POVZETEK
Članek obravnava pomen sistematičnega upravljanja informacijske varnosti v organizacijah s poudarkom na standardu ISO/IEC 27001 in direktivi NIS2. Namen raziskave je bil preučiti, kako slovenska podjetja, tako v javnem kot zasebnem sektorju, pristopajo k izpolnjevanju teh zahtev. Rezultati intervjujev kažejo, da imajo zasebna podjetja bolj razvit sistem ISMS in večjo ozaveščenost o regulativah. Javne ustanove zaostajajo predvsem zaradi pomanjkanja kadrov in sredstev. Primerjava z drugimi raziskavami potrjuje, da so naši izzivi podobni tistim v EU. V članku so predstavljene tudi konkretne težave ter priložnosti za izboljšave. Poudarjen je pomen podpore vodstva, usposabljanja zaposlenih in notranjih presoj. Raziskava je še posebej dragocena za strokovnjake s področja informacijske varnosti, presojevalce, svetovalce in odločevalce. Članek prispeva k boljšemu razumevanju stanja in spodbuja oblikovanje
Ključne besede: informacijska varnost, ISO/IEC 27001, NIS2, ISMS, analiza tveganj, kibernetski incidenti, skladnost, varnostna politika
ABSTRACT
This article examines the importance of a systematic approach to information security in organizations, focusing on ISO/IEC 27001 and the EU NIS2 Directive. The purpose of the study was to explore how Slovenian organizations from both public and private sectors approach the implementation of these requirements. Findings show that private companies demonstrate a higher level of preparedness, structured ISMS practices, and stronger management involvement. Public institutions lag behind, mostly due to limited resources and staffing constraints. Interviews revealed that most organizations are still in the early stages of aligning with NIS2, which aligns with previous research in this field. The study also identified positive trends, especially in the private sector, where information security is increasingly recognized as a strategic priority. Compared to other studies, Slovenia faces similar challenges as other EU countries but has opportunities for progress. The article contributes to the professional community by linking theory with real-world practices and highlighting practical insights from the field. It is particularly relevant for IT professionals, auditors, risk managers, and decision- makers in both the public and private sectors.
Keywords: information security, ISO/IEC 27001, NIS2, ISMS, risk assessment, cybersecurity incidents, compliance, security policy
INFORMACIJSKA VARNOST
Informacijska varnost je v sodobni digitalni dobi postala eno izmed ključnih področij upravljanja v organizacijah. S hitrim razvojem informacijske tehnologije, vse večjo digitalizacijo poslovanja in razmahom kibernetskih groženj se podjetja, tako javna kot zasebna, soočajo z naraščajočimi tveganji, ki lahko ogrozijo zaupnost, celovitost in razpoložljivost informacij. Posledično postaja upravljanje informacijske varnosti ne le tehnična, temveč tudi strateška naloga vsakega podjetja. V tem kontekstu se vse več organizacij odloča za uvedbo mednarodno priznanega standarda ISO/IEC 27001, ki zagotavlja strukturiran pristop k vzpostavitvi sistema za upravljanje informacijske varnosti (ISMS). Poleg tega pa direktiva NIS2, ki jo je sprejela Evropska unija, prinaša dodatne varnostne zahteve za podjetja v kritičnih sektorjih, kot so energetika, zdravstvo in digitalna infrastruktura. Informacijska varnost je postala strateška domena, ki presega zgolj tehnološka vprašanja – vpliva namreč na poslovno kontinuiteto, zaupanje strank, ugled organizacije in skladnost z zakonodajo. Upravljanje informacijske varnosti vključuje vzpostavitev procesov in kontrol za zaščito zaupnosti, celovitosti in razpoložljivosti informacij ter obsega celoten življenjski cikel obravnave varnostnih tveganj. Brez celovitega pristopa (kot ga ponuja ISMS) se organizacije soočajo z razdrobljenimi varnostnimi ukrepi in večjo verjetnostjo resnih incidentov.
Tako v javnih kot zasebnih organizacijah so v igri občutljivi podatki – od osebnih podatkov državljanov in tajnih državnih informacij do intelektualne lastnine in finančnih evidenc podjetij.
