Portal TFL

TFL Vsebine / TFLGlasnik

Tematska zahteva za kibernetsko varnost

O PUBLIKACIJI in AVTORJU
ŠTEVILKA in LETO IZDAJE
Kazalo 1 / 2026
Sirius 202504
AVTOR
mag. Maja Hmelak, magistrica znanosti s področja poslovne informatike, univerzitetna diplomirana ekonomistka, preizkušena notranja revizorka, preizkušena revizorka informacijskih sistemov, CISA, CIA, Računsko sodišče Republike Slovenije
Datum
13.01.2026
Rubrika
Članki
Vir
Revija Sir*ius št. 6/2025
Pravna podlaga
Pravna podlaga
Povezave
Podsistem TAX
Podsistem FIN
Podsistem LEX
Povzetek
V letu 2024 je bil prenovljen Mednarodni okvir strokovnega ravnanja pri notranjem revidiranju (angl. International Professional Practices Framework - IPPF), ki v osrednji del poleg standardov vključuje tudi tematske zahteve (angl. Topical Requirements). Gre za novo, obvezno sestavino okvira, katere namen je izboljšati doslednost, strokovnost in primerljivost notranjerevizijskih poslov na področjih z visoko stopnjo tveganja. Tematske zahteve določajo minimalna osnovna merila za presojo treh ključnih vidikov: upravljanja, obvladovanja tveganj in notranjega kontroliranja. Februarja 2025 je bila izdana prva tematska zahteva, ki se nanaša na kibernetsko varnost, skupaj z obsežnim uporabniškim priročnikom. Tema je še posebej aktualna, ker je Slovenija v letu 2025 sprejela nov Zakon o informacijski varnosti (ZInfv-1), s katerim je bil v nacionalni pravni red prenesen zahteven evropski regulativni okvir - Direktiva (EU) 2022/2555 o ukrepih za visoko skupno raven kibernetske varnosti (NIS 2). Zakon širi krog zavezancev na številne organizacije v javnem sektorju in uvaja obveznosti, kot so imenovanje odgovornih oseb, izvajanje varnostnih ukrepov in poročanje o incidentih. S tem dobiva področje kibernetske varnosti večji pomen tudi z vidika notranje revizije, ki bo morala v prihodnje vse pogosteje presojati, kako organizacije obvladujejo ta tveganja - in ali to počnejo skladno s predpisi. Tematska zahteva za kibernetsko varnost ponuja standardiziran in praktično uporaben okvir, ki je za notranje revizorje lahko orodje za učinkovito in skladno izvedbo revizij na tem zahtevnem področju.
BESEDILO

1. UVOD

Leta 2024 je bil prenovljen Mednarodni okvir strokovnih praks notranjega revidiranja (angl. International Professional Practices Framework, krat. IPPF), ki po novem vključuje tudi element t. i. tematskih zahtev (angl. Topical Requirements). Namen članka je predstaviti prvo, Tematsko zahtevo za kibernetsko varnost, izdano februarja 2025 skupaj z uporabniškim priročnikom (IIA, 2025a; IIA, 2025b), ter jo umetstiti v širši kontekst novega Zakona o informacijski varnosti (ZInfv-1) 1, s katerim je Slovenija prenesla Direktivo (EU) 2022/2555 (NIS 2) v svoj pravni red (Uradni list RS, 2025; Evropska unija, 2022). Poseben poudarek je namenjen vlogi notranje revizije pri organizacijah javnega sektorja in izvajalcih bistvenih storitev, pri katerih bodo zakonske in tematske zahteve imele največji praktični vpliv.

Struktura prispevka je naslednja: najprej so predstavljene tematske zahteve kot nov obvezni element Mednarodnega okvira strokovnega ravnanja pri notranjem revidiranju (IPPF). V nadaljevanju je podrobneje opisana prva tematska zahteva, ki se nanaša na kibernetsko varnost, skupaj z uporabniškim priročnikom. Nato obravnavamo regulativni okvir (NIS 2 in ZInfv-1) in vlogo tematske zahteve pri presoji skladnosti z zakonskimi obveznostmi. Poseben poudarek je namenjen izzivom v praksi in vlogi notranje revizije. V sklepu so povzete ključne ugotovitve s pomenom novega instrumenta za prakso.

2. TEMATSKE ZAHTEVE KOT OBVEZEN DEL IPPF-JA

Prenovljeni IPPF iz leta 2024 sestavljajo trije glavni deli: standardi, tematske zahteve in globalne smernice (The Institute of Internal Auditors, krat. IIA, 2024). Od teh so standardi in tematske zahteve obvezni, medtem ko so globalne smernice priporočljive.

