Tematska zahteva za kibernetsko varnost

V letu 2024 je bil prenovljen Mednarodni okvir strokovnega ravnanja pri notranjem revidiranju (angl. International Professional Practices Framework – IPPF), ki v osrednji del poleg standardov vključuje tudi tematske zahteve (angl. Topical Requirements). Gre za novo, obvezno sestavino okvira, katere namen je izboljšati doslednost, strokovnost in primerljivost notranjerevizijskih poslov na področjih z visoko stopnjo tveganja. Tematske zahteve določajo minimalna osnovna merila za presojo treh ključnih vidikov: upravljanja, obvladovanja tveganj in notranjega kontroliranja. Februarja 2025 je bila izdana prva tematska zahteva, ki se nanaša na kibernetsko varnost, skupaj z obsežnim uporabniškim priročnikom. Tema je še posebej aktualna, ker je Slovenija v letu 2025 sprejela nov Zakon o informacijski varnosti (ZInfv-1), s katerim je bil v nacionalni pravni red prenesen zahteven evropski regulativni okvir – Direktiva (EU) 2022/2555 o ukrepih za visoko skupno raven kibernetske varnosti (NIS 2). Zakon širi krog zavezancev na številne organizacije v javnem sektorju in uvaja obveznosti, kot so imenovanje odgovornih oseb, izvajanje varnostnih ukrepov in poročanje o incidentih. S tem dobiva področje kibernetske varnosti večji pomen tudi z vidika notranje revizije, ki bo morala v prihodnje vse pogosteje presojati, kako organizacije obvladujejo ta tveganja – in ali to počnejo skladno s predpisi. Tematska zahteva za kibernetsko varnost ponuja standardiziran in praktično uporaben okvir, ki je za notranje revizorje lahko orodje za učinkovito in skladno izvedbo revizij na tem zahtevnem področju.

mag. Maja Hmelak

SIR*IUS 6/2025