Za učinkovito upravljanje informacijske varnosti podjetja pogosto uvajajo sisteme za upravljanje informacijske varnosti (ISMS), ki temeljijo na mednarodnih standardih, kot je ISO/IEC 27001. Ti sistemi omogočajo strukturiran pristop k identifikaciji, oceni in obvladovanju varnostnih tveganj.
Poleg tehničnih rešitev, kot so požarni zidovi, protivirusna zaščita in šifriranje podatkov, je ključnega pomena tudi ozaveščanje zaposlenih. Človeški dejavnik namreč pogosto predstavlja najšibkejši člen v verigi informacijske varnosti. Izobraževanja in usposabljanja zaposlenih o varni rabi informacijskih sistemov ter prepoznavanju potencialnih groženj so zato nepogrešljiv del celovite varnostne strategije (Inovis, 2021).
Uvedba formalnega upravljanja informacijske varnosti omogoča organizacijam, da proaktivno obvladujejo tveganja in se odzivajo na spreminjajočo se krajino groženj. Standardi, kot je ISO/IEC 27001, ponujajo strukturiran okvir za prepoznavanje in varovanje ključnih sredstev, medtem ko direktiva NIS2 postavlja zakonske zahteve za izboljšanje kibernetske odpornosti v kritičnih sektorjih v EU. V nadaljevanju predstavljamo standard ISO/IEC 27001 in direktivo NIS2 ter njuno vlogo pri krepitvi informacijske varnosti v praksi.
Standard ISO/IEC 27001 predstavlja osrednji mednarodni okvir za sistematično upravljanje informacijske varnosti in je bil razvit z namenom, da organizacijam omogoči zaščito podatkov pred izgubo, zlorabo ali nepooblaščenim dostopom. Gre za standard, ki določa zahteve za vzpostavitev, izvajanje, vzdrževanje in nenehno izboljševanje sistema za upravljanje informacijske varnosti (ISMS). Temelji na modelu PDCA (Plan-Do-Check-Act), kar pomeni, da organizacije načrtujejo ukrepe, jih izvajajo, spremljajo njihovo učinkovitost in na podlagi tega uvajajo izboljšave. Ključnega pomena pri tem je, da ISMS ne zajema le tehničnih, temveč tudi organizacijske in kadrovske ukrepe (ISO/IEC 27001:2022).
Od svoje prve izdaje leta 2005 (posodobitve so sledile leta 2013 in nazadnje 2022) je ISO/IEC 27001 doživel široko globalno sprejetost. Po podatkih ISO je bilo do leta 2022 po svetu izdanih prek 70.000 certifikatov ISO 27001 v 150 državah (ISO, 2022), kar odraža zaupanje organizacij v ta okvir. Standard ni omejen le na zasebni sektor; uporablja se v industriji, finančnem in zdravstvenem sektorju, pa tudi v vladnih agencijah in neprofitnih organizacijah. Celo državni organi se zatekajo k ISO 27001, da bi zaščitili občutljive podatke in okrepili skladnost – implementacija standarda v javnem sektorju lahko npr. zmanjša število varnostnih incidentov za do 70% (Edwards, 2023), s čimer se dviguje raven zaupanja javnosti in zagotavlja izpolnjevanje zakonodajnih obveznosti.
Pomembna značilnost ISO 27001 je možnost neodvisne certifikacije. Organizacije lahko pridobijo certifikat, če uspešno vzpostavijo ISMS v skladu s standardom in prestanejo zunanjo presojo akreditiranega certifikacijskega organa. Takšna certifikacija deluje kot potrditev
ISO/IEC 27001 je zasnovan dovolj splošno, da se lahko prilagodi različnim sektorjem, vendar obenem ponuja nabor kontrol (podrobneje opisanih v spremljajočem standardu ISO/IEC 27002), ki pokrivajo širok razpon varnostnih ukrepov – od tehničnih (npr. šifriranje, nadzor dostopa) do organizacijskih (varnostne politike, kadrovska varnost, zavedanje zaposlenih). Standard promovira kulturo varnosti v organizaciji, saj poudarja vodstveno podporo, jasno določene odgovornosti in vključevanje celotnega kolektiva v varovanje informacij.
