Državni zbor je 23. maja 2025 sprejel nov Zakon o informacijski varnosti (ZInfV-1), s katerim je bila v slovenski pravni red prenesena direktiva NIS 2. Pričakovati je, da bo zakon začel veljati v drugi polovici junija, ko bodo začeli teči tudi roki za njegovo uveljavitev.
Ena od novosti, ki jih prinaša ZInfV-1, je širitev nabora kritičnih sektorjev in s tem kroga zavezancev omenjenega zakona. Z vidika podjetja Rekono je posebej pomembna vključitev storitev zaupanja, kot jih opredeljuje Uredba eIDAS, v visoko kritični sektor »digitalna infrastruktura«. ZInfV-1 ponudnike kvalificiranih storitev zaupanja, med katere sodi tudi podjetje Rekono, uvršča med »bistvene subjekte«, ostale, nekvalificirane ponudnike storitev zaupanja, pa med »pomembne subjekte«, in sicer ne glede na njihovo velikost, t.j. število zaposlenih in letni promet ali bilančno vsoto.
Začetek izvajanja ZInfV-1 bo najbolj zaznamovala samoprepoznava zavezancev na podlagi kriterijev, določenih v ZInfV-1, in njihova samoregistracija z mehanizmom, ki ga bo vzpostavil vladni urad za informacijsko varnost (URSIV). Prva registracija zavezancev mora biti zaključena v šestih mesecih od začetka veljavnosti ZInfV-1, torej še letos, do decembra.
Za podjetje Rekono in ostalih šest ponudnikov kvalificiranih storitev zaupanja, uvrščenih na slovenski nacionalni in EU zanesljivi seznam, ne bo dilem. Registrirati se bodo morali kot bistveni subjekti.
Večji izziv bo registracija ponudnikov nekvalificiranih storitev zaupanja kot pomembnih subjektov. Niti Uredba eIDAS niti Zakon o elektronski identifikaciji in storitvah zaupanja (ZEISZ) ne določata evidentiranja ponudnikov nekvalificiranih storitev zaupanja. Eden od učinkov ZInfV-1 bo torej, da bomo s seznamom pomembnih subjektov, ki zagotavljajo storitve zaupanja, dobili prvi sistematični pregled ponudnikov nekvalificiranih storitev zaupanja.
Vzpostavitev seznama zavezancev po ZInfV-1 bo zagotovila celovit in zanesljiv pregled nad ponudniki proizvodov, storitev in postopkov IKT na področjih, ki so poglavitna za nemoteno delovanje države, kar je predpogoj za ohranitev zagotavljanja ključnih družbenih in gospodarskih dejavnosti in učinkovit nadzor pristojnih organov nad omenjenim področjem. Preglednost in nadzorovanost omenjenih proizvodov, storitev in postopkov je ključnega pomena za krepitev zaupanja v njihovo izvajanje in zagotavljanje. Omenjeno še zlasti velja za storitve zaupanja.
V podjetju Rekono pričakujemo, da bo seznam bistvenih in pomembnih ponudnikov storitev zaupanja ponudnikom elektronskih storitev, ki se v okviru svojega poslovanja in ponujanja svojih storitev na trgu, zanašajo na elektronski podpis, elektronski žig, elektronski časovni žig in druge storitve zaupanja, zagotovil zanesljivo informacijo in kakovostno jamstvo za želeno raven storitve zaupanja. Še posebej, ko bo pristojna inšpekcija pri zavezancih preverila izpolnjevanje predpisanih varnostnih zahtev.
ZInfV-1 določa, da bistveni in pomembni subjekti za zagotavljanje visoke ravni informacijske in kibernetske varnosti ter odpornosti svojih omrežnih in informacijskih sistemov vzpostavijo in vzdržujejo dokumentirani sistem upravljanja varovanja informacij in sistem upravljanja neprekinjenega poslovanja, ki temeljita na pristopu upoštevanja vseh relevantnih nevarnosti, ter ukrepe za obvladovanje tveganj.
V podjetju Rekono z zadovoljstvom ugotavljamo, da se naša pričakovanja, zahteve in prakse glede varnega in zanesljivega zagotavljanja tako storitev zaupanja kot tudi storitev elektronske identifikacije in avtentikacije za dostop do elektronskih storitev, skladajo z zahtevami ZInfV-1, kar izkazujemo s certifikati ISO 9001:2015, ISO 22301:2019, ISO/IEC 27001:2022, ISO/IEC 20000-1:2018. Veseli nas, da bo ZInfV-1 vsebinsko enak pristop zahteval tudi od drugih ponudnikov storitev zaupanja.
Med ukrepi za obvladovanje tveganj, ki jih določa 22. člen ZInfV-1 in jih bodo morali izvajati bistveni in pomembni subjekti, izpostavljamo uporabo večfaktorske avtentikacije. Tak način potrditve identitete fizične osebe je enostavno in učinkovito dosegljiv s prijavo z računom Rekono visoke ravni zaupanja kot sredstvom elektronske identifikacije.
