EY Pravne novice, april 2024

NOVOSTI IN SPREMEMBE NA PODROČJU SOODLOČANJA DELAVCEV PRI ČEZMEJNIH ZDRUŽITVAH, ČEZMEJNIH DELITVAH IN ČEZMEJNIH PREOBLIKOVANJIH KAPITALSKIH DRUŽB TER NA PODROČJU INFORMACIJSKE VARNOSTI

V nadaljevanju vas obveščamo o novostih in spremembah na področju soodločanja delavcev pri čezmejnih združitvah, čezmejnih delitvah in čezmejnih preoblikovanjih kapitalskih družb ter na področju informacijske varnosti.

SPREJET ZAKON O SOODLOČANJU DELAVCEV PRI ČEZMEJNIH ZDRUŽITVAH, ČEZMEJNIH DELITVAH IN ČEZMEJNIH PREOBLIKOVANJIH KAPITALSKIH DRUŽB

Dne 2. 4. 2024 je državni zbor sprejel nov Zakon o soodločanju delavcev pri čezmejnih združitvah, čezmejnih delitvah in čezmejnih preoblikovanjih kapitalskih družb (v nadaljevanju “ZSDČPKD”), s katerim se v slovenski pravni red prenaša določbe mobilnostne direktive, ki urejajo soodločanje delavcev v organih vodenja ali nadzora kapitalske družbe, ki je nastala s čezmejno združitvijo, delitvijo ali preoblikovanjem.

Ključne novosti, ki jih zakon ureja so:

• Pri vseh čezmejnih operacijah se glede pravic do soodločanja delavcev primarno uporablja notranja zakonodaja države članice, kjer ima družba, ki nastane s čezmejno operacijo, svoj sedež.
• Zaveza k sklenitvi sporazuma o soodločanju med delavci in poslovodstvi družb. V primeru, da sporazum med stranema ni dosežen so minimalna pravila glede ureditve soodločanja delavcev v organih vodenja in nadzora določena v zakonu.
• Določen je rok za izvolitev članov posebnega pogajalskega telesa, in sicer deset tednov.
• Pravica do soodločanja delavcev je varovana tudi v primerih naknadnih čezmejnih operacij, podaljšan je tudi rok varovanja te pravice, na štiri leta od dneva registracije družbe.

PREDLOG NOVELE ZAKONA O INFORMACIJSKI VARNOSTI

Dne 18. 3. 2024 se je končala javna obravnava glede predloga novega Zakona o informacijski varnosti (v nadaljevanju »ZInfV-1«), ki ga je pripravil Urad Vlade Republike Slovenije za informacijsko varnost. Področje kibernetske varnosti je do sedaj urejal Zakon o informacijski varnosti (v nadaljevanju »ZInfV«), ki je bil sprejet leta 2018.

Glavni namen ZInfV-1 je uskladitev slovenske zakonodaje z evropsko zakonodajo, in sicer Direktivo (EU) 2022/2555 Evropskega parlamenta in Sveta z dne 14. decembra 2022 o ukrepih za visoko skupno raven kibernetske varnosti v Uniji, spremembi Uredbe (EU) št. 910/2014 in Direktive (EU) 2018/1972 ter razveljavitvi Direktive (EU) 2016/1148 (v nadaljevanju »NIS 2«).

Ključne spremembe, ki bi jih na podlagi trenutnega osnutka novi predlog ZInfV-1 določal so:

• Izvajalec bistvene ali pomembne storitve se mora prepoznati sam in ga ne določa več vlada, kot ga je do sedaj.
• Uvajajo se visoke kazni za opustitev dolžnega ravnanja pri zagotavljanju informacijske varnosti.
• Uvaja se odgovornost za hudo malomarnost pri upravljanju kibernetskih tveganj.
• Od poslovodstev se v primeru kibernetskega incidenta zahteva osebno odgovornost.
• Poslovodstvo bo moralo redno izvajati ocene varnostnih tveganj, odobriti načrte za njihovo odpravo in znižanje stopnje tveganj ter se po novem na tem področju tudi redno izobraževati.
• V primeru kibernetskega napada bo subjekt moral v roku 24 ur poročati centru za obveščanje in v 72 urah pripraviti celostno poročilo, ki mora vsebovati oceno incidenta, resnost in vpliv ter kazalnike varnostne ogroženosti.
• Zakon opredeljuje, kdo so zavezanci in jih deli na bistvene in pomembne subjekte.
• Med bistvene subjekte sodijo velike organizacije iz panog energija, promet, bančništvo, zdravje, pitna voda, odpadna voda, digitalna infrastruktura, upravljanje storitev IKT ter javna uprava in vesolje, ki imajo vsaj 250 zaposlenih in letno prodajo vsaj 50 milijonov evrov oziroma letno bilančno vsoto vsaj 42 milijonov evrov.
• Med pomembne subjekte sodijo srednje organizacije z vsaj 50 zaposlenimi in letno prodajo oziroma bilančno vsoto vsaj 10 milijonov evrov iz že navedenih sektorjev, ter srednje in velike organizacije iz panog poštne in kurirske storitve, ravnanje z odpadki, izdelava, proizvodnja in distribucija kemikalij, pridelava, predelava in distribucija živil, proizvodnja, digitalni ponudniki in raziskave.
• Bistveni subjekti bodo deležni rednih revizij, ki jih bodo izvajali inšpektorji za informacijsko varnost.
• Nadzorni organ lahko ob kršitvi zakona bistvenemu subjektu začasno prekliče certifikat ali dovoljenje za del ustreznih storitev ali začasno prepove izvajanje dejavnosti ali za vse storitve ali dejavnosti, ki jih opravlja bistveni subjekt.
• Nadzorni organ lahko zahteva začasno prepoved opravljanja vodstvenih funkcij vsem osebam, ki za bistveni subjekt opravljajo poslovodne naloge na ravni glavnega izvršnega direktorja ali pravnega zastopnika.
• Novi zavezanci bodo morali vzpostaviti sistem upravljanja informacijske varnosti ISO/IEC 27001 ali sistem vodenja neprekinjenega poslovanja ISO 22301 oziroma tistega, ki bi bil za naravo njihove dejavnosti najbolj primeren.