Slovenska zakonodajna različica (ZInfV-1) evropske direktive NIS2 je v zadnjem letu spremenila pogled številnih podjetij na informacijsko varnost. Tudi tistih, ki se prej z njo niso sistematično ukvarjala.
Do 19. decembra 2025 morajo slovenska podjetja, ki sodijo med zavezance, opraviti samoregistracijo Slovenskem uradu za informacijsko varnost (URSIV), kar je prvi obvezni korak do skladnosti in varnejšega poslovanja.
V nadaljevanju pojasnjujemo, koga zakonodaja zajema in kako se proizvodna podjetja tega koraka lahko lotijo v praksi.
NIS2 (ZInfV-1): zakaj se industrija ne more več izogniti kibernetski varnosti
Slovenska zakonodajna različica (ZInfV-1) evropske direktive NIS2 prinaša eno največjih zaostritev na področju informacijske varnosti v zadnjih letih.
Veliko podjetij danes ugotavlja, da so zavezanci, čeprav se ne vidijo kot “kritična infrastruktura”.
Dodatna pojasnila Urada RS za informacijsko varnost (URSIV) so razširila krog zavezancev, zato se v praksi pogosto pojavlja vprašanje:
Ali moramo tudi mi opraviti samoregistracijo?
Ker se rok 19. december 2025 hitro približuje, je za vsako podjetje ključno dvoje:
- ali spada med zavezance in
- kaj mora storiti za skladnost z novo direktivo.
Kako prepoznati, ali ste zavezanec
Zavezanec po ZInfV-1 je vsako podjetje, ki opravlja eno izmed dejavnosti, ki sodijo v področje uporabe zakona, tudi če ta dejavnost ni primarna. Pri tem je pomembno, da:
- je dejavnost pravilno registrirana (SKD/NACE) in jo podjetje dejansko izvaja,
- podjetje presega 50 zaposlenih in dosega več kot 10 mio EUR letnih prihodkov ali bilančne vsote,
- podjetje sicer samo po sebi ne dosega pragov, a je del skupine, ki te kriterije presega,
- med zavezance sodijo lahko tudi podjetja, ki opravljajo kritično dejavnost v manjšem obsegu.
Primer:
Podjetje ima na svojih objektih nameščene sončne panele, proizvedeno električno energijo (SKD 35.120) delno porabi za lastne potrebe, dejavnost pa ima registrirano. Če izpolnjuje tudi velikostne kriterije ali je del večje skupine, se lahko šteje med zavezance, čeprav se primarno ukvarja z drugo dejavnostjo (npr. proizvodnjo izdelkov).
Kaj je treba storiti do 19. decembra 2025
1. Sistematično preveriti, ali ste zavezanec. Prvi korak je analiza, ki naj vključuje:
- pregled vseh registriranih dejavnosti (SKD/NACE),
- preverjanje velikostnih pragov (zaposleni, prihodki, bilančna vsota),
- pregled podatkov tudi na ravni skupine, če je podjetje del širše korporacije.
Šele ko imate jasno sliko, ali po ZInfV-1 sodite med zavezance, lahko začrtate realen načrt za naprej.
2. Če ste zavezanec: izvedite samoregistracijo pri URSIV
Samoregistracija je obveznost, a hkrati tudi priložnost. Ne gre zgolj za administrativno oddajo podatkov, temveč za:
- uradno potrditev statusa zavezanca,
- prvi korak k strukturirani krepitvi informacijske varnosti,
- izhodišče za načrtovanje potrebnih organizacijskih in tehničnih ukrepov.
Za proizvodna podjetja, kjer so poslovni procesi tesno vezani na informacijske sisteme, stroje in dobavne verige, samoregistracija pomeni začetek resnejšega upravljanja s tveganji, ki lahko ustavijo proizvodnjo – od izpada informacijskih sistemov do napadov na OT in IoT infrastrukturo.
3. Nadaljujte z uvajanjem ukrepov po NIS2
Ko je status zavezanca razjasnjen in je samoregistracija zaključena, sledi vzpostavitev ali nadgradnja ukrepov, ki jih predvideva NIS2. Ti ukrepi združujejo tehnične, organizacijske in procesne zahteve, ki:
- zmanjšujejo izpostavljenost informacijskim grožnjam,
- omogočajo hitrejše odkrivanje incidentov,
- skrbijo za kontinuiteto in stabilnost poslovanja.
Med ključne obveznosti sodijo:
Tehnični ukrepi in nadzor informacijskih sistemov
Postavitev ali nadgradnja rešitev za nadzor, zaznavanje in zaščito informacijskih in produkcijskih sistemov (IT in OT okolje).
Varnostne politike, postopki in odzivanje na incidente
Jasno definirane varnostne politike, procesi in načini ukrepanja ob incidentih: od zaznave, notranjega obveščanja, do poročanja pristojnim organom.
Upravljanje tveganj v dobavni verigi
Sistematično preverjanje varnostne zrelosti ključnih dobaviteljev in partnerjev, še posebej tistih, ki dostopajo do vaših informacijskih sistemov ali kakor koli vplivajo na proizvodne procese.
Ozaveščanje in usposabljanje zaposlenih
Človeški faktor ostaja ena najpogostejših točk ranljivosti. Redna izobraževanja (lažne predstavitve, ravnanje z gesli, uporaba naprav, ravnanje v primeru suma incidenta) so obvezni del celotne zgodbe.
Podjetja potrebujejo partnerja, ki obvlada tako pravila igre kot delo v proizvodnji
Za številna podjetja je največji izziv prevedba zakonodajnih zahtev v izvedljive korake:
Kaj konkretno pomeni NIS2 za našo proizvodnjo, ERP, MES, oddaljeni dostop do strojev, dobavitelje in zunanje izvajalce?
Strokovnjaki za digitalizacijo in kibernetsko varnost v podjetju Seyfor dobro poznajo lokalno zakonodajo ter usmeritve URSIV. Hkrati pa razumejo realne izzive slovenskih proizvodnih podjetij in njihovih procesov.
Pri pripravi rešitev se naslanjajo na preizkušene mednarodne standarde in metodologije ter podjetjem pomagajo na celotni poti: od začetne ocene stanja do uvajanja konkretnih tehničnih in organizacijskih ukrepov v praksi.
Za proizvodno podjetje to pomeni, da se lahko osredotoči na svoj ključni posel, hkrati pa sistematično gradi informacijsko odpornost in izpolnjuje zakonske obveznosti.
Za konec: najprej preverite, potem ukrepajte
19. december 2025 je pred vrati. Praktično gledano so naslednji koraki jasni:
- Preverite, ali vaše podjetje spada med zavezance po ZInfV-1.
- Če spadate med zavezance, pravočasno izvedite samoregistracijo pri URSIV.
- Načrtno začnite uvajati ukrepe po NIS2 – tako tehnične kot organizacijske in procesne.
Storitve izvaja Seyfor, a.s., Češka republika. Več informacij.
