Ako se u vašoj organizaciji još vodi rasprava je li NIS2 tema za IT ili za upravu, već ste na pogrešnom početku. Pitanje tko mora biti usklađen s NIS2 nije tehničko, nego regulatorno i poslovno pitanje – s vrlo konkretnim posljedicama za odgovornost uprave, upravljanje rizicima, dobavljački lanac i dokazivanje usklađenosti.
NIS2 ne pogađa samo nekoliko očito kritičnih industrija. U praksi zahvaća znatno širi krug srednjih i velikih subjekata nego što mnogi očekuju, osobito kada posluju u sektorima koji podupiru ključne društvene i gospodarske funkcije. Zato je prva zadaća svake organizacije realno utvrditi pripada li opsegu obveze, umjesto da pretpostavi da se pravila odnose na nekoga drugoga.
Tko mora biti usklađen s NIS2
Najkraći odgovor glasi: subjekti koji djeluju u propisanim sektorima i zadovoljavaju kriterije veličine ili važnosti. No upravo je taj drugi dio često presudan. Nije dovoljno pogledati samo djelatnost iz registra i zaključiti da obveza postoji ili ne postoji. Potrebno je analizirati stvarne usluge koje organizacija pruža, njezinu ulogu u lancu pružanja usluga te regulatorni status prema nacionalnim propisima koji prenose NIS2.
Direktiva razlikuje bitne i važne subjekte. Ta podjela nije samo formalna. Ona utječe na očekivanu razinu nadzora, regulatornu pažnju i operativnu ozbiljnost koju organizacija mora pokazati. U obje skupine vrijedi isto osnovno načelo – ako pružate uslugu čiji prekid, kompromitacija ili degradacija može značajno utjecati na korisnike, partnere, javne funkcije ili gospodarstvo, vjerojatnost da ulazite u NIS2 okvir značajno raste.
U hrvatskom kontekstu odluka se ne bi smjela temeljiti na internom dojmu, nego na strukturiranoj procjeni usklađenosti sa Zakonom o kibernetičkoj sigurnosti i pripadajućim podzakonskim pravilima. To je posebno važno za granične slučajeve, gdje se organizacija ne doživljava kao kritična infrastruktura, ali faktično pruža uslugu bez koje drugi subjekti ne mogu održati kontinuitet poslovanja.
Koji su sektori obuhvaćeni NIS2 obvezama
NIS2 obuhvaća tradicionalno regulirane i digitalno intenzivne sektore. U pravilu se radi o energetici, prometu, bankarstvu, infrastrukturi financijskog tržišta, zdravstvu, pitkoj vodi, otpadnim vodama, digitalnoj infrastrukturi, upravljanim ICT uslugama, javnoj upravi i svemiru. Uz njih, u širem krugu obuhvata nalaze se i poštanske i kurirske usluge, gospodarenje otpadom, proizvodnja, proizvodnja i distribucija kemikalija, prehrambeni sektor te određene digitalne platforme i pružatelji digitalnih usluga.
Za upravu i compliance timove ovdje je ključna jedna stvar: naziv sektora ne govori uvijek dovoljno. Primjerice, proizvodna tvrtka možda ne misli da je dio kibernetički kritičnog ekosustava, ali ako proizvodi komponente za medicinsku opremu, energetiku ili farmaceutsku industriju, njezina izloženost regulatornim očekivanjima može biti znatno viša od očekivane. Slično vrijedi i za pružatelje upravljanih usluga, data centre, cloud operatore, MSP-ove i druge tehnološke subjekte koji podupiru rad većeg broja organizacija.
Kod zdravstva, financija i telekomunikacija dileme su obično manje. Ti sektori već imaju razvijenu regulatornu kulturu, jasnije zahtjeve i višu razinu svijesti o potrebi formalnog upravljanja sigurnošću. Veći izazov javlja se u sektorima koji nisu tradicionalno percipirani kao “cyber-regulirani”, ali prema NIS2 ipak ulaze u opseg.
Veličina subjekta nije jedini kriterij
Jedna od najčešćih pogrešaka jest pojednostavljeni zaključak da se NIS2 odnosi samo na velike sustave. Veličina jest važna, ali nije jedini kriterij. U pravilu se polazi od srednjih i velikih subjekata, no postoje iznimke kada i manji subjekti mogu biti obuhvaćeni – primjerice zbog posebne važnosti za određeni sektor, zbog monopolske pozicije, prekograničnog značaja ili zato što bi incident imao nesrazmjerno velik učinak.
To znači da organizacija ne može sigurnost prepustiti isključivo kriteriju broja zaposlenih ili prihoda. Ako ste mala ili specijalizirana organizacija koja upravlja ključnom infrastrukturom, obrađuje osjetljive podatke u visoko reguliranom okruženju ili pruža uslugu koju drugi ne mogu lako zamijeniti, pitanje obuhvata treba procijeniti vrlo pažljivo.
S druge strane, nisu svi srednji i veliki subjekti automatski unutar obveze. Potrebno je utvrditi i sektorsku pripadnost te prirodu usluge. Upravo zato je početna procjena opsega jedna od najvažnijih faza. Pogrešna procjena na početku kasnije proizvodi pogrešan budžet, pogrešne prioritete i neadekvatne dokaze za nadzor.
