Zakon v Prilogi I opredeljuje naslednje visoko kritične sektorje: energija, promet, bančništvo, infrastruktura finančnega trga, zdravje, pitna voda, odpadna voda, digitalna infrastruktura, upravljanje storitev IKT, javna uprava in vesolje. Subjekti v teh sektorjih, ki izpolnjujejo kriterije glede velikosti, so podvrženi najvišjim zahtevam tako s stroškovnega, administrativnega kot organizacijskega vidika. Gre za sektorje, ki jih določa kot visoko kritične tudi evropska zakonodaja. TZS se strinja s sistemsko ureditvijo kibernetske varnosti v navedenih sektorjih in vključitvijo ključnih deležnikov glede na njihovo velikost oziroma pomen v sektorju. Člani Upravnega odbora TZS so v razpravi na omenjeni seji izpostavili problematiko interpretacije zakona, ko bi trgovska podjetja v maloprodaji zgolj zaradi sončnih panelov na strehah ali električnih polnilnih mest na parkiriščih morala izpolnjevati zahteve za visoko kritični sektor, čeprav trgovina na drobno kot sektor vanj sicer ne spada.
Na zbornici ocenjujemo, da so tovrstne zahteve za trgovce nesorazmerne in v nekaterih primerih neizvedljive. Izpostavljamo pomen pravilne implementacije evropskih direktiv, ki slovenskim podjetjem ne bo povzročala slabšega konkurenčnega položaja, in predlagamo, da se pri opredelitvi bistvenega subjekta upošteva glavna dejavnost družbe, kot je to po razpoložljivih informacijah predvideno v Avstriji. Predsednica TZS mag. Mariča Lah je še enkrat več opozorila, da Slovenija evropske direktive pogosto prenaša v pravni red prekomerno, člani upravnega odbora pa so izrazili pomisleke glede skladnosti prenosa evropske direktive v slovenski pravni red glede na izkušnje v drugih državah članicah EU. Kot so povedali člani tudi Hrvaška na tem področju za trgovino ne predvideva takšnih zahtev.
Direktor urada dr. Uroš Svete je na seji pojasnil, da zakon temelji na izkušnjah in posledicah kibernetskih napadov, ki na globalni ravni povzročajo ogromno škodo. Opozoril je, da je vrsta malih in srednjih podjetij zaradi stroškov kibernetskih napadov že pristala v stečaju. Slovenija je sicer zamujala pri prenosu direktive, vendar po sprejemu zakona spada med tisto polovico držav članic, ki so jo doslej že prenesle v svoj pravni red. Na Uradu so sicer naklonjeni nadaljnji razpravi o zakonu ter jasnemu spremljanju izvajanja zakona v praksi skozi redna srečanja, ocene in izvajanje, podana pa je bila tudi informacija, da aktualno na EU ravni poteka priprava sprememb NIS 2 direktive, v okviru t.i. Omnibusov za poenostavitve evropske zakonodaje.
V razpravi so bila s strani TZS podana tudi nekatera konkretna vprašanja. Postavljeno je bilo vprašanje o smiselnosti določanja sektorjev, v kolikor se pri interpretaciji zakonodaje ne upoštevajo ustrezno in se zajema subjekte, ki velikostne kriterije dosegajo v drugih dejavnostih. Nadalje, ali se v primeru, da ima podjetje več odgovornih oseb, lahko obveznega usposabljanja na Uradu udeleži le odgovorna oseba podjetja, ki je pristojna za področje kibernetske varnosti, ali se mora teh usposabljanj obvezno udeležiti celotno vodstvo podjetja. Opozorjeno je bilo, da se v praksi nejasnosti pojavljajo tudi pri kriterijih za velikost podjetja. NIS 2 direktiva namreč navaja, da so bistveni subjekti tisti iz Priloge I (visoko kritični sektorji), ki presegajo zgornje, na EU ravni določene meje za srednja podjetja, medtem ko iz slovenskega zakona ta kriterij ni jasen, oziroma gredo pojasnila urada v smeri, da so v te obveznosti vključena tudi srednja podjetja, ki se na zbornico že obračajo s konkretnimi vprašanji.
Konkurenčni pogoji na enotnem evropskem trgu
Problematika razvrščanja subjektov v energetski sektor je predmet razprav tudi na evropski ravni. Pomočnik direktorja urada Kory Golob je pojasnil, da so morebitne spremembe direktive odvisne od Evropske komisije, ki bi lahko dopustila višjo mero prožnosti pri prenašanju v pravni red držav članic. Urad pri zasnovi zakona ni posegal v gospodarski del, kot ga določa direktiva, saj ta akt obravnava notranji trg Evropske unije (EU) kot enoten prostor, z namenom zagotavljanja primerljivih pogojev za vse gospodarske subjekte v Uniji in preprečiti izkrivljanje konkurence zaradi različnih nacionalnih standardov. Če bodo druge države članice uspele prenesti blažje oblike direktive, ki jih bo potrdila Evropska komisija, ima Slovenija po besedah pomočnika direktorja urada utemeljen argument, da se ponovno pregleda implementacija te direktive v Sloveniji, skupaj s komisijo.
Navajamo, da področje kibernetske varnosti na TZS postavljamo med prioritetne vsebine za vsa podjetja za večanje njihove odpornosti na potencialne incidente, še naprej bomo, tako kot smo to počeli že doslej, tudi v okviru regijskih srečanj s člani, to tematiko vključevali v vse naše dogodke. Ob navedenem bo TZS pozorno spremljala implementacijo zakonodaje v drugih državah članicah EU. Naše vodilo ostaja, da slovenski trgovci ne smejo biti v slabšem položaju kot njihovi konkurenti. Če se bo izkazalo, da druge članice uvajajo prožnejše rešitve, bomo na to opozorili vse pristojne organe in vztrajali na ustrezni prilagoditvi slovenskih pogojev, tudi preko Omnibusov. Pravična konkurenca na enotnem evropskem trgu je pogoj za preživetje in poslovanje tudi naših podjetij, zato bo zbornica pri tem dosledno zasledovala interese slovenske trgovine.
Rok za samoregistracijo zavezancev po ZInfV-1 je 19. december 2025. Članom, ki so ob uveljavitvi ZInfV-1 izpolnjevali merila za zavezance iz 6. (zavezanci) in 7. člena (bistveni in pomembni subjekti) ZInfV-1, predlagamo, da pravočasno opravijo samoregistracijo ter se v primeru dvomov ali vprašanj obrnejo na strokovno službo TZS ali pa neposredno na Urad RS za informacijsko varnost.
Vir/Foto: TZS
