Kad uprava postavi pitanje što traži ZKS od tvrtki, obično ne traži pravnu teoriju nego jasan odgovor na tri stvari – što moramo uvesti, što moramo dokazati i tko za to odgovara. Upravo tu većina organizacija zapne. Ne na razumijevanju načela, nego na pretvaranju zakonskih zahtjeva u operativne aktivnosti, dokumente, kontrole i revizijske dokaze.
Zakon o kibernetičkoj sigurnosti ne traži od tvrtki samo da “paze na sigurnost”. Traži strukturiran, dokaziv i upravljan pristup kibernetičkim rizicima. To znači da sigurnost više nije isključivo stvar IT odjela, nego pitanje upravljanja, odgovornosti i spremnosti organizacije da u svakom trenutku pokaže kako upravlja prijetnjama, incidentima, dobavljačima, pristupima i kontinuitetom poslovanja.
Što traži ZKS od tvrtki kao minimum
Najkraći odgovor glasi – traži da organizacija prepozna svoje regulatorne obveze, procijeni rizike, uvede primjerene sigurnosne mjere i može dokazati da ih zaista provodi. U praksi to uključuje puno više od jedne politike ili tehničkog alata.
Prvo, organizacija mora znati odnosi li se ZKS na nju i u kojem opsegu. To nije formalnost. Status subjekta, sektor djelatnosti, veličina organizacije i važnost usluga koje pruža izravno utječu na dubinu obveza, razinu očekivane kontrole i način nadzora.
Drugo, ZKS očekuje da sigurnost bude upravljana sustavno. To znači definirane odgovornosti, usvojene politike, procjene rizika, evidencije imovine, upravljanje incidentima, planiranje oporavka i nadzor nad trećim stranama. Ako nešto postoji samo usmeno ili ovisi o jednom administratoru koji “zna kako stvari rade”, to regulatorno nije dovoljno.
Treće, traži se dokazivost. Mnogo tvrtki ima određene sigurnosne prakse, ali ih ne može povezati sa zakonskim zahtjevima. Bez jasne evidencije, verzioniranih dokumenata, potvrda provođenja aktivnosti i pratećih dokaza, usklađenost ostaje pretpostavka, a ne stanje koje se može pokazati.
Nije dovoljno imati tehnologiju
Jedna od češćih pogrešaka je pretpostavka da su firewall, antivirus, SIEM ili MFA sami po sebi odgovor na pitanje što traži ZKS od tvrtki. Te kontrole jesu važne, ali zakon ne ocjenjuje samo postoji li tehnologija, nego i kako je upravljana.
Primjerice, višefaktorska autentikacija bez politike pristupa, bez evidencije iznimki i bez kontrole privilegiranih računa ostavlja ozbiljne rupe. Slično tome, sigurnosne kopije bez testiranog povrata i bez definiranog prioriteta oporavka kritičnih sustava ne znače mnogo kad dođe do incidenta.
Drugim riječima, ZKS traži model upravljanja sigurnošću, a ne skup nepovezanih alata. Organizacija mora moći objasniti zašto je određenu mjeru uvela, koji rizik njome pokriva, tko je odgovoran za njezino održavanje i kako provjerava njezinu učinkovitost.
Ključna područja koja tvrtke moraju urediti
Upravljanje rizicima i odgovornost uprave
ZKS polazi od pretpostavke da kibernetički rizik nije tehnički detalj nego poslovni rizik. Zato se od organizacije očekuje da ima metodologiju procjene rizika, kriterije za procjenu utjecaja i vjerojatnosti, prioritizaciju mjera te mehanizam praćenja preostalih rizika.
Posebno je važno pitanje odgovornosti. Uprava ne može biti potpuno izvan procesa. Ona mora imati pregled nad razinom rizika, odobravati ključne politike i biti uključena u odluke koje utječu na otpornost poslovanja. U praksi, ako sigurnosni program nema vlasnika na razini upravljanja, vrlo brzo se raspadne na parcijalne aktivnosti bez prioriteta i budžeta.
Politike, procedure i stvarna primjena
Dokumentacija je nužna, ali samo ako odražava stvarno stanje. Organizacije često imaju generičke politike koje nisu povezane s internim procesima, infrastrukturom ili odgovornostima. To je problem jer se u nadzoru lako uočava razlika između dokumenta i operativne prakse.
ZKS od tvrtki traži da ključni procesi budu formalizirani. To obično uključuje upravljanje pristupima, klasifikaciju imovine, upravljanje ranjivostima, evidentiranje i obradu incidenata, sigurnosne kopije, kontinuitet poslovanja, oporavak od katastrofe i sigurnost dobavljača. Kvaliteta dokumentacije nije u broju stranica nego u tome može li se po njoj zaista raditi.
Upravljanje incidentima i obveze prijave
Jedan od regulatorno osjetljivijih dijelova je sposobnost prepoznavanja, evidentiranja, eskalacije i prijave incidenta. Organizacija mora znati što smatra incidentom, tko ga procjenjuje, kada se aktivira krizni odgovor i kako se vodi trag o tijeku događaja.
