Ako se u vašoj organizaciji pitanje kako pripremiti NIS2 dokaze svodi na skupljanje PDF-ova dan prije nadzora, problem nije samo u dokumentaciji. Problem je u tome što dokaz nije isto što i dokument, a regulatorna spremnost nije isto što i postojanje pravilnika u mapi na disku.
NIS2 ne traži deklarativnu usklađenost, nego dokazivu provedbu. To znači da morate pokazati ne samo da su politike usvojene, nego i da se primjenjuju, da su odgovornosti dodijeljene, da se rizici procjenjuju, da se incidenti evidentiraju i da uprava ima pregled nad stanjem kibernetičke sigurnosti. Za većinu srednjih i velikih organizacija upravo je priprema dokaza najzahtjevniji dio procesa.
Kako pripremiti NIS2 dokaze na način koji prolazi provjeru
Prvi korak nije prikupljanje datoteka, nego prevođenje zakonskih obveza u skup provjerljivih kontrola. Dok god imate samo popis pravilnika i tehničkih mjera, bez jasne veze s konkretnim zahtjevima, stvarat ćete arhivu, a ne dokazni paket.
Operativno gledano, svaki dokaz treba odgovoriti na tri pitanja: koju obvezu pokriva, tko je odgovoran za njezinu provedbu i kako se može potvrditi da je mjera stvarno aktivna. Ako taj lanac nije jasan, nadzor vrlo brzo otkrije praznine. Najčešći primjer su politike koje postoje, ali nisu odobrene, nisu komunicirane relevantnim timovima ili nisu povezane s evidencijama koje pokazuju provedbu.
Zato je korisno krenuti od kontrolnog okvira. Za svaku obvezu definirate očekivani tip dokaza, vlasnika dokaza, lokaciju pohrane, učestalost ažuriranja i kriterij prihvatljivosti. Time se izbjegava česta pogreška da isti dokument pokušava pokriti više različitih zahtjeva, iako za to nema dovoljnu dubinu.
Dokument nije dovoljan ako ne pokazuje provedbu
U praksi se NIS2 dokazi najčešće mogu podijeliti u nekoliko skupina. Prva su upravljački dokazi, kao što su odluke uprave, imenovanja odgovornih osoba, zapisnici, odobrene politike i izvješća prema vodstvu. Druga su operativni dokazi, primjerice evidencije upravljanja incidentima, zapisi o upravljanju ranjivostima, rezultati testiranja, ticketi, izvještaji iz alata i zapisi o promjenama. Treća su dokazni tragovi o kontroli i nadzoru, kao što su interne provjere, nalazi revizije, korektivne mjere i status njihove provedbe.
Ovdje nastaje ključna razlika između formalne i stvarne spremnosti. Formalna spremnost znači da imate dokument koji nešto propisuje. Stvarna spremnost znači da možete pokazati da se to zaista radi, i to konzistentno. Ako politika kaže da se pristupi pregledavaju kvartalno, dokaz nisu sama pravila pristupa, nego zapis o provedenom pregledu, datum, odgovorna osoba i eventualne korekcije.
Zbog toga se kvalitetan NIS2 dokaz gotovo uvijek sastoji od kombinacije normativnog dokumenta i operativnog traga. Jedno bez drugoga često nije dovoljno.
Što regulator ili revizor zapravo želi vidjeti
Ne traži se savršenstvo niti beskonačna količina priloga. Traži se vjerodostojnost. To znači da dokaz mora biti čitljiv, aktualan, povezan s obvezom i usklađen s praksom u sustavu. Ako dostavite proceduru za upravljanje incidentima, a nemate ni jednu klasificiranu evidenciju incidenta, postavlja se pitanje koristi li se procedura uopće ili postoji samo radi forme.
Slično vrijedi i za procjenu rizika. Organizacije često imaju metodologiju, ali nemaju noviju procjenu, nemaju prihvaćene kriterije rizika ili nemaju poveznicu između identificiranih rizika i stvarnih mjera ublažavanja. Takva dokumentacija djeluje kompletno samo na prvi pogled.
Najčešće pogreške kod pripreme NIS2 dokaza
Najviše vremena gubi se na tri mjesta. Prvo, dokazi su raspršeni po e-mailovima, zajedničkim mapama, alatima i privatnim arhivama pojedinaca. Drugo, ne postoji vlasništvo nad dokazima pa se tek u zadnji čas utvrđuje tko nešto mora dostaviti. Treće, dokumenti nisu verzionirani i nitko ne zna što je zadnja važeća verzija.
Dodatni problem nastaje kada se dokazi prikupljaju ručno, bez standarda naziva, bez metapodataka i bez veze s konkretnim regulatornim zahtjevom. Tada organizacija možda ima veliki broj datoteka, ali i dalje ne može brzo dokazati usklađenost. U nadzoru to znači spor odgovor, nejasna slika stanja i veći rizik da se ista pitanja više puta otvaraju.
Pogrešno je i oslanjati se isključivo na tehničke alate. Logovi, izvješća iz sigurnosnih sustava i skenovi ranjivosti jesu važni, ali sami po sebi ne pokazuju upravljački okvir. S druge strane, samo upravljački dokumenti bez tehničkog traga također su nedostatni. NIS2 traži spoj upravljanja, operativne provedbe i dokazive kontrole.
