Vodič za usklađivanje sa NIS2 direktivom i Zakonom o kibernetičkoj sigurnosti u 10 koraka

Objavljeno od

Uvod

NIS2 direktiva i hrvatski Zakon o kibernetičkoj sigurnosti uvode značajno strože zahtjeve za organizacije koje pružaju ključne ili važne usluge. Za mnoge organizacije ovo nije samo tehnički projekt, nego promjena načina upravljanja rizicima, odgovornostima uprave i svakodnevnim operativnim procesima.

Najveći problem u praksi nije razumijevanje pojedinačnih sigurnosnih mjera, nego pitanje:

  • kako dokazati usklađenost,
  • kako organizirati procjenu,
  • kako upravljati planom poboljšanja,
  • kako kontinuirano pratiti stanje,
  • te kako upravi dati jasnu sliku razine rizika.

Ovaj vodič opisuje praktičan pristup usklađivanju kroz 10 koraka, uz primjenu metodologije i pristupa kakav koristi ITrevizija.hr – platforma za samoprocjenu, procjenu usklađenosti i upravljanje poboljšanjima u području kibernetičke sigurnosti.

1. Utvrdite jeste li obveznik Zakona o kibernetičkoj sigurnosti

Cilj

Prvi korak je utvrditi pripada li organizacija među ključne ili važne subjekte prema NIS2 direktivi i hrvatskom Zakonu o kibernetičkoj sigurnosti.

Što treba provjeriti

Sektor djelatnosti

Organizacija mora utvrditi posluje li u jednom od reguliranih sektora:

  • energetika,
  • promet,
  • bankarstvo,
  • financijska infrastruktura,
  • zdravstvo,
  • pitka voda,
  • digitalna infrastruktura,
  • javna uprava,
  • upravljanje ICT uslugama,
  • proizvodnja kritičnih proizvoda,
  • poštanske i kurirske usluge,
  • prehrambena industrija,
  • kemijska industrija,
  • svemirski sektor,
  • digitalne usluge.

Kriteriji veličine

U većini slučajeva primjenjuje se kriterij:

  • srednji subjekt ili veći,
  • više od 50 zaposlenika,
  • ili više od 10 milijuna EUR prihoda.

Posebni slučajevi

Neke organizacije mogu biti obveznici bez obzira na veličinu:

  • pružatelji ključnih usluga,
  • pružatelji digitalne infrastrukture,
  • određena državna tijela,
  • organizacije od posebnog značaja za državu.

Preporuka

Za detalje, provjerite Zakon o kibernetičkoj sigurnosti, Prilog I i Prilog II

Napravite formalnu internu analizu i dokumentirajte:

  • zašto jeste ili niste obveznik,
  • prema kojem sektoru,
  • prema kojim kriterijima,
  • tko je donio odluku.

Ova dokumentacija kasnije može biti važna tijekom nadzora.

2. Imenujte odgovorne osobe i uključite upravu

Zašto je ovo kritično

NIS2 prvi put vrlo jasno stavlja odgovornost na upravu organizacije.

Uprava:

  • mora odobriti sigurnosne mjere,
  • mora razumjeti rizike,
  • može odgovarati za ozbiljne propuste.

Što organizacija mora napraviti

Definirati odgovornosti

Potrebno je jasno definirati:

  • tko vodi program usklađivanja,
  • tko upravlja incidentima,
  • tko vodi procjene rizika,
  • tko koordinira dokumentaciju,
  • tko prati provedbu mjera.

Uključiti upravu

Uprava mora:

  • dobivati redovite izvještaje,
  • razumjeti ključne rizike,
  • odobravati planove poboljšanja,
  • osigurati resurse.

Preporučeni model

Dobra praksa je uspostaviti:

  • sigurnosni odbor,
  • periodične izvještaje upravi,
  • KPI-jeve sigurnosti,
  • formalno praćenje statusa mjera.

Kako pomaže ITrevizija.hr

ITrevizija omogućuje:

  • centralizirani pregled statusa usklađenosti,
  • dashboard za upravu,
  • pregled razine implementacije po područjima,
  • praćenje napretka kroz vrijeme,
  • jednostavno izvještavanje.

