Rahmenwerke

NIS2 in Slowenien: Was ZInfV-1 für Ihre Organisation bedeutet

NIS2 Slowenien-Compliance-Leitfaden zum Zakon o informacijski varnosti. Siehe Geltungsbereich, Managementaufgaben, Risikokontrollen, Meldung von Vorfällen und Schritte zur Umsetzung.

Tuomas Pitkänen
6. Februar 2026
@

Inhalt des Artikels

ISO 27001-Sammlung
NIS2 in Slowenien: Was ZInfV-1 für Ihre Organisation bedeutet
NIS2-Sammlung
NIS2 in Slowenien: Was ZInfV-1 für Ihre Organisation bedeutet
Cyberday Blog
NIS2 in Slowenien: Was ZInfV-1 für Ihre Organisation bedeutet

Slowenien hat die NIS2-Richtlinie der EU durch das Gesetz über Informationssicherheit, ZInfV-1 (Zakon o informacijski varnosti), umgesetzt. In der Praxis setzt ZInfV-1 die Anforderungen von NIS2 in ein slowenisches Regelwerk um: Wer ist betroffen, wie sieht „gute Sicherheit“ aus, wie müssen Vorfälle gemeldet werden und was passiert, wenn eine Organisation die Anforderungen nicht erfüllt?

Das Ziel ist einfach: Das Grundniveau der Cyber-Resilienz in der gesamten slowenischen Wirtschaft anzuheben und Erwartungen durchsetzbar zu machen, statt sie optional zu lassen.

Was ZInfV-1 erreichen will

ZInfV-1 behandelt Cyber-Resilienz als eine Frage der nationalen Zuverlässigkeit und nicht nur als ein IT-Problem. Digitale Störungen können sich schnell auf das Vertrauen der Öffentlichkeit, die wirtschaftliche Stabilität und die Kontinuität wesentlicher Dienste auswirken.

Das Gesetz zwingt Organisationen dazu:

  • Prävention durch Risikomanagement und Kontrollen, bevor Vorfälle eintreten
  • Transparenz durch strukturierte Meldung von Vorfällen
  • Koordinierte Reaktion, damit Behörden und Organisationen schneller reagieren können
  • Verantwortlichkeit der Führungskräfte, Cybersicherheit zu einer Managementaufgabe machen

Dies spiegelt die Kernabsicht von NIS2 in der gesamten EU wider: die Erhöhung der grundlegenden Widerstandsfähigkeit in Sektoren, in denen Störungen weitreichende gesellschaftliche Folgen hätten.

Der praktische Übergang von Leitlinien zu verbindlichen Anforderungen

ZInfV-1 geht über freiwillige Leitlinien hinaus und führt einen strukturierten und durchsetzbaren Rahmen für Risikomanagement, Meldung von Vorfällen und Aufsicht ein. Ziel ist es, einheitliche Mindeststandards für alle Sektoren zu schaffen und gleichzeitig den Organisationen Flexibilität bei der Umsetzung von Kontrollen zu lassen.

Wer fällt unter den Geltungsbereich der ZInfV-1?

Die slowenische Umsetzung der NIS2-Richtlinie folgt der EU-Richtlinie, indem sie sich auf die Unterscheidung zwischen wesentlichen und wichtigen Einrichtungen konzentriert, wobei die Verpflichtungen entsprechend den Auswirkungen und Risiken gestaffelt sind. Sie erweitert den Geltungsbereich über die traditionelle „kritische Infrastruktur“ hinaus, indem sie sich auf die wahrscheinlichen gesellschaftlichen oder wirtschaftlichen Auswirkungen konzentriert, die eine Störung einer Organisation haben würde.

Das Gesetz stützt sich nicht auf eine eng gefasste Liste. Stattdessen wird der Geltungsbereich anhand realistischerer Kriterien bestimmt: Größe, Rolle in der Gesellschaft oder Wirtschaft und Ausmaß der Störungen, die ein Ausfall verursachen würde.

Wesentliche und wichtige Einheiten

Zu den Sektoren, die unter den erweiterten Geltungsbereich fallen, gehören Bereiche wie Energie, Verkehr, Gesundheit, digitale Infrastruktur, öffentliche Verwaltung und private Industriezweige, deren Ausfall erhebliche Folgewirkungen haben könnte.