Tematske zahteve so nova sestavina okvira in določajo minimalna osnovna merila, ki jih morajo notranji revizorji uporabiti pri presoji področij z večjo izpostavljenostjo tveganjem. Namenjene so zagotavljanju doslednega, celovitega in primerljivega pristopa k ocenjevanju treh temeljnih vidikov: upravljanja, obvladovanja tveganj in kontrol (IIA, 2024). Ti trije elementi so standardna struktura vseh tematskih zahtev, ne glede na vsebinsko področje, ki ga obravnavajo.

Njihova uporaba je obvezna pri notranjerevizijskih poslih, ki vključujejo podajanje zagotovil, priporočljiva pa je tudi pri svetovalnih storitvah. Notranji revizorji morajo presoditi o ustreznosti posamezne zahteve, to odločitev dokumentirati in pri izključitvi obrazložiti razloge. Tak pristop naj bi zagotavljal transparentnost in sledljivost pri izvajanju notranjerevizijskih poslov.

Vsaka tematska zahteva začne veljati 12 mesecev po izdaji. To pomeni, da morajo notranji revizorji pravočasno zagotoviti njeno upoštevanje pri načrtovanju in izvajanju poslov. Tematske zahteve so tako standardizirano orodje, ki notranjim revizorjem omogoča bolj strukturirano in strokovno presojo na področjih, na katerih so tveganja največja in kakovost notranje revizije še posebej pomembna (IIA, 2024).

V slovenskem prostoru so tematske zahteve IIA-ja vključene na prvo raven Hierarhije pravil notranjega revidiranja, kot je objavljena na spletni strani Slovenskega inštituta za revizijo.

3. TEMATSKA ZAHTEVA ZA KIBERNETSKO VARNOST

Februarja 2025 je IIA izdal prvo tematsko zahtevo, ki se nanaša na področje kibernetske varnosti, skupaj z uporabniškim priročnikom za njeno uporabo (IIA, 2025a; IIA, 2025b). Gre za področje, na katerem so tveganja v sodobnem poslovnem in javnem okolju med največjimi.

Tematska zahteva določa minimalna merila, ki jih mora notranji revizor uporabiti pri presoji treh ključnih vidikov: upravljanja, obvladovanja tveganj in kontrol (IIA, 2025a).

Upravljanje po tej tematski zahtevi vključuje presojo, ali ima organizacija oblikovano formalno strategijo kibernetske varnosti2 z merljivimi cilji, ustrezne politike in postopke ter jasno opredeljene vloge in odgovornosti. V obravnavo kibernetskih groženj in ranljivosti morajo biti vključeni vsi ključni deležniki - ne samo IT3 ali varnostna funkcija. To pomeni, da kibernetska varnost ni zgolj tehnično vprašanje, ampak organizacijsko in strateško področje, v katerega morajo biti vključeni poslovodstvo, služba za IT, človeški viri, pravna služba in skladnost, nabavna služba ter drugi oddelki, ki lahko vplivajo na obvladovanje tveganj. Če je pristop omejen samo na IT, obstaja tveganje, da bodo prezrti drugi pomembni vidiki, kot so pogodbeni odnosi z zunanjimi izvajalci, skladnost s predpisi ali usposobljenost zaposlenih.

Obvladovanje tveganj zajema presojo procesov za prepoznavanje, ocenjevanje, zmanjševanje in spremljanje tveganj kibernetske varnosti. Ključno je, da organizacija tveganja obravnava celovito, določi jasne odgovornosti ter vzpostavi postopke za pravočasno eskalacijo in odzivanje na incidente.

Kontrole se nanašajo na tehnične, organizacijske in fizične ukrepe za zaščito sistemov in podatkov. Sem spadajo upravljanje dostopov, šifriranje, posodabljanje in nadzor naprav, omrežne kontrole, vključevanje varnosti v razvoj programske opreme ter zaščita končnih komunikacijskih točk.

Tematska zahteva poudarja, da mora notranja revizija pri presoji kibernetske varnosti uporabiti celovit pristop, ki vključuje tako strateško raven upravljanja kot operativne vidike obvladovanja tveganj in izvajanja kontrol. Notranjerevizijske naloge na tem področju je treba izvesti v skladu z enotno strukturo, da se zagotovijo večja doslednost, primerljivost rezultatov in učinkovitejša podpora organizacijam pri soočanju z naraščajočimi kibernetskimi grožnjami (IIA, 2025a).

