Ako vaša organizacija ove godine mora odgovoriti na pitanje NIS2 ili ISO 27001, problem nije akademski. To je odluka koja utječe na budžet, raspored internih timova, prioritete uprave i dokazivu razinu kibernetičke spremnosti. U praksi, pogrešan redoslijed znači izgubljene mjesece, dvostruko prikupljanje dokaza i dodatni pritisak kada regulator ili revizija zatraže konkretne odgovore.
NIS2 ili ISO 27001 – nisu ista stvar
Najčešća pogreška je promatrati NIS2 i ISO 27001 kao zamjene. Nisu. NIS2 je regulatorni okvir koji za obveznike postavlja zahtjeve povezane s upravljanjem rizicima kibernetičke sigurnosti, prijavom incidenata, odgovornošću uprave, kontinuitetom poslovanja i nadzorom nad ključnim dobavljačima. ISO 27001 je međunarodna norma za sustav upravljanja informacijskom sigurnošću, s jasnom logikom upravljanja politikama, kontrolama, procjenama rizika i stalnim poboljšanjem.
Drugim riječima, NIS2 odgovara na pitanje što morate imati kao subjekt pod regulatornim obvezama, dok ISO 27001 daje provjerenu metodologiju kako to upravljati na strukturiran način. To zvuči kompatibilno, i često jest, ali nije automatski isto.
Za upravu i C-level to znači sljedeće: NIS2 nosi element zakonske obveze i regulatorne odgovornosti. ISO 27001 nosi element upravljačke discipline, tržišnog povjerenja i standardizacije procesa. Ako ste subjekt koji ulazi u opseg primjene NIS2, tada rasprava nije treba li se baviti NIS2, nego kako to provesti učinkovito i dokazivo. ISO 27001 tada može biti snažan alat, ali nije zamjena za razumijevanje lokalnih i europskih regulatornih obveza.
Kada je NIS2 prvi prioritet
Ako pripadate sektoru ili kategoriji subjekata koji podliježu obvezama iz područja kibernetičke sigurnosti, prvi prioritet je regulatorna usklađenost. Razlog je jednostavan: certifikat ne štiti od pitanja regulatora ako ne možete pokazati da ste ispunili točno one zahtjeve koji proizlaze iz zakona i podzakonskih akata.
Tu se često javlja opasna pretpostavka da će organizacija s ISO 27001 certifikatom automatski biti spremna i za NIS2. U stvarnosti, puno ovisi o opsegu certifikacije, kvaliteti implementacije i o tome jesu li pokrivena područja koja regulator posebno promatra. Primjerice, organizacija može imati dobro postavljen ISMS, ali i dalje imati praznine u formalizaciji odgovornosti uprave, procedurama prijave incidenata, mapiranju zakonskih obveza ili prikupljanju revizijskih dokaza na način koji je prikladan za nadzor.
Za hrvatske organizacije u reguliranim i kritičnim djelatnostima to je posebno važno jer se usklađenost ne dokazuje općim izjavama o sigurnosti, nego dokumentacijom, evidencijama, odlukama, procjenama i stvarnim provedbenim tragom. Ako toga nema, dobar dio sigurnosnih aktivnosti ostaje nevidljiv iz perspektive nadzora.
Kada ISO 27001 ima više smisla kao prvi korak
Postoje i situacije u kojima je ISO 27001 razuman početni izbor. To je slučaj kada organizacija još nije jasno u regulatornom opsegu NIS2, ali želi sustavno urediti informacijsku sigurnost zbog klijenata, partnera, grupacijskih zahtjeva ili pripreme za rast. Također, ako ste u industriji gdje se sigurnosna zrelost često provjerava kroz natječaje, due diligence ili zahtjeve međunarodnih kupaca, ISO 27001 može donijeti konkretnu tržišnu vrijednost.
Prednost norme je u tome što daje vrlo jasan upravljački okvir. Organizacija definira opseg, imovinu, rizike, kontrole, odgovornosti i ciklus poboljšanja. To je često lakše objasniti internim timovima od apstraktnijih regulatornih formulacija. Za poduzeća koja tek grade formalni sigurnosni sustav, ISO 27001 može biti praktičan način da se uvede red.
No postoji trade-off. Ako ste zapravo obveznik NIS2, a fokusirate se samo na certifikaciju, možete završiti s urednim sustavom koji nije dovoljno precizno mapiran na regulatorne obveze. Tada nakon certifikacije slijedi dodatni projekt usklađivanja, što povećava trošak i administrativno opterećenje.
NIS2 ili ISO 27001 – pravo pitanje je redoslijed
U većini ozbiljnih organizacija izbor nije binaran. Puno korisnije pitanje glasi: što nam je obvezno sada, a što nam dugoročno daje bolju upravljačku strukturu?
Ako ste jasno unutar opsega NIS2, ispravan pristup je prvo napraviti procjenu regulatorne usklađenosti i jazova. Tek tada ima smisla odlučiti hoće li ISO 27001 biti drugi korak ili integrirani dio istog programa. Takav redoslijed sprječava situaciju u kojoj timovi mjesecima izrađuju politike i kontrolne matrice, a tek kasnije otkriju da im nedostaju ključni elementi za dokazivanje usklađenosti.