Kako pripremiti NIS2 dokaze kroz jasan operativni model
Najpraktičniji pristup je uspostaviti dokaznu matricu. U njoj se svaka obveza mapira na jedan ili više dokaza, a svaki dokaz dobiva vlasnika, rok pregleda i status kvalitete. Time priprema prestaje biti jednokratna aktivnost i postaje dio redovnog upravljanja usklađenošću.
Dobro postavljena matrica ne mora biti komplicirana, ali mora biti disciplinirana. Za svaki zahtjev trebate znati postoji li temeljni dokument, postoji li operativni zapis, postoji li potvrda nadzora i postoji li otvorena neusklađenost ako nešto nedostaje. To odmah pokazuje gdje su stvarne rupe, umjesto da se problemi skrivaju iza općenitih tvrdnji da je kontrola uspostavljena.
Odredite što je prihvatljiv dokaz
Nisu svi dokazi jednake težine. Nacrt politike nije isto što i službeno odobrena politika. Screenshot bez datuma nije isto što i sustavni izvještaj s jasnim izvorom. Usmena potvrda vlasnika procesa nije isto što i zapisnik ili ticket s audit tragom.
Zato organizacija unaprijed treba definirati kriterije prihvatljivosti. Dokaz treba imati izvor, datum, kontekst, odgovornu osobu i vezu s konkretnom kontrolom. Kada ti elementi nedostaju, raste prostor za dvojbu, a time i za dodatna pitanja u nadzoru.
Uvedite ritam održavanja dokaza
Velik broj organizacija priprema dokaze kampanjski. To kratkoročno može pomoći, ali dugoročno proizvodi kaos. Puno učinkovitiji model je kvartalni ili mjesečni pregled kritičnih skupina dokaza, posebno za upravljanje incidentima, pristupima, ranjivostima, dobavljačima i procjenom rizika.
Ovdje treba biti realan. Ne treba svaku stavku ažurirati istom učestalošću. Politike i metodologije mijenjaju se rjeđe. Operativne evidencije i status korektivnih mjera traže češći pregled. Upravo ta razlika između statičnih i dinamičnih dokaza čini dobar sustav održivim.
Uloga uprave, CISO-a i vlasnika procesa
NIS2 dokazi nisu posao samo jednog tima. Ako je sav teret na CISO-u, voditelju IT-a ili compliance funkciji, sustav će prije ili kasnije pucati pod količinom operativnih zahtjeva. Dokazi nastaju u procesima, pa odgovornost mora biti raspodijeljena tamo gdje se aktivnosti stvarno odvijaju.
Uprava mora moći potvrditi da prima relevantna izvješća, razumije ključne rizike i donosi odluke. IT i sigurnosni timovi moraju osigurati tehničke i operativne tragove. Vlasnici poslovnih procesa moraju potvrditi provedbu kontrola u svom području. Interna revizija ili druga neovisna funkcija treba povremeno provjeriti ima li dokazni sustav smisla i odražava li stvarno stanje.
To nije birokracija radi birokracije. To je način da nadzor ne postane lov na dokumente, nego provjera sustava koji već ima red.
Zašto automatizacija ovdje ima stvarnu vrijednost
Kod NIS2 usklađenosti najveći trošak često nije u pisanju jedne politike, nego u stalnom prikupljanju, povezivanju, provjeri i obnavljanju dokaza. Kada to radite ručno, trošite sate na administraciju umjesto na uklanjanje rizika i zatvaranje neusklađenosti.
Tu automatizacija ima vrlo konkretan učinak. Centralizirano upravljanje dokazima, vezivanje dokaza uz regulatorne zahtjeve, kontrola verzija, praćenje statusa i upozorenja na nedostatke značajno podižu preglednost. Posebno je korisna AI analiza dokumentacije koja može rano ukazati na to da dokaz postoji, ali ne pokriva ono što se od njega očekuje.
Za organizacije koje žele dokazivu usklađenost bez višemjesečne implementacije klasičnog GRC-a, takav pristup skraćuje vrijeme pripreme i smanjuje operativni pritisak na timove. U tom kontekstu platforme poput ITrevizija.hr imaju smisla upravo zato što regulatorne zahtjeve prevode u strukturiran i provediv proces, a ne u još jedan paralelni administrativni sloj.
NIS2 spremnost mjeri se prije nadzora
Najbolji test nije pitanje imate li dokumentaciju, nego možete li u razumnom roku pokazati što je uspostavljeno, što se provodi, gdje postoje otvorene neusklađenosti i tko je za njih odgovoran. Ako to ne možete danas, problem nije budući nadzor. Problem je sadašnja razina upravljanja.
Priprema NIS2 dokaza zato nije završna faza usklađivanja. To je operativni mehanizam koji pokazuje koliko je sustav kibernetičke sigurnosti stvarno pod kontrolom. Kada je dobro postavljen, ne služi samo regulatoru, nego i upravi koja napokon dobiva jasnu sliku stvarnog stanja, bez nagađanja i bez improvizacije.
Najkorisnije što možete napraviti nije prikupiti više dokumenata, nego uspostaviti sustav u kojem svaki važan zahtjev već ima svoj dokaz, svog vlasnika i svoj rok pregleda.