ZInfV-1: kaj prinaša novi Zakon o informacijski varnosti in kaj morajo podjetja ukreniti?
Kibernetska varnost ni več samo tehnično vprašanje, temveč postaja ena ključnih odgovornosti poslovodstva, javnih ustanov in organizacij, ki opravljajo pomembne družbene ali gospodarske dejavnosti. Novi Zakon o informacijski varnosti – ZInfV-1 ureja področje informacijske in kibernetske varnosti v Republiki Sloveniji ter določa nacionalni sistem informacijske varnosti. Njegov namen je zagotoviti višjo raven kibernetske odpornosti organizacij, ki so pomembne za nemoteno delovanje države, gospodarstva in družbe.
ZInfV-1 v slovenski pravni red prenaša evropsko Direktivo NIS 2, torej Evropsko direktivo 2022/2555, ki na ravni Evropske unije določa ukrepe za visoko skupno raven kibernetske varnosti. Poleg tega zakon ureja tudi izvajanje nekaterih evropskih uredb s področja kibernetske varnosti, certificiranja IKT ter evropskih mehanizmov za odzivanje na kibernetske grožnje in incidente.
Zakaj je ZInfV-1 pomemben?
ZInfV-1 pomeni pomemben premik od splošnega priporočanja dobrih varnostnih praks k bolj formaliziranim, dokazljivim in nadzorovanim obveznostim. Organizacije, ki spadajo med zavezance, morajo dokazljivo obvladovati kibernetska tveganja, imeti urejeno varnostno dokumentacijo, izvajati tehnične in organizacijske ukrepe ter poročati o pomembnih incidentih. Zakon med drugim uvaja razširjen krog zavezancev, obveznost samoregistracije, dodatne ukrepe za obvladovanje tveganj, oceno oziroma samooceno skladnosti, redno usposabljanje odgovornih oseb ter mehanizme usklajenega razkrivanja ranljivosti.
Za podjetja to pomeni, da informacijska varnost ni več le naloga IT-oddelka. V praksi se dotika poslovodstva, pravne službe, kadrovske službe, nabave, dobaviteljev, zunanjih izvajalcev in vseh zaposlenih, ki uporabljajo informacijske sisteme organizacije.
Kaj vse zajema ZInfV-1?
ZInfV-1 ureja široko področje informacijske in kibernetske varnosti. Zakon določa pristojnosti, naloge, organizacijo in delovanje pristojnega nacionalnega organa za informacijsko varnost, organa za obvladovanje incidentov velikih razsežnosti in kriz, enotne kontaktne točke za kibernetsko varnost ter skupin CSIRT.
Poleg institucionalne ureditve zakon določa tudi ukrepe za obvladovanje tveganj za informacijsko in kibernetsko varnost, obveznosti poročanja zavezancev, prostovoljno priglasitev incidentov, pravila za izmenjavo informacij o kibernetski varnosti, nadzor ter področje certificiranja za kibernetsko varnost.
Zakon torej ne obravnava zgolj odzivanja na incidente, temveč zahteva celovit pristop: od popisa informacijskih sredstev, ocene tveganj, varnostnih politik in neprekinjenega poslovanja do tehničnih kontrol, upravljanja dobaviteljev, usposabljanja zaposlenih in poročanja pristojnim organom.
Na koga se zakon nanaša?
Ena najpomembnejših nalog vsake organizacije je ugotoviti, ali spada med zavezance po ZInfV-1. Uradna pojasnila navajajo, da mora subjekt najprej samostojno identificirati, katere dejavnosti ima registrirane in katere dejavnosti dejansko izvaja. Nato mora preveriti, ali te dejavnosti spadajo v sektorje, podsektorje oziroma vrste subjektov iz Priloge 1 ali Priloge 2 tega zakona. Pri tem je pomembno, da vrste dejavnosti iz prilog niso nujno enake dejavnostim po Standardni klasifikaciji dejavnosti, zato ni dovolj preveriti samo registrirane glavne dejavnosti podjetja.
