Kad regulator zatraži dokaz, nije dovoljno reći da su kontrole uspostavljene. Treba pokazati tko je odgovoran, kako se mjera provodi, gdje se čuvaju dokazi i kada je zadnji put provjerena njezina učinkovitost. Upravo tu usklađenost kibernetičke sigurnosti prestaje biti tema za politiku i postaje pitanje operativne discipline.
Za uprave, CISO-e, voditelje usklađenosti i interne revizije problem rijetko leži u tome da ne razumiju važnost sigurnosti. Problem je što regulatorni zahtjevi dolaze u slojevima, odgovornosti su raspoređene kroz više timova, a dokazi se često nalaze u različitim sustavima, mapama i tablicama. Rezultat je poznat: previše ručnog rada, premalo preglednosti i stalna neizvjesnost oko toga što je doista usklađeno, a što se samo pretpostavlja.
Što usklađenost kibernetičke sigurnosti stvarno znači
U praksi, usklađenost nije popis kontrola koji je jednom ispunjen i arhiviran. Ona znači da organizacija može dokazati kako razumije svoje obveze, kako procjenjuje rizike, kako provodi propisane i interne mjere te kako reagira na odstupanja. Ako to nije dokumentirano, praćeno i periodično provjeravano, usklađenost je krhka bez obzira na tehničku razinu zaštite.
To je posebno važno u okruženju gdje Zakon o kibernetičkoj sigurnosti, podzakonski zahtjevi i europski regulatorni okvir traže više od formalnog postojanja pravila. Očekuje se upravljanje rizicima, odgovornost upravljačkih struktura, vođenje evidencija, sposobnost izvještavanja i dokazivost procesa. Drugim riječima, traži se sustav koji funkcionira i kad dođe nadzor, i kad dođe incident.
Tu se često miješaju dvije različite stvari. Prva je sigurnost kao tehnička sposobnost zaštite sustava, mreža i podataka. Druga je usklađenost kao sposobnost organizacije da pokaže da sigurnosne mjere postoje, da su primjerene, da se provode i da ih odgovorne osobe nadziru. Jedno bez drugoga nije dovoljno.
Zašto organizacije zapinju i kad imaju dobre sigurnosne alate
Mnoge organizacije već imaju alate za upravljanje incidentima, ranjivostima, pristupima ili zapisima događaja. Ipak, usklađenost kibernetičke sigurnosti ostaje nedovršena jer regulatorni zahtjev nije isto što i tehnička funkcionalnost. Alat može pokazati da je višefaktorska autentikacija uključena, ali neće sam od sebe povezati tu činjenicu s obvezom, odgovornom osobom, internom politikom, procjenom rizika i dokazom koji je spreman za reviziju.
Drugi čest problem je fragmentacija. Pravne, sigurnosne, IT i poslovne funkcije rade svoj dio posla, ali bez zajedničke strukture. Jedan tim vodi politike, drugi dokaze, treći akcijske planove, a četvrti prati rokove. Kad dođe vrijeme za samoprocjenu ili vanjsku provjeru, organizacija zapravo tek tada pokušava sastaviti cjelinu.
Treći problem je pogrešna pretpostavka da je usklađenost projekt s krajem. U stvarnosti, ona je ciklus. Regulatorni zahtjevi se mijenjaju, poslovni procesi se šire, nove usluge ulaze u produkciju, a prijetnje evoluiraju. Kontrola koja je bila dovoljna prošle godine možda više nije dovoljna danas, ili nije dovoljno dobro dokumentirana za aktualna očekivanja nadzornog tijela.
Od zakonske obveze do operativnog modela
Najviše koristi imaju organizacije koje usklađenost prevedu u jasan operativni model. To znači da svaka obveza ima vlasnika, svaki zahtjev status, svaka kontrola pripadajući dokaz, a svako odstupanje plan daljnjeg postupanja. Bez toga usklađenost ostaje u domeni tumačenja, a ne upravljanja.
Dobar operativni model obično počinje mapiranjem primjenjivih zahtjeva. Nije svaka obveza jednako relevantna za svakog subjekta, pa prvi korak mora biti precizno razumijevanje opsega. Nakon toga slijedi procjena postojećeg stanja – što je već uspostavljeno, što postoji djelomično, a što nedostaje. Tek tada ima smisla otvarati akcijske planove i definirati prioritete.
Ovdje je važna jedna nijansa. Nije svako odstupanje jednako kritično. Negdje je problem u samoj sigurnosnoj mjeri, a negdje u tragu dokaza. Ponekad je kontrola operativno uspostavljena, ali nije formalizirana kroz politiku ili zapis. U drugom slučaju dokument postoji, ali praksa nije dosljedna. Oba scenarija stvaraju rizik, ali ne traže isti odgovor ni isti redoslijed rješavanja.
Kako izgleda zrela usklađenost kibernetičke sigurnosti
Zrela organizacija ne čeka nadzor da bi provjerila svoje stanje. Ona kontinuirano prati usklađenost, ima pregled otvorenih obveza i može brzo izdvojiti relevantnu dokumentaciju. To ne znači nužno golemi GRC program s dugom implementacijom. Za velik broj subjekata važnija je struktura od kompleksnosti.
