Kad uprava pita koliko smo stvarno usklađeni s NIS2 i možete li to dokazati, odgovor ne smije biti procjena iz glave. Vodič za NIS2 samoprocjenu ima smisla samo ako vodi do mjerljivog stanja, jasnih prioriteta i dokaza koje možete pokazati nadzoru, reviziji ili internim dionicima. Sve ostalo je administracija bez operativne vrijednosti.
NIS2 samoprocjena nije formular koji se popuni jednom i arhivira. To je strukturirani pregled obveza, kontrola, odgovornosti, rizika i dokumentacije kojim organizacija utvrđuje gdje je usklađena, gdje postoje praznine i što se mora riješiti prvo. Za srednje i velike subjekte, posebno u reguliranim sektorima, samoprocjena je najbrži način da se regulatorni zahtjevi prevedu u stvarne zadatke za IT, sigurnost, usklađenost i upravu.
Što zapravo obuhvaća vodič za NIS2 samoprocjenu
Najčešća pogreška je svesti NIS2 na tehničke mjere. Direktiva i nacionalni okvir traže puno više od toga. Samoprocjena mora obuhvatiti upravljanje rizicima, politike i procedure, upravljanje incidentima, kontinuitet poslovanja, sigurnost dobavnog lanca, upravljanje pristupima, edukaciju, nadzor nad provedbom i dokazivost usklađenosti.
To znači da nije dovoljno imati antivirus, vatrozid i sigurnosne kopije. Potrebno je utvrditi postoje li formalno usvojene politike, jesu li odgovornosti jasno dodijeljene, kako se prati provedba mjera, tko odobrava iznimke, kako se evidentiraju incidenti i gdje se čuvaju dokazi da kontrole zaista rade. U praksi se najveći problemi ne pojavljuju zato što kontrola ne postoji, nego zato što nije dokumentirana, nije dosljedno provedena ili se ne može dokazati njezina učinkovitost.
Kada samoprocjena daje stvarnu vrijednost
Samoprocjena je korisna kad odgovara na tri pitanja. Prvo, odnosi li se NIS2 doista na vašu organizaciju i u kojem opsegu. Drugo, koje su obveze već pokrivene postojećim procesima i alatima. Treće, gdje su praznine koje stvaraju regulatorni i operativni rizik.
Ako se radi preširoko, timovi se izgube u teoriji. Ako se radi preusko, previdjet će se ključne obveze. Zato dobar pristup kreće od opsega – poslovne funkcije, kritični procesi, informacijski sustavi, vanjski dobavljači i osobe odgovorne za pojedina područja. Tek nakon toga ima smisla ocjenjivati usklađenost.
Kako provesti NIS2 samoprocjenu bez gubitka vremena
Praktičan pristup ide u nekoliko logičnih koraka, ali poanta nije u formalnom redoslijedu nego u kvaliteti podataka koje prikupite. Prvi korak je odrediti obuhvat. To uključuje koje organizacijske jedinice, sustave, lokacije, procese i ugovorne odnose ulaze u procjenu. Bez jasnog obuhvata dobit ćete nepouzdane rezultate.
Zatim treba mapirati regulatorne zahtjeve na postojeće interne dokumente i kontrole. Tu organizacije često otkriju da već imaju dobar dio onoga što je potrebno, ali raspršeno po pravilnicima, ISO dokumentaciji, ugovorima, zapisnicima, ticketing sustavima i tehničkim konfiguracijama. Problem nije uvijek manjak mjera, nego manjak preglednosti.
Nakon mapiranja slijedi ocjena zrelosti i usklađenosti. Neke kontrole bit će potpuno uspostavljene i dokazive. Neke će biti djelomične, primjerice politika postoji, ali se ne provodi kroz sve odjele ili nije ažurirana. Treće će biti nepostojeće. Važno je razlikovati formalnu usklađenost od stvarne operativne spremnosti. Organizacija može imati dokument, a da i dalje nema učinkovitu kontrolu.
Četvrti korak je prikupljanje dokaza. To su politike, procedure, evidencije, zapisnici, tehnički izvještaji, logovi, dokazi o edukaciji, ugovorne klauzule, testiranja oporavka i slična dokumentacija. Ovdje se troši najviše vremena, osobito kad nema centralnog mjesta za upravljanje dokazima. Zato je automatizacija korisna ne samo zbog brzine nego i zbog konzistentnosti.
Na kraju dolazi plan daljnjeg postupanja. On mora biti prioritetan, vremenski određen i vezan uz odgovorne osobe. Nema koristi od popisa od 40 nesukladnosti ako nije jasno što ide odmah, što u sljedećem ciklusu i što ovisi o većim investicijama ili organizacijskim promjenama.
Najčešće rupe koje samoprocjena otkrije
Kod većine organizacija prvo se pokaže problem vlasništva nad procesima. Sigurnost je formalno odgovornost svih, ali operativno nije jasno tko je vlasnik koje kontrole. Druga česta rupa je sigurnost dobavnog lanca. Ugovori postoje, ali ne pokrivaju dovoljno sigurnosnih obveza, prava na provjeru ili incidentno izvještavanje.
