Urad Vlade RS za informacijsko varnost (URSIV) je ob dnevu državnosti opozoril, da je kibernetska varnost danes eden ključnih elementov nacionalne odpornosti. V. d. direktorja URSIV-a Niko Gamulin je ob tej priložnosti poudaril: “Čeprav je bil URSIV ustanovljen bistveno pozneje kot samostojna država, je danes pomemben del institucionalnega sistema, ki prispeva k varnemu in zaupanja vrednemu delovanju Republike Slovenije v digitalnem okolju.” Medtem ko urad poziva k večji ozaveščenosti, pa za podjetja vprašanje kibernetske varnosti ni več le stvar odgovornega državljanstva, temveč konkretno finančno tveganje, ki ga določa zakon.
Slovenska podjetja so v zadnjem letu zaradi spletnih goljufij prijavila 40,4 milijona evrov škode, hkrati pa jim zakon ZInfV-1 zdaj nalaga, da kibernetsko varnost vzamejo resno, sicer jim grozijo milijonske kazni. Zakon o informacijski varnosti (ZInfV-1) velja od 19. junija 2025 in v slovenski pravni red prenaša evropsko direktivo NIS2. Med zavezance po novem spadajo tudi srednje velika podjetja z več kot 50 zaposlenimi ali letnim prometom nad 10 milijonov evrov, ne glede na panogo, če njihovo delovanje vpliva na kritične storitve ali nemoteno delovanje družbe.
Zavezanci se delijo na bistvene in pomembne subjekte. Bistveni subjekti so večje organizacije iz ključnih sektorjev z najmanj 250 zaposlenimi, letnim prometom nad 50 milijonov evrov ali bilančno vsoto nad 43 milijoni evrov.
Posledice neskladnosti so velike. Za bistvene subjekte znaša globa najmanj 10 milijonov evrov ali 2 odstotka celotnega letnega svetovnega prometa, pri čemer se upošteva višji znesek. Za pomembne subjekte je prag najmanj 7 milijonov evrov ali 1,4 odstotka letnega svetovnega prometa.
Poleg tega ZInfV-1 predvideva upravne globe za vodstvo do 10.000 evrov, možnost odškodninskih tožb, v skrajnem primeru pa tudi kazensko odgovornost. Pristojni organi lahko odredijo tudi prepoved opravljanja dejavnosti ali zamenjavo vodilnih.
Ena od ključnih novosti zakona je, da informacijska varnost ni več zgolj tehnično vprašanje. Člani poslovodstva morajo dokazljivo zagotavljati izvajanje varnostnih politik in nadzirati njihovo uresničevanje, nevednost pa po novem ni opravičilo. To pomeni, da lastniki in direktorji podjetij kibernetske varnosti ne morejo več prepustiti zgolj informatikom, temveč jo morajo vključiti med redne poslovne odločitve.
Medtem ko se podjetja še privajajo na nove obveznosti, številke kažejo, da odlašanje ni poceni niti brez kazni. Nacionalni odzivni center za kibernetsko varnost SI-CERT je lani obravnaval 6.196 kibernetskih incidentov, kar je 35 odstotkov več kot leto prej, od tega je bilo 778 zahtevnejših. Skupna prijavljena škoda zaradi spletnih goljufij je v istem obdobju znašala 40,4 milijona evrov, kar je 33 odstotkov več kot leto prej, povprečna škoda pri posameznem primeru phishinga pa je dosegla 46.000 evrov.
Vlaganje v osnovne ukrepe, kot so redno usposabljanje zaposlenih, nadzor dostopov in pravočasno poročanje o incidentih, je tako v primerjavi z morebitno globo ali škodo po napadu razmeroma majhen strošek.
Zakon hkrati razbremenjuje najmanjše. Podjetja z manj kot 50 zaposlenimi in letnim prometom pod 10 milijonov evrov niso zavezaanci, razen če vlada presodi, da so kljub majhnosti ključnega pomena za delovanje družbe. Za vse druge pa velja, da morajo zavezanci po zakonu izvesti samoregistracijo najpozneje v 30 dneh od dneva, ko izpolnijo zakonske pogoje.