Ako niste sigurni u status, preporuka nije odmah krenuti u velik projekt, nego brzo utvrditi opseg obveza, odgovorne osobe, postojeću dokumentaciju i razinu pokrivenosti kontrola. Upravo taj početni pregled najviše štedi vrijeme jer odvaja stvarne praznine od onoga što već postoji, ali nije formalizirano.
Gdje se NIS2 i ISO 27001 preklapaju, a gdje razilaze
Preklapanje postoji u temeljnim područjima: upravljanje rizicima, sigurnosne politike, kontrola pristupa, upravljanje incidentima, kontinuitet poslovanja, sigurnost dobavljača, edukacija i periodično preispitivanje mjera. Organizacija koja je ozbiljno implementirala ISO 27001 rijetko kreće od nule kada radi NIS2 usklađivanje.
Razlika je u fokusu i dokazivanju. NIS2 snažno naglašava regulatornu odgovornost, operativnu otpornost i obveze prijavljivanja. ISO 27001 je širi upravljački sustav, ali nije pisan kao nacionalni ili europski zakonski tekst. Zato mapiranje nije mehaničko. Potrebno je prevesti kontrole i procese u jezik regulatorne obveze.
Tu nastaje najveći operativni problem. Većina organizacija nema problem samo s mjerama, nego s pregledom nad mjerama. Dokumenti su raspršeni, dokazi su po mailboxima, vlasnici aktivnosti nisu jasno određeni, a procjene se rade periodično i ručno. U takvom okruženju i NIS2 i ISO 27001 postaju administrativno teži nego što bi morali biti.
Kako donijeti odluku bez gubljenja mjeseci
Najbolja odluka obično ne počinje od certifikata ni od regulatornog teksta, nego od stanja organizacije. Ako već imate zrelu sigurnosnu funkciju, definirane procese i revizijski trag, prijelaz prema ISO 27001 ili NIS2 bit će više pitanje mapiranja i formalizacije. Ako toga nemate, treba paziti da projekt ne postane preširok i prespor.
Praktičan pristup sastoji se od četiri pitanja. Prvo, jesmo li formalno obveznici i kojim intenzitetom? Drugo, koje dokaze već danas možemo pokazati bez dodatnog uređivanja? Treće, koje su praznine regulatorno kritične, a koje su razvojne? Četvrto, tko će održavati usklađenost nakon početnog projekta?
Ovo zadnje pitanje često se podcjenjuje. Mnogo organizacija može jednokratno pripremiti dokumentaciju. Puno manje njih može kontinuirano održavati procjene, dokaze, status neusklađenosti i planove postupanja bez da opet uđu u ručni kaos. Zato je za ozbiljan program važna ne samo metodologija, nego i operativna platforma koja omogućuje stalnu spremnost za nadzor i internu reviziju.
Upravo tu digitalni pristup daje mjerljivu prednost. Kada su procjena usklađenosti, upravljanje dokazima, analiza dokumentacije i planovi korektivnih aktivnosti objedinjeni, organizacija dobiva stvarnu sliku stanja umjesto periodičnog projekta koji se otvara tek kada nastane pritisak. U tom kontekstu ITrevizija.hr ima smisla organizacijama koje žele regulatornu preciznost bez višemjesečne implementacije klasičnih GRC alata.
Što uprava treba tražiti od tima
Uprava ne mora ulaziti u svaku kontrolu, ali mora tražiti jasan odgovor na tri stvari: koji je naš status obveze, koliki je stvarni jaz i kako dokazujemo napredak. Ako dobiva samo opće sigurnosne prezentacije bez mjerljivog statusa usklađenosti, rizik nije tehnički nego upravljački.
Dobar interni izvještaj ne bi trebao stati na tvrdnji da su politike donesene ili edukacije provedene. Treba pokazati jesu li zahtjevi mapirani, koji dokazi postoje, koje su neusklađenosti otvorene, tko je vlasnik aktivnosti i u kojem su roku korektivne mjere izvedive. To vrijedi i za NIS2 i za ISO 27001, samo što je kod regulatornog okvira tolerancija na nejasnoće manja.
Što je razumna preporuka za većinu obveznika
Za većinu organizacija koje su obuhvaćene obvezama iz područja kibernetičke sigurnosti, NIS2 bi trebao biti prvi referentni okvir jer predstavlja obvezu koju morate moći dokazati. ISO 27001 je zatim vrlo koristan kao način da to isto područje uredite sustavnije, održivije i tržišno prepoznatljivije. Obrnuti redoslijed može imati smisla, ali uglavnom samo kada regulatorni status nije primaran ili još nije potvrđen.
Najskuplja odluka obično nije pogrešan standard, nego pogrešna pretpostavka da će se usklađenost dogoditi sama od sebe ako postoji dovoljno dokumenata. Neće. Potrebni su jasna procjena, strukturirani dokazi, vlasništvo nad aktivnostima i kontinuirano praćenje statusa.
Ako danas birate između NIS2 i ISO 27001, nemojte birati prema tome što zvuči poznatije ili tržišno atraktivnije. Birajte prema tome što vam sutra omogućuje da bez improvizacije pokažete odgovornost, usklađenost i stvarnu otpornost.