In diesem Modell geht es bei „kritisch“ nicht nur um die Bezeichnung Ihrer Branche. Digitale Abhängigkeiten können Organisationen aufgrund ihrer Position in einer Wertschöpfungskette oder weil sie viele andere Organisationen unterstützen, kritisch machen.

Ausschlüsse und Verhältnismäßigkeit

ZInfV-1 präzisiert Ausschlüsse und Schwellenwerte. Bestimmte Kleinstunternehmen sind ausgeschlossen, sofern sie keine kritischen Funktionen ausüben. Öffentliche Einrichtungen sind in der Regel einbezogen, was ihre zentrale Rolle bei der Erbringung von Dienstleistungen widerspiegelt.

Die Verhältnismäßigkeit wird im gesamten Gesetz bekräftigt. Die Verpflichtungen sind eher im Sinne des Risikomanagements als in Form starrer technischer Vorschriften formuliert. Kleinere Organisationen müssen möglicherweise weniger strenge Anforderungen erfüllen, während von größeren oder risikoreicheren Unternehmen umfassendere Kontrollen erwartet werden.

Governance: Cybersicherheit wird zur Managementaufgabe

Ein zentraler Grundsatz der ZInfV-1 ist, dass Cybersicherheit eine Frage der Unternehmensführung ist. Das Gesetz weist die Verantwortung ausdrücklich den Führungsgremien zu und erwartet von den Führungskräften, dass sie sich aktiv einbringen und nicht nur nachträglich Budgets genehmigen.

Dies spiegelt eine der zentralen Veränderungen von NIS2 wider: Cybersicherheit ist nicht mehr nur eine technische Verantwortung, sondern eine Verpflichtung auf Vorstandsebene.

Verantwortlichkeit der Führungskräfte

Die oberste Führungsebene muss Maßnahmen zum Cybersicherheits-Risikomanagement genehmigen und deren Umsetzung überwachen. Dadurch wird Cybersicherheit von einem technischen Thema zu einer Priorität der Unternehmensführung.

Von den Führungsgremien wird außerdem erwartet, dass sie sich grundlegende Kenntnisse im Bereich Cybersicherheit aneignen. Das Ziel besteht nicht darin, Führungskräfte zu Sicherheitsingenieuren auszubilden, sondern sicherzustellen, dass sie fundierte Entscheidungen treffen und Lücken aufdecken können.

Richtlinien und interne Kontrollen

Betroffene Organisationen müssen dokumentierte Richtlinien zu Risikobewertung, Vorfallbearbeitung, Geschäftskontinuität und Sicherheit der Lieferkette festlegen. Diese Richtlinien bilden das Rückgrat der Compliance, da sie Absicht, Ansatz und Konsistenz verdeutlichen.

Interne Kontrollen sollten regelmäßig überprüft und aktualisiert werden. Das Gesetz fördert die kontinuierliche Verbesserung, da es berücksichtigt, dass sich Bedrohungen weiterentwickeln und statische Kontrollen schnell an Wirksamkeit verlieren.

Risikomanagementpflichten: Fokus auf Ergebnisse, nicht auf Instrumente

ZInfV-1 verpflichtet betroffene Organisationen, geeignete technische und organisatorische Maßnahmen zum Management von Cybersicherheitsrisiken zu ergreifen. Das Gesetz schreibt keine bestimmten Technologien vor. Stattdessen konzentriert es sich auf Ergebnisse und Resilienzziele.

Dieser Ansatz bietet Flexibilität, erhöht aber auch die Anforderungen an die Begründung Ihrer Entscheidungen. Sie müssen nachweisen, dass die Maßnahmen risikobasiert und für Ihren Kontext wirksam sind.

Kernmaßnahmen zur Sicherheit

Typische Maßnahmen, die gemäß ZInfV-1 zu erwarten sind, umfassen:

  • Zugangskontrolle und Identitätsmanagement
  • Bestandsaufnahme der Vermögenswerte und Kartierung kritischer Systeme
  • Fähigkeiten zur Erkennung und Überwachung von Vorfällen
  • Sicherungsverfahren und Wiederherstellungsplanung
  • Sichere Entwicklungs- und Änderungsmanagementpraktiken

Risikobewertungen sind eine wiederkehrende Verpflichtung. Unternehmen müssen kritische Vermögenswerte identifizieren, Bedrohungen bewerten und Kontrollen implementieren, die das Risiko auf ein akzeptables Maß reduzieren.

