirane analize tveganj ali dokazov o rednem preizkušanju učinkovitosti ukrepov, niti sistematičnega pregleda tveganj, ki jih v okolje prinašajo zunanji dobavitelji.
Od osnov do preventivnega preprečevanja groženj
V zadnjem letu so podjetja največ vlagala v osnovne tehnične varnostne ukrepe, kot so zaščita končnih točk, identitet, elektronske pošte ter izboljšanje odzivanja na incidente.
Pogosto so uvedene posamezne tehnične rešitve, manjkajo pa formalne ocene tveganj, redno preizkušanje postopkov ter jasna odgovornost vodstva.
»Seveda, to so razumljivi in nujni koraki. Težava je bolj v tem, da je bilo precej manj pozornosti namenjene ravno področjem, ki jih ZInfV-1 posebej poudarja, in so ključna za dolgoročno odpornost,« je poudaril Trampuž.
Gre za stalno preizkušanje učinkovitosti varnostnih ukrepov ter usmeritev v celostne varnostne rešitve in storitve, ki vključujejo upravljanje tveganj dobavne verige (TPRM – Third Party Risk Management), kriptografsko zaščito (npr. šifriranje podatkov in hranjenje ključev), uporabo zunanjih obveščevalnih podatkov o grožnjah (CTI – Cyber Threat Intelligence) za razumevanje dejanskih groženj in pravočasno prilagajanje varnostnih ukrepov.
Trampuž ob tem ni spregledal zadnjih trendov pri informacijski varnosti: »V določenih okoljih, kjer se že uporablja umetna inteligenca (UI) za podporo procesom ali odločanju, se postopno odpira tudi vprašanje dodatnega upravljanja tveganj in nadzora, kar bo v prihodnje še pridobivalo na pomenu.«
Mitja Trampuž, podpredsednik SeKV in direktor CREAPLUS
Med rešitvami, ki so bistvene za neprestano izboljševanje kibernetske varnosti in odpornosti je avtomatizirano preizkušanje odpornosti, s katerim se redno in brez tveganj za delovanje sistemov preverja, ali varnostni ukrepi v praksi dejansko delujejo. Gre za simulacijo vdorov in napadov (BAS – Breach and Attack Simulation), ki na delujočih sistemih posnema realne napadalne tehnike ter pokaže, ali jih obstoječe varnostne kontrole zaznajo ali preprečijo. Preverjanje napadalne površine ocenjuje dejansko izpostavljenost organizacije navzven in navznoter, medtem ko preverjanje učinkovitosti varnostnih kontrol ciljno potrjuje delovanje posameznih zaščitnih mehanizmov. Takšen pristop omogoča jasno dokazljivost uspešnosti ukrepov in neposredno podpira zahteve ZInfV-1.
Odgovornost se seli od IT-oddelka na vrhnji menedžment
Nagelj je odprl še drug pomemben izziv. Del organizacij je namreč že pred uvedbo zakona sistematično vlagal v upravljanje tveganj, zato so danes v bistveno boljšem položaju. “Pri drugem delu opažamo, da so varnostni ukrepi pogosto razdrobljeni in premalo povezani v celovit upravljavski sistem,” je Nagelj pokazal na izvršna vodstva.
Naši člani se še prepogosto pogovarjajo le s tehničnimi strokovnjaki, medtem ko strateške odločitve ostajajo na ravni uprav.
Prav zato v SeKV dajejo velik poudarek na ozaveščanju. Njihovi spletni seminarji, dogodki, kot je konferenca Kibernetski cunami ter smernice za vodstva so namenjeni pravilnemu in praktičnemu razumevanju zakonskih zahtev. Pri tem osvetljujejo vodstveno odgovornost, ki jo prav ZinfV-1 posebej izpostavlja. Ta zahteva aktivno vlogo uprav in direktorjev, ne zgolj IT-oddelkov.
“Naš cilj je pomagati podjetjem razumeti, da skladnost ni enkratni projekt, temveč trajen proces, ki dolgoročno krepi odpornost celotnega slovenskega digitalnega prostora,” pravi Nagelj. Člani SeKV tako že aktivno pomagajo zavezancem pri prilagajanju praks in dvigu operativne zrelosti pred prvimi inšpekcijami, pri čemer si sekcija želi lažji dostop do vodstev organizacij. “Naši člani se še prepogosto pogovarjajo le s tehničnimi strokovnjaki, medtem ko strateške odločitve ostajajo na ravni uprav. ZInfV-1 to spreminja, saj informacijsko varnost postavlja kot poslovno tveganje,” je pozval Nagelj.
Zavezancem priporoča, da se povežejo s kompetentnimi člani SeKV, ki lahko pomagajo pri pripravi celostne strategije izpolnjevanja zahtev ZInfV-1 – od začetne ocene stanja, vzpostavitve upravljavskih okvirjev, tehničnih in organizacijskih ukrepov, do priprave dokazljive dokumentacije in operativnih procesov.
Nagelj je tudi povedal, da v SeKV aktivno spodbujajo strukturiran dialog z URSIV (Urad Republike Slovenije za informacijsko varnost), da se pričakovanja nadzornega organa čim bolj jasno prenesejo v prakso, hkrati pa, da se dobre izkušnje iz gospodarstva uporabijo pri nadaljnjem razvoju smernic.
Kako premagati razkorak do skladnosti z zakonodajo
Trampuž zavezancem svetuje pragmatičen pristop, Nagelj pa dodaja, naj izzivov ne rešujejo izolirano, temveč izkoristijo znanje, ki ga ima slovenski kibernetsko-varnostni ekosistem.
ZInfV-1 informacijsko varnost postavlja kot poslovno tveganje.
Zavezanci naj najprej opravijo realno oceno dejanskega stanja, ki vključuje tudi dobavitelje in zunanje ponudnike storitev. Nato naj jasno določijo odgovornosti na ravni vodstva, saj ZInfV-1 odgovornost izrecno prenaša na upravljavski nivo. Če imajo že vzpostavljena standarda ISO/IEC 27001 ali ISO 22301, naj ju uporabijo kot temelj.
Naslednji korak bo usmerjen v dokazljivost in stalnost: redno spremljanje, preizkušanje, poročanje in izboljševanje varnostnih ukrepov, vključno z upravljanjem dobavne verige in uporabo CTI. Kjer organizacije že uporabljajo UI pri pomembnejših procesih, je smiselno pravočasno urediti tudi osnovni popis uporabe, odgovornosti in nadzorne mehanizme, da se bodo prihodnje zahteve lahko naslovile postopno in brez večjih prekinitev poslovanja.
