Ko je junija letos stopil v veljavo novi Zakon o informacijski varnosti (ZInfV-1), je prinesel precej več kot le posodobljena pravila kibernetske zaščite. Za številne organizacije – od podjetij do javnih institucij – pomeni tudi novo obveznost: pravočasno in pravilno samoregistracijo. Gre za mehanizem, ki ga država uvaja zato, da bi pridobila jasen pregled nad subjekti, ki spadajo med bistvene ali pomembne na področju informacijske varnosti.
Čeprav se zdi samoregistracija le formalni postopek, prinaša pomembne posledice. Zavezanci morajo namreč sami spremljati, kdaj prvič izpolnijo pogoje za uvrstitev med bistvene ali pomembne subjekte in to ni nujno enkraten dogodek. Poslovanje se ves čas spreminja, prav tako tehnološke rešitve, organizacijska struktura in vpliv na kontinuiteto delovanja. Zato je spremljanje lastnega statusa postalo del rednih obveznosti.
Kdo so sploh zavezanci?
ZInfV-1 v 6. in 7. členu določa merila, na podlagi katerih podjetje ali institucija postane zavezanec. To vključuje subjekte, ki so ključni za delovanje družbe ali gospodarstva: npr. kritične infrastrukturne storitve, določene digitalne storitve, pomembni sistemi javnega sektorja in številni subjekti iz zasebnega sektorja, ki lahko z motnjami neposredno vplivajo na varnost ali stabilnost.
Vsi, ki so 19. junija 2025 — na dan uveljavitve zakona — že izpolnjevali ta merila, morajo prvo samoregistracijo opraviti najpozneje do 19. decembra 2025. Gre za šestmesečni rok, ki ga je zakon izrecno določil zaradi lažjega prehoda na novi režim.
Za nove zavezance pa velja strogo pravilo. Ko izpolnijo pogoje, imajo 30 dni, da se registrirajo preko mehanizma samoregistracije. To pomeni, da morajo podjetja sama spremljati, ali z rastjo, novimi storitvami ali spremembami poslovanja padejo v kategorijo zavezancev.
Prav tako 30-dnevni rok začne teči od vročitve odločbe, če je organizacija za „bistveni“ ali „pomembni“ subjekt določena s formalno odločbo pristojnega organa.
Obstajajo pa tudi izjeme. Zavezanci iz četrtega odstavka 6. člena, ki se nanašajo na izvajanje certificiranja po 27. členu ZInfV-1, te obveznosti nimajo. Prav tako se samoregistracija ne nanaša na bistvene in pomembne subjekte v bančnem sektorju in infrastrukturi finančnih trgov, kar določa 3. člen zakona.
Postopek samoregistracije
Za podjetja, ki želijo preveriti svoj status ali se registrirati, je Urad Vlade RS za informacijsko varnost pripravil spletni obrazec. Ta omogoča tri ključne funkcije:
- preverjanje, ali organizacija spada med zavezance,
- določitev, ali spada med bistvene ali pomembne subjekte,
- izvedbo samoregistracije.
V trenutni fazi je postopek dvodelen: spletni obrazec podjetju po izpolnitvi generira CSV datoteko in elektronsko podpisan PDF, ki ga je treba poslati na uradni naslov gp.uiv@gov.si. Po vzpostavitvi popolnoma avtomatiziranega sistema bo prenos potekal izključno preko obrazca, brez dodatnega pošiljanja po e-pošti.
Pomembna informacija za podjetja: zavezancem, ki bodo samoregistracijo opravili že zdaj, pozneje ne bo treba ponovno registrirati podatkov. Sistem bo sam posodabljal status, ko bo polno operativen.
Zakaj je samoregistracija pomembna za varnost poslovanja?
Informacijska varnost ni več tehnična alineja v podjetju. Danes je neposredno povezana s poslovnim tveganjem. Po zadnjih podatkih evropske nadzorne agencije ENISA se je število kibernetskih incidentov v EU v zadnjih treh letih povečalo za več kot 30 %, pri čemer so napadi na dobavne verige in kritično infrastrukturo v porastu.
Slovenija pri tem ni izjema. Podatki državnega statističnega urada kažejo, da podjetja v informacijskih storitvah zadnja leta občutno povečujejo izdatke za informacijsko varnost. Leta 2024 je sektor za informacijske storitve ustvaril več kot 2 milijardi evrov prihodkov, kar je bilo med najhitreje rastočimi dejavnostmi v državi. Rast digitalizacije pomeni tudi rast ranljivosti, zato uvajanje bolj sistematičnih postopkov nadzora, med katere spada tudi samoregistracija. ni presenetljivo.
Če podjetje kot zavezanec ne izpolni svojih obveznosti, zakon predvideva nadzorne ukrepe in globe. A še bolj pomembno je, da neurejena varnostna dokumentacija poveča tveganje motenj, ki lahko podjetje stanejo več kot katerakoli kazen. Po globalnih podatkih IBM-ovega poročila o stroških vdorov iz leta 2024 znaša povprečen strošek kibernetskega napada več kot 4,8 milijona evrov.
Kaj morajo podjetja storiti zdaj?
- Preveriti, ali spadajo med zavezance.
- Ugotoviti, ali so bistveni ali pomembni subjekti.
- V 30 dneh izvesti samoregistracijo, če pogoje izpolnjujejo.
- Spremljati poslovne spremembe, saj se status lahko sčasoma spremeni.
- Preveriti omejitve dostopa — stran deluje samo z IP-ji slovenskih operaterjev, zato mora organizacija po potrebi sporočiti naslovni prostor, iz katerega želi dostopati.
Preberite več:
Samoregistracija ni birokratski dodatek, ampak del širšega evropskega trenda. Tudi nova direktiva NIS2, ki je podlaga za slovenski zakon, uvaja strožji nadzor, večjo odgovornost vodstev in obvezno poročanje incidentov. V tem kontekstu je samoregistracija prvi korak, ki organizaciji omogoča, da sploh postane del sistema kibernetske zaščite, ki ga država razvija.