Vzpostavitev ISMS se prične z določitvijo obsega sistema, kjer organizacija identificira, katere informacije, procesi in informacijski sistemi bodo vključeni. Sledi temeljita analiza tveganj, pri kateri se identificirajo grožnje, ranljivosti in posledice potencialnih varnostnih incidentov. Na podlagi rezultatov analize se določijo varnostne politike in kontrolni mehanizmi. Ti lahko vključujejo različne oblike tehničnih in organizacijskih ukrepov, kot so omejevanje dostopov do občutljivih podatkov, uvedba večfaktorske avtentikacije, šifriranje podatkov v mirovanju in prenosu ter redno izvajanje varnostnih kopij. Vendar sama uvedba teh ukrepov še ni dovolj. Za dolgoročno učinkovitost je nujno stalno spremljanje, revidiranje in izboljševanje sistema, saj se varnostna tveganja nenehno spreminjajo in razvijajo (ENISA, 2023).
Pomemben vidik ISO 27001 predstavlja tudi vzpostavitev politike informacijske varnosti, ki določa osnovna načela in usmeritve glede ravnanja z informacijami znotraj organizacije. V praksi to pomeni, da mora organizacija določiti, kako bo obravnavala zaupnost, celovitost in razpoložljivost informacij. Zaupnost se nanaša na to, da so podatki dostopni le pooblaščenim osebam; celovitost zagotavlja, da informacije ostanejo nespremenjene in točne; razpoložljivost pa pomeni, da so informacije in sistemi dostopni takrat, ko jih uporabniki potrebujejo. Politika mora biti ustrezno komunicirana zaposlenim in drugim deležnikom, kot so pogodbeni partnerji in zunanji izvajalci, ter podprta z ustreznimi usposabljanji in ozaveščanjem (SANS Institute, 2022).
Direktiva NIS2 (Direktiva (EU) 2022/2555) je zakonodajni akt Evropske unije, sprejet konec leta 2022, ki nadgrajuje prvo direktivo NIS iz leta 2016. Njen namen je dvigniti skupno raven kibernetske varnosti v EU z okrepljenimi varnostnimi zahtevami in mehanizmi nadzora za širok nabor organizacij. Za razliko od ISO 27001, ki je prostovoljen standard, je NIS2 obvezujoča zakonodaja – države članice jo morajo implementirati v nacionalne predpise (rok za prenos je oktober 2024), zavezane organizacije pa morajo izpolnjevati njene zahteve.
Direktiva NIS2, ki je bila sprejeta leta 2022 kot odgovor na hitro rastoča tveganja na področju kibernetske varnosti, pa predstavlja pomemben regulatorni okvir na ravni Evropske unije. Nadgrajuje prvo direktivo NIS in razširja področje uporabe na večji spekter subjektov. Ne gre več zgolj za velike ponudnike storitev, temveč tudi za manjše subjekte, ki imajo pomembno vlogo v svojih sektorjih. Obveznosti po NIS2 vključujejo izvajanje rednih ocen kibernetskih tveganj, sprejetje ukrepov za njihovo obvladovanje ter poročanje o varnostnih incidentih v
Poleg tega NIS2 poudarja pomen pripravljenosti na incidente, kar vključuje oblikovanje odzivnih ekip, izvedbo simulacij napadov, testiranje načrtov odziva in sodelovanje z nacionalnimi organi za kibernetsko varnost. Poseben poudarek daje tudi sodelovanju in izmenjavi informacij med organizacijami, saj se je v praksi pokazalo, da izolirani pristopi pogosto niso dovolj učinkoviti. Direktiva tako pospešuje oblikovanje bolj koherentnega in sodelovalnega evropskega varnostnega okolja (ENISA, 2023).
