Logotip RegulusAi REGULUSAi
ZInfV-1 / NIS2 – Slovenija

ZInfV-1 v praksi:
skladnost, ki zdrži nadzor

ZInfV-1 ni zgolj formalna obveznost. Od zavezancev zahteva dokazljivo upravljanje kibernetskih tveganj, poslovno kontinuiteto in aktivno vlogo vodstva.

RegulusAi slovenskim organizacijam pomaga vzpostaviti ZInfV-1 skladnost tako, da ste trajnostno pripravljeni na nadzor – ne le “dokumentirani”.

Rezerviraj predstavitev Preberi vodnik
Fokus: dokazila + revizijska sled 20. člen kot jedro nadzora Platforma + ekspertna izvedba

Pripravljeno za realen nadzor

Regulator ne preverja, ali imate dokument. Preverja, ali ukrepi delujejo in ali to lahko pokažete z dokazili.

Dokazila

Evidence vault + povezava na ukrepe in odgovornosti.

Vodstvo

Sledljivost odločitev, tveganj, prioritet in odobritev.

Incidenti

Procesi, časovnice, vaje in dokazila izvedbe.

Kontinuiteta

BIA + BC/DR, realni RTO/RPO in testiranje.

Kaj je ZInfV-1 in koga zadeva

ZInfV-1 (Zakon o informacijski varnosti) je slovenska implementacija direktive NIS2. Nanaša se na bistvene in pomembne subjekte – organizacije, katerih delovanje je ključno za družbo in gospodarstvo.

Kaj zakon v praksi zahteva

  • Upravljanje tveganj
    ne le enkratna ocena, ampak ciklus odločitev + dokazila.
  • Kontinuiteta (BIA, BC/DR)
    realni RTO/RPO, testiranje in utemeljitve.
  • Incidentni procesi
    postopki + dokazila izvedbe (vaje, evidence, časovnice).
  • Dobavna veriga
    dobavitelji, pogodbe, nadzor storitev in kritičnih odvisnosti.
  • Vloga vodstva
    odgovornost, odobritve, prioritetizacija in zapis odločitev.

Tipična vprašanja, ki jih dobi vodstvo

Pri nadzoru ali presoji se vprašanja hitro premaknejo iz “ali imate dokument” v “pokažite, kako to deluje”.

Področje Kaj moram dokazati?
Tveganja metodologija, register, obravnave, odobritve vodstva
BIA / BC/DR utemeljeni RTO/RPO, načrti, testiranja, izboljšave
Incidenti postopki, evidence, časovnice, vaje, “lessons learned”
Dobavitelji seznam, kritičnost, pogodbe, nadzor in ocenjevanje

Cilj: da so odgovori hitro dostopni, konsistentni in podprti z dokazili.

20. člen ZInfV-1 – jedro nadzora

V praksi se večina preverjanj fokusira na 20. člen: uvedba ustreznih tehničnih in organizacijskih ukrepov ter njihova učinkovitost.

Upravljanje tveganj

Ne “checkbox” – ampak odločanje in dokazljiva obravnava.

  • metodologija + register
  • prioritete in odobritve
  • sledljivost do ukrepov

Incidenti

Postopki + evidence + časovnice + učenje.

  • triage in klasifikacija
  • evidence obravnave
  • vaje in izboljšave

Kontinuiteta

BIA kot osnova: MTD/RTO/RPO morajo imeti razlago.

  • BIA + kritični procesi
  • BC/DR načrti
  • redni testi

Ključna realnost nadzora

Regulator ne preverja, ali imate dokument – preverja, ali ukrepi delujejo in ali to lahko dokažete. Zato je potrebno dokazila, revizijska sled in dosledno upravljanje sprememb.

Najpogostejše napake pri ZInfV-1

Tipične “audit findings” so skoraj vedno ponavljajoče in predvidljive.

Zakaj pride do težav

  • ISO dokumentacija brez regulatornega konteksta
    manjkajo dokazila, procesi in “operativa”.
  • Pavšalna BIA
    RTO/RPO brez realnih osnov in brez testiranja.
  • Nejasna odgovornost vodstva
    ni odobritev, ni zapisa odločitev, ni prioritet.
  • Dokazila manjkajo
    ukrepi “naj bi obstajali”, a jih ni mogoče dokazati.
  • Incidentni postopki samo na papirju
    brez vaj, brez evidenc, brez izboljšav.