Po uradnih pojasnilih subjekt praviloma spada med zavezance, če hkrati izpolnjuje tri pogoje: izvaja dejavnost iz Priloge 1 ali Priloge 2, ima vsaj 50 zaposlenih ter dosega letni promet ali letno bilančno vsoto vsaj 10 milijonov evrov.
Zavezanci se delijo na bistvene in pomembne subjekte. Med bistvene subjekte spadajo določeni subjekti iz visoko kritičnih sektorjev, kot so energija, promet, bančništvo in zdravje, če izpolnjujejo ustrezne kriterije, ter nekateri drugi posebej določeni subjekti. Pomembni subjekti pa so tisti, ki sicer spadajo v področje uporabe zakona, vendar niso opredeljeni kot bistveni subjekti.
Kateri sektorji so zajeti?
ZInfV-1 zajema številna področja, ki so pomembna za delovanje družbe in gospodarstva. Med sektorji, ki se pojavljajo v okviru visoko kritičnih oziroma drugih kritičnih področij, so med drugim energija, promet, bančništvo, infrastruktura finančnega trga, zdravje, pitna voda, odpadna voda, digitalna infrastruktura, upravljanje storitev IKT, javna uprava, vesolje, poštne in kurirske storitve, ravnanje z odpadki, kemikalije, živilska industrija, določena proizvodnja, digitalni ponudniki in raziskave.
To pomeni, da zakon ne zadeva samo klasičnih državnih institucij ali velikih infrastrukturnih podjetij. V določenih primerih lahko zajame tudi proizvodna podjetja, logistične organizacije, ponudnike digitalnih storitev, organizacije s področja zdravstva, raziskovalne ustanove ali podjetja, ki zagotavljajo pomembne IKT oziroma upravljane storitve.
Posebni primeri zavezancev
Uradna pojasnila izrecno navajajo, da je zavezanec lahko tudi subjekt, ki po dejavnosti ni nujno zajet v Prilogi 1 ali 2, vendar spada v posebne kategorije. Sem sodijo na primer subjekti, določeni kot kritični na podlagi zakona, ki ureja kritično infrastrukturo, subjekti, ki opravljajo storitve registracije domenskih imen, ter subjekti, ki so v državnih načrtih zaščite in reševanja opredeljeni kot službe državnega pomena, če bi nedelovanje njihovih omrežnih in informacijskih sistemov ogrozilo izvajanje nalog zaščite in reševanja.
Prav zato je začetna presoja zavezanca pomembna. Organizacija ne sme sklepati zgolj na podlagi svoje glavne dejavnosti ali velikosti, temveč mora preveriti dejansko opravljanje dejavnosti, posebne statuse in morebitne povezave s kritičnimi storitvami.
Kaj mora organizacija storiti, če je zavezanec?
Prvi korak je samoregistracija. Novi zakon navaja, da se morajo subjekti, ki izpolnijo zakonske kriterije, samoregistrirati kot zavezanci najkasneje v 30 dneh od dneva, ko pogoje izpolnijo. Za ta namen je pripravljen spletni obrazec, prek katerega lahko organizacija opravi samoregistracijo, preveri, ali spada med zavezance, in ugotovi, v katero kategorijo sodi.
Naslednji korak je vzpostavitev ustreznega sistema upravljanja informacijske varnosti. V praksi to pomeni, da mora organizacija pripraviti in vzdrževati dokumentirane politike, postopke, načrte in evidence, ki dokazujejo, da varnostnih tveganj ne obravnava naključno, temveč sistematično in nadzorovano.
Ključna dokumentacija, ki jo mora imeti organizacija
Organizacija, ki želi biti pripravljena na zahteve ZInfV-1, mora imeti urejeno osnovno varnostno dokumentacijo. Ta običajno vključuje politiko informacijske varnosti, popis informacijskih sredstev, analizo tveganj, načrt obvladovanja tveganj, politiko upravljanja dostopov, politiko uporabe gesel in večfaktorske avtentikacije, politiko varnostnega kopiranja, načrt neprekinjenega poslovanja, načrt obnovitve po nesreči, načrt odzivanja na incidente in postopek obveščanja pristojne skupine CSIRT.