NIS2 ciljno zajema ključne sektorje in storitve, ki so kritičnega pomena za družbo in gospodarstvo. V prilogah k direktivi so opredeljeni sektorji visoke kritičnosti (npr. energetika, transport, bančništvo, zdravstveni sektor, digitalna infrastruktura, javna uprava) in dodatni pomembni sektorji (npr. proizvodnja, poštne storitve, odpadne vode, prehrana) (KPMG, 2023). Zavezanci so razdeljeni na bistvene subjekte (essential entities) in pomembne subjekte (important entities). Merilo za razvrstitev je predvsem velikost in vpliv: večja podjetja v kritičnih sektorjih in javni organi (npr. organi javne uprave) spadajo med bistvene subjekte, katerih motnje bi lahko imele resne posledice za družbo. Bistveni subjekti so podvrženi proaktivnemu nadzoru s strani pristojnih organov, medtem ko se pomembni subjekti nadzorujejo reaktivno – praviloma ob prijavi incidenta ali neskladnosti (KPMG, 2023). S tem želi NIS2 zagotoviti sorazmernost nadzora glede na tveganje, hkrati pa pokriti tudi širši krog srednje velikih podjetij, ki prej morda niso bila regulirana. Direktiva našteva minimalne ukrepe, ki vključujejo med drugim: redno izvajanje ocen tveganj in varnostnih politik, uvajanje kontrol šifriranja in upravljanja ranljivosti, vzpostavitev načrtov za obvladovanje incidentov in neprekinjeno poslovanje, okrepljeno varovanje dobaviteljske verige ter usposabljanje zaposlenih in osnovna kibernetska higiena. Pomemben poudarek je tudi na obveznem poročanju incidentov: zavezanci morajo v primeru resnih incidentov podati začetno prijavo (t. i. zgodnje opozorilo) najpozneje v 24 urah, podrobnejše poročilo v 72 urah in končno poročilo v enem mesecu (). Namen teh zahtev je pospešiti izmenjavo informacij o grožnjah in omogočiti hitrejšo skupno odzivanje na incidente na ravni EU.
NIS2 uvaja še en pomemben vidik, ki presega okvire standarda ISO 27001 – osebno odgovornost vodstva. Vodstveni organi zavezancev (npr. člani uprav) morajo po NIS2 neposredno odobriti in nadzirati ukrepe informacijske varnosti ter se ustrezno usposabljati na tem področju. Če podjetje svoje obveznosti hudo krši, so predvidene sankcije, ki lahko vključujejo tudi osebno odgovornost ali začasno razrešitev članov uprave (). Ta določba odseva spoznanje, da je kibernetska varnost tudi vprašanje upravljavske kulture in odgovornosti na najvišji ravni, ne zgolj domena IT-oddelkov.
Zahteve ISO 27001 in NIS2 se na številnih točkah dopolnjujejo. Medtem ko ISO 27001 nudi metodološki okvir za notranjo ureditev varnostnega sistema in postopkov, NIS2 določa pravno zavezujoče obveznosti, ki spodbujajo podjetja k aktivni implementaciji in poročanju. Skupno pa imata oba pristopa enak cilj: povečati odpornost organizacij na informacijske in kibernetske grožnje, zagotoviti neprekinjeno poslovanje in okrepiti zaupanje strank ter partnerjev. V
INFORMACIJSKA VARNOST V PODJETJIH: PRAKTIČNI VIDIK
V empiričnem delu smo izvedli polstrukturirane intervjuje s predstavniki petih organizacij – treh iz zasebnega in dveh iz javnega sektorja. Intervjuji so bili zasnovani z namenom celostnega razumevanja stanja informacijske varnosti v praksi. Udeleženci so odgovarjali na vprašanja, ki so se nanašala na organizacijsko ureditev področja varnosti informacij, implementacijo in poznavanje standarda ISO/IEC 27001, pripravljenost na zahteve direktive NIS2, pogostost in metodologijo izvajanja analiz tveganj ter odzivne zmogljivosti organizacije v primeru varnostnega incidenta.
V organizacijah iz zasebnega sektorja smo zaznali visoko stopnjo ozaveščenosti in pripravljenosti. Vsa tri podjetja so ISO 27001 že implementirala ali pa so bila v zaključni fazi certificiranja. Njihov pristop temelji na sistematični in dolgoročni varnostni strategiji, ki vključuje jasno definirane odgovornosti, dokumentirane varnostne politike, tehnične in organizacijske kontrolne mehanizme ter celovit načrt odzivanja na incidente. Vodstva teh podjetij aktivno sodelujejo pri razvoju varnostnih strategij, saj razumejo, da dobra informacijska varnost ni strošek, temveč pogoj za stabilno in zaupanja vredno poslovanje. Zaposleni so redno usposabljani in seznanjeni z aktualnimi grožnjami, podjetja pa izvajajo notranje varnostne preglede in redno osvežujejo postopke. Poleg tega uporabljajo napredna orodja za zaznavanje anomalij, avtomatizacijo odzivov in beleženje dogodkov, kar jim omogoča hitro ukrepanje ob zaznanih incidentih.
