← Vsi članki
Varnost

NIS2 direktiva: kaj mora narediti vaše podjetje do konca 2026

17. junij 20264 min branja
Avtor: Matej Spevan / CreateAI. Članek temelji na praktičnih SEO, GEO in AI implementacijah za slovenska podjetja.

NIS2 (Network and Information Security Directive 2) je bila v slovensko zakonodajo prenesena z Zakonom o informacijski varnosti (ZInfV-1). Za mnoga slovenska podjetja to pomeni konkretne zahteve — od upravljanja tveganj do poročanja incidentov. Kazni za neskladnost: do 10 milijonov EUR ali 2 % letnega prihodka.

Koga zavezuje NIS2

NIS2 se razdeli na bistvene (essential) in pomembne (important) subjekte.

Bistveni subjekti (Essential entities)

Podjetja v sektorjih kritične infrastrukture z 250+ zaposlenimi ali prihodkom 50M+ EUR:

  • Energetika (elektro, plin, nafta)
  • Promet (letališča, pristanišča, železnice)
  • Bančništvo in finančne tržne infrastrukture
  • Zdravstvo (bolnišnice, laboratoriji)
  • Digitalna infrastruktura (DNS, TLD, oblak, CDN, podatkovna središča)
  • Javna uprava

Pomembni subjekti (Important entities)

Manjša podjetja (50–249 zaposlenih, prihodek 10–49M EUR) v teh sektorjih:

  • Poštne in kurirske storitve
  • Ravnanje z odpadki
  • Kemična industrija
  • Prehrambena industrija
  • Proizvodnja (medicinskih pripomočkov, računalnikov, vozil)
  • Digitalni ponudniki (spletne tržnice, iskalniki, platforme)

Pozor: Nekatere MSP so zavezane ne glede na velikost, če so edini dobavitelji kritičnih storitev ali so del oskrbovalne verige bistvenih subjektov.

10 zahtev NIS2

1. Politike upravljanja tveganj (Risk management policies)

Vzpostaviti morate dokumentiran sistem za identifikacijo, ocenjevanje in upravljanje kibernetskih tveganj. Vključuje:

  • Analizo tveganj vsaj enkrat letno
  • Register tveganj
  • Plane odziva na incidente

2. Varnostne politike za informacijske sisteme

Pisna varnostna politika, ki pokriva: dostopne pravice, upravljanje gesel, šifriranje podatkov, varnostno kopiranje.

3. Upravljanje incidentov

Rok poročanja incidentov:

  • 24 ur: zgodnje opozorilo pristojnemu organu (SI-CERT)
  • 72 ur: vmesno poročilo z oceno vpliva
  • 1 mesec: končno poročilo

Incident = vsaka motnja, ki bistveno vpliva na storitve.

4. Varnost v dobavni verigi

Ocena varnostnih praks vaših dobaviteljev in pogodbenikov. Varnostne zahteve morajo biti del pogodb z dobavitelji IT storitev.

5. Varnost omrežij in sistemov

Minimalni tehnični ukrepi:

  • Segmentacija omrežja
  • Firewall in IDS/IPS sistemi
  • Zaščita pred DDoS napadi
  • Varno upravljanje konfiguracij

6. Kriptografija in šifriranje

Šifriranje podatkov v mirovanju in prenosu. Upravljanje kriptografskih ključev.

7. Upravljanje dostopa (IAM)

Multi-faktorska avtentikacija (MFA) za vse sistemske dostope. Princip minimalnih pravic (least privilege). Revizija dostopnih pravic vsaj dvakrat letno.

8. Varnostno kopiranje in poslovna kontinuiteta

Redno testiranje varnostnih kopij (vsaj enkrat letno). Plan za obnovo po katastrofi (DRP). RTO in RPO definirani in testirani.

9. Usposabljanje zaposlenih

Dokumentirano kibernetsko usposabljanje vsaj enkrat letno za vse zaposlene z dostopom do sistemov. Simulacije phishing napadov priporočene.

10. Upravljanje ranljivosti

Redna pregledava in posodabljanje sistemov. Postopek za upravljanje varnostnih popravkov (patch management). Dokumentirani postopki za odpravo ranljivosti.

Odgovornost vodstva

NIS2 uvaja osebno odgovornost vodstva. Direktor oziroma uprava mora:

  • Odobriti ukrepe kibernetske varnosti
  • Biti osebno odgovorna za izvajanje
  • Opraviti usposabljanje o kibernetski varnosti

To pomeni: ni dovolj delegirati varnost IT oddelku. Direktor mora razumeti tveganja in odobriti ukrepe.

Kazni

Kategorija Maksimalna kazen
Bistveni subjekti 10M EUR ali 2 % letnega prometa
Pomembni subjekti 7M EUR ali 1,4 % letnega prometa
Fizična oseba (direktor) Do 125.000 EUR

Poleg denarnih kazni: javna objava kršitelja, začasna prepoved opravljanja vodstvenih funkcij.

Kako AI pomaga pri NIS2 skladnosti

AI za zaznavanje groženj

On-premise AI sistemi analizirajo omrežni promet in zaznajo anomalije v realnem času — brez pošiljanja podatkov v oblak. Primerno za zdravstvo, financirano in javni sektor.

Avtomatizirano poročanje incidentov

AI asistent pomaga pri sestavljanju poročil za SI-CERT v zahtevanem formatu in roku. Zmanjša ročno delo pri dokumentiranju.

Upravljanje tveganj z AI

Sistemi za samodejno kategorizacijo in prioritizacijo varnostnih tveganj. Manj časa za analizo, hitrejše odločanje.

RAG chatbot za varnostno usposabljanje

Interni AI chatbot za usposabljanje zaposlenih — gostuje na vaši infrastrukturi, dostopen 24/7, dokumentira opravljeno usposabljanje.

Praktični akcijski načrt za slovenska podjetja

Faza 1 — Ocena stanja (1–2 meseca)

  1. Preverite, ali ste zavezanec (bistveni ali pomembni subjekt)
  2. Opravite analizo vrzeli (gap analysis) glede na NIS2 zahteve
  3. Določite odgovorno osebo za kibernetsko varnost

Faza 2 — Politike in postopki (2–3 mesece)

  1. Pripravite pisno varnostno politiko
  2. Vzpostavite register tveganj
  3. Dokumentirajte postopke za upravljanje incidentov

Faza 3 — Tehničen ukrepi (3–6 mesecev)

  1. Implementirajte MFA za vse ključne sisteme
  2. Vzpostavite segmentacijo omrežja
  3. Testirajte varnostne kopije

Faza 4 — Usposabljanje in nadzor (tekoče)

  1. Izvedite usposabljanje zaposlenih
  2. Vzpostavite redni nadzor sistemov
  3. Letna revizija in posodabljanje politik

Kje poiskati pomoč v Sloveniji

  • SI-CERT (cert.si): Slovenian Computer Emergency Response Team — brezplačne smernice
  • NAKVIS (nakvis.si): Nacionalni akreditacijski organ
  • Varuh informacij (ip-rs.si): Za presek NIS2 in GDPR
  • GZS (gzs.si): Delavnice za podjetja

Kdaj začeti

NIS2 je pravno zavezujoča. Implementacija zahteva čas — povprečno 6–12 mesecev za vzpostavitev ustreznih sistemov in politik. Podjetja, ki začnejo zdaj, bodo zmogla implementirati ukrepe postopoma brez paničnega reševanja pred inšpekcijo.

Za oceno, kateri NIS2 ukrepi so za vaše podjetje prioritetni, in za svetovanje o implementaciji ustreznih AI varnostnih rešitev, stopite v stik z nami.

Sorodni članki

Varnost
GDPR v zdravstvu: kako varno uvajati AI brez kršitev
Kako zdravstvene organizacije v Sloveniji varno uvajajo AI rešitve v skladu z GDPR in NIS2. On-premise AI modeli, anonimizacija, DPA pogodbe. Praktičen vodič.

Potrebujete pomoč pri implementaciji?

Brezplačen 30-minutni posvet z našo ekipo.

Brezplačen posvet →