Kad uprava traži odgovor na pitanje “jesmo li usklađeni sa ZKS-om?”, problem obično nije samo u tumačenju zakona. Problem je u tome što odgovor mora biti dokaziv, ažuran i operativno upotrebljiv. Upravo zato priručnik za usklađenost sa ZKS-om ne smije biti još jedan statični dokument koji se otvara tek pred nadzor, nego radni okvir koji povezuje obveze, odgovornosti, dokaze i plan korektivnih aktivnosti.
Za srednje i velike organizacije, osobito u reguliranim sektorima, usklađenost sa Zakonom o kibernetičkoj sigurnosti nije projekt koji se jednom zatvori. Ona je trajno stanje spremnosti. To znači da nije dovoljno imati politike, procedure i tehničke kontrole na papiru. Potrebno je moći pokazati kako se mjere provode, tko ih kontrolira, gdje su dokazi i što radite kada postoji odstupanje.
Što zapravo treba sadržavati priručnik za usklađenost sa ZKS-om
Dobar priručnik počinje granicama sustava usklađenosti. Drugim riječima, mora biti jasno na koje se poslovne procese, informacijske sustave, organizacijske jedinice i vanjske pružatelje usluga obveze odnose. Bez toga vrlo brzo nastaje česta pogreška – organizacija procjenjuje općenitu sigurnost, a ne vlastitu usklađenost u regulatornom smislu.
Nakon opsega dolazi mapiranje obveza. ZKS i povezani podzakonski zahtjevi ne treba promatrati kao zbirku apstraktnih normi, nego kao skup provjerljivih očekivanja. Svaka obveza treba biti prevedena u pitanje koje se može procijeniti, u dokaz koji se može prikupiti i u odgovornu osobu koja zna što mora održavati.
Treći element je model procjene. Nije dovoljno označiti nešto kao “usklađeno” ili “neusklađeno”. U praksi su mnogo korisniji modeli koji razlikuju potpuno ispunjene zahtjeve, djelomično ispunjene zahtjeve, neprimjenjive zahtjeve i područja bez dovoljno dokaza. Ta razlika je važna jer isto odstupanje nema istu težinu u svim organizacijama. Negdje je problem u nedostatku formalizacije, a negdje u stvarnom izostanku zaštitne mjere.
Priručnik zatim mora definirati kako se upravlja revizijskim dokazima. Tu se najčešće gubi najviše vremena. Dokumentacija je raspršena po dijeljenim mapama, mailovima, ticketing sustavima i glavama ljudi koji “znaju gdje je to spremljeno”. Ako dokaz nije moguće brzo pronaći, procijeniti i povezati s konkretnim zahtjevom, usklađenost postoji samo deklarativno.
Gdje organizacije najčešće zapinju
Najveći zastoj obično nije u tehnologiji, nego u organizaciji rada. Sigurnosni tim pretpostavlja da je vlasnik procesa zadužen za dokumentiranje kontrole. Vlasnik procesa očekuje da će usklađenost voditi pravna ili compliance funkcija. Uprava pak traži statusni pregled, ali bez jedinstvenog modela izvještavanja. Rezultat je poznat – puno aktivnosti, malo preglednosti.
Drugi čest problem je miješanje sigurnosne zrelosti i regulatorne usklađenosti. Organizacija može imati kvalitetan SOC, segmentaciju mreže i napredan nadzor, a da i dalje ne može uredno dokazati ispunjavanje pojedinih formalnih obveza. Obrnuto također vrijedi: moguće je imati urednu dokumentaciju, ali slabu provedbu u operativi. Priručnik mora obuhvatiti oba sloja.
Treći problem je trenutak procjene. Mnoge organizacije ozbiljno pristupe temi tek kada se približi interni pregled, vanjska revizija ili nadzor nadležnog tijela. Tada se usklađenost pokušava rekonstruirati unatrag. To je skupo, stresno i nepotrebno rizično. Mnogo je učinkovitije voditi proces kontinuirano, s jasnim tragom promjena i redovitim ažuriranjem statusa.
Kako složiti operativan model usklađenosti
Praktičan pristup počinje inicijalnom samoprocjenom. Cilj nije proizvesti savršen dokument u prvom pokušaju, nego dobiti realnu sliku stanja. Ta slika mora odgovoriti na četiri pitanja: koje su obveze primjenjive, kakvo je trenutno stanje, koji dokazi postoje i koje nesukladnosti traže prioritetnu obradu.
Nakon toga slijedi razrada po kontrolnim područjima. Ovdje je ključno izbjeći generičke opise. Ako, primjerice, govorite o upravljanju incidentima, nije dovoljno napisati da organizacija “ima proces”. Potrebno je pokazati proceduru, odgovorne uloge, kriterije eskalacije, zapise o testiranju i dokaze da se proces stvarno koristi. Isti princip vrijedi za upravljanje rizicima, pristupima, kontinuitetom poslovanja, dobavljačima i edukacijom zaposlenika.
Zatim dolazi određivanje prioriteta. Nisu sve nesukladnosti jednake. Neke nose visok regulatorni i operativni rizik, neke su pretežno formalne, a neke se mogu riješiti relativno brzo bez većeg utjecaja na poslovanje. Zato akcijski plan mora biti povezan s procjenom rizika i raspoloživim resursima. Ako pokušate sve rješavati odjednom, najčešće ne završite ništa kvalitetno.
