Ako se u vašoj organizaciji još raspravlja je li Uredba samo formalnost ili stvarna operativna obveza, odgovor je prilično jasan: ono što traži uredba o kibernetičkoj sigurnosti ne svodi se na nekoliko politika i jednokratnu procjenu. Traži dokazivu sposobnost upravljanja rizicima, incidentima, odgovornostima, kontinuitetom i nadzorom nad mjerama koje moraju funkcionirati u praksi, a ne samo na papiru.
Za uprave, CISO-e, voditelje usklađenosti i interne revizore to mijenja fokus. Pitanje više nije imate li dokumentaciju, nego možete li pokazati tko što radi, kako se rizici procjenjuju, kako se odluke provode i gdje su dokazi da sustav zaista radi. Upravo tu većina organizacija gubi vrijeme – ne na razumijevanju načela, nego na pretvaranju regulatornog teksta u operativan model rada.
Što traži uredba o kibernetičkoj sigurnosti u praksi
Uredba u praksi traži tri stvari istodobno: jasna pravila, provedive mjere i trajne dokaze. To znači da organizacija mora znati koje je rizike identificirala, koje je kontrole odabrala, tko je odgovoran za njihovu provedbu i kako će dokazati da su mjere primjerene njezinoj ulozi, veličini i izloženosti prijetnjama.
To nije isti zahtjev za svaku organizaciju u svakom sektoru. Opća logika je ista, ali intenzitet i dubina provedbe ovise o tome koliko je subjekt kritičan, koliko je složeno njegovo poslovanje, koje sustave koristi, kakve podatke obrađuje i kakav bi učinak imao poremećaj usluga. Drugim riječima, uredba ne nagrađuje generički pristup. Traži razmjernost, ali i ozbiljnost.
Najčešća pogreška je pokušaj da se usklađenost svede na kontrolnu listu. Kontrolna lista pomaže kao početak, ali sama po sebi nije dovoljna. Regulator očekuje sustav upravljanja, a sustav upravljanja podrazumijeva proces, odgovornosti, praćenje, ažuriranje i izvješćivanje.
Temeljne obveze koje organizacije moraju pokriti
Upravljanje rizicima kao stalna disciplina
Jedan od središnjih zahtjeva je uspostava upravljanja kibernetičkim rizicima. To znači da organizacija mora prepoznati ključnu imovinu, razumjeti prijetnje i ranjivosti, procijeniti vjerojatnost i učinak te na temelju toga odabrati primjerene mjere zaštite.
U praksi to nije samo tehnički posao IT-a. Ako poslovni proces ovisi o dobavljaču, cloud platformi, industrijskom sustavu ili osjetljivim podacima, procjena rizika mora obuhvatiti i poslovnu i regulatornu perspektivu. Dobar dokument procjene rizika zato ne završava popisom prijetnji, nego povezuje rizike s konkretnim vlasnicima, mjerama i rokovima.
Sigurnosne mjere moraju biti primjerene i dokazive
Uredba ne traži samo da postoje mjere, nego da budu primjerene. To uključuje tehničke i organizacijske kontrole kao što su upravljanje pristupima, segmentacija, zaštita identiteta, sigurnosno zakrpavanje, sigurnosne kopije, praćenje događaja, upravljanje ranjivostima, zaštita podataka i upravljanje promjenama.
Ali ovdje dolazi važna nijansa. Nije cilj imati najviše mogućih kontrola, nego one koje su razumno odabrane, pravilno implementirane i redovito provjeravane. Organizacija s previše nekonzistentnih mjera često je manje spremna od organizacije koja ima manji broj dobro upravljanih kontrola.
Upravljanje incidentima i obveza reakcije
Uredba očekuje da organizacija može pravodobno otkriti, klasificirati, evidentirati i rješavati incidente. To uključuje interne procedure, odgovorne osobe, komunikacijske kanale i sposobnost procjene ozbiljnosti događaja.
Tu mnogi podcjenjuju organizacijski dio. Tehnički tim može uočiti incident, ali ako nema jasnih kriterija eskalacije, uprava ne dobiva pravu informaciju na vrijeme, a regulatorna obveza prijave postaje improvizacija. Usklađenost zato nije samo SOC ili alat za nadzor. To je i odluka tko procjenjuje poslovni učinak, tko odobrava vanjsku komunikaciju i tko vodi zapis o poduzetim radnjama.
Kontinuitet poslovanja i otpornost
Ono što traži uredba o kibernetičkoj sigurnosti uključuje i sposobnost nastavka rada kada stvari pođu loše. Sigurnosne kopije, planovi oporavka, testiranje oporavka, alternativni načini rada i procjena kritičnih ovisnosti postaju dio iste cjeline.
Ovdje je posebno važno razlikovati formalno postojanje plana od stvarne spremnosti. Plan kontinuiteta koji nije testiran uglavnom daje lažan osjećaj sigurnosti. Regulatoru i upravi puno više znači dokaz da je oporavak isproban, da su uočeni nedostaci evidentirani i da su poboljšanja provedena.
Uloga uprave više nije posredna
Jedna od najvažnijih promjena u regulatornom pristupu jest jače vezivanje odgovornosti uz upravljačku razinu. Kibernetička sigurnost više se ne tretira kao usko tehničko pitanje koje uprava samo načelno podupire. Očekuje se aktivan nadzor, donošenje odluka i razumijevanje ključnih rizika.