Takav pristup obično ima nekoliko obilježja. Regulatorni zahtjevi prevedeni su u razumljive zadatke. Samoprocjena nije jednokratna vježba nego mehanizam upravljanja. Revizijski dokazi pohranjuju se sustavno i uz kontekst, a ne samo kao datoteke bez veze s konkretnom obvezom. Uprava i odgovorne osobe mogu vidjeti gdje postoje nesukladnosti, koliki je rizik i koji su sljedeći koraci.
Posebno je vrijedno kada organizacija može povezati usklađenost s procjenom rizika. Time se izbjegava formalizam u kojem se sve obveze tretiraju jednako, bez obzira na stvarni utjecaj na poslovanje, dostupnost usluga ili zaštitu podataka. Regulativa traži ozbiljnost, ali ozbiljnost ne znači birokraciju radi birokracije. Znači usmjeriti resurse tamo gdje je rizik najveći i to moći dokazati.
Usklađenost kibernetičke sigurnosti i upravljanje dokazima
Najslabija točka mnogih programa usklađenosti nije sadržaj kontrola nego upravljanje dokazima. Dokument postoji, ali nitko ne zna je li zadnja verzija. Zapis o provjeri postoji, ali nije jasno na što se odnosi. Tehnička potvrda postoji u sustavu, ali nije spremljena na način koji je upotrebljiv za reviziju ili regulatorni upit.
Zato upravljanje dokazima treba tretirati kao sastavni dio sigurnosnog upravljanja. Svaki dokaz mora imati svrhu, vlasnika i vezu s konkretnim zahtjevom. Tako se smanjuje vrijeme pripreme za provjere, izbjegava dupliciranje rada i povećava povjerenje u stanje usklađenosti.
U praksi to znači i bolju kontrolu nad osjetljivim informacijama. Dokazi često sadrže podatke o arhitekturi, pristupima, incidentima ili internim slabostima. Ako se njima upravlja stihijski, organizacija istodobno pokušava dokazati sigurnost i stvara novi sigurnosni rizik. Zato su enkripcija, kontrola pristupa, audit trail i jasan model pohrane jednako važni kao i sama evidencija.
Gdje automatizacija ima smisla, a gdje treba oprez
Automatizacija može značajno ubrzati samoprocjenu, klasifikaciju dokumentacije, praćenje statusa i generiranje izvješća. Posebno je korisna kada organizacija mora uskladiti velik broj zahtjeva s velikim brojem internih dokumenata i kontrola. Tada AI i strukturirani workflow mogu smanjiti administrativno opterećenje i ubrzati put od analize do odluke.
Ali automatizacija nije zamjena za prosudbu. Ako je regulatorni zahtjev pogrešno protumačen ili je kontrola formalno mapirana, a operativno ne funkcionira, alat neće sam riješiti problem. Najbolji rezultat daje kombinacija tehnološke podrške i stručnog regulatornog razumijevanja. Upravo zato ozbiljne organizacije traže platforme i partnere koji ne nude samo obrazac za popunjavanje, nego i metodu rada.
Tu je važan i kontekst zaštite podataka. Kada se za obradu dokumentacije koristi AI, legitimno je pitati gdje se podaci obrađuju, tko im može pristupiti i pod kojim uvjetima. Za regulirane subjekte to nije sporedno pitanje. Model hostinga, mogućnost on-premise implementacije i jasne kontrole privatnosti često su presudni za prihvatljivost rješenja.
Kako krenuti bez višemjesečnog projekta
Najpragmatičniji početak nije kupnja velikog sustava nego uspostava jasnog okvira rada. Prvo treba utvrditi koje se obveze primjenjuju na organizaciju i koje su funkcije uključene. Zatim treba provesti početnu samoprocjenu nad postojećim politikama, procedurama, tehničkim mjerama i dokazima. Tek nakon toga postaje vidljivo gdje je stvarni jaz i koji redoslijed zatvaranja ima smisla.
Ako taj proces traje predugo, gubi se momentum i povećava rizik da nalazi zastare prije nego što se riješe. Zato je važno imati alat i metodu koji omogućuju brzu inicijalnu procjenu, strukturiranje dokaza i generiranje plana daljnjeg postupanja. Za mnoge organizacije upravo je to razlika između kontroliranog programa usklađivanja i beskonačnog internog projekta bez jasnog ishoda.
U tom smislu, specijalizirana rješenja poput platforme ITrevizija.hr imaju prednost kad je cilj brzo i dokazivo usklađenje s konkretnim obvezama, a ne opća digitalizacija governance procesa. To je posebno relevantno za subjekte koji trebaju operativan rezultat, pregled nad nesukladnostima i dokumentirani trag spreman za internu ili vanjsku provjeru.
Na kraju, usklađenost kibernetičke sigurnosti nije pitanje forme nego upravljivosti. Kad su obveze jasne, dokazi uređeni, rizici rangirani i odgovornosti dodijeljene, organizacija ne radi samo ono što mora. Radi ono što joj omogućuje da pod pritiskom regulatora, incidenta ili revizije ostane sabrana, dokaziva i spremna.