Treća slabost je upravljanje incidentima. Postoji tehnički odgovor, ali nedostaje usklađen proces eskalacije, procjene utjecaja, dokumentiranja i izvještavanja. Četvrta su kontinuitet poslovanja i oporavak. Backup nije isto što i dokazani oporavak. Ako oporavak nije testiran, regulatorno i operativno ste u sivoj zoni.
Vrlo često se otkrije i da edukacija zaposlenika postoji samo na razini jednokratne prezentacije. Za NIS2 je važna kontinuirana svijest, posebno kod pristupa, phishinga, rukovanja podacima i prijave incidenata. Upravo se u tim područjima vidi razlika između organizacije koja se priprema za nadzor i organizacije koja sustavno upravlja otpornošću.
Vodič za NIS2 samoprocjenu i pitanje dokaza
Usklađenost bez dokaza nije usklađenost koju možete obraniti. Zato je kvaliteta dokaza jednako važna kao i kvaliteta odgovora u samoprocjeni. Dokument mora biti važeći, odobren, povezan s konkretnim zahtjevom i, idealno, potkrijepljen tragom provedbe.
Primjerice, nije dovoljno navesti da organizacija provodi upravljanje pristupima. Treba moći pokazati politiku, matricu prava, proces odobravanja, evidenciju izmjena, periodične preglede i eventualne korektivne radnje. Isto vrijedi za upravljanje ranjivostima, kontinuitet poslovanja ili incident response. Što je organizacija veća, to je veći rizik da se odgovori temelje na pretpostavkama umjesto na provjerljivim činjenicama.
U tom dijelu AI ima stvarnu operativnu vrijednost. Ako platforma može pomoći u klasifikaciji dokumentacije, povezivanju dokaza s regulatornim zahtjevima i prepoznavanju nedostataka, timovi brže dolaze do realne slike. To nije zamjena za odgovornu osobu, ali jest snažno ubrzanje procesa koji inače troši stotine sati.
Ručni pristup ili platforma za samoprocjenu
Ručni pristup može imati smisla u manjim okruženjima ili kao prvi interni pregled. Prednost mu je fleksibilnost, ali cijena je visoka kad treba održavati verzije dokumenata, pratiti status aktivnosti, usklađivati više odjela i generirati izvješća za upravu ili nadzor. Excel tablice i dijeljene mape brzo postanu usko grlo.
Platformski pristup ima smisla kad organizacija želi ponovljivost, audit trail i kontinuiranu spremnost, a ne samo jednokratni projekt. Posebno je koristan kad treba centralno upravljati dokazima, nesukladnostima, planovima aktivnosti i izvještavanjem. Za regulirane subjekte važna je i sigurnosna arhitektura rješenja – gdje se podaci hostaju, kako su zaštićeni i tko ima pristup.
Zato mnoge organizacije danas ne traže još jedan generički GRC alat, nego rješenje koje je već usklađeno s konkretnim regulatornim kontekstom. Kad je fokus na NIS2, ZKS-u i povezanim obvezama, vrijeme do rezultata bitno se skraćuje. Upravo je to razlog zašto specijalizirane platforme poput ITrevizija.hr imaju prednost u operativnim projektima usklađenja.
Kako upravi predstaviti rezultate samoprocjene
Upravu ne zanima samo postotak usklađenosti. Zanimaju je izloženost, prioriteti, rokovi, odgovorne osobe i posljedice nepostupanja. Zato rezultate treba prevesti iz stručnog jezika kontrola u poslovni jezik rizika i odluka.
Dobar izlaz samoprocjene pokazuje koje su obveze potpuno pokrivene, gdje postoji djelomična usklađenost i koje praznine nose najveći regulatorni, operativni ili reputacijski rizik. Još važnije, mora pokazati što se može riješiti brzom korekcijom, a što traži ulaganje, promjenu procesa ili angažman više funkcija. Time samoprocjena prestaje biti compliance dokument i postaje upravljački alat.
Što razlikuje korisnu samoprocjenu od formalne vježbe
Korisna samoprocjena ne pokušava uljepšati stanje. Ona namjerno otkriva slabe točke dovoljno rano da ih organizacija može kontrolirano zatvoriti. To traži disciplinu, ali i realan pogled na ograničenja. Neke organizacije imaju dobru tehničku osnovu, ali slabu dokumentaciju. Druge imaju uređene politike, ali nedovoljnu provedbu. Treće imaju sve elemente, ali ne mogu ih brzo dokazati.
Zato ne postoji univerzalna početna točka. Netko kreće od pravnog tumačenja obveza, netko od procjene rizika, a netko od sređivanja dokaza. Bitno je da proces završi jasnom slikom trenutačnog stanja i planom koji je moguće provesti bez višemjesečne paralize poslovanja.
Ako NIS2 samoprocjenu postavite kao alat za odlučivanje, a ne samo kao obvezu, dobit ćete puno više od regulatornog mira. Dobit ćete pregled, odgovornost i kontrolu nad onim što je do jučer bilo raspršeno po odjelima, dokumentima i pretpostavkama. To je najkorisnija točka s koje se može krenuti prema stvarnoj kibernetičkoj otpornosti.