Uradna zloženka o ZInfV-1 navaja, da lahko inšpekcija pri zavezancu preverja varnostno dokumentacijo, kot so politike, postopki, načrti in ocene tveganj, ter preverja, ali se varnostni ukrepi dejansko izvajajo.
Zato ni dovolj, da ima organizacija dokumente pripravljene samo formalno. Pomembno je, da se zapisani ukrepi izvajajo v praksi, da obstajajo dokazila o izvajanju in da so odgovornosti jasno določene.
Tehnični ukrepi: kaj mora biti urejeno v praksi?
ZInfV-1 poudarja obvladovanje tveganj, zato morajo organizacije poskrbeti tudi za ustrezne tehnične varnostne ukrepe. Med najpomembnejše ukrepe v praksi sodijo urejeno upravljanje uporabniških računov, večfaktorska avtentikacija, ločeni administratorski računi, redno nameščanje varnostnih posodobitev, nadzor nad privilegiranimi dostopi, urejeno varnostno kopiranje, testiranje obnovitve podatkov, centralizirano beleženje dnevniških zapisov, zaščita končnih naprav, segmentacija omrežja in nadzor nad oddaljenimi dostopi.
Poleg notranjih ukrepov je pomembno tudi upravljanje dobavne verige. Med področji, ki jih naslavljajo pojasnila in odgovori na pogosta vprašanja, so navedeni tudi ukrepi za obvladovanje tveganj in varnost dobavne verige.
To pomeni, da mora organizacija vedeti, kateri zunanji izvajalci dostopajo do njenih sistemov, katere storitve zagotavljajo, kakšni so pogodbeni dogovori, kako se obravnavajo incidenti pri dobaviteljih in kakšni varnostni standardi veljajo za zunanje partnerje.
Poročanje o incidentih
ZInfV-1 določa tudi obveznosti glede priglasitve pomembnih incidentov. Uradna zloženka navaja več faz poročanja: zgodnje sporočilo z začetno oceno incidenta, priglasitev incidenta z oceno njegove resnosti in vpliva, vmesno poročilo na zahtevo CSIRT ter končno poročilo. Če incident po enem mesecu še vedno traja, je predvideno poročilo o napredku, končno poročilo pa se poda po rešitvi incidenta.
Pomemben kibernetski incident je v zakonu opredeljen kot incident, ki je povzročil ali bi lahko povzročil resne operativne motnje pri opravljanju storitev ali finančne izgube, ali pa je vplival oziroma bi lahko vplival na druge fizične ali pravne osebe s povzročitvijo precejšnje premoženjske ali nepremoženjske škode.
Organizacije morajo zato vnaprej določiti, kdo interno presoja incident, kdo obvešča vodstvo, kdo vodi komunikacijo s pristojnimi organi in kdo pripravi poročila. Brez vnaprej pripravljenega postopka lahko organizacija v primeru resnega incidenta izgublja dragocen čas.
Prostovoljna priglasitev incidentov
Zakonodajni okvir omogoča tudi prostovoljno priglasitev incidentov. Uradna zloženka navaja, da je prostovoljna priglasitev namenjena subjektom, ki niso zavezanci po zakonu, ter zavezancem v primerih, ko incident ni razvrščen kot pomemben, vendar bi kljub temu lahko vplival na varnost, stabilnost ali zanesljivost informacijskih sistemov. Prostovoljna priglasitev ni kaznovana in se ne šteje kot priznanje neskladnosti, temveč kot dobra praksa odgovornega ravnanja.
To je pomembno predvsem pri novih ali širših grožnjah, ranljivostih, incidentih z možnim vplivom na več organizacij ali primerih, ko želi subjekt prispevati k skupni kibernetski odpornosti.
Nadzor in inšpekcijski pregledi
ZInfV-1 predvideva tudi nadzor nad izvajanjem obveznosti. Uradna zloženka navaja, da lahko inšpekcija preverja varnostno dokumentacijo, izvajanje varnostnih ukrepov, opravi tehnični pregled omrežja ter preveri fizično-tehnično varovanje lokacij, kjer se nahajajo ključni informacijski sistemi, na primer strežniške sobe.