Kaj to pomeni ob nadzoru

Če evidence niso urejene in sledljivost ni jasna, postane zagovor stanja težak: dokument je lahko “lep”, a ne obrani organizacije.

Najhitrejša pot do “defenzibilnosti” je:

  • jasen scope (zavezanstvo + obseg),
  • risk + BIA kot osnova prioritet,
  • dokazila povezati na ukrepe, lastnike in datume,
  • redno izvajan in beležen incidentni proces.

Kako ZInfV-1 izvaja RegulusAi

RegulusAi združuje platformo in ekspertno izvedbo v enoten model skladnosti: sistem vodi in hrani dokazila, ekspert pa zagotovi pravilno interpretacijo in regulatorno defenzibilnost.

1) Scope & zavezanstvo

Ugotovitev zavezanstva in pravilnega obsega: kaj je “kritično” in zakaj.

manj tveganja napačnega scope-a

2) Gap → tasks

Gap analiza po ZInfV-1/NIS2, pretvorba v naloge z lastniki in roki.

operativna izvedba, ne le dokumenti

3) Evidence vault

Dokazila z revizijsko sledjo, povezave na ukrepe, tveganja, BIA in odločitve.

hitrejša priprava na nadzor

Human-in-the-loop in UI varovalke

AI pomaga pri osnutkih (analize, politike, poročila), vendar ne sprejema odločitev. Vsak izpis je osnutek in zahteva človeško potrditev z jasno vlogo in revizijsko sledjo.

  • transparentnost UI izpisov
  • odobritveni tokovi (RBAC)
  • audit trail sprememb

Priporočeni naslednji korak

Kratek posvet, kjer določimo scope, stopnjo pripravljenosti in najhitrejšo pot do dokazljivosti.

Rezerviraj predstavitev Poglej pakete

Končna ponudba se pripravi glede na tip zavezanca, sektor in dejanski obseg (lokacije, IT/OT, kritične storitve).

ZInfV-1 in ISO/IEC 27001

ISO/IEC 27001 je dobra osnova, vendar ni dovolj sam po sebi. ZInfV-1 doda regulatorni kontekst (scope, dokazila, vlogo vodstva, incidentno operativnost).

Kaj ISO običajno pokrije dobro

  • ISMS okvir, politike, odgovornosti
  • osnovni risk management proces
  • kontrole in evidentiranje

Kje se pri ZInfV-1 pogosto pokaže vrzel

  • dokazila dejanskega izvajanja ukrepov (ne le dokumenti)
  • operativni incidentni proces (vaje, časovnice, evidence)
  • BIA/BC/DR utemeljitve + testiranje
  • dobavna veriga v praksi (kritičnost, nadzor dobaviteljev)

Naslednji korak

Če želiš hitro ugotoviti:

Rezerviraj predstavitev Nazaj na glavno stran

Pogosta vprašanja

Najpogostejši pomisleki pred odločitvijo: “ali bo to zdržalo nadzor?”

Ali zadostuje, da imamo “pravilnik” in nekaj dokumentov?

Ne nujno. Ključno je, da so ukrepi izvedeni, ponovljivi in dokazljivi: evidence, revizijska sled, testiranja (npr. incidentne vaje, BC/DR testi) in odobritve vodstva.

Ali UI v RegulusAi samodejno spreminja sisteme ali sprejema odločitve?

Ne. UI se uporablja kot pomoč pri osnutkih (analize, politike, poročila). Končne odločitve potrdi človek (human-in-the-loop), z vlogo, odobritvijo in revizijsko sledjo.

Kaj potrebujete od nas za začetek?

Osnovni scope (tip zavezanca, sektor, ključne storitve), nato pa postopno: dokumenti, evidence, risk/BIA delavnica in uskladitev prioritet. Cilj je hitro priti do defenzibilnega stanja, ne do “pdf zbirke”.