Kibernetički incident više nije isključivo operativni problem IT odjela. Kada prekid rada zaustavi proizvodnju, ugrozi dostupnost zdravstvene usluge, izloži osobne podatke ili poremeti lanac opskrbe, posljedice dolaze do uprave u satima, ne u tromjesečnim izvješćima. Zato najvažniji NIS2 zahtjevi za upravu poduzeća traže aktivno upravljanje rizikom, dokaziv nadzor i jasnu odgovornost, a ne samo odobravanje sigurnosnog proračuna.
Za subjekte obuhvaćene hrvatskim Zakonom o kibernetičkoj sigurnosti i povezanim podzakonskim zahtjevima, NIS2 mijenja polazište upravljanja. Uprava ne mora osobno konfigurirati zaštitne sustave niti voditi tehničku istragu incidenta. Mora, međutim, moći dokazati da je odobrila odgovarajuće mjere upravljanja kibernetičkim rizicima, nadzirala njihovu provedbu i razumjela preostale rizike koje organizacija svjesno prihvaća.
Uprava zadržava odgovornost, čak i kada poslove delegira
Najveća praktična pogreška jest tretirati NIS2 kao projekt CISO-a, IT direktora ili službenika za usklađenost. Operativne zadaće mogu i trebaju biti delegirane, ali odgovornost upravljačkog tijela za nadzor ne nestaje delegiranjem. Regulator će zato gledati postoji li jasna veza između odluka uprave, procjene rizika, odabranih mjera i dokaza da se mjere doista provode.
Uprava treba uspostaviti model u kojem su ovlasti i odgovornosti nedvosmislene. Tko odlučuje o prihvaćanju visokog rizika? Tko aktivira krizni tim? Tko ima mandat za komunikaciju s nadležnim tijelima, klijentima i partnerima? Tko potvrđuje da je korektivna mjera završena i učinkovita? Bez tih odgovora incident brzo prerasta iz tehničkog problema u problem upravljanja.
Jednako je važno da se sigurnost promatra kao poslovni rizik. Ransomware nije samo pitanje zaštite krajnjih uređaja. To je rizik nedostupnosti ključne usluge, ugovornih kazni, narušavanja povjerenja, gubitka prihoda i moguće regulatorne odgovornosti. Uprava treba dobivati informacije u poslovnom kontekstu, s jasnim utjecajem, vlasnikom rizika, rokom i odlukom koja se od nje očekuje.
Koje mjere uprava mora nadzirati
NIS2 zahtijeva proporcionalne i primjerene mjere upravljanja kibernetičkim rizicima. Proporcionalnost nije izgovor za odsutnost kontrole. Ona znači da mjere trebaju odgovarati djelatnosti, veličini, izloženosti prijetnjama, kritičnosti usluga i mogućim posljedicama poremećaja.
Uprava ne treba pratiti svaki tehnički parametar, ali mora zahtijevati pokrivenost ključnih područja. To uključuje upravljanje rizicima i sigurnosne politike, postupanje s incidentima, kontinuitet poslovanja i oporavak, sigurnost dobavnog lanca, upravljanje ranjivostima, kontrolu pristupa, kriptografske mjere, sigurnost pri nabavi i razvoju sustava te edukaciju zaposlenika i upravljačkih tijela.
Ovo nije kontrolna lista koju je dovoljno jednom popuniti. Primjerice, organizacija može imati formalnu politiku sigurnosnih kopija, ali uprava treba znati vraćaju li se kopije stvarno u prihvatljivom roku i obuhvaćaju li kritične sustave. Može imati ugovor s ključnim dobavljačem, ali treba razumjeti ovisi li isporuka osnovne usluge o dobavljaču koji nema ugovorene sigurnosne obveze, obavještavanje o incidentima ili pravo revizije.
Rizik dobavljača mora biti na dnevnom redu
Povezani pružatelji usluga, cloud infrastruktura, vanjski razvojni timovi i dobavljači poslovnih aplikacija proširuju granicu organizacije. NIS2 ne zahtijeva da se svaki dobavljač tretira jednako. Za dobavljača koji obrađuje osjetljive podatke, upravlja ključnim sustavom ili može prekinuti osnovnu uslugu potreban je znatno stroži nadzor nego za dobavljača bez pristupa sustavima i podacima.
Uprava treba tražiti segmentaciju dobavljača prema kritičnosti te ugovorene minimalne standarde: obvezu prijave sigurnosnog incidenta, zahtjeve za zaštitu podataka, pravila upravljanja pristupom, kontinuitet usluge i izlazni plan. Posebnu pozornost zaslužuju koncentracijski rizici. Ako više ključnih procesa ovisi o jednom pružatelju, problem tog pružatelja može postati problem cijelog poslovanja.