Organizacija mora biti zato pripravljena pokazati ne samo pravilnike, ampak tudi dokazila. To so lahko evidence posodobitev, izpisi nastavitev varnostnih kontrol, rezultati testov obnovitve podatkov, evidence usposabljanj, zapisniki varnostnih pregledov, pogodbe z dobavitelji in dokumentirani postopki za obravnavo incidentov.
Kaj naj podjetje naredi najprej?
Priporočljivo je, da podjetje najprej izvede začetno presojo, ali spada med zavezance po ZInfV-1. Ta presoja mora zajeti dejansko opravljanje dejavnosti, primerjavo s Prilogo 1 in Prilogo 2, preverjanje števila zaposlenih, letnega prometa in bilančne vsote ter preverjanje morebitnih posebnih statusov, kot so kritična infrastruktura, storitve registracije domenskih imen ali naloge, povezane z zaščito in reševanjem. Uradna pojasnila poudarjajo, da za presojo ni dovolj upoštevati samo glavne registrirane dejavnosti, temveč tudi dejansko izvajane dejavnosti.
Če podjetje ugotovi, da je zavezanec, mora urediti samoregistracijo, določiti odgovorne osebe, pripraviti ali posodobiti varnostno dokumentacijo, izvesti analizo tveganj, pregledati tehnične varnostne ukrepe in vzpostaviti postopek za poročanje incidentov.
Če podjetje ni zavezanec, to še ne pomeni, da so ukrepi nepomembni. ZInfV-1 in NIS 2 postavljata standarde, ki bodo postopoma postali pričakovana raven kibernetske higiene tudi za manjša podjetja, dobavitelje, zunanje izvajalce in poslovne partnerje večjih organizacij.
Praktična kontrolna lista za podjetja
Za začetni pregled priporočamo naslednja vprašanja:
- Ali podjetje izvaja dejavnost, ki spada med sektorje iz Priloge 1 ali Priloge 2 ZInfV-1?
- Ali ima podjetje vsaj 50 zaposlenih?
- Ali letni promet ali bilančna vsota dosega vsaj 10 milijonov evrov?
- Ali je podjetje del kritične infrastrukture?
- Ali podjetje opravlja domenske, DNS, IKT, upravljane ali varnostne storitve?
- Ali ima podjetje določeno odgovorno osebo za informacijsko varnost?
- Ali obstaja posodobljen popis informacijskih sredstev?
- Ali je bila izvedena analiza tveganj?
- Ali obstaja načrt odzivanja na incidente?
- Ali so varnostne kopije redno testirane?
- Ali je uvedena večfaktorska avtentikacija?
- Ali so administratorski dostopi ločeni in nadzorovani?
- Ali so zunanji dobavitelji varnostno preverjeni?
- Ali obstajajo evidence varnostnih ukrepov, usposabljanj in pregledov?
Takšna kontrolna lista ni nadomestilo za pravno presojo, je pa zelo koristno izhodišče za pogovor med vodstvom, IT-oddelkom, pravno službo in zunanjimi svetovalci.
ZInfV-1 prinaša pomembne spremembe za organizacije, ki opravljajo ključne ali pomembne dejavnosti.
Njegov cilj ni zgolj administrativna obremenitev podjetij, temveč dvig ravni kibernetske odpornosti, boljše obvladovanje tveganj in hitrejše odzivanje na incidente.
Za podjetja to pomeni, da morajo informacijsko varnost obravnavati sistematično. Potrebni so jasna odgovornost, urejena dokumentacija, tehnično izvedeni varnostni ukrepi, redno preverjanje, usposabljanje zaposlenih in pripravljenost na poročanje incidentov.
Najboljši pristop je, da organizacija začne s presojo, ali spada med zavezance, nato pa pripravi načrt ukrepov. Tudi če podjetje formalno ni zavezanec, so številni ukrepi, ki jih predvideva ZInfV-1, smiselni kot dobra praksa informacijske varnosti in zaščite poslovanja.