Sicherheit der Lieferkette

Ein bemerkenswertes Merkmal des Gesetzes ist seine Betonung der Sicherheit der Lieferkette. Von den betroffenen Organisationen wird erwartet, dass sie die Cybersicherheitslage wichtiger Lieferanten und Dienstleister berücksichtigen.

Das Risiko in der Lieferkette ist ein wichtiges Thema in NIS2, da erkannt wurde, dass viele schwerwiegende Vorfälle mittlerweile eher durch Dritte als durch direkte Angriffe verursacht werden.

Meldung und Reaktion auf Vorfälle: klare Erwartungen

ZInfV-1 führt klare Meldepflichten für Vorfälle ein, die dazu dienen, das nationale Lagebewusstsein und koordinierte Reaktionen zu unterstützen. Dabei soll ein Gleichgewicht hergestellt werden: schnelle Sichtbarkeit für bedeutende Vorfälle, ohne die Behörden mit Meldungen über geringfügige Ereignisse zu überfluten.

Damit dies funktioniert, benötigen Unternehmen sowohl die Bereitschaft zur Meldung als auch interne Prozesse, um Vorfälle durchgängig zu bearbeiten.

Fristen und Schwellenwerte für die Berichterstattung

Betroffene Organisationen müssen der zuständigen Behörde bedeutende Vorfälle innerhalb festgelegter Fristen melden. Die ersten Meldungen konzentrieren sich auf eine frühzeitige Sensibilisierung, gefolgt von detaillierteren Berichten, sobald weitere Informationen verfügbar sind.

Das Gesetz definiert die Bedeutung anhand der Auswirkungen, der Dauer und der geografischen Ausbreitung. Dies hilft Organisationen bei der Entscheidung, wann eine Meldung erforderlich ist, und vermeidet übermäßige Meldungen bei Problemen mit geringen Auswirkungen.

Vorfallbearbeitung und Lernen

Über die Berichterstattung hinaus müssen Organisationen interne Prozesse zur Reaktion auf Vorfälle aufrechterhalten, darunter Erkennung, Eindämmung, Wiederherstellung und Überprüfung nach dem Vorfall.

Das Gesetz fördert implizit eine Lernkultur. Die Analyse nach einem Vorfall sollte in das Risikomanagement einfließen, um Wiederholungen zu reduzieren und die Widerstandsfähigkeit im Laufe der Zeit zu verbessern.

Beaufsichtigung und Durchsetzung

ZInfV-1 benennt die für die Überwachung und Durchsetzung zuständigen nationalen Behörden. Diese Behörden können Informationen anfordern, Inspektionen durchführen und verbindliche Anweisungen erteilen, um sicherzustellen, dass Organisationen ihren Verpflichtungen nachkommen.

Die Aufsicht soll risikobasiert erfolgen, was bedeutet, dass Sektoren und Unternehmen mit größerer Wirkung einer strengeren Kontrolle unterliegen können. Das Gesetz sieht auch Verwaltungsstrafen und Korrekturmaßnahmen bei Verstößen vor, wobei der Schwerpunkt eher auf der Wiederherstellung der Compliance und der Verringerung des systemischen Risikos als auf der Bestrafung allein liegt.

Wie ZInfV-1 mit anderen Anforderungen vereinbar ist

ZInfV-1 (und NIS2 im Allgemeinen) existiert nicht isoliert. Organisationen, die unter das Gesetz fallen, unterliegen bereits überlappenden Verpflichtungen gemäß anderen EU- und nationalen Vorschriften, insbesondere in Bereichen wie Datenschutz, Branchenregulierung und operatives Risikomanagement.

In der Praxis funktioniert die Einhaltung am besten, wenn ZInfV-1 als Teil Ihrer bestehenden Governance-Struktur behandelt wird und nicht als separates Cybersicherheitsprojekt.

Für viele Organisationen sind die wichtigsten Überschneidungen:

  • DSGVO und Datenschutzverletzungen, bei denen Vorfallbearbeitung und Meldeprozesse Hand in Hand gehen müssen
  • Branchenspezifische Regulierungsbehörden, insbesondere in den Bereichen Finanzen, Energie, Verkehr und Gesundheitswesen
  • Programme zur Geschäftskontinuität und operativen Ausfallsicherheit, die häufig bereits die Verfügbarkeit kritischer Dienste abdecken
  • Kontrollen von Lieferanten und Outsourcing, da Risiken durch Dritte nun eine formelle Erwartung gemäß ZInfV-1 sind

ZInfV-1 unterstützt auch die Koordinierung auf EU-Ebene durch Informationsaustausch und grenzüberschreitende Reaktionsmechanismen. Dies ist wichtig, da schwerwiegende Vorfälle Lieferanten, Infrastruktur oder Auswirkungen betreffen können, die über Slowenien hinausgehen.