4. UPORABNIŠKI PRIROČNIK - PRAKTIČNA PODPORA NOTRANJIM REVIZORJEM

Skupaj s Tematsko zahtevo za kibernetsko varnost je IIA izdal tudi uporabniški priročnik kot podporo notranjim revizorjem pri razumevanju področja in praktični izvedbi notranjerevizijskih poslov (IIA, 2025b). Namen priročnika je olajšati uporabo zahtev v praksi ter zagotoviti, da se pri presoji kibernetske varnosti upoštevajo najboljše prakse in zberejo ter dokumentirajo ustrezna dokazila.

Priročnik je strukturiran okrog štirih ključnih točk:

  • izvedba - navodila, kako tematske zahteve vključiti v revizijski načrt in kako jih uporabiti pri sami presoji;
  • dokumentiranje in poročanje - zahteve glede evidentiranja presoj in načinov, kako jasno predstaviti morebitne izključitve ali omejitve;
  • zagotavljanje kakovosti usmeritve za ocenjevanje skladnosti notranjerevizijskih poslov s tematskimi zahtevami;
  • poglobljeno razumevanje področja - dodatna pojasnila, ki notranjim revizorjem pomagajo razumeti kompleksnost kibernetske varnosti in kontekst obravnavanih tveganj.

Uporabniški priročnik ima tudi tri priloge. Priloga A vsebuje praktične primere uporabe tematske zahteve. Priloga B prikazuje povezave z drugimi okviri, kot sta NIST4 in COBIT5, kar je uporabno predvsem za organizacije, ki te pristope že uporabljajo. Priloga C pa ponuja orodje za dokumentiranje, ki notranjim revizorjem omogoča sistematično evidentiranje uporabljenih zahtev in razlogov za morebitne izključitve.

Za notranje revizorje je priročnik zelo uporaben. Omogoča jim:

  • jasno strukturo za načrtovanje in izvedbo revizij kibernetske varnosti;
  • podporo pri dokumentiranju skladnosti z zahtevami tematske zahteve in zakonodaje;
  • usmeritve za pripravo kakovostnih poročil, ki bodo kot dokaz skladnosti z ZInfv-1;
  • primere dobre prakse, ki jih lahko neposredno prenesejo v svoje delo.

Priročnik je resnično praktično orodje, ki notranjim revizorjem pomaga, da svoje delo opravijo učinkoviteje, dosledneje in v skladu z najboljšimi praksami na področju kibernetske varnosti.

5. REGULATIVNI OKVIR: NIS 2 IN ZINFV-1

Decembra 2022 je bila sprejeta Direktiva (EU) 2022/2555 o ukrepih za visoko skupno raven kibernetske varnosti v Uniji (NIS 2) (Evropska unija, 2022). Direktiva je zasnovana za izboljšanje odpornosti in pripravljenosti držav članic ter povečanje enotnosti pri obravnavi kibernetskih tveganj v EU-ju. V primerjavi s predhodnico razširja obseg zavezancev, uvaja strožje varnostne ukrepe6 in večji povadarek na odgovornosti poslovodstev ter krepi mehanizme sodelovanja med državami članicami.

Slovenija je NIS 2 prenesla v svoj pravni red s sprejetjem Zakona o informacijski varnosti (ZInfv-1) leta 2025 (Uradni list RS, 2025). Zakon širi krog zavezancev, med njimi tudi izvajalce bistvenih in pomembnih storitev.7 Med njihovimi novimi ključnimi obveznostmi so:

  • imenovanje odgovorne osebe za kibernetsko varnost in komunikacijo s pristojnimi organi;
  • izvajanje tehničnih in organizacijskih varnostnih ukrepov;
  • vzpostavitev postopkov za poročanje o incidentih;
  • letno poročanje o stanju kibernetske varnosti;
  • pogodbeno urejanje odgovornosti pri zunanjih izvajalcih storitev.

Novi ZInfV-1 predvideva stroge sankcije8 tako za organizacije - zavezance kot tudi za njihovo poslovodstvo. To naj bi organizacije spodbujalo k proaktivnemu ravnanju. Za notranje revizorje to pomeni, da bodo morali redno presojati skladnost organizacij z zakonom, predvsem na področjih tematskih zahtev.

6. TEMATSKA ZAHTEVA KOT PRIPOMOČEK ZA PRESOJO SKLADNOSTI Z ZINFV-1

Tematska zahteva za kibernetsko varnost je uporaben okvir, s katerim notranji revizorji lahko začnejo osnovno oceno, ali organizacija izpolnjuje obveznosti iz ZInfv-1, in hkrati zagotovijo, da so revizije izvedene strukturirano in primerljivo.

