Predlog Zakona o informacijski varnosti (ZInfV-1), ki naj bi bil sprejet maja 2025, prinaša nove obveznosti za podjetja in nalaga večjo odgovornost poslovodstvu. Zakon določa širši krog zavezancev ter zahteva načrtovanje varnostnih ukrepov glede na kontekst organizacije, stopnjo tveganja in vpliva na poslovanje.
1. Ali vaše podjetje sodi med zavezance?
Predlog ZInfV-1 razširja krog organizacij, ki morajo zagotavljati skladnost z zakonom. Če ste bistven ali pomemben subjekt, zakon od vas zahteva izvajanje določenih varnostnih ukrepov in upoštevanje novih obveznosti.
Zakon jasno določa, da je poslovodstvo odgovorno za izvajanje ukrepov za obvladovanje tveganj za kibernetsko varnost, skladno z določbami zakona.
3. Je vaša varnostna dokumentacija ustrezna?
Subjekti so zavezani k vzpostavitvi in vzdrževanju dokumentiranega sistema upravljanja varovanja informacij ter sistema upravljanja neprekinjenega poslovanja. Sistem zajema popis informacijskih in drugih sredstev ter podatkov, analizo obvladovanja tveganj in vplivov na poslovanje ter strategijo upravljanja varnostnih incidentov. Varnostna dokumentacija mora vključevati tudi načrt neprekinjenega poslovanja in obnovitve sistemov ter načrt varnostnih ukrepov in politiko s postopki za oceno učinkovitosti varnostnih ukrepov.
4. Imate v svojem podjetju vzpostavljen načrt varnostnih ukrepov?
Zavezujoči subjekti morajo sprejeti sorazmerne tehnične, operativne in organizacijske ukrepe za zagotavljanje kibernetske varnosti. Med ključne ukrepe sodijo: ✔ Upravljanje in preprečevanje izrab tehničnih ranljivosti ✔ Napredna zaščita pred zlonamerno programsko kodo in zaznavanje vdorov (SOC/MDR) ✔ Zagotavljanje in ohranjanje dnevniških zapisov ✔ Izvajanje in upravljanje varnostnih kopij podatkov ✔ Upravljanje identitete in dostopa (IAM, PAM, MFA)
