Zakaj je varnost IT infrastrukture zdaj pomembnejša kot kdajkoli prej?
Skoraj vsako podjetje danes že temelji na delujoči IT infrastrukturi. Brez stabilnih omrežij, varnih strežnikov, hitrega dostopa do podatkov in zanesljivih varnostnih kopij poslovanje hitro zastane. Hkrati pa se kibernetske grožnje nenehno povečujejo, od ransomware napadov do naprednih vztrajnih groženj, ki ciljajo prav na kritične sisteme.
Junija 2025 je v Sloveniji začel veljati ZInfV-1 (Zakon o informacijski varnosti), ki v naš pravni red prenaša evropsko direktivo NIS2. Ta zakon močno širi krog podjetij, ki morajo izpolnjevati stroge zahteve glede kibernetske varnosti, in postavlja višje standarde za zaščito informacijskih sistemov in omrežij.
Pomembno za lastnike in vodstvo
ZInfV-1 uvaja osebno odgovornost članov uprave in vodstva. Neupoštevanje zahtev lahko prinese ne le visoke globe, temveč tudi osebno odgovornost za morebitno škodo.
Če ste lastnik ali direktor podjetja v Sloveniji, je zdaj pravi čas, da preverite, kako dobro je vaša IT infrastruktura pripravljena na nove zahteve – in kako jo lahko izboljšate, da bo hkrati bolj varna in skladna z zakonom.
Glavna sprememba je v obsegu. Po prejšnjem zakonu iz leta 2018 je bilo v Sloveniji približno 70 zavezancev (bistvenih subjektov). Z novim zakonom se število zavezancev poveča na okoli 1.000 organizacij. Med njimi so poleg tradicionalnih kritičnih infrastruktur (energija, transport, voda, zdravstvo) tudi podjetja v proizvodnji, digitalnih storitvah, oblačnih storitvah, podatkovnih centrih, spletnih platformah in mnogih drugih sektorjih.

Kako NIS2 in ZInfV-1 vplivata na vašo IT infrastrukturo v praksi?
Zahteve zakona se ne končajo pri politikah in papirjih. Neposredno vplivajo na to, kako zasnujete, vzdržujete in spremljate svojo IT infrastrukturo. Tukaj je nekaj ključnih področij:
Omrežna varnost in segmentacija:
ZInfV-1 zahteva, da tveganja obvladujete sorazmerno z njihovim pomenom. To pomeni, da ravno omrežje ne sme biti "plosko". Priporočena je segmentacija, strogi požarni zidovi, nadzor dostopa in načela zero-trust.
Strežniki in virtualizacija:
Redno posodabljanje, hardening konfiguracij, varno upravljanje virtualnih okolij (npr. Proxmox, VMware, Hyper-v, itd.) in omejevanje privilegijev so zdaj del obveznih ukrepov za zmanjševanje površine napada.
Spremljanje in detekcija:
Brez ustreznega beleženja dogodkov in centraliziranega spremljanja (SIEM) je skoraj nemogoče pravočasno zaznati napad ali nenormalno vedenje. ZInfV-1 poudarja pomen zgodnjega odkrivanja. Več na temo SIEM si lahko preberete tudi v našem članku na povezavi.
Varnostno kopiranje in odpornost:
Zahteva po hitri obnovi po incidentu pomeni, da morajo biti varnostne kopije šifrirane, testirane, delno neizbrisne (immutable) in shranjene na ločenih lokacijah. To je eden najpomembnejših ukrepov proti ransomware. Več o varnostnem kopiranju si lahko preberete v članku na povezavi.

Praktični koraki za pripravo vaše IT infrastrukture na ZInfV-1
Spodaj je sedem konkretnih korakov, ki jih priporočamo. Začnete lahko postopoma – pomembno je, da začnete!
1. Če še niste, preverite ali ste zavezanec.
Preglejte sezname sektorjev v Zakonu o informacijski varnosti ali se posvetujte z URSIV oziroma strokovnjakom. Veliko podjetij se ne zaveda, da spadajo med pomembne subjekte.
2. Izvedite oceno tveganj (risk assessment)
Identificirajte kritične sisteme, podatke in procese. Ocenite verjetnost in vpliv morebitnih incidentov. To je osnova za vse nadaljnje ukrepe in zahteva zakona.
3. Okrepite tehnične zaščitne ukrepe
Uvedite ali nadgradite požarne zidove, segmentacijo omrežja, obvezno večfaktorsko avtentikacijo (MFA), redno posodabljanje sistemov in hardening strežnikov ter virtualnih okolij.
4. Vzpostavite spremljanje in detekcijo groženj
Brez vidljivosti v dogodke v omrežju in na sistemih je odziv na napad zelo otežen. Centralizirano beleženje in orodja za analizo (SIEM) so ključna za pravočasno zaznavo.
5. Zagotovite odporne varnostne kopije
Uporabite pravilo 3-2-1-1-0 (3 kopije, 2 različna medija, 1 offsite, 1 immutable, 0 napak). Redno testirajte obnovitev. To je vaš najmočnejši ščit proti ransomware in zahteva zakona.
6. Pripravite načrt odziva na incidente
Kdo, kdaj in kako poroča URSIV-u? Kako hitro obnovite sisteme? Kdo je odgovoren za komunikacijo? Načrt mora biti napisan, preizkušen in znan ključnim osebam.
7. Dokumentirajte in usposabljajte
Vodstvo mora razumeti tveganja in svoje odgovornosti. Zaposleni potrebujejo redna usposabljanja o varnem ravnanju s sistemi in podatki. Vse odločitve in ukrepe dokumentirajte.
Pogoste napake, ki se jim je treba izogniti
• Podcenjevanje obsega zakona
– "Mi nismo kritična infrastruktura, nas se to ne tiče." Veliko podjetij se moti.
• Zanemarjanje dobavne verige
– Če vaš dobavitelj ali zunanji izvajalec nima ustrezne varnosti, ste lahko odgovorni tudi vi.
• Ne testiranje varnostnih kopij
– Kopije imate, a ko pride do resnega incidenta, se izkaže, da obnovitev ne deluje.
• Pomanjkanje dokumentacije
– Ukrepi so uvedeni, a dokumentacije. To je problem pri izpadu in ponovni uvpostavitvi sistema.
• Preveč zaupanja v eno samo rešitev
– Antivirus in požarni zid ni več dovolj. Potrebna je večplastna zaščita in stalno spremljanje.
Varnost infrastrukture kot konkurenčna prednost
Zahteve ZInfV-1 in NIS2 niso le dodatna obremenitev. So priložnost, da vaša IT infrastruktura postane bolj zanesljiva, odporna in zaupanja vredna.
Podjetja, ki bodo pravočasno investirala v prave ukrepe, bodo imela manj izpadov, manjše tveganje za drage incidente in večje zaupanje strank ter partnerjev.
Želite strokovno pomoč?
Pišite nam na info@osmibit.si ali nas kontaktiraje na povezavi.
Ponujamo brezplačen uvodni posvet, kjer skupaj ocenimo, kako pripraviti vašo infrastrukturo po zahtevah nove zakonodaje.
Ta članek je informativne narave in ne predstavlja pravnega nasveta. Za konkretne pravne obveznosti glede ZInfV-1 priporočamo posvet s pravnim strokovnjakom ali Uradom Vlade RS za informacijsko varnost (URSIV).
SLEDITE NAM