Kakšni so roki za samoregistracijo in prijavo incidentov po ZInfV-1?

Za subjekte, ki so ob uveljavitvi zakona že izpolnjevali merila, je bil rok za prvo samoregistracijo 19. december 2025. Pri pomembnih incidentih zakon določa zgodnje sporočilo najpozneje v 24 urah po zaznavi, priglasitev incidenta najpozneje v 72 urah in končno poročilo najpozneje v enem mesecu po priglasitvi.

Kaj se zgodi, če organizacija ne doseže skladnosti z ZInfV-1?

Pristojni nacionalni organ lahko odredi popravljalne ukrepe in izreče denarne kazni. Pomemben je tudi vidik dokazljivosti izvajanja ukrepov, odgovornosti in podpore vodstva.

Kako RegulusAi pomaga pri skladnosti z ZInfV-1?

RegulusAi pomaga pri oceni zavezanstva, samoregistraciji, gap analizi, vzpostavitvi dokumentacije in registrov, evidence vaultu, audit trailu ter pripravi organizacije na nadzor.

REGULUSAi

ZInfV-1 (NIS2) – preverjanje zavezanstva za slovenske organizacije

Ali vaše podjetje izpolnjuje pogoje za zavezanca po ZInfV-1 (NIS2)?

Zakon o informacijski varnosti (ZInfV-1) je slovenska implementacija direktive NIS 2. Zajema bistveno širši nabor organizacij kot prejšnja ureditev. Na tej strani preverite, ali vaša organizacija izpolnjuje pogoje za zavezanca po ZInfV-1, kaj to pomeni in kateri roki ter obveznosti so za vas ključni.

ZInfV-1 (NIS2) 6. in 7. člen ZInfV-1 Priloga 1 + Priloga 2 Samoregistracija

Preveri z nami – brezplačen scope check Kako preverim?

Kako preverim, ali moje podjetje izpolnjuje pogoje za zavezanca po ZInfV-1?

Organizacija praviloma izpolnjuje pogoje za zavezanca po ZInfV-1, če hkrati: (1) spada med vrste subjektov iz Priloge 1 ali Priloge 2, (2) ima vsaj 50 zaposlenih in (3) ima letni promet ali letno bilančno vsoto vsaj 10 milijonov EUR.

Nekateri subjekti so zavezani ne glede na velikost, na primer določeni ponudniki javnih elektronskih komunikacij, ponudniki kvalificiranih storitev zaupanja, registri TLD imen, ponudniki storitev DNS, subjekti kritične infrastrukture in mestne občine.

Zavezanci se nato delijo na bistvene in pomembne subjekte. Ta razvrstitev vpliva na način nadzora, roke in najvišje globe.

Pomembno: obveznosti po ZInfV-1 veljajo neodvisno od samoregistracije, če organizacija izpolnjuje zakonske pogoje.

Kar vidimo v praksi: veliko organizacij izpolnjuje pogoje za zavezanca, vendar tega ne prepozna pravočasno ali pa prepozno začne z izvajanjem ukrepov in zbiranjem dokazil.

Trije osnovni pogoji iz 6. člena ZInfV-1

Subjekt praviloma spada med zavezance po prvem odstavku 6. člena ZInfV-1, če izpolnjuje vse tri pogoje hkrati.

Vrsta subjekta iz Priloge 1 ali 2

Organizacija spada med vrste subjektov, ki so navedene v Prilogi 1 (visoko kritični sektorji) ali Prilogi 2 (drugi kritični sektorji) ZInfV-1.

Vsaj 50 zaposlenih

Organizacija ima vsaj 50 zaposlenih, praviloma glede na zadnje potrjeno obračunsko obdobje.

Vsaj 10 mio EUR prihodkov ali bilančne vsote

Organizacija ima letni promet ali letno bilančno vsoto najmanj 10 milijonov EUR.

Kako zakon določa zavezance

Pri večini organizacij je treba preveriti dve stvari:

ali spadajo med vrste subjektov iz Priloge 1 ali 2,
ali dosegajo velikostni prag iz 6. člena.

Poleg tega zakon določa tudi posebne izjeme, kjer velikost ni odločilna.