Die wichtigste Erkenntnis ist einfach: Unternehmen sollten ZInfV-1 in bestehende Compliance- und Risikoworkflows integrieren, anstatt parallele Prozesse von Grund auf neu aufzubauen.

Praktische Auswirkungen: Was ist zuerst zu tun?

Für Organisationen, die NIS2-Verpflichtungen in anderen EU-Ländern erfüllen, wird die ZInfV-1 vertraut sein, da sie über die slowenischen Behörden dieselbe zugrunde liegende Struktur anwendet.

Der Großteil der Compliance-Arbeit wird Änderungen in den Bereichen Governance, Dokumentation und Betriebsabläufe umfassen. Tools können dabei helfen, aber die häufigsten Lücken bestehen in den Bereichen Eigentumsverhältnisse, Nachweise und Wiederholbarkeit.

Ein schrittweiser Ansatz funktioniert gut: Beginnen Sie mit der Governance und den höchsten Risiken und erweitern Sie dann im Laufe der Zeit den Umfang und die Reife.

Ein praktischer Startplan könnte wie folgt aussehen:

  1. Bestätigen Sie, ob Sie gemäß ZInfV-1 wahrscheinlich eine wesentliche oder wichtige Einrichtung sind.
  2. Zuweisung klarer Zuständigkeiten (Aufsicht durch den Vorstand/die Geschäftsleitung sowie ein verantwortlicher operativer Eigentümer).
  3. Formalisieren Sie die Grundlagen: Risikomanagement, Reaktion auf Vorfälle, Geschäftskontinuität, Sicherheitserwartungen an Lieferanten.
  4. Führen Sie eine Risikobewertung durch, die sich auf reale Dienste und Vermögenswerte bezieht, und priorisieren Sie anschließend die Lücken.
  5. Testen Sie die Arbeitsabläufe für die Reaktion auf Vorfälle und die Berichterstattung, damit Zeitpläne und Eskalationen realistisch sind.
  6. Überprüfen Sie Lieferanten, die die Verfügbarkeit, Integrität oder Vertraulichkeit wichtiger Dienste beeinträchtigen können.

FAQs

Gilt ZInfV-1 für meine Organisation?

Wenn Sie in einem wesentlichen oder wichtigen Sektor tätig sind und Ihre Störung erhebliche gesellschaftliche oder wirtschaftliche Auswirkungen haben könnte, fallen Sie möglicherweise in den Geltungsbereich. Größe, Funktion und Risikoprofil sind in der Regel Teil der Bewertung. Kleine Organisationen können dennoch einbezogen werden, wenn sie kritische Funktionen erfüllen.

Was ist die größte Veränderung gegenüber den bisherigen Erwartungen?

Verantwortlichkeit und Durchsetzbarkeit. Die ZInfV-1 macht Cybersicherheit zu einer Managementaufgabe und führt Aufsichts-, Kontroll- und Korrekturbefugnisse ein. Außerdem erweitert sie den Anwendungsbereich über eine kleine Gruppe von Betreibern hinaus.

Müssen wir bestimmte Standards oder Tools verwenden, um die Vorschriften einzuhalten?

Im Allgemeinen nein. Das Gesetz ist ergebnisorientiert und technologieneutral. Sie können Standards und Tools wählen, die zu Ihrer Umgebung passen, solange Sie risikobasierte Maßnahmen und Nachweise dafür vorlegen können, dass Kontrollen implementiert und aufrechterhalten werden.

Was sollten wir priorisieren, wenn wir bei Null anfangen?

Beginnen Sie mit Governance und Grundlagen: Weisen Sie Verantwortlichkeiten zu, dokumentieren Sie wichtige Richtlinien (Risiko, Reaktion auf Vorfälle, Kontinuität, Lieferantensicherheit), führen Sie eine realistische Risikobewertung in Bezug auf Dienstleistungen und Vermögenswerte durch und testen Sie die Bearbeitung und Meldung von Vorfällen, damit Sie auch unter Druck die Fristen einhalten können.