Zakon o informacijski varnosti (ZInfV-1) je bil objavljen 19. junija 2025 v Uradnem listu RS 40/25 in predstavlja slovensko implementacijo evropske direktive NIS2. Zavezancem postavlja rok 19. december 2026, do katerega morajo svojo informacijsko varnost uskladiti z zahtevami zakona. Nadzorni organ je Urad Vlade Republike Slovenije za informacijsko varnost (URSIV).
Med vsemi določbami je člen 21 tisti, ki organizacijam najpogosteje povzroča največ negotovosti — zahteva namreč pripravo osmih obveznih dokumentov, ki tvorijo temelj sistema upravljanja informacijske varnosti. V tem članku gremo skozi vsakega od njih: kaj zahteva, kaj mora vsebovati in katere napake se najpogosteje pojavijo pri pripravi.
Zakaj člen 21 ni samo “papirji”
Pogosta zmota je, da je člen 21 birokratska obveznost — seznam dokumentov, ki jih je treba imeti “za inšpektorja”. V resnici so ti dokumenti operativni okvir, na katerem se gradijo ukrepi iz člena 22 (17 obveznih varnostnih ukrepov) in postopki poročanja po členu 30 (incidenti CSIRT v 24/72 ur in 1 mesec).
Če dokumenti niso povezani z dejansko prakso — če jih organizacija “ima”, a po njih ne živi — bo to pri presoji URSIV-a takoj razvidno. Drugačna pa je situacija, ko so dokumenti zgrajeni iz dejanskih procesov, ki jih organizacija že izvaja. Takrat so dokumentacija samo formalizacija obstoječega znanja, ne pa nova obremenitev.
V naši praksi smo pri eni javni instituciji prav s tem pristopom — sočasna priprava dokumentacije za ISO 27001 in ZInfV-1 v eni iteraciji — skrajšali običajen ciklus implementacije iz mesecev na nekaj tednov. Ključ je bil v tem, da smo dokumente strukturirali tako, da hkrati zadostijo obema okviroma, ne dvakrat.
Vseh 8 dokumentov po členu 21
1. Politika informacijske varnosti
Temeljni dokument, ki opredeljuje cilje, namen in zaveze organizacije na področju informacijske varnosti. Mora ga sprejeti vodstvo in se na njegove zahteve sklicujejo vsi ostali dokumenti v sistemu. Je tudi dokument, ki ga URSIV verjetno prebere prvega.
Tipične napake: prepisovanje generičnih predlog brez prilagoditve dejanski organizaciji; manjkajoča formalna potrditev s strani vodstva; brez datuma zadnjega pregleda.
2. Popis informacijskih sredstev
Asset inventory — seznam vseh strojnih, programskih in informacijskih sredstev, ki podpirajo poslovne procese. Vključuje lastništvo, klasifikacijo občutljivosti in povezavo s procesi.
Tipične napake: ta dokument je najbolj podcenjen. Popis se pogosto zaključi pri “Excel z imeni serverjev”. V resnici gre za temelj — brez njega ni mogoče smiselno oceniti tveganj niti načrtovati neprekinjenega poslovanja.
3. Analiza tveganj
Sistematična ocena groženj in ranljivosti, ki vodi do registra tveganj z oceno verjetnosti in vpliva. Mora vsebovati metodologijo (kako se ocene izračunavajo) in jasno opredeljen postopek za obravnavo tveganj.
Tipične napake: ena sama subjektivna ocena brez metodologije; register tveganj, ki se po izdelavi nikoli več ne posodobi; brez povezave s popisom sredstev iz točke 2.
4. Politika in načrt neprekinjenega poslovanja (z BIA)
Politika neprekinjenega poslovanja določa pristop, načrt pa konkretne aktivnosti. Pred načrtom mora obvezno biti analiza vplivov na poslovanje (BIA) — brez nje načrt nima podlage. BIA opredeli, kateri procesi so kritični, kakšna je njihova maksimalno sprejemljiva prekinitev in koliko podatkov si lahko privoščimo izgubiti.
Tipične napake: preskočenje BIA in skok na “imamo backup, smo pokriti”; načrti, ki niso testirani.
5. Načrt obnovitve po nesreči (DRP)
Tehnični dokument, ki opredeljuje kako se po incidentu obnovi delovanje sistemov — postopki, odgovornosti, RTO in RPO ciljne vrednosti. Tesno povezan z BCP iz prejšnje točke, vendar bolj tehnično usmerjen.