V javnem sektorju je bila slika precej drugačna. Obe sodelujoči instituciji sta potrdili, da se zavedata pomembnosti informacijske varnosti, vendar se pri uvajanju sistemskega pristopa soočata s številnimi omejitvami. Pomanjkanje finančnih sredstev, kadrovskih virov ter tehnične podpore je glavni zaviralni dejavnik pri vzpostavitvi celovitega ISMS. Čeprav imajo osnovne varnostne mehanizme, kot so protivirusna zaščita in varnostne kopije, pogosto nimajo formalno sprejetih in implementiranih varnostnih politik. Prav tako se analiza tveganj izvaja zgolj ob spremembah v informacijskem sistemu, ne pa kot redna praksa. V določenih primerih odgovornost za informacijsko varnost ni jasno opredeljena, kar vodi v neenotne pristope in večje operativno tveganje.
Pri vprašanju o poznavanju in pripravljenosti na direktivo NIS2 smo ugotovili, da je zavedanje o prihajajočih zahtevah še vedno nizko, predvsem v javnem sektorju. Le eno od podjetij iz zasebnega sektorja je že vzpostavilo notranje postopke in oblikovalo strukturo za odzivanje in poročanje o incidentih v skladu z NIS2. Ostali sodelujoči so potrdili, da se bodo z implementacijo ukrepov začeli ukvarjati šele v naslednjem proračunskem obdobju. V vseh organizacijah, tako javnih kot zasebnih, pa obstaja potreba po dodatnem ozaveščanju, predvsem glede rokov poročanja, obveznosti dokazovanja ustreznosti ukrepov in možnih sankcij ob neskladnosti.
Intervjuji so jasno pokazali, da obstajajo pomembne razlike v pripravljenosti in pristopu k informacijski varnosti med posameznimi sektorji. Medtem ko podjetja iz zasebnega sektorja
SKLEPNE UGOTOVITVE IN ZAKLJUČEK
Rezultati izvedene raziskave so pokazali pomembne razlike v pristopih in pripravljenosti organizacij glede upravljanja informacijske varnosti. Zasebna podjetja so izkazala bolj razvit sistemski pristop, ki temelji na standardu ISO/IEC 27001, ter večje poznavanje in zavedanje o prihajajočih regulativah, kot je direktiva NIS2. Javne ustanove pa so pogosto zaostajale zaradi omejenih sredstev, pomanjkanja kadra in odsotnosti sistematičnega pristopa k informacijski varnosti. Naše ugotovitve so primerljive z raziskavo Radanlieva in De Roureja (2019), ki poudarjata pomen vodenega in strukturiranega sistema ISMS, ki mora temeljiti na sodelovanju vseh ravni zaposlenih, predvsem pa na zavezanosti vodstva. Enako velja za rezultate raziskave Deloitte (2022), ki opozarja, da podjetja z uvedenim ISMS lažje obvladujejo kibernetska tveganja in hitreje vzpostavijo postopke za odzivanje na incidente. Ugotovitve Fakultete za varnostne vede Univerze v Mariboru (2021) se potrjujejo v našem primeru, saj javne ustanove in manjša podjetja pogosto nimajo formaliziranih postopkov, analiz tveganj ali strategij za dolgoročno varnost.
Primerjava z omenjenimi raziskavami kaže, da se Slovenija sooča s podobnimi izzivi kot druge evropske države, vendar pa obstajajo tudi pomembne priložnosti. Mednje sodijo zlasti dvig ozaveščenosti o pomenu informacijske varnosti, načrtovanje vlaganj v kadrovski razvoj in vzpostavitev spodbudnega okvira za uvajanje ISMS v javnem sektorju. Naši intervjuji so pokazali, da obstaja pozitivna dinamika, predvsem v zasebnem sektorju, kjer se organizacije vse bolj zavedajo, da je informacijska varnost ključni element poslovne stabilnosti, konkurenčnosti in zaupanja strank.
Članek predstavlja pomemben prispevek za strokovno javnost, saj ponuja analitičen pregled razmer na področju upravljanja informacijske varnosti v slovenskih organizacijah. Predstavlja sintezo med teoretičnimi zahtevami in praktičnimi izkušnjami iz različnih sektorjev ter s tem prispeva k razumevanju trenutnega stanja, potreb in možnosti za izboljšave. S tem se ustvarjajo temelji za oblikovanje nacionalnih strategij in strokovnih smernic, ki bi lahko prispevale k višji stopnji odpornosti organizacij proti kibernetskim grožnjam.
