SKLADNOST S PREDPISI · NIS2/ZInfV-1 · GDPR/ZVOP-2 · ZVDAGA · DORA

Skladnost s predpisi

Izvajamo neodvisne revizije in dajemo zagotovila o skladnosti informacijskih sistemov z zahtevami NIS2 in ZInfV-1, GDPR in ZVOP-2, ZVDAGA, DORA ter drugimi predpisi. Revizije izvajajo imetniki naziva aPRIS in CISA, strokovnjaki z izkušnjami v reguliranih sektorjih.

Bistvenim subjektom pomagamo izpolniti obvezne periodične zahteve po NIS2 in ZInfV-1, pomembnim subjektom nudimo podporo pri samoocenitvi, upravam, vodstvu informatike in nadzornim organom zagotavljamo neodvisen vpogled v stanje skladnosti. Ker različni predpisi določajo različne instrumente — formalno revizijo, pregled ali samoocenitev — obseg in vrsto posla vedno prilagodimo regulatornim obveznostim naročnika. Presoje izvajajo nosilci naziva aPRIS in CISA, strokovnjaki z izkušnjami v reguliranih sektorjih.

Kdaj je skladnost s predpisi smiselna in kdaj obvezna

Obveznost presoje skladnosti izhaja iz predpisa, ki zavezuje organizacijo. Ker različni predpisi določajo različne instrumente — formalno revizijo, pregled ali samoocenitev — je ključna prva odločitev: kateri predpis je podlaga za obveznost in kakšen instrument zahteva. Organizacije, ki nimajo zakonske obveznosti, se za presojo lahko odločajo prostovoljno, kadar potrebujejo neodvisen vpogled v stanje skladnosti.

NIS2 in ZInfV-1

Operaterji bistvenih storitev in upravljavci kritične infrastrukture, ki jih Zakon o informacijski varnosti (ZInfV-1) razvršča med bistvene subjekte, so zavezani k periodičnemu preverjanju skladnosti ukrepov za obvladovanje tveganj informacijske varnosti. Preverjanje mora opraviti preizkušeni revizor informacijskih sistemov z nazivom aPRIS, in sicer najmanj vsaki dve leti ali ob večjem varnostnem incidentu.

Pomembni subjekti niso zavezani k zunanji reviziji, temveč k samoocenitvi. Nudimo metodološko in vsebinsko podporo pri njeni izvedbi, vključno s pripravo dokumentacije za morebitni nadzor.

Nadzor nad izvajanjem ZInfV-1 izvaja Urad RS za informacijsko varnost (URSIV).

GDPR in ZVOP-2

Upravljavci in obdelovalci osebnih podatkov morajo vzpostaviti ustrezne tehnične in organizacijske ukrepe za varstvo osebnih podatkov ter biti sposobni izkazati svojo skladnost z načelom odgovornosti. Kadar obdelava podatkov vključuje visoko tveganje za pravice posameznikov, je obvezna izvedba ocene učinka na varstvo podatkov (DPIA). Presoja skladnosti zajema pregled vzpostavljenih ukrepov, evidenc dejavnosti obdelave, ureditve vloge pooblaščene osebe za varstvo podatkov (DPO) ter ustreznosti pogodb z obdelovalci.

Nadzor nad izvajanjem Uredbe (EU) 2016/679 (GDPR) in Zakona o varstvu osebnih podatkov (ZVOP-2) izvaja Informacijski pooblaščenec.

ZVDAGA

Osebe z notranjimi pravili za varstvo dokumentarnega in arhivskega gradiva morajo v skladu z 10. členom Uredbe o varstvu dokumentarnega in arhivskega gradiva (UVDAG) zagotoviti preverjanje izvajanja teh pravil najmanj vsaki dve leti. Preverjanje je lahko notranje ali zunanje, odvisno od opredelitve v notranjih pravilih organizacije.

Zagotavljamo pomoč pri presoji ali izvedbo presoje, ki jo izvaja naš strokovnjak z opravljenim Preizkusom strokovne usposobljenosti za delo z dokumentarnim gradivom, pridobljenim pri Arhivu Republike Slovenije, ki je pristojen tudi za nadzor nad izvajanjem Zakona o varstvu dokumentarnega in arhivskega gradiva ter arhivih (ZVDAGA).

ZEKom-2, DORA in drugi predpisi

Poleg horizontalne regulative področje skladnosti urejajo tudi sektorski predpisi. Ponudniki elektronskih komunikacijskih omrežij in storitev so zavezani k varnostnim zahtevam po Zakonu o elektronskih komunikacijah (ZEKom-2). Nadzor izvaja Agencija za komunikacijska omrežja in storitve RS (AKOS). Finančne institucije so zavezane k zahtevam Uredbe (EU) 2022/2554 (DORA) glede odpornosti informacijskih in komunikacijskih sistemov. Nadzor izvajajo Banka Slovenije, Agencija za zavarovalni nadzor (AZN) in Agencija za trg vrednostnih papirjev (ATVP).

Presojo skladnosti izvajamo tudi po drugih predpisih, ki urejajo varnost, upravljanje ali druge vidike informacijskih sistemov v posameznih sektorjih.

Revizija, pregled ali samoocenitev — kdaj naročiti katerega?

Formalna revizija je primerna, kadar predpis zahteva pisno mnenje preizkušenega revizorja informacijskih sistemov z nazivom aPRIS — kot pri bistvenih subjektih po ZInfV-1 ali pri zunanjih pregledih po ZVDAGA in ZEKom-2. Revizija sledi strukturiranemu postopku z revizijskim načrtom, zbiranjem dokazov in ugotovitvami. Rezultat je revizijsko poročilo, primerno za predložitev nadzornemu organu.

Pregled in drugi postopki dajanja zagotovil so hitrejši in manj formalni postopki, primerni kadar organizacija potrebuje neodvisen strokovni vpogled brez regulatorne obveznosti — pred certifikacijo, ob menjavi ključnih sistemov ali kot podlaga za odločitve vodstva in upravljanje organizacije.

Samoocenitev je instrument za pomembne subjekte po ZInfV-1, ki niso zavezani k zunanji reviziji. Nudimo podporo pri izbiri metodologije, izvedbi in pripravi dokumentacije.

Naš pristop in metodologija

Revizije informacijskih sistemov izvajamo na podlagi pooblastila Zakona o revidiranju (ZRev-2) in v skladu s Hierarhijo pravil revidiranja informacijskih sistemov (Ur. l. RS, št. 40/11, 47/13 in 28/15), ki jo je sprejel Slovenski inštitut za revizijo. Za strokovno izvedbo presoj se opiramo na mednarodni okvir za dajanje zagotovil na področju informacijskih sistemov (ITAF) in po potrebi okvir upravljanja in vodenja informacijskih sistemov COBIT. Sodila izberemo skupaj z naročnikom glede na predpis, ki je podlaga za skladnost. Med standardi, ki jih najpogosteje uporabljamo, so ISO/IEC 27001 in ISO/IEC 27002 za kontrolni okvir informacijske varnosti, ISO/IEC 27005 za obvladovanje tveganj, ISO/IEC 27031 in ISO 22301 za neprekinjenost, ISO/IEC 27701 in ISO/IEC 29134 za zasebnost.

Načrtovanje

Opredelitev obsega in sodil, identifikacija predpisov, ki zavezujejo naročnika, ocena tveganj ter priprava načrta presoje. V tej fazi se z naročnikom uskladimo o terminskem načrtu in pričakovanih rezultatih ter razdelimo odgovornosti.

Presoja

Pregled dokumentacije in politik, intervjuji z odgovornimi osebami ter testiranje vzpostavljenih kontrol. Kadar je to smiselno, presojo dopolnimo z vdornim testiranjem, ki ga izvedemo s preverjenimi podizvajalci. Vsako ugotovitev podpremo z dokazi, ki so del dokumentacije o presoji in so sledljivi.

Poročanje

Poteka v dveh korakih: najprej ključne ugotovitve predstavimo odgovornim osebam in uskladimo razumevanje dejanskega stanja, šele nato izdamo končno poročilo z analizo vrzeli, priporočili za odpravo neskladij in oceno pomembnosti in tveganja.

Spremljanje izvedbe

Priporočamo ga pri vseh poslih s priporočili za izboljšave. Pomeni naknadno preverjanje, ali so bila priporočila izvedena in ali so dosegla pričakovane učinke — in je hkrati naravna podlaga za naslednji revizijski cikel.

Področja preverjanja skladnosti

Skladnost z zahtevami informacijske varnosti
Presoja organizacijskih in tehničnih ukrepov za obvladovanje tveganj informacijske varnosti po zahtevah NIS2 in ZInfV-1. Med drugim zajema upravljanje dostopov, varovanje omrežij in informacijskih sistemov, obvladovanje incidentov ter politike, procese in postopke upravljanja in vodenja informacijske varnosti.
Upravljanje informacijskih sredstev
Popis, klasifikacija in zaščita informacijskih sredstev skladno z ISO/IEC 27001 in ISO/IEC 27002 ter zahtevami NIS2 in ZInfV-1. Pomanjkljivo upravljanje informacijskih sredstev je ena najpogostejših ugotovljenih vrzeli in pogosto izhodišče za sistemska tveganja.
Varstvo osebnih podatkov in zasebnosti
Pregled skladnosti z GDPR in ZVOP-2: evidence dejavnosti obdelave, ureditev vloge pooblaščene osebe za varstvo podatkov (DPO), tehnične kontrole varstva osebnih podatkov, pogodbe z obdelovalci ter izvedba ocene učinka na varstvo podatkov (DPIA) pri tveganih obdelavah.
Varstvo dokumentarnega in arhivskega gradiva
Pregled izvajanja notranjih pravil po zahtevah ZVDAGA in UVDAG. Vključuje periodično preverjanje, ki ga izvaja strokovnjak z opravljenim Preizkusom strokovne usposobljenosti za delo z dokumentarnim gradivom pri Arhivu Republike Slovenije.
Neprekinjenost poslovanja in IT storitev
Pregled načrtov neprekinjenosti in obnove ter njihove usklajenosti z zahtevami NIS2 in ZInfV-1, GDPR in ZVOP-2, ZVDAGA, DORA ter ZEKom-2. Preverimo ustreznost načrtov glede na sodila ISO 22301 in ISO/IEC 27031 ter dejansko pripravljenost organizacije na izpad storitev.
Obvladovanje tveganj informacijske varnosti
Pregled metodologije, registra tveganj in ustreznosti izbranih ukrepov. Opiramo se na ISO/IEC 27005 za tveganja informacijske varnosti in ISO 31000 kot splošni okvir obvladovanja tveganj. Usklajenost z obema okviroma hkrati zmanjšuje podvajanje in krepi celovitost sistema obvladovanja tveganj.
Sektorska regulativa
Presoja skladnosti s sektorskimi predpisi: odpornost informacijskih in komunikacijskih sistemov finančnih institucij po DORA ter varnostne zahteve za ponudnike elektronskih komunikacijskih omrežij in storitev po ZEKom-2. Presojo po potrebi dopolnimo z vdornim testiranjem, ki ga izvedemo s preverjenimi podizvajalci.
Preventivni pregledi pred certifikacijo ali nadzorom
Identifikacija neskladij in ocena pripravljenosti pred zunanjo presojo ali inšpekcijskim nadzorom. Rezultat je akcijski načrt s prednostnim razporedom ukrepov, ki organizaciji omogoča pravočasno odpravo vrzeli in vstop v certifikacijski ali nadzorni postopek z zanesljivim vpogledom v lastno stanje.

Rezultati

Revizijsko poročilo
Glavni rezultat formalne revizije po ZRev-2 in Hierarhiji pravil revidiranja informacijskih sistemov. Ugotovitve so strukturirane v petih elementih: sodila, dejansko stanje, vzrok, posledica in priporočilo. Poročilo je sledljivo in podprto z dokazi ter primerno za predložitev nadzornemu organu — URSIV, Informacijskemu pooblaščencu, Arhivu RS ali sektorskemu regulatorju.
Poročilo o pregledu zagotovil
Rezultat manj formalnega postopka, pri katerem organizacija potrebuje neodvisen strokovni vpogled brez regulatorne obveznosti. Vsebuje ugotovitve o stanju skladnosti, identificirane vrzeli in priporočila za njihovo odpravo.
Samoocenitveno poročilo
Samostojen dokument, strukturno primerljiv s poročilom notranje presoje po ISO 9001 ali ISO/IEC 27001. Vsebuje izpolnjeno metodologijo samoocenitve, analizo ugotovljenih vrzeli in dokumentacijo, primerno za morebitni nadzor URSIV.
Akcijski načrt
Prednostni razpored priporočil z oceno tveganja in predlaganimi roki za odpravo neskladij. Pripravljamo ga kot samostojen dokument ali kot del revizijskega poročila. Naročniku olajša postopno odpravo vrzeli in zagotavlja sledljivost izvedenih ukrepov.
Povzetek za vodstvo
Strnjeni pregled ključnih ugotovitev in priporočil, pripravljen za predstavitev upravi ali nadzornemu organu. Vsebuje oceno stanja skladnosti in prednostna tveganja brez tehničnih podrobnosti.

Kvalifikacije in neodvisnost

Strokovne kvalifikacije

Presoje skladnosti informacijskih sistemov izvajajo kvalificirani strokovnjaki z nazivi:

aPRIS
Aktivni preizkušeni revizor informacijskih sistemov — naziv Slovenskega inštituta za revizijo, vezan na slovenski regulatorni okvir po ZRev-2, stalno strokovno izpopolnjevanje in vpis v javni register SIR. Pogoj za izvajanje obvezne revizije po ZInfV-1.
CISA
Certified Information Systems Auditor — mednarodni naziv ISACA, mednarodno priznan v reguliranih sektorjih. Predpogoj za pridobitev naziva PRIS pri Slovenskem inštitutu za revizijo.
ISO/IEC 27001 vodilni presojevalec
Kvalifikacija za presojo sistemov upravljanja informacijske varnosti, ki dopolnjuje revizijsko delo s formalnim okvirom presojevalca pri poslih, vezanih na ISO/IEC 27001.
Preizkus strokovne usposobljenosti za delo z dokumentarnim gradivom
Kvalifikacija, pridobljena pri Arhivu Republike Slovenije. Pogoj za izvajanje periodičnih pregledov notranjih pravil po UVDAG.

Neodvisnost in nepristranskost

Neodvisnost ni samo pravna lastnost, temveč operativno pravilo. Pri vsakem poslu vnaprej presodimo, ali obstajajo okoliščine, ki bi lahko vplivale na nepristranskost presoje — pretekli poslovni odnosi z naročnikom, sorodstvene ali osebne vezi, finančni interesi ali sodelovanje pri zasnovi obravnavanih sistemov in politik. Če take okoliščine obstajajo, jih razkrijemo in po potrebi naročilo zavrnemo.

Med presojo se izogibamo vsem dejavnostim, ki bi presegale presojo in posegale v odločitve naročnika. Strokovnjak ne soustvarja rešitev, ki bi jih pozneje presojal. Priporočila so usmerjevalna — naročnik sam izbere končne ukrepe.

Zaupnost informacij, ki jih prejmemo pri presoji, je trajna obveza in se ne preneha z zaključkom posla. Dokumentacija o presoji je v naši hrambi ločeno od ostale poslovne dokumentacije in je dostopna le ekipi, ki je nalogo izvajala.

Povpraševanje za skladnost s predpisi

Sprejemamo vaša povpraševanja za predračun, svetovanje glede obsega presoje ali pojasnila glede regulatornih obveznosti. Pri vašem povpraševanju kratko opišite:

  • — vrsto in dejavnost organizacije,
  • — predpis ali standard, ki vas zavezuje ali mu sledite (npr. ZInfV-1, GDPR, ZVDAGA),
  • — vrsto posla, ki vas zanima (revizija, pregled, samoocenitev),
  • — okvirno časovnico.

E-pošta: info@cepris.si

Pogosta vprašanja

Kako vemo, ali smo bistveni ali pomembni subjekt po NIS2 in ZInfV-1?

Razvrstitev temelji na dveh merilih: sektorju delovanja in velikosti organizacije. Bistveni subjekti praviloma delujejo v sektorjih s pomembnim vplivom na družbo — energetika, promet, bančništvo, zdravstvo, digitalna infrastruktura in podobno — in presegajo prag srednje velikega podjetja. Pomembni subjekti delujejo v širšem naboru sektorjev ali so srednje velika podjetja v sektorjih bistvenih subjektov.

Merila za razvrstitev določata NIS2 in Zakon o informacijski varnosti (ZInfV-1); končno razvrstitev potrdi Urad RS za informacijsko varnost (URSIV), ki vodi register zavezancev. Organizacijam, ki niso prepričane o svoji razvrstitvi, priporočamo, da uporabijo interaktivno spletno aplikacijo Ali sem zavezanec po ZInfV-1?, ki upošteva individualne značilnosti organizacije.

Do kdaj moramo prvič opraviti obvezno revizijo po ZInfV-1?

Revizija mora biti opravljena najkasneje v dveh letih od datuma, ko je moral biti zavezanec skladen z Zakonom o informacijski varnosti (ZInfV-1). Ta datum se razlikuje glede na status zavezanca: subjekti, ki so bili zavezanci že po prejšnjih predpisih, imajo drugačno izhodišče kot tisti, ki so postali bistveni subjekti šele z uveljavitvijo ZInfV-1.

Kakšna je razlika med revizijo skladnosti, pregledom zagotovil in samoocenitvijo?

Revizija skladnosti je formalni postopek po Zakonu o revidiranju (ZRev-2) in Hierarhiji pravil revidiranja informacijskih sistemov. Izvaja jo preizkušeni revizor informacijskih sistemov z nazivom aPRIS. Rezultat je revizijsko poročilo z ugotovitvami v petih elementih, ki je primerno za predložitev nadzornemu organu.

Dajanje zagotovil je manj formalen posel z nižjo stopnjo zagotovila, ki ga naroči organizacija, ki potrebuje neodvisen strokovni vpogled brez regulatorne obveznosti — na primer pred certifikacijo, ob menjavi ključnih sistemov ali kot podlaga za odločitev vodstva. Rezultat je poročilo o pregledu brez formalno izraženega revizijskega mnenja o skladnosti.

Samoocenitev je instrument za pomembne subjekte po ZInfV-1, ki niso zavezani k zunanji reviziji. Nudimo metodološko in vsebinsko podporo pri izvedbi. Rezultat je samoocenitveno poročilo, primerno za morebitni nadzor.

Kako poteka samoocenitev za pomembne subjekte in kaj dobimo kot rezultat?

Samoocenitev za pomembne subjekte po ZInfV-1 poteka kot strukturiran postopek preverjanja lastnih ukrepov za obvladovanje tveganj informacijske varnosti. Nudimo podporo pri izbiri metodologije, izvedbi ocenitve in analizi ugotovljenih vrzeli.

Rezultat je samoocenitveno poročilo — samostojen dokument, strukturno primerljiv s poročilom notranje presoje po ISO 9001 ali ISO/IEC 27001. Vsebuje pregled preverjenih zahtev, ugotovljene vrzeli in priporočila za njihovo odpravo. Dokumentacija je pripravljena tako, da jo organizacija ob morebitnem nadzoru URSIV predloži kot dokaz o izpolnjevanju zahtev.

Ali obstaja standard, ki usmerja pripravo ocene učinka na varstvo podatkov (DPIA)?

Standard ISO/IEC 29134 (Information technology — Security techniques — Guidelines for privacy impact assessment) določa metodologijo za pripravo ocene učinka na varstvo podatkov. Pokriva celoten postopek: identifikacijo tveganj za zasebnost, oceno verjetnosti in vpliva, določitev ukrepov za zmanjšanje tveganj ter dokumentiranje postopka in ugotovitev.

Standard se dopolnjuje z ISO/IEC 27701 (Security techniques — Extension to ISO/IEC 27001 and ISO/IEC 27002 for privacy information management), ki vzpostavlja sistemski okvir za upravljanje zasebnosti. Pri presojah DPIA se opiramo na oba standarda skupaj, mnenja, priročnike in pojasnila Informacijskega pooblaščenca in Evropskega odbora za varstvo podatkov (EDPB) ter zahteve Splošne uredbe o varstvu podatkov (GDPR) in Zakona o varstvu osebnih podatkov (ZVOP-2).

Ali neskladje, ugotovljeno pri presoji, prijavimo nadzornemu organu?

Revizijsko poročilo ali poročilo o pregledu zagotovil je naslovljeno na naročnika. Razkritje ugotovitev nadzornemu organu je odločitev naročnika. Revizor ni dolžan prijaviti ugotovljenih neskladij nadzornemu organu.

To je treba ločiti od ločenih zakonskih obveznosti, ki jih imajo organizacije same. NIS2 in ZInfV-1 določata obvezno poročanje o varnostnih incidentih; GDPR in ZVOP-2 določata obvezno obveščanje nadzornega organa o kršitvah varnosti osebnih podatkov. Te obveznosti obstajajo neodvisno od izvedene presoje in praviloma ne nastanejo kot posledica revizijskega postopka.

Kaj se zgodi, če nadzorni organ pri inšpekciji ugotovi neskladje pred našo presojo?

Nadzorni organ ima pri ugotovljenem neskladju pristojnost izreči korektivne ukrepe — od zahteve po odpravi neskladja v določenem roku do globe ali prepovedi opravljanja dejavnosti. Višina sankcij je odvisna od predpisa in resnosti neskladja. NIS2 in ZInfV-1 predvidevata globe, ki so primerljive z globami po GDPR.

Proaktivna presoja bistveno zmanjša to tveganje: organizacija identificira vrzeli in jih odpravi, preden pride do nadzora. Poročilo o izvedeni presoji je hkrati dokaz skrbnega ravnanja, ki ga organizacija predloži nadzornemu organu kot dokazilo o izvedenih ukrepih za zagotavljanje skladnosti.

Ali vdorno testiranje spada v presojo skladnosti in kako je organizirano?

Vdorno testiranje je tehnično preverjanje (testiranje) varnosti informacijskih sistemov in je kot samostojna storitev ločena od presoje skladnosti. Kadar pa je tehnična varnost del obsega presoje — kar je pogosto pri zahtevah NIS2 in ZInfV-1 glede varnosti omrežij in sistemov — ga lahko vključimo v posel kot enega od postopkov testiranja delovanja notranjih kontrol.

Vdorno testiranje v tem primeru naročimo pri preverjenem podizvajalcu. Kot revizor IS ohranimo nadzor nad obsegom, metodologijo in interpretacijo rezultatov, da naročniku izdamo ustrezno zagotovilo z jasno opredeljenim obsegom testiranja in oceno tveganja glede na poslovne in tehnične značilnosti okolja revidiranca. Ugotovitve vdornega testa so v tem primeru neposredno integrirane v revizijsko dokumentacijo in poročilo.