3. Napravite početnu GAP analizu

Cilj

Utvrditi trenutno stanje sigurnosti i razliku između postojećeg stanja i regulatornih zahtjeva.

Najčešća pogreška

Organizacije često kreću pisati politike bez razumijevanja stvarnog stanja.

To dovodi do:

  • formalne dokumentacije bez stvarne provedbe,
  • lažnog osjećaja sigurnosti,
  • problema tijekom nadzora.

Što treba analizirati

Organizacijske mjere

  • politike,
  • procedure,
  • odgovornosti,
  • upravljanje dobavljačima,
  • upravljanje incidentima.

Tehničke mjere

  • MFA,
  • segmentacija mreže,
  • backup,
  • EDR/XDR,
  • logging,
  • monitoring,
  • zaštita identiteta,
  • upravljanje ranjivostima.

Operativne mjere

  • edukacija zaposlenika,
  • upravljanje promjenama,
  • testiranje sigurnosti,
  • disaster recovery,
  • kontinuitet poslovanja.

Metodologija ITrevizija.hr

ITrevizija koristi model procjene kroz:

  • razinu dokumentiranosti,
  • razinu implementacije,
  • ocjene od 1 do 5,
  • procjenu zrelosti,
  • AI podršku za interpretaciju odgovora.

Time organizacija ne dobiva samo odgovor „ima ili nema”, nego realnu procjenu zrelosti pojedine kontrole.

Rezultat GAP analize

Na kraju organizacija mora imati:

  • popis neusklađenosti,
  • procjenu prioriteta,
  • procjenu rizika,
  • prijedlog plana poboljšanja.

4. Uspostavite upravljanje rizicima

Rizik je središnji element NIS2

NIS2 ne traži samo pojedinačne tehničke kontrole.

Traži sustavno upravljanje rizicima.

Što treba napraviti

Identificirati ključne resurse

  • poslovne procese,
  • aplikacije,
  • infrastrukturu,
  • podatke,
  • pružatelje usluga,
  • cloud servise.

Identificirati prijetnje

  • ransomware,
  • phishing,
  • kompromitacija identiteta,
  • insider prijetnje,
  • prekid rada dobavljača,
  • geopolitički rizici.

Procijeniti utjecaj

  • prekid poslovanja,
  • regulatorne posljedice,
  • financijska šteta,
  • reputacijska šteta,
  • utjecaj na građane ili korisnike.

Važna promjena u odnosu na starije pristupe

Više nije dovoljno imati dokument „procjena rizika”.

Potrebno je dokazati:

  • da se rizici redovito ažuriraju,
  • da uprava razumije rezultate,
  • da rizici utječu na prioritete ulaganja.

Kako pomaže ITrevizija.hr

ITrevizija povezuje:

  • sigurnosne kontrole,
  • procjene implementacije,
  • preporuke poboljšanja,
  • planove aktivnosti,
  • prioritete rizika.

Na taj način organizacija može dokazati da aktivno upravlja sigurnosnim rizicima.

5. Uredite sigurnosnu dokumentaciju

Dokumentacija mora biti korisna

Najveća greška je stvaranje generičke dokumentacije koja se ne koristi.

Dokumentacija mora:

  • odgovarati stvarnom okruženju,
  • biti provediva,
  • biti razumljiva zaposlenicima,
  • imati definirane odgovornosti.

Minimalni skup dokumenata

Politike

  • politika informacijske sigurnosti,
  • politika upravljanja incidentima,
  • politika upravljanja pristupom,
  • politika sigurnosnih kopija,
  • politika rada na daljinu,
  • politika upravljanja dobavljačima.

Procedure

  • incident response,
  • backup restore,
  • onboarding/offboarding,
  • patch management,
  • upravljanje ranjivostima.

Evidencije

  • procjene rizika,
  • evidencija incidenata,
  • evidencija edukacija,
  • evidencija pristupa,
  • zapisnici uprave.

Kako koristiti AI bez stvaranja problema

AI može pomoći pri:

  • pisanju nacrta,
  • standardizaciji formata,
  • generiranju prijedloga procedura.

Ali:

  • dokumenti moraju odgovarati stvarnom stanju,
  • AI ne smije izmišljati procese,
  • organizacija mora validirati sadržaj.