Raziskava je še posebej pomembna za strokovnjake, ki delujejo na področju informacijske varnosti, kot so IT menedžerji, varnostni inženirji, presojevalci skladnosti, svetovalci za upravljanje tveganj in odločevalci v javni upravi. Rezultati nudijo konkreten vpogled v stanje na terenu in opozarjajo na potrebo po proaktivnih in sistematičnih ukrepih, ki bodo omogočili dolgoročno odpornost organizacij v digitalni dobi. Za nadaljnje raziskovanje ostaja predlog, da se podrobneje preučijo specifične potrebe posameznih sektorjev, analizirajo uspešnosti različnih modelov implementacije ISMS in spremljajo rezultati uvajanja ukrepov, zahtevanih po NIS2, po njihovem uveljavljanju. Poudarek bi bilo smiselno nameniti tudi preučevanju vpliva organizacijske kulture na varnostne prakse ter vlogi stalnega izobraževanja zaposlenih pri krepitvi varnostne ozaveščenosti.
Za konec naj poudarimo, da je pomembno omeniti še družbeni in mednarodni kontekst: kibernetska varnost je globalna tema, standardi kot ISO 27001 in zakonodaje kot NIS2 pa so del širših prizadevanj za varnejši digitalni svet. Stalne raziskave so potrebne, da bomo razumeli, kako se grožnje razvijajo (npr. porast napadov na dobaviteljske verige, vpliv kvantnega računalništva na šifriranje) in kako morajo evoluirati tudi naše prakse upravljanja varnosti. Oblikovanje politik naj sledi principu proaktivnosti in sodelovanja: proaktivno predvidevati prihodnje izzive (npr. vključiti varnostne zahteve v razvoj novih tehnologij že vnaprej) in sodelovanje med vsemi deležniki – industrijo, vladami, akademsko sfero – da se doseže usklajen in učinkovit odziv. Le tako bomo lahko dosegli visoko raven informacijske varnosti, kjer standardi in predpisi ne bodo videni kot breme, temveč kot osnova zaupanja in inovacij v digitalni družbi.
LITERATURA
Deloitte. (2022). The Future of Cyber Survey. Pridobljeno na:. [26. 4.2025].
Edwards, M. (2023). ISO 27001 for the Government Sector. Pridobljeno na https://www.isms.online/sectors/iso-27001-for-the-government- sector/#:~:text=Recent%20studies%20indicate%20a%20significant,27001%2C%20governme nt%20agencies%20not%20only. [28. 3.2025].
Fakulteta za varnostne vede UM. (2021). Analiza zrelosti informacijske varnosti v malih in srednjih podjetjih v Sloveniji.
Hickey, M. (2023). Federal Cybersecurity vs. Private: How Do Agencies Stack Up? FedTech Magazine. Pridobljeno na. [28. 3.2025].
Humayun, M., et al. (2020). Cybersecurity Frameworks and Standards: A Literature Review. Journal of Information Security and Applications, 51, 102355.
ENISA. (2023). Threat Landscape Report. European Union Agency for Cybersecurity. Pridobljeno na:. [26. 4.2025].
European Commission. (2022). Directive (EU) 2022/2555 on measures for a high common level of cybersecurity (NIS2 Directive). Pridobljeno na:. [27. 3.2025].
Inovis.si. (2021). Informacijska varnost podjetja je močna toliko, kolikor je močan njen najšibkejši člen. Pridobljeno na. [23. 4.2025].
ISO/IEC 27001:2022, Information Security Management Systems. International Organization for Standardization. Pridobljeno na:. [26. 4.2025].
NIS2Directive.eu (2023). NIS2 Requirements – 10 Minimum Measures. Pridobljeno na. [26. 3.2025].
Radanliev, P., De Roure, D. (2019). Integration of Cybersecurity Frameworks, Models and Approaches for Building Design Principles for the Internet-of-Things in Industry 4.0. Journal of Cyber Security Technology, 3(2), 65–84.
SANS Institute. (2022). Best Practices for Incident Response. Pridobljeno na:. [25. 4.2025].