Pozor: če organizacija spada v sektor iz Priloge 1 ali 2, vendar ne dosega praga 50 zaposlenih in hkrati ne dosega praga 10 mio EUR, praviloma ne spada med zavezance po prvem odstavku 6. člena. Kljub temu je treba preveriti tudi izjeme iz drugega odstavka 6. člena, ki veljajo ne glede na velikost.

Sektorji: Priloga 1 in Priloga 2

ZInfV-1 razvršča zavezance po vrstah subjektov in sektorjih. Ključno vprašanje je, ali vaša dejavnost ali storitev spada v katero od kategorij iz Priloge 1 ali 2.

Priloga 1 – visoko kritični sektorji

Energija – elektrika, daljinsko ogrevanje in hlajenje, nafta, plin, vodik
Transport – zračni, železniški, vodni, cestni
Bančništvo – kreditne institucije
Infrastruktura finančnega trga
Zdravstvo – izvajalci zdravstvene dejavnosti, referenčni laboratoriji, farmacija, medicinski pripomočki, raziskave in razvoj
Pitna voda
Odpadne vode
Digitalna infrastruktura – IXP, DNS, TLD registri, ponudniki računalništva v oblaku, podatkovni centri, CDN, ponudniki storitev zaupanja, javna elektronska komunikacijska omrežja
Upravljanje storitev IKT (B2B)
Javna uprava – na državni ravni
Vesolje

Priloga 2 – drugi kritični sektorji

Poštne in kurirske storitve
Ravnanje z odpadki
Proizvodnja, izdelava in distribucija kemikalij
Proizvodnja, predelava in distribucija hrane
Proizvodnja – medicinski pripomočki, računalniki in elektronika, električna oprema, stroji, motorna vozila, druga prevozna sredstva
Ponudniki digitalnih storitev – spletne tržnice, spletni iskalniki, platforme za družbena omrežja
Raziskovalne organizacije

Zavezanci ne glede na velikost

Drugi odstavek 6. člena ZInfV-1 določa vrste subjektov, ki so lahko zavezanci ne glede na število zaposlenih ali letni promet oziroma bilančno vsoto.

Tipični primeri

ponudniki javnih elektronskih komunikacijskih omrežij ali javno dostopnih elektronskih komunikacijskih storitev,
ponudniki kvalificiranih storitev zaupanja,
registri TLD imen in ponudniki storitev DNS,
subjekti kritične infrastrukture,
edini ponudnik določene storitve v Republiki Sloveniji za vrsto subjekta iz Priloge 1 ali 2,
subjekti s posebnim pomenom na državni ali lokalni ravni.

Javna uprava in posebne določbe

subjekti javne uprave na državni ravni,
mestne občine,
subjekti, opredeljeni kot službe državnega pomena v načrtih zaščite in reševanja,
subjekti, ki jih vlada z odločbo določi kot bistvene ali pomembne.

Bistveni in pomembni subjekti (7. člen ZInfV-1)

Ko ugotovite, da vaša organizacija spada med zavezance, je naslednji korak določitev, ali ste bistveni ali pomembni subjekt. Od tega so odvisni način nadzora, roki in najvišje globe.

	Bistveni subjekti	Pomembni subjekti
Velikost	Vrste subjektov iz Priloge 1, ki imajo vsaj 250 zaposlenih ali letni promet vsaj 50 mio EUR ali letno bilančno vsoto vsaj 43 mio EUR	Zavezanci, ki ne izpolnjujejo meril za bistvene subjekte, vendar spadajo med pomembne po 7. členu
Posebni primeri	Ponudniki kvalificiranih storitev zaupanja ter registri TLD imen in ponudniki storitev DNS, ne glede na velikost	Številni subjekti iz Priloge 2 in del subjektov iz Priloge 1 pod pragom za bistvene
Nadzor	Proaktivni oziroma strožji nadzor	Pretežno reaktivni nadzor
Najvišje globe	Do 10 mio EUR ali 2 % celotnega svetovnega letnega prometa	Do 7 mio EUR ali 1,4 % celotnega svetovnega letnega prometa
Praktični pomen	Večja pričakovanja glede upravljanja, dokazljivosti in nadzora	Enake temeljne obveznosti, vendar praviloma drugačen režim nadzora

Ključni roki po ZInfV-1

Zakon je začel veljati 19. junija 2025. Za zavezance so posebej pomembni roki za samoregistracijo in za vzpostavitev ukrepov.

✓

19. junij 2025

ZInfV-1 je začel veljati. Od tega trenutka veljajo tudi obveznosti glede prijavljanja pomembnih incidentov.

✓

19. december 2025

Rok za prvo samoregistracijo subjektov, ki so ob uveljavitvi zakona že izpolnjevali merila iz 6. in 7. člena.

19. junij 2026

Praktično relevanten mejnik za del zavezancev, zlasti za obstoječe zavezance iz prejšnje ureditve in za subjekte, ki morajo ukrepe vzpostaviti v krajšem roku.

19. december 2026

Praktično relevanten mejnik za subjekte, ki ukrepe vzpostavljajo v daljšem prehodnem obdobju.

∞

Nato sledi stalna skladnost

Obveznosti se ne končajo s samoregistracijo ali z enkratnim projektom. Zahteva se stalno upravljanje tveganj, izvajanje ukrepov, poročanje in dokazljivost izvajanja.

Kaj mora zavezanec dejansko izpolnjevati?

ZInfV-1 zahteva vzpostavitev, izvajanje in dokazovanje ukrepov za upravljanje tveganj informacijske in kibernetske varnosti.

Organizacijski in upravljavski del

samoregistracija pri pristojnem nacionalnem organu,
vzpostavitev dokumentiranega sistema upravljanja varovanja informacij,
politike in postopki,
upravljanje tveganj,
upravljanje incidentov in krizno načrtovanje,
varnost oskrbovalne verige,
usposabljanje zaposlenih,
podpora vodstva in vključitev področja v poslovno načrtovanje.

Poročanje o pomembnih incidentih

zgodnje sporočilo: nemudoma, najpozneje v 24 urah po zaznavi,
priglasitev incidenta: nemudoma, najpozneje v 72 urah po zaznavi,
vmesno poročilo: na zahtevo CSIRT,
končno poročilo: najpozneje v enem mesecu po priglasitvi incidenta,
če incident ob predložitvi končnega poročila še traja, tudi poročilo o napredku.

Pomembno: dokumentacija sama po sebi ne zadostuje. Ključna je dokazljivost izvajanja ukrepov, odgovornosti, odločitev vodstva in dejanskega stanja pripravljenosti.

Odgovornost vodstva: zakon izrecno zahteva podporo vodstva pri zagotavljanju informacijske in kibernetske varnosti ter vključitev tega področja v načrtovanje organizacije. To pomeni, da skladnost ni le IT ali pravna tema, temveč tudi tema vodstva.

Hiter preveritveni postopek v 5 korakih

Ta postopek je dober prvi filter. Za formalno presojo statusa priporočamo kratek scope check z ekspertom.

Preverite vrsto subjekta

Ali vaša organizacija spada med vrste subjektov iz Priloge 1 ali Priloge 2? Upoštevajte vse relevantne dejavnosti, ne le primarne registrirane dejavnosti.

Preverite velikost

Ali imate vsaj 50 zaposlenih in vsaj 10 mio EUR letnega prometa ali bilančne vsote? Če da, verjetno izpolnjujete osnovne pogoje iz 6. člena.

Preverite izjeme

Če ne dosegate velikostnega praga, preverite, ali spadate med posebne vrste subjektov, ki so zavezani ne glede na velikost.

Določite kategorijo

Če ste zavezanec, preverite še, ali ste bistveni ali pomembni subjekt, saj to vpliva na režim nadzora in najvišje globe.

Ukrepajte

Ne odlašajte s samoregistracijo, gap analizo, pripravo dokumentacije, vzpostavitvijo ukrepov in zbiranjem dokazil.

Niste prepričani?

Kontaktirajte RegulusAi za brezplačen scope check: tip zavezanca, sektor, obseg in predlog naslednjih korakov.

Kako RegulusAi pomaga pri doseganju skladnosti

Od ugotovitve zavezanstva do pripravljenosti na nadzor – platforma in ekspertne storitve v enem modelu.

1. Scope check in ocena zavezanstva

Pregledamo tip zavezanca, sektor, obseg IT/OT, kritične storitve in relevantne roke ter ocenimo, ali vaša organizacija spada med bistvene ali pomembne subjekte.

2. Gap analiza in prioritetni roadmap

Pripravimo pregled vrzeli glede na zahteve ZInfV-1 in dejansko stanje vaše organizacije ter določimo prioritetni načrt ukrepov.

3. Dokumentacija, registri in dokazila

Pomagamo vzpostaviti politike, postopke, registre sredstev, tveganj, dobaviteljev in BIA ter strukturo dokazil, ki je uporabna tudi pri nadzoru.

4. Priprava na nadzor

Vzpostavimo evidence vault, audit trail, sled odločitev, status ukrepov ter poročila za vodstvo, notranjo presojo in komunikacijo z nadzornimi organi.

Začnite z brezplačnim scope checkom.

Rezerviraj scope check

Pogosta vprašanja o zavezanstvu po ZInfV-1

Kako preverim, ali moja organizacija izpolnjuje pogoje za zavezanca po ZInfV-1?

Preverite tri osnovne elemente: ali spadate med vrste subjektov iz Priloge 1 ali 2, ali imate vsaj 50 zaposlenih in ali dosegate prag 10 mio EUR letnega prometa ali bilančne vsote. Poleg tega preverite še izjeme iz drugega odstavka 6. člena, ki veljajo ne glede na velikost.

Ali je organizacija lahko zavezanec, čeprav ima manj kot 50 zaposlenih?

Da. Zakon določa več posebnih primerov, kjer velikost ni odločilna, na primer pri določenih ponudnikih elektronskih komunikacij, ponudnikih kvalificiranih storitev zaupanja, registrih TLD imen, ponudnikih DNS, subjektih kritične infrastrukture in mestnih občinah.

Kakšna je razlika med bistvenim in pomembnim subjektom?

Razlika je predvsem v razvrstitvi po 7. členu, načinu nadzora in najvišjih globah. Bistveni subjekti so praviloma večji ali posebej opredeljeni subjekti iz zakona, medtem ko pomembni subjekti praviloma ne dosegajo meril za bistvene, vendar še vedno spadajo med zavezance.

Ali je rok za samoregistracijo za obstoječe zavezance že potekel?

Za subjekte, ki so ob uveljavitvi zakona že izpolnjevali merila iz 6. in 7. člena, je bil rok za prvo samoregistracijo šest mesecev od uveljavitve zakona, to je 19. december 2025. Če je vaša organizacija postala zavezanec kasneje, je treba spremljati aktualna navodila pristojnega nacionalnega organa in pravočasno izvesti registracijo.

Kaj se zgodi, če organizacija ne doseže skladnosti?

Pristojni nacionalni organ izvaja nadzor in lahko odredi popravljalne ukrepe ter izreče denarne kazni. Poleg formalne neskladnosti je v praksi zelo pomembno tudi to, ali lahko organizacija dokaže izvajanje ukrepov, odgovornosti in sled odločitev.

Ali RegulusAi pomaga tudi pri samoregistraciji in pripravi na nadzor?

Da. RegulusAi pomaga od začetne ocene zavezanstva in samoregistracije do gap analize, vzpostavitve dokumentacije, registrov, evidence vaulta, audit traila in priprave organizacije na nadzor.

Koliko časa traja priprava na skladnost?

Odvisno od velikosti, sektorja, IT/OT kompleksnosti in trenutnega stanja organizacije. Pri delu organizacij gre za večmesečen projekt, pri drugih za daljšo transformacijo upravljanja, procesov in dokazljivosti.

Kje najdem uradne informacije o ZInfV-1?

Uradno besedilo zakona je objavljeno v Uradnem listu Republike Slovenije. Pristojni nacionalni organ objavlja tudi dodatna pojasnila in informacije o samoregistraciji ter nadzoru.

Ne ugibajte – preverite svoj status

RegulusAi ponuja brezplačen scope check: tip zavezanca, sektor, okvirna razvrstitev, obseg in predlog nadaljnjih korakov.

Rezerviraj brezplačen scope check

Kontakt: hello@regulusai.si · regulusai.si