Tipične napake: DRP, ki obstaja samo na papirju in ni nikoli bil testiran z dejansko vajo obnovitve.
6. Načrt obvladovanja incidentov
Postopki za zaznavanje, razvrstitev, odzivanje in obnovo po varnostnih incidentih. Mora biti usklajen z obveznostjo poročanja iz člena 30 — incident je treba CSIRT-u sporočiti v 24 urah, podrobnejše poročilo v 72 urah, končno v enem mesecu.
Tipične napake: brez jasnih kriterijev “kaj je incident”; brez seznama kontaktov in eskalacijskih poti; brez sledenja dnevniškim zapisom (člen 24 zahteva hrambo 6 mesecev).
7. Načrt ukrepov informacijske varnosti
Načrt, ki opredeljuje, kako se bo organizacija lotila vseh 17 ukrepov iz člena 22 — od kriptografije in nadzora dostopov do upravljanja dobaviteljev. Je most med tveganji (točka 3) in dejanskimi varnostnimi kontrolami.
Tipične napake: seznam 17 ukrepov brez prioritet, časovnih okvirov in odgovornih oseb; brez merljivih kazalnikov uspeha.
8. Politika presoje
Določa, kako se bo organizacija periodično preverjala — interne presoje, samoocene, zunanje preverbe. Povezana je s členom 25, ki zahteva oceno ali samooceno najmanj enkrat na dve leti.
Tipične napake: politika obstaja, presoje pa nikoli ne potekajo; brez sledljivosti najdb in popravnih ukrepov.
Hitri pregled vseh 8 dokumentov
| # | Dokument | Povezani členi | Prioriteta |
|---|---|---|---|
| 1 | Politika informacijske varnosti | 21 | Visoka |
| 2 | Popis informacijskih sredstev | 21, 22 | Visoka |
| 3 | Analiza tveganj | 21, 25 | Visoka |
| 4 | Politika in načrt NP + BIA | 21, 22 | Srednja |
| 5 | Načrt obnovitve po nesreči (DRP) | 21, 22 | Srednja |
| 6 | Načrt obvladovanja incidentov | 21, 24, 30 | Visoka |
| 7 | Načrt ukrepov informacijske varnosti | 21, 22 | Visoka |
| 8 | Politika presoje | 21, 25 | Srednja |
Prioriteta odraža, katere dokumente je smiselno pripraviti najprej — ker so temelji za ostale (politika, popis sredstev, analiza tveganj) ali ker so povezani s časovno občutljivimi obveznostmi (incidenti).
Konstruktiven pristop do roka
Do roka 19. decembra 2026 je še dovolj časa, če pripravo začnete strukturirano. Nekaj načel iz naše prakse:
Začnite s temelji, ne z dokumenti. Prvi mesec posvetite popisu sredstev in razumevanju procesov. Brez tega bodo vsi nadaljnji dokumenti viseli v zraku.
Združujte tam, kjer je smiselno. Če organizacija razmišlja tudi o ISO 27001, je veliko bolj učinkovito pripraviti dokumentacijo, ki hkrati zadosti obema okviroma. Politika informacijske varnosti, popis sredstev, analiza tveganj — vsi ti dokumenti se prekrivajo med ZInfV-1 in standardom ISO 27001:2022. Z eno iteracijo dobite oboje.
Dokumenti morajo živeti. Vsak dokument potrebuje lastnika, datum zadnjega pregleda in jasen postopek posodabljanja. Brez tega so v dveh letih zastareli in URSIV jih bo prepoznal kot fasado.
Ne pozabite na dnevniške zapise. Člen 24 zahteva hrambo dnevniških zapisov najmanj 6 mesecev. To ni del 8 dokumentov, je pa tehnična predpostavka, brez katere postopki obvladovanja incidentov ne bodo verodostojni.
Sklep
Člen 21 ZInfV-1 ni nemogoča naloga — je strukturirana naloga. Osem dokumentov je v resnici en sistem, ki opisuje, kako organizacija upravlja informacijsko varnost. Če jih pripravite kot ločene papirje, boste imeli osem ločenih problemov. Če jih pripravite kot povezan celoten okvir, boste imeli sistem, ki vam koristi tudi po roku 19. decembra 2026.
Najboljši čas za začetek je zdaj — ne zato, ker se rok bliža, ampak ker je urejena informacijska varnost orodje za boljše poslovanje, ne breme za inšpektorja.