Kada organizacija “vjerojatno” ulazi u obuhvat
Ako vaša organizacija djeluje u sektoru navedenom u NIS2, ima srednju ili veliku veličinu prema relevantnim kriterijima i pruža uslugu čiji prekid može poremetiti širi ekosustav, vjerojatnost obuhvata je visoka. Dodatni signal je postojanje ugovornih ili regulatornih zahtjeva od strane klijenata, nadležnih tijela ili partnera koji od vas već traže formalne sigurnosne kontrole, planove odgovora na incidente i dokumentirano upravljanje rizicima.
Ako ste dio dobavljačkog lanca subjekata koji već jesu očito obuhvaćeni, praksa pokazuje da će se zahtjevi prelijevati i na vas. Ne nužno zato što ste formalno jednako tretirani, nego zato što tržište i nadzor sve manje toleriraju sigurnosne praznine kod ključnih dobavljača.
Tko mora biti usklađen s NIS2, a često to ne prepoznaje na vrijeme
Najviše propuštenih procjena pojavljuje se kod tehnoloških dobavljača, specijaliziranih proizvođača i organizacija koje upravljaju važnim procesima “iza kulisa”. To su društva koja ne komuniciraju izravno s krajnjim korisnicima, ali omogućuju rad bolnica, energetskih operatora, javnih tijela, farmaceutskih lanaca ili financijskih institucija.
Druga rizična skupina su grupacije s više povezanih društava. Na razini pojedinog pravnog subjekta može izgledati da kriteriji nisu ispunjeni, ali kada se analizira operativna stvarnost, zajednički sustavi, centralizirane funkcije i kritičnost usluge, slika postaje drukčija. Upravo tu dolazi do podcjenjivanja obveza i odgađanja usklađivanja dok regulatorni rokovi već teku.
Treća skupina su organizacije koje već imaju ISO certifikate ili interne sigurnosne politike pa pretpostavljaju da su time “pokrile” NIS2. Dobar sustav upravljanja sigurnošću svakako pomaže, ali NIS2 traži specifično povezivanje mjera, odgovornosti, upravljačkog nadzora, prijave incidenata i revizijskih dokaza. Certifikat može biti dobra baza, ali nije zamjena za regulatorno mapiranje obveza.
Što usklađenost stvarno znači u operativnom smislu
Biti obuhvaćen NIS2 ne znači samo napisati politiku i održati jednu edukaciju. Usklađenost podrazumijeva da organizacija može dokazati kako upravlja rizicima kibernetičke sigurnosti, kako donosi upravljačke odluke, kako štiti sustave i podatke, kako prati dobavljače te kako detektira, prijavljuje i sanira incidente.
Za upravu to znači veću osobnu odgovornost i potrebu za stvarnim nadzorom nad provedbom mjera. Za CISO-a i IT menadžera to znači uspostavu procesa koji su mjerljivi, ponovljivi i dokazivi. Za compliance, internu reviziju i risk management to znači da sigurnost više nije izdvojena tehnička domena, nego formalni dio regulatornog upravljanja.
Praktično gledano, organizacija mora znati odgovoriti na nekoliko pitanja bez improvizacije: koje obveze se na nju odnose, koje su mjere već uspostavljene, gdje postoje praznine, koji su prioriteti sanacije i gdje se nalaze dokazi da je sve to doista provedeno. Ako se odgovori na ta pitanja prikupljaju kroz nepovezane Excel tablice, e-mailove i ad hoc dokumente, proces će prije ili kasnije postati prespor i nepouzdan.
Kako procijeniti odnosi li se NIS2 na vašu organizaciju
Najsigurniji pristup je strukturirana samoprocjena opsega i obveza. Ona treba obuhvatiti sektorsku kvalifikaciju, analizu veličine, pregled usluga, kritičnost procesa, ovisnosti u dobavljačkom lancu te mapiranje na nacionalni regulatorni okvir. Tek nakon toga ima smisla prelaziti na detaljnu procjenu mjera, nedostataka i plana usklađivanja.
Ovdje brzina ne smije ići na štetu točnosti. Ako prerano zaključite da obveza ne postoji, organizacija ostaje bez plana i bez dokaza. Ako pretjerano proširite opseg bez razloga, trošit ćete resurse na pogrešne prioritete. Zato je najbolji pristup onaj koji spaja regulatornu interpretaciju s operativnim stanjem sustava, procesa i dokumentacije.
Za organizacije koje žele izbjeći višemjesečne GRC projekte, korisno je imati alat koji vodi procjenu kroz stvarne zakonske zahtjeve, centralizira dokaze i odmah pokazuje gdje su nesukladnosti. Upravo je to vrijednost pragmatičnog pristupa kakav koristi ITrevizija.hr – manje teorije, više jasnog puta od obveze do provedive akcije.
Pravo pitanje zato nije samo tko mora biti usklađen s NIS2, nego tko si još može priuštiti da to ne provjeri na vrijeme. Kod kibernetičke regulative najveći trošak rijetko nastaje zbog same usklađenosti, nego zbog zakašnjele reakcije, pogrešne procjene opsega i nemogućnosti da dokažete što ste poduzeli kad je to bilo potrebno.