Priručnik za usklađenost sa ZKS-om kao alat, a ne arhiva
Najkorisniji priručnik nije onaj koji najljepše izgleda, nego onaj koji olakšava svakodnevni rad. To znači da mora podržati praćenje statusa, dodjelu odgovornosti, spremanje dokaza, vođenje nesukladnosti i pripremu izvješća. Kad toga nema, timovi vrlo brzo prelaze na ručne tablice i parcijalna rješenja, a onda i na dvostruki posao.
Tu se vidi razlika između dokumenta i sustava. Dokument može opisati očekivani model. Sustav omogućuje da se taj model zaista provodi. Organizacijama koje imaju mnogo regulatornih zahtjeva i veliki broj dionika posebno je važno imati jedno mjesto na kojem su procjena, dokazi i plan usklađivanja povezani. Bez toga je teško dobiti pouzdanu sliku stvarnog stanja.
U praksi se najbolje pokazuje pristup u kojem procjena usklađenosti nije odvojena od upravljanja dokazima. Kada se svaki odgovor može potkrijepiti relevantnim dokumentom, zapisom ili kontrolnim tragom, razgovor o usklađenosti prestaje biti stvar dojma. Postaje mjerljiv i obranjiv.
Što uprava, CISO i compliance funkcija trebaju vidjeti
Uprava ne treba sirovi popis svih kontrola. Treba jasan prikaz izloženosti, ključnih nesukladnosti, rokova i odgovornosti. CISO-u je važan detalj po kontrolnim područjima, zajedno s operativnim implikacijama i ovisnostima prema IT-u, poslovnim vlasnicima i vanjskim partnerima. Compliance i interna revizija trebaju trag odluka, dosljednost procjene i dokaz da se statusi ne određuju proizvoljno.
Zato priručnik mora predvidjeti različite razine izvještavanja. Jedan te isti podatak treba biti upotrebljiv i za radnu razinu i za upravljačku razinu. Ako se za svaku publiku izvještaj mora ručno prepravljati, proces postaje spor i podložan pogreškama.
Ovdje je automatizacija korisna, ali samo ako je podređena regulatornoj logici. Nema koristi od alata koji brzo generira izvješća ako iza njih stoje nepovezani, neažurni ili slabo klasificirani dokazi. Dobra automatizacija skraćuje administraciju, ali ne zamjenjuje kvalitetu metodologije.
Gdje AI ima stvarnu vrijednost
AI je koristan onda kada smanjuje ručni rad bez kompromisa na kontroli i privatnosti podataka. U kontekstu ZKS usklađenosti to znači pomoć pri analizi dokumentacije, povezivanju dokaza s obvezama, prepoznavanju nedostataka u sadržaju i izradi prijedloga akcijskog plana. Najveća korist nije u “čarobnom” odgovoru, nego u ubrzanju procesa koji inače troši stotine sati.
Ipak, postoje i granice. Ako je ulazna dokumentacija nekonzistentna, zastarjela ili formalno neodobrena, ni najbolji AI model neće stvoriti vjerodostojnu usklađenost. Isto tako, organizacije s vrlo osjetljivim podacima moraju posebno paziti na arhitekturu rješenja, lokaciju hostinga, kontrolu pristupa i modele obrade podataka. Tehnološka učinkovitost nema vrijednost ako otvara novi sigurnosni problem.
U tom smislu, platforme poput ITrevizija.hr imaju smisla kada spajaju regulatornu strukturu, upravljanje dokazima, AI analizu i izvještavanje u jednom operativnom okviru. Ključ nije samo u brzini početka rada, nego u tome da organizacija u svakom trenutku može pokazati što je procijenjeno, što je dokazano i što još treba ispraviti.
Kako znati da je vaš pristup dovoljno dobar
Najjednostavniji test je ovaj: možete li unutar kratkog roka pokazati primjenjive obveze, aktualni status, pripadajuće dokaze, otvorene nesukladnosti i plan sanacije s odgovornim osobama? Ako je odgovor ne, problem vjerojatno nije samo u dokumentaciji nego u modelu upravljanja usklađenošću.
Drugi test je održivost. Ako za svako novo izvješće morate ponovno okupljati tim, tražiti dokumente po različitim spremištima i ručno usklađivati verzije, pristup nije dovoljno zreo. Usklađenost mora biti vođena tako da organizacija ostane spremna i kada se promijene ljudi, sustavi ili prioriteti.
Treći test je vjerodostojnost pred nadzorom. Nadzorna spremnost ne znači da imate savršeno stanje. Znači da razumijete svoje obveze, objektivno prikazujete trenutno stanje i sustavno upravljate odstupanjima. U mnogim slučajevima upravo ta razina kontrole čini razliku između improvizacije i ozbiljnog regulatornog upravljanja.
Ako tražite stvarnu vrijednost od priručnika, nemojte ga tretirati kao administrativnu obvezu. Tretirajte ga kao upravljački mehanizam koji pretvara ZKS iz jednokratnog napora u kontroliran, dokaziv i održiv proces.