Pristup ITrevizije

ITrevizija koristi kontrolno orijentirani pristup:

  • svaka kontrola povezana je s dokazima,
  • svaka preporuka povezana je s regulatornim zahtjevom,
  • moguće je pratiti status implementacije.

6. Implementirajte tehničke sigurnosne mjere

Fokus regulatora

U praksi nadzorna tijela posebnu pažnju posvećuju stvarnim tehničkim mjerama.

Najvažnije mjere

Upravljanje identitetima

  • MFA za privilegirane račune,
  • centralizirana autentikacija,
  • periodični review prava pristupa,
  • PAM za administratore.

Endpoint zaštita

  • EDR/XDR,
  • hardening uređaja,
  • upravljanje zakrpama,
  • enkripcija uređaja.

Mrežna sigurnost

  • segmentacija,
  • monitoring prometa,
  • IDS/IPS,
  • zaštita udaljenog pristupa.

Sigurnosne kopije

  • offline backup,
  • immutable backup,
  • testiranje povrata podataka,
  • odvojene administratorske vjerodajnice.

Logging i monitoring

  • centralizirani logovi,
  • SIEM,
  • detekcija anomalija,
  • definirani alertovi.

Poseban fokus: cloud i SaaS

Kod modernih organizacija regulator sve više očekuje:

  • kontrolu SaaS aplikacija,
  • pregled privilegiranih pristupa u cloudu,
  • sigurnosne postavke AWS/Azure/GCP okruženja,
  • kontrolu AI servisa.

Kako se ovo povezuje s ITrevizijom

ITrevizija omogućuje:

  • mapiranje tehničkih kontrola,
  • procjenu implementacije,
  • praćenje nedostataka,
  • dodjelu aktivnosti odgovornim osobama,
  • nadzor napretka.

7. Uspostavite proces upravljanja incidentima

Ovo je regulatorni prioritet

NIS2 snažno naglašava:

  • detekciju incidenata,
  • prijavu incidenata,
  • koordinaciju odgovora,
  • sposobnost oporavka.

Organizacija mora imati

Definiran incident response proces

  • klasifikacija incidenata,
  • eskalacija,
  • odgovornosti,
  • komunikacijski kanali,
  • kontakt liste.

Tehničke mogućnosti

  • monitoring,
  • forenzika,
  • log retention,
  • izolacija kompromitiranih sustava.

Regulatornu spremnost

  • mogućnost pravovremene prijave,
  • pripremljene procedure,
  • evidenciju incidenata.

Važna praksa

Incident response mora se testirati.

Primjeri:

  • ransomware simulacija,
  • phishing simulacija,
  • gubitak cloud servisa,
  • kompromitacija administratorskog računa.

Kako pomaže ITrevizija

ITrevizija može služiti kao:

  • centralna evidencija statusa kontrola,
  • alat za dokumentiranje aktivnosti,
  • sustav praćenja korektivnih mjera,
  • dokaz kontinuiranog poboljšavanja.

8. Upravljajte dobavljačima i lancem opskrbe

Jedna od najvećih promjena NIS2

Regulator očekuje da organizacije upravljaju rizicima svojih dobavljača.

Kritični dobavljači

  • cloud provideri,
  • MSP/MSSP partneri,
  • SaaS platforme,
  • developeri softvera,
  • vanjski administratori.

Što treba provjeravati

Ugovorni zahtjevi

  • sigurnosne obveze,
  • prijava incidenata,
  • pravo revizije,
  • zaštita podataka.

Operativna sigurnost

  • MFA,
  • certifikati,
  • SOC2/ISO 27001,
  • backup modeli,
  • lokacije podataka.

Geopolitički rizici

Sve više organizacija procjenjuje:

  • jurisdikciju pružatelja usluga,
  • političke rizike,
  • mogućnost regulatornih ograničenja,
  • ovisnost o pojedinom vendoru.

Kako pristupiti procjeni

Dobra praksa je:

  • kategorizacija dobavljača,
  • procjena kritičnosti,
  • standardizirani upitnici,
  • periodični review.