6.1. Upravljanje

ZInfv-1 zahteva, da organizacije določijo odgovorne osebe, pripravijo strategijo kibernetske varnosti ter zagotovijo ustrezne vire za izvajanje varnostnih ukrepov. Tematska zahteva omogoča notranjim revizorjem, da preverijo, ali so te odgovornosti jasno opredeljene, ali poslovodstvo aktivno spremlja področje in ali so v razpravo vključeni vsi ključni deležniki.

6.2. Obvladovanje tveganj

ZInfv-1 zahteva sistematično prepoznavanje, ocenjevanje in obvladovanje kibernetskih tveganj. Tematska zahteva podpira presojo, ali organizacija izvaja celovit proces upravljanja tveganj, ali so določeni postopki za eskalacijo in ali obstajajo mehanizmi za odzivanje na incidente.

6.3. Kontrole

Zakon določa izvajanje tehničnih in organizacijskih ukrepov, kot so varnost dostopov, varovanje podatkov, zaščita pred incidenti in zagotavljanje neprekinjenega poslovanja. Tematska zahteva omogoča notranjim revizorjem strukturiran okvir za oceno, ali so te kontrole ustrezno vzpostavljene, ali se redno testirajo in dokumentirajo.

S tem lahko notranji revizorji uporabijo tematsko zahtevo kot nekakšen zemljevid za presojo skladnosti z ZInfv-1. Rezultat, h kateremu pri tem stremimo, je dosleden in dokumentiran pristop, ki ne le izpolnjuje zahteve IPPF-ja, temveč tudi zagotavlja praktično podporo organizacijam pri izpolnjevanju zakonskih obveznosti.

Uporabniški priročnik jim je pri tem lahko v veliko praktično pomoč, saj strukturirano obravnava ključne vidike upravljanja, obvladovanja tveganj in kontrol kompleksnega področja kibernetske varnosti. Nekateri odlični primeri skladnosti obeh dokumentov9 so:

  • Uporabniški priročnik predlaga, da organizacija vzpostavi in redno preizkuša postopek odkrivanja, omejevanja, obnove in analize po incidentu. To je skladno z določbami ZInfv-1 o obravnavi in poročanju o kibernetskih incidentih, vključno s postopki za pravočasno eskalacijo in obveščanje pristojnih organov.
  • Uporabniški priročnik predlaga, da so v razpravo o grožnjah in
    ranljivosti vključeni poslovodstvo, služba za IT, človeški viri, pravna služba in služba za zagotavljanje skladnosti, nabava ter drugi. To je skladno z določbami ZInfv-1 o organizacijskih odgovornostih in koordinaciji funkcij, ki zahtevajo sodelovanje vseh relevantnih enot pri upravljanju kibernetske varnosti.
  • Uporabniški priročnik predlaga, da organizacija vzpostavi in redno preizkuša postopek odkrivanja, omejevanja, obnove in analize po incidentu. To je skladno z določbami ZInfv-1 o obravnavi in poročanju o kibernetskih incidentih, vključno s procesi za pravočasno eskalacijo in obveščanje pristojnih organov10.
  • Uporabniški priročnik predlaga, da se zagotovijo notranje kontrole in kontrole pri dobaviteljih ter da je kibernetska varnost vključena v celoten življenjski cikel sredstev in storitev (tudi pri zunanjih izvajalcih). To je skladno z določbami ZInfv-1 o varnosti v dobavni verigi in pogodbenem urejanju odgovornosti.
  • Uporabniški priročnik predlaga vzpostavitev in upravljanje kontrol, kot so konfiguracija in vzdrževanje naprav, šifriranje, popravki, upravljanje dostopov, vključitev varnosti v razvoj (angl. DevSecOps), segmentacija omrežja, požarne pregrade, dostop do omrežja po načelu ničelnega zaupanja11 navidezna zasebna omrežja12, sistem za zaznavanje vdorov13 sistem za preprečevanje vdorov14 ter zaščita e-pošte, spleta, videokonferenc in oblaka. To je skladno z določbami ZInfv-1 o tehničnih in organizacijskih ukrepih za doseganje ustrezne ravni varnosti informacijskih in omrežnih sistemov.
  • Uporabniški priročnik predlaga proces obvladovanja veščin in redno usposabljanje vlog, povezanih s kibernetsko varnostjo. To je skladno z določbami ZInfv-1 o ozaveščanju in usposabljanju zaposlenih ter zagotavljanju ustreznih kadrovskih zmožnosti.

Celoten članek je dostopen za naročnike!