Prijava incidenta je proces upravljanja vremenom
Rokovi za obavještavanje o značajnim incidentima kratki su. NIS2 predviđa rano upozorenje u pravilu unutar 24 sata od saznanja za značajan incident, obavijest o incidentu unutar 72 sata te završno izvješće najkasnije u roku od mjesec dana. Primjena i operativni detalji ovise o hrvatskom regulatornom okviru, kategoriji subjekta i uputama nadležnih tijela, ali poruka za upravu je jednostavna: čekanje potpune tehničke slike prije prve prijave može biti pogrešna strategija.
Zato uprava treba odobriti i periodično testirati eskalacijski model. On mora razlikovati sigurnosni događaj od incidenta koji aktivira zakonsku obvezu, odrediti tko procjenjuje značajnost te osigurati dostupnost odgovornih osoba izvan radnog vremena. U prvim satima često nedostaju potpuni podaci. Dobar postupak omogućuje pravodobnu, činjeničnu početnu prijavu uz kasnija ažuriranja, bez nagađanja i bez prikrivanja neizvjesnosti.
Krizna komunikacija treba biti unaprijed pripremljena. Pravna služba, komunikacije, poslovni vlasnici procesa, zaštita podataka i tehnički tim ne smiju prvi put usklađivati uloge kada je sustav nedostupan. Vježba scenarija prekida ključne usluge često otkriva slabosti koje formalna politika ne može pokazati: nedostupne kontakte, nejasne ovlasti, nepotpune popise sustava i nemogućnost procjene utjecaja na korisnike.
Edukacija uprave nije formalnost
NIS2 posebno stavlja naglasak na osposobljavanje članova upravljačkih tijela. Svrha nije pretvoriti upravu u sigurnosne inženjere, nego omogućiti kvalitetno odlučivanje. Član uprave mora prepoznati razliku između rizika koji se može prihvatiti uz obrazloženje i rizika koji ugrožava zakonske obveze ili kontinuitet ključne usluge.
Korisna edukacija polazi od stvarnih scenarija organizacije. Što se događa ako napadač kompromitira identitete administratora? Koliko dugo ključna usluga smije biti nedostupna? Koje podatke organizacija mora moći obnoviti? Koji dobavljač stvara najveću ovisnost? Takav pristup upravi daje sposobnost postavljanja preciznih pitanja, umjesto da samo prima tehničke prezentacije bez poslovne odluke.
Dokazivost je jednako važna kao i provedba
Organizacija može poduzimati razumne sigurnosne korake, ali bez uređenih dokaza teško će pokazati stvarnu razinu usklađenosti. Zapisnici odluka uprave, registar rizika, odobrene politike, rezultati testiranja, evidencije edukacija, procjene dobavljača, zapisi o ranjivostima i status korektivnih aktivnosti moraju biti povezani i dostupni za nadzor.
To je područje na kojem ručni rad najbrže postaje ograničenje. Dokumenti završavaju u različitim mapama, vlasnici aktivnosti se mijenjaju, a izvješća se sastavljaju tek kada se pojavi zahtjev nadzora. Posljedica nije samo administrativni trošak. Uprava tada nema pouzdanu sliku o tome koje su obveze zatvorene, koje kasne i koji rizici ostaju otvoreni.
ITrevizija.hr može organizaciji dati strukturiran operativni sloj za samoprocjenu usklađenosti, upravljanje revizijskim dokazima, evidentiranje neusklađenosti i praćenje plana aktivnosti. AI analiza dokumentacije može ubrzati prikupljanje i provjeru dokaza, no ne zamjenjuje stručnu prosudbu ni odluke uprave. Vrijednost je u tome da se odluke, odgovornosti i dokazi mogu povezati u pregled koji je spreman za interni nadzor, reviziju i regulatorni zahtjev.
Kako uprava treba organizirati redoviti nadzor
Nadzor ne bi trebao ovisiti o godišnjoj prezentaciji ili incidentu. Učinkovit ritam ovisi o profilu rizika, ali za većinu obuhvaćenih organizacija smislen je redovit pregled na razini uprave ili odgovarajućeg odbora. Izvješće treba biti kratko, ali odlučivo: promjene u razini rizika, status kritičnih mjera, otvorene neusklađenosti, rezultati testova oporavka, značajni dobavljački rizici, incidenti i odluke koje čekaju odobrenje.
Loš pokazatelj je velik broj zatvorenih zadataka bez poveznice s poslovnim rizikom. Bolji pokazatelj je, primjerice, udio kritičnih sustava s testiranim planom oporavka, vrijeme otkrivanja i eskalacije incidenta, postotak kritičnih dobavljača s procijenjenim rizikom ili broj visokih rizika prihvaćenih izričitom odlukom uprave. Metrike trebaju potaknuti odluku, ne stvoriti privid kontrole.
Najbolji trenutak za uspostavu tog modela nije nakon prvog ozbiljnog incidenta ni nakon najave nadzora. Kada uprava danas traži jasan registar rizika, vlasnike aktivnosti, testirane postupke i dokazive odluke, organizacija dobiva više od regulatorne usklađenosti: dobiva sposobnost da pod pritiskom djeluje mirno, brzo i odgovorno.