Uloga ITrevizije

ITrevizija omogućuje:

  • strukturirane procjene,
  • povezivanje nalaza s kontrolama,
  • evidenciju statusa,
  • praćenje aktivnosti po dobavljačima.

9. Edukacija zaposlenika i uprave

Ljudi su i dalje najveći rizik

Većina ozbiljnih incidenata uključuje:

  • phishing,
  • kompromitaciju identiteta,
  • ljudsku pogrešku,
  • loše upravljanje pristupima.

Edukacija mora biti kontinuirana

Jednokratna edukacija nije dovoljna.

Što treba uključiti

Zaposlenici

  • phishing,
  • sigurnost lozinki,
  • rad na daljinu,
  • AI alati,
  • prijava incidenata.

IT osoblje

  • hardening,
  • cloud sigurnost,
  • logging,
  • response procedure.

Uprava

  • regulatorne odgovornosti,
  • poslovni rizici,
  • krizno upravljanje,
  • donošenje odluka tijekom incidenta.

Dobra praksa

  • phishing simulacije,
  • tabletop vježbe,
  • kratke periodične edukacije,
  • realni scenariji.

Kako se to uklapa u ITreviziju

ITrevizija omogućuje:

  • praćenje statusa kontrola povezanih s edukacijom,
  • evidenciju aktivnosti,
  • procjenu razine implementacije,
  • identifikaciju područja najvećeg rizika.

10. Uspostavite kontinuirano praćenje i poboljšavanje

Usklađenost nije jednokratni projekt

Najveća greška je pristup:

„Napravili smo dokumentaciju i završili projekt.”

NIS2 očekuje:

  • kontinuirano upravljanje,
  • redovite procjene,
  • poboljšavanja,
  • praćenje promjena rizika.

Organizacija mora periodično provoditi

Redovite procjene

  • samoprocjene,
  • tehničke provjere,
  • audit aktivnosti,
  • procjene dobavljača.

Upravljanje planom poboljšanja

  • definiranje aktivnosti,
  • prioriteti,
  • odgovorne osobe,
  • rokovi,
  • status provedbe.

Izvještavanje upravi

  • KPI-jevi,
  • trendovi,
  • status rizika,
  • otvorene kritične mjere.

Ključna vrijednost modernih platformi

Excel i statički dokumenti brzo postaju neodrživi.

Organizacije trebaju:

  • centralizirani pregled,
  • audit trail,
  • povezivanje kontrola i dokaza,
  • automatizirano izvještavanje,
  • kontinuirano praćenje.

Kako je koncipirana ITrevizija.hr

ITrevizija je zamišljena kao platforma koja povezuje:

  • samoprocjenu,
  • procjenu implementacije,
  • upravljanje poboljšanjima,
  • procjenu rizika,
  • AI preporuke,
  • praćenje usklađenosti.

Ključna ideja nije samo „proći audit”, nego omogućiti organizacijama da kontinuirano razumiju i unapređuju svoju razinu kibernetičke sigurnosti.

Zaključak

Usklađivanje s NIS2 direktivom i Zakonom o kibernetičkoj sigurnosti nije prvenstveno regulatorni problem.

To je poslovni problem upravljanja rizicima.

Organizacije koje pristupe projektu samo formalno:

  • često završavaju s velikom količinom dokumentacije,
  • bez stvarnog povećanja sigurnosti,
  • bez jasnog pregleda rizika,
  • bez mogućnosti dokazivanja stvarne implementacije.

S druge strane, organizacije koje:

  • uključe upravu,
  • povežu sigurnost s poslovnim rizicima,
  • uspostave kontinuirano praćenje,
  • koriste strukturirani pristup,
  • imaju centraliziran pregled kontrola i aktivnosti,

mogu značajno povećati otpornost organizacije i smanjiti regulatorni, operativni i reputacijski rizik.

Pristup kakav koristi ITrevizija.hr temelji se upravo na toj ideji:

  • jednostavna procjena,
  • mjerljiva razina implementacije,
  • fokus na stvarne rizike,
  • AI podrška za preporuke,
  • kontinuirano poboljšavanje,
  • te razumljiv pregled za upravu i operativne timove.

Takav pristup omogućuje da usklađenost postane alat za upravljanje sigurnošću, a ne samo regulatorna obveza.