To ne znači da članovi uprave moraju ulaziti u tehničke detalje konfiguracije. Znači da moraju moći tražiti i razumjeti izvješća o izloženosti, statusu mjera, otvorenim nesukladnostima, rezultatima procjena i spremnosti za incidentne scenarije. Ako takav pregled ne postoji, organizacija ima problem i prije nadzora.
Zato je dobra praksa uspostaviti ritam izvješćivanja koji je dovoljno precizan za operativne timove, a dovoljno jasan za donositelje odluka. Previše tehničkih podataka zamagljuje sliku. Premalo podataka stvara upravljački rizik.
Dokumentacija nije cilj, ali bez nje nema usklađenosti
Mnoge organizacije reagiraju tek kad shvate koliko je dokumentacijskih tragova potrebno održavati. Politike, procedure, procjene rizika, evidencije imovine, zapisi o incidentima, planovi mjera, izvješća o testiranju, dokazi o edukaciji i pregledi dobavljača čine osnovu dokazive usklađenosti.
Problem nije samo količina, nego i raspršenost. Dokumenti su često po mapama, mailovima, ticketing sustavima i privatnim tablicama različitih timova. Tada ni interna revizija ni odgovorna osoba ne mogu brzo odgovoriti na jednostavno pitanje: koji je naš trenutačni status usklađenosti i gdje su dokazi?
Zato organizacije koje pristupe temi ozbiljno sve češće traže centraliziran model upravljanja dokazima i nesukladnostima. Ako se procjena, dokaz, komentar, vlasnik aktivnosti i rok nalaze na jednom mjestu, usklađenost prestaje biti periodični projekt i postaje proces kojim se može upravljati.
Što traži uredba o kibernetičkoj sigurnosti od dobavljača i trećih strana
Dobavljački lanac je jedna od točaka na kojoj formalna usklađenost najbrže puca. Organizacija može urediti vlastito interno okruženje, ali ako ključni vanjski pružatelji usluga nemaju odgovarajuće sigurnosne standarde, ukupna izloženost ostaje visoka.
Uredba zato traži da se rizici povezani s trećim stranama ne zanemare. To obično znači procjenu kritičnosti dobavljača, sigurnosne zahtjeve u ugovorima, periodične provjere i jasnu evidenciju o tome koje usluge ili sustavi ovise o vanjskim partnerima. Nije realno sve dobavljače tretirati jednako. Fokus mora biti na onima čiji bi propust imao ozbiljan operativni ili regulatorni učinak.
Kako pristupiti usklađivanju bez gubitka mjeseci
Najbrži put nije krenuti od pisanja novih politika, nego od realne slike sadašnjeg stanja. Organizacija prvo treba znati što već postoji, gdje su najveće praznine i koje obveze nose najveći regulatorni rizik. Tek nakon toga ima smisla definirati plan usklađivanja.
Dobar operativni pristup obično ide ovim redom: početna samoprocjena, mapiranje postojećih kontrola i dokaza, identifikacija nesukladnosti, određivanje prioriteta, dodjela vlasnika aktivnosti i uspostava redovitog izvješćivanja. Taj pristup smanjuje lutanje i sprječava da timovi troše vrijeme na mjere koje dobro zvuče, ali ne zatvaraju stvarne obveze.
Tu tehnologija može značajno ubrzati posao, ali samo ako je usmjerena na konkretan regulatorni ishod. Alat koji samo pohranjuje dokumente nije dovoljan. Vrijednost nastaje kada sustav pomaže u procjeni usklađenosti, organizaciji dokaza, prepoznavanju nedostataka i izradi provedivog plana daljnjeg postupanja. Upravo zato platforme poput ITrevizija.hr imaju smisla organizacijama koje žele brz početak, preglednost i dokazivu spremnost bez višemjesečne implementacije klasičnih GRC rješenja.
Gdje organizacije najčešće pogriješe
Prva pogreška je podcjenjivanje opsega obveza i oslanjanje na parcijalne tehničke kontrole. Druga je uvjerenje da će vanjski audit ili nadzor nekako poslužiti kao početna dijagnoza. To je skup i rizičan pristup. Treća je izostanak vlasništva nad procesom, pa usklađenost ostane između IT-a, pravne funkcije i uprave, bez stvarnog nositelja.
Česta je i zabluda da je dovoljno jednom uskladiti sustav. Uredba traži kontinuiranu spremnost. Promjene u sustavima, dobavljačima, prijetnjama i organizaciji znače da se i procjene i mjere moraju redovito preispitivati. Tko to ne radi, s vremenom akumulira skrivene nesukladnosti.
Najzrelije organizacije zato ne gledaju uredbu kao administrativni teret, nego kao okvir za urednije upravljanje sigurnošću, rizikom i odgovornošću. Kad su obveze jasno mapirane, dokazi centralizirani, a aktivnosti praćene po vlasnicima i rokovima, regulatorna usklađenost prestaje biti stresni projekt pred nadzor. Postaje stanje operativne kontrole koje upravi daje ono što joj je stvarno potrebno – jasnu sliku, manje neizvjesnosti i bolju otpornost kad se dogodi nešto što nije bilo u planu.