Kaj storiti, ko na vrata podjetja potrka inšpektor za informacijsko varnost?

V času naraščajočih kibernetskih groženj se je povečal tudi pomen učinkovitega nadzora nad izvajanjem ukrepov informacijske varnosti. Inšpekcija za informacijsko varnost, ki deluje v okviru Urada Vlade RS za informacijsko varnost (URSIV), v svojih pregledih ugotavlja, da številne organizacije še vedno ne izvajajo zakonskih zahtev v praksi, temveč jih ohranjajo zgolj na papirju.

Inšpekcija za informacijsko varnost izvaja redno načrtovane nadzore v skladu s strateškimi usmeritvami in prioritetami inšpekcije ter izredne nadzore, kadar pride do odmevnega incidenta ali suma neskladnosti. Potek nadzora je celovit in vključuje:

- Pregled varnostne dokumentacije zavezanca (politike, postopki, načrti, ocene tveganj).

- Preverjanje izvajanja varnostnih ukrepov – ali so ukrepi le zapisani ali tudi dejansko izvajani in kako.

- Inšpekcijski varnostni pregled omrežja – tehnični pregled za ugotavljanje ustreznosti implementacije predpisanih varnostnih kontrol in učinkovitosti zaščite.

- Ogled prostorov – fizično-logično-tehnično varovanje lokacij, kjer se nahajajo ključni informacijski sistemi (npr. strežniške sobe, zaščita kablov).

- Ocena odzivnosti na incidente vključno s preverjanjem, če je odzivanje ustrezno in so obveščene skupine CSIRT ter ostali deležniki.

Po pregledu inšpektorji pripravijo zapisnik, v primeru nepravilnosti pa izdajo odločbo o odpravi pomanjkljivosti. Pri hujših ali ponavljajočih se kršitvah se uvede prekrškovni postopek, naloži globa ali pa celo odredi revizija skladnosti.

Iz dosedanjih ugotovitev izhaja, da imajo številni zavezanci težave pri izpolnjevanju zahtev Zakona o informacijski varnosti (ZInfV-1). Med najpogostejše pomanjkljivosti sodijo:

- manjkajoča ali nepopolna varnostna dokumentacija,

- neizvedena ali površna analiza tveganj,

- generične varnostne politike, ki niso povezane z realnim stanjem organizacije,

- pomanjkanje rednih usposabljanj zaposlenih in ključnega IT kadra,

- neobstoj načrtov za neprekinjeno poslovanje in obnovo po katastrofi,

- neustrezno urejeni odnosi z dobavitelji, saj varnostne zahteve pogosto niso vključene v pogodbe.

Inšpekcija posebej opozarja, da sam status zavezanca še ne pomeni skladnosti z zakonom – organizacija mora ukrepe dejansko izvajati in jih preverjati.

Da bi se izognili sankcijam in predvsem povečali lastno zaščito pred kibernetskimi grožnjami, inšpekcija priporoča:

1. Poskrbite, da so vsi vaši dokumenti usklajeni z zahtevami ZInfV-1 in da so ukrepi kibernetske varnosti dejansko uvedeni, dokumentirani in preverljivi v praksi.

2. S ključnimi dobavitelji oziroma pogodbenimi partnerji sklenite anekse k veljavnim pogodbam, v katerih boste od njih zahtevali izvajanje predpisanih varnostnih ukrepov in omogočili izvajanje dolžnega nadzorstva.

Naj bo inšpekcijski nadzor priložnost za izboljšave in ne postopek za ugotavljanje nepravilnosti.

Inšpekcija spodbuja preventivni pristop: bolje pripravljena organizacija pomeni manj težav ob nadzoru, višjo stopnjo zaščite pred kibernetskimi incidenti in zanesljivejše poslovanje. V svetu, kjer kibernetski napad ni več vprašanje če', temveč zgolj kdaj', je proaktiven pristop ključnega pomena za varno delovanje tako javnih organov kot zasebnih podjetij.

URSIV 13. oktobra 2025 organizira "Konferenco ZInfV-1 – zakon za kibernetsko varno prihodnost Slovenije". Na konferenci bo govora o ključnih novostih, ki jih prinaša novi Zakon o informacijski varnosti (ZInfV-1). Katere spremembe in priložnosti odpira za javno upravo, podjetja in širši ekosistem ter kako bo prispeval h krepitvi odpornosti družbe na področju informacijske in kibernetske varnosti.

Dogodek bo poleg strokovnih predstavitev nudil priložnost za izmenjavo mnenj, vprašanj in povezovanje udeležencev. Za vse, ki se dogodka ne bodo mogli udeležiti osebno, bo na voljo spletni prenos v živo, ki bo objavljen na spletni strani URSIV in njegovih družbenih omrežjih.

Naročnik oglasa je Urad Vlade RS za informacijsko varnost.