Ovdje nema mnogo prostora za improvizaciju. Ako incident nastupi, regulator neće prvo pitati koji alat koristite, nego jeste li incident detektirali na vrijeme, jeste li imali definirane korake odgovora i jeste li mogli pokazati odluke, zapisnike i vremenski slijed aktivnosti. Tvrtke koje to pokušavaju rekonstruirati naknadno obično otkriju da im nedostaje pola ključnih podataka.
Dobavljači i vanjski partneri
Velik broj organizacija ima dobru internu sigurnost, ali slabu kontrolu nad trećim stranama. ZKS tu postavlja vrlo jasan standard – rizik ne završava na granici vaše mreže. Ako kritične usluge ovise o cloud pružateljima, vanjskim administratorima, integratorima, call centrima ili outsourcing partnerima, i taj dio lanca mora biti procijenjen i nadziran.
To ne znači da svaki dobavljač nosi isti rizik. Ovdje vrijedi pravilo razmjernosti. Dobavljača za uredski materijal ne tretirate jednako kao partnera koji održava produkcijski sustav ili obrađuje osjetljive podatke. Ali morate imati kriterije, ugovorne zahtjeve, sigurnosna očekivanja i evidenciju provjere.
Kontinuitet poslovanja i oporavak
ZKS ne pita samo kako spriječiti incident, nego i kako nastaviti poslovanje kada se incident ipak dogodi. Zato su planovi kontinuiteta i oporavka ključni. Organizacija mora znati koje su joj kritične usluge, koliko dugo mogu biti nedostupne i u kojem redoslijedu se vraćaju u funkciju.
Ovo je područje u kojem se često vidi razlika između formalne i stvarne spremnosti. Mnoge tvrtke imaju plan, ali ga nikada nisu testirale. Bez testiranja nema pouzdane procjene izvedivosti, vremena oporavka ni ovisnosti između sustava, timova i dobavljača.
Što regulator zapravo želi vidjeti
Kad se pitanje spusti na operativnu razinu, odgovor na to što traži ZKS od tvrtki svodi se na konzistentnost između četiri elementa – obveza, mjera, odgovornosti i dokaza.
Regulator želi vidjeti da organizacija razumije koje joj se obveze primjenjuju. Želi vidjeti da su te obveze prevedene u kontrole i procese. Želi vidjeti tko njima upravlja i kako se prati provedba. I naposljetku, želi vidjeti dokaze da to nije jednokratna aktivnost nego kontinuirani režim upravljanja sigurnošću.
To uključuje zapisnike, izvještaje, planove postupanja, rezultate procjena, evidenciju nesukladnosti, potvrde testiranja, revizijske tragove i status provedbe korektivnih aktivnosti. Drugim riječima, traži se operativna disciplina.
Gdje tvrtke najčešće griješe
Najčešći problem nije potpuni izostanak aktivnosti, nego fragmentiranost. Jedan dio dokumentacije drži compliance, drugi IT, treći vanjski partner, a nitko nema cjelovitu sliku. Rezultat je puno rada, ali malo stvarne preglednosti.
Druga česta pogreška je tretiranje usklađenosti kao projekta s krajnjim datumom. ZKS nije zadatak koji se jednom zatvori. Sustavi se mijenjaju, prijetnje se mijenjaju, dobavljači se mijenjaju, a s njima i rizici. Tko usklađenost postavi samo kao inicijalnu dokumentacijsku vježbu, za nekoliko mjeseci ponovno ulazi u isti problem.
Treća pogreška je oslanjanje na generičke predloške bez prilagodbe stvarnom poslovnom okruženju. Predložak može ubrzati početak, ali ne može zamijeniti procjenu stvarne infrastrukture, poslovnih procesa i regulatornog konteksta.
Kako se pripremiti bez nepotrebnog administrativnog tereta
Za većinu organizacija najbolji pristup nije krenuti od dokumenata, nego od stvarnog stanja. Treba najprije utvrditi koje se obveze primjenjuju, koje kontrole već postoje, gdje su praznine i koji su dokazi dostupni. Tek tada ima smisla izrađivati plan usklađivanja.
Operativno gledano, najviše vremena troši prikupljanje i povezivanje dokaza. Tu se često gube stotine sati na ručno traženje zapisnika, verzija politika, potvrda testiranja i statusa aktivnosti. Zato strukturirani sustav za samoprocjenu, upravljanje dokazima i praćenje nesukladnosti donosi stvarnu razliku. Ne samo zbog bržeg odgovora na nadzor, nego zato što uprava u svakom trenutku dobiva realnu sliku razine usklađenosti i preostalih rizika.
U tom kontekstu, platforme poput ITrevizija.hr imaju smisla zato što ne pokušavaju od organizacije napraviti GRC projekt koji traje mjesecima, nego skraćuju put od zahtjeva do dokaza. To je posebno važno za subjekte koji moraju brzo uspostaviti pregled nad obvezama, uskladiti dokumentaciju s praksom i održavati kontinuiranu spremnost.
Ako vaša organizacija još uvijek interno raspravlja što traži ZKS od tvrtki, to je dobar signal da najprije trebate urediti mapu obveza, odgovornosti i dokaza. Kad to postane pregledno, usklađenost više ne izgleda kao regulatorni kaos nego kao upravljiv proces.