Ko podjetja razmišljajo o ZInfV-1, pogosto najprej vprašajo po globah. V praksi pa kazen ni edino tveganje. Enako pomembni so nadzorni ukrepi, rok za odpravo nepravilnosti, dokazljivost izvajanja ukrepov in dejanska vključenost vodstva.
Za bistvene subjekte lahko najvišja globa za pravno osebo doseže do 10.000.000 EUR ali do 2 % skupnega letnega prometa v predhodnem poslovnem letu, pri čemer se uporabi višji od obeh zneskov.
Za pomembne subjekte lahko najvišja globa za pravno osebo doseže do 7.000.000 EUR ali do 1,4 % skupnega letnega prometa v predhodnem poslovnem letu, pri čemer se uporabi višji od obeh zneskov.
Poleg globe zakon predvideva tudi globe za odgovorne osebe (najvišja globa do 10.000 EUR pri bistvenih in do 7.000 EUR pri pomembnih subjektih), pri določenih kršitvah pa lahko nadzorni organ odredi dodatne ukrepe za odpravo nepravilnosti.
Praktična realnost: največje tveganje ni samo višina globe, ampak kombinacija nadzora, rokov za odpravo nepravilnosti, odločb, obveznega popravljanja stanja in odgovornosti vodstva.
ZInfV-1 razlikuje med bistvenimi in pomembnimi subjekti. Spodaj navedeni zneski so zakonsko predpisane najvišje globe za najhujše kršitve; dejanska globa je odvisna od kategorije subjekta, vrste prekrška in okoliščin.
| Bistveni subjekt | Pomembni subjekt | |
|---|---|---|
| Najvišja globa za pravno osebo | do 10.000.000 EUR ali do 2 % skupnega letnega prometa – uporabi se višji znesek | do 7.000.000 EUR ali do 1,4 % skupnega letnega prometa – uporabi se višji znesek |
| Najvišja globa za odgovorno osebo | do 10.000 EUR | do 7.000 EUR |
| Globa za s.p. / posameznika | razpon je določen v posameznih kaznovalnih členih ZInfV-1, glede na vrsto prekrška | praviloma nižji razponi kot pri bistvenih subjektih |
| Manj hude kršitve | Za posamezne lažje kršitve (npr. opustitev posameznih obveznosti) so v kaznovalnih določbah ZInfV-1 predpisani nižji razponi glob za pravno osebo, odgovorno osebo, samostojnega podjetnika in posameznika. | |
| Tipično izhodišče | strožji režim nadzora in višji kaznovalni potencial | nižje zgornje meje, vendar še vedno materialno zelo pomembno tveganje |
Pravna podlaga: Zakon o informacijski varnosti (ZInfV-1), Uradni list RS, št. 40/25, ki v slovenski pravni red prenaša Direktivo (EU) 2022/2555 (NIS 2). Najvišje globe za pravne osebe ustrezajo zgornjim mejam iz 34. člena Direktive NIS 2. Za točne razpone po posameznih prekrških glejte kaznovalne določbe ZInfV-1.
Pomembno: globa ni omejena samo na simbolen znesek. Pri večjih podjetjih je lahko relevantna odstotkovna vezava na skupni letni promet, zato je dejanska izpostavljenost lahko bistveno višja, kot si vodstvo pogosto predstavlja.
Zakon ne kaznuje samo “incidenta”, ampak predvsem neizpolnjevanje obveznosti, ki bi morale biti vzpostavljene že prej.
ZInfV-1 omogoča tudi nadzorne in popravljalne ukrepe. Ti so za vodstvo pogosto bolj obremenjujoči od same globe.
Ključna točka: če je nadzor že odprt, je pogajalsko izhodišče običajno slabše. Veliko ceneje in varneje je pravočasno vzpostaviti ukrepe, evidence in sled odločitev, kot pa popravljati stanje pod pritiskom odločbe.
ZInfV-1 zahteva podporo vodstva pri zagotavljanju informacijske in kibernetske varnosti ter vključitev tega področja v letno načrtovanje.
Praktično: vprašanje ni samo “koliko znaša kazen”, ampak tudi “ali lahko vodstvo pokaže, da je področje vodeno, nadzirano in dokazljivo podprto”.
Večina organizacij ne pade na enem velikem incidentu, ampak na kombinaciji več manjših pomanjkljivosti.
Ni določeno, kdo vodi program skladnosti in kdo usklajuje aktivnosti med IT, pravnim delom in vodstvom.
Dokument obstaja, ni pa razvidno, kdo ga je odobril, kdaj se uporablja in s katerimi povezanimi ukrepi.
Ni jasnega statusa ukrepov, rokov, odgovornih oseb in povezanih odločitev vodstva.
Organizacija ne zna hitro pokazati registra tveganj, dokazil, odgovornosti in ključnih postopkov.
Projekt se odpre šele, ko je nadzor, odločba ali resen incident že na mizi.
Najprej preveriti status, nato vrzeli, pripraviti dokaze in program stalne skladnosti.
Cilj ni samo “dokumentacija”, ampak stanje, ki se da ubraniti pred nadzorom in dokazljivo v praksi.
Preverimo, ali ste bistveni ali pomembni subjekt, katere obveznosti vas zadevajo in kje so največja regulatorna tveganja.
Ugotovimo, katere vrzeli imajo največji vpliv na nadzor, globe in dokazljivost izvajanja ukrepov.
Vzpostavimo sled dokazil, odločitev, statusov ukrepov in odgovornih oseb, da organizacija ni odvisna od improvizacije.
Pripravimo strukturo, s katero lahko hitro pokažete dejansko stanje, ne samo dokumentacijo.
Najcenejša kazen je tista, ki je ni.
Rezerviraj brezplačen scope checkZa bistveni subjekt lahko najvišja globa za pravno osebo doseže do 10.000.000 EUR oziroma do 2 % skupnega letnega prometa, pri čemer se uporabi višji znesek. Za pomembni subjekt lahko doseže do 7.000.000 EUR oziroma do 1,4 % skupnega letnega prometa, pri čemer se uporabi višji znesek.
Da. Zakon predvideva globe tudi za odgovorne osebe. Najvišja globa za odgovorno osebo je pri bistvenih subjektih do 10.000 EUR, pri pomembnih subjektih pa do 7.000 EUR, odvisno od vrste prekrška.
Ne. Poleg globe lahko pride do nadzornih ukrepov, določitve rokov za odpravo nepravilnosti, odločb in pri bistvenih subjektih tudi do strožjih ukrepov, če se stanje ne popravi.
Pri bistvenih subjektih zakon v določenih primerih omogoča tudi začasno prepoved izvajanja dela storitev ali vseh storitev ter zahtevo po začasni prepovedi opravljanja vodstvenih funkcij določenim osebam.
Največje tveganje je kombinacija: formalna neskladnost, odsotnost dokazil, odprt nadzor, odgovornost za odločanje in pritisk rokov za odpravo nepravilnosti.
Ne nujno. ISO 27001 je lahko pomemben del sistema, vendar sam po sebi ne zagotavlja, da organizacija izpolnjuje vse zahteve ZInfV-1 in da zna to tudi dokazati v nadzoru.
Da. Pomagamo pri oceni statusa, gap analizi, vzpostavitvi dokumentacije, registrov, dokazil, audit traila in pripravi organizacije na nadzor ter stalno skladnost.
RegulusAi ponuja hiter pregled vaše regulatorne izpostavljenosti: status zavezanca, raven tveganja, največje vrzeli in predlog prioritetnih ukrepov.
Rezerviraj pregled izpostavljenostiKontakt: hello@regulusai.si · regulusai.si
REGULUS