Tko odgovara za NIS2 usklađenost u tvrtki?

Pitanje tko odgovara za NIS2 usklađenost ne smije završiti imenovanjem CISO-a, IT direktora ili voditelja usklađenosti. Ti stručnjaci mogu voditi provedbu, ali prema NIS2 okviru i hrvatskom Zakonu o kibernetičkoj sigurnosti odgovornost za upravljanje mjerama kibernetičke sigurnosti počinje na razini upravljačkog tijela. Uprava ne može prenijeti svoju odgovornost samo zato što je operativne zadatke delegirala IT-u ili vanjskom partneru.

To ima vrlo praktičnu posljedicu: organizacija mora moći dokazati ne samo da ima sigurnosne politike i tehničke kontrole, nego i da je uprava razumjela rizike, odobrila mjere, pratila njihovu provedbu te reagirala na otvorene nedostatke. NIS2 usklađenost nije pojedinačni IT projekt. To je upravljački sustav koji mora povezati poslovne prioritete, rizik, ljude, procese, dobavljače i dokumentirane dokaze.

Tko odgovara za NIS2 usklađenost: uprava je krajnje odgovorna

Upravno tijelo subjekta – ovisno o pravnom obliku, uprava, direktor, izvršni odbor ili drugo nadležno tijelo – ima krajnju odgovornost za odobravanje i nadzor mjera upravljanja kibernetičkim rizicima. U praksi to znači da članovi uprave moraju znati koje su ključne digitalne usluge, gdje se nalaze najveće izloženosti, koji su preostali rizici i postoji li realan plan njihova smanjenja.

Ova odgovornost ne znači da uprava mora sama pregledavati zapise vatrozida ili konfigurirati višefaktorsku autentifikaciju. Njezina je zadaća osigurati da organizacija ima primjeren sustav odlučivanja, odgovorne osobe, dovoljne resurse i redovito izvještavanje. Ako se ozbiljna neusklađenost mjesecima ne rješava zato što nije bilo vlasnika, budžeta ili odluke, to je upravljački problem, a ne samo tehnički propust.

Za upravu je posebno važno razumjeti razliku između formalne i stvarne usklađenosti. Formalna usklađenost može izgledati uredno: postoje politike, imenovana je odgovorna osoba i izrađen je plan. Stvarna usklađenost traži provjerljive dokaze da se kontrole zaista primjenjuju, da se incidenti evidentiraju i analiziraju te da se planovi ažuriraju nakon promjena u poslovanju ili prijetnjama.

Obuka uprave nije administrativna formalnost

NIS2 naglašava potrebu da članovi upravljačkih tijela prođu odgovarajuću obuku za prepoznavanje rizika i procjenu praksi upravljanja kibernetičkim rizicima. Svrha nije od uprave stvoriti tehničke stručnjake. Svrha je omogućiti joj da postavlja prava pitanja i donosi informirane odluke.

Dobra obuka mora upravi dati kontekst za odluke koje stvarno donosi: kolika je poslovna posljedica prekida ključne usluge, koje obveze postoje u slučaju incidenta, kako se procjenjuje rizik dobavljača, što znači prihvaćanje preostalog rizika i kada je nužno eskalirati problem. Jednokratna prezentacija bez provjere razumijevanja rijetko je dovoljna za organizacije s većom izloženošću.

Operativna odgovornost mora biti jasno raspodijeljena

Krajnja odgovornost uprave ne ukida potrebu za preciznom operativnom podjelom posla. Naprotiv, bez nje usklađenost se najčešće pretvara u niz nepovezanih tablica, e-poruka i dokