Ko podjetja razmišljajo o ZInfV-1, pogosto najprej vprašajo po globah. V praksi pa kazen ni edino tveganje. Enako pomembni so nadzorni ukrepi, rok za odpravo nepravilnosti, dokazljivost izvajanja ukrepov in dejanska vključenost vodstva.
Za bistvene subjekte lahko globa za pravno osebo doseže od 0,5 % do 2 % skupnega letnega prometa, vendar ne manj kot 10.000 EUR in ne več kot 10.000.000 EUR.
Za pomembne subjekte lahko globa za pravno osebo doseže od 0,3 % do 1,4 % skupnega letnega prometa, vendar ne manj kot 7.000 EUR in ne več kot 7.000.000 EUR.
Poleg globe zakon predvideva tudi globe za odgovorne osebe, pri določenih kršitvah pa lahko nadzorni organ odredi dodatne ukrepe za odpravo nepravilnosti.
Praktična realnost: največje tveganje ni samo višina globe, ampak kombinacija nadzora, rokov za odpravo nepravilnosti, odločb, obveznega popravljanja stanja in odgovornosti vodstva.
ZInfV-1 razlikuje med bistvenimi in pomembnimi subjekti. Višina globe je odvisna od kategorije subjekta in vrste kršitve.
| Bistveni subjekt | Pomembni subjekt | |
|---|---|---|
| Globa za pravno osebo | 0,5 % do 2 % skupnega letnega prometa, najmanj 10.000 EUR, največ 10.000.000 EUR | 0,3 % do 1,4 % skupnega letnega prometa, najmanj 7.000 EUR, največ 7.000.000 EUR |
| Globa za odgovorno osebo | 1.000 EUR do 10.000 EUR | 1.000 EUR do 7.000 EUR |
| Globa za s.p. / posameznika | 5.000 EUR do 25.000 EUR | Nižji razpon pri posameznih prekrških; odvisno od vrste kršitve |
| Tipično izhodišče | Strožji režim nadzora in višji kaznovalni potencial | Nižji zgornji zneski, vendar še vedno materialno zelo pomembno tveganje |
Pomembno: globa ni omejena samo na simbolen znesek. Pri večjih podjetjih je lahko relevantna odstotkovna vezava na skupni letni promet, zato je dejanska izpostavljenost lahko bistveno višja, kot si vodstvo pogosto predstavlja.
Zakon ne kaznuje samo “incidenta”, ampak predvsem neizpolnjevanje obveznosti, ki bi morale biti vzpostavljene že prej.
ZInfV-1 omogoča tudi nadzorne in popravljalne ukrepe. Ti so za vodstvo pogosto bolj obremenjujoči od same globe.
Ključna poanta: če je nadzor že odprt, je pogajalski prostor običajno slabši. Veliko ceneje in varneje je pravočasno vzpostaviti ukrepe, evidence in sled odločitev, kot pa popravljati stanje pod pritiskom odločbe.
ZInfV-1 zahteva podporo vodstva pri zagotavljanju informacijske in kibernetske varnosti ter vključitev tega področja v letno načrtovanje.
Praktično: vprašanje ni samo “koliko znaša kazen”, ampak tudi “ali lahko vodstvo pokaže, da je področje vodeno, nadzirano in dokazljivo podprto”.
Večina organizacij ne pade na enem velikem incidentu, ampak na kombinaciji več manjših pomanjkljivosti.
Ni določeno, kdo vodi program skladnosti in kdo usklajuje aktivnosti med IT, pravnim delom in vodstvom.
Dokument obstaja, ni pa razvidno, kdo ga je odobril, kdaj se uporablja in s katerimi povezanimi ukrepi.
Ni jasnega statusa ukrepov, rokov, odgovornih oseb in povezanih odločitev vodstva.
Organizacija ne zna hitro pokazati registra tveganj, dokazil, odgovornosti in ključnih postopkov.
Projekt se odpre šele, ko je nadzor, odločba ali resen incident že na mizi.
Najprej preveriti status, nato vrzeli, nato dokaze in režim stalne skladnosti.
Cilj ni samo “dokumentacija”, ampak stanje, ki je branljivo pred nadzorom in dokazljivo v praksi.
Preverimo, ali ste bistveni ali pomembni subjekt, katere obveznosti vas zadevajo in kje so največja regulatorna tveganja.
Ugotovimo, katere vrzeli imajo največji vpliv na nadzor, globe in dokazljivost izvajanja ukrepov.
Vzpostavimo sled dokazil, odločitev, statusov ukrepov in odgovornih oseb, da organizacija ni odvisna od improvizacije.
Pripravimo strukturo, s katero lahko hitro pokažete dejansko stanje, ne samo dokumentacijo.
Najcenejša kazen je tista, ki je ni.
Rezerviraj brezplačen scope checkZa bistveni subjekt lahko globa za pravno osebo doseže do 10.000.000 EUR oziroma do 2 % skupnega letnega prometa. Za pomembni subjekt lahko doseže do 7.000.000 EUR oziroma do 1,4 % skupnega letnega prometa.
Da. Zakon predvideva globe tudi za odgovorne osebe. Pri bistvenih subjektih je tipičen razpon do 10.000 EUR, pri pomembnih subjektih do 7.000 EUR, odvisno od vrste prekrška.
Ne. Poleg globe lahko pride do nadzornih ukrepov, določitve rokov za odpravo nepravilnosti, odločb in pri bistvenih subjektih tudi do strožjih ukrepov, če se stanje ne popravi.
Pri bistvenih subjektih zakon v določenih primerih omogoča tudi začasno prepoved izvajanja dela storitev ali vseh storitev ter zahtevo po začasni prepovedi opravljanja vodstvenih funkcij določenim osebam.
Največje tveganje je kombinacija: formalna neskladnost, odsotnost dokazil, odprt nadzor, odgovornost za odločanje in pritisk rokov za odpravo nepravilnosti.
Ne nujno. ISO 27001 je lahko pomemben del sistema, vendar sam po sebi ne zagotavlja, da organizacija izpolnjuje vse zahteve ZInfV-1 in da zna to tudi dokazati v nadzoru.
Da. Pomagamo pri oceni statusa, gap analizi, vzpostavitvi dokumentacije, registrov, dokazil, audit traila in pripravi organizacije na nadzor ter stalno skladnost.
RegulusAi ponuja hiter pregled vaše regulatorne izpostavljenosti: status zavezanca, raven tveganja, največje vrzeli in predlog prioritetnih ukrepov.
Rezerviraj pregled izpostavljenostiKontakt: hello@regulusai.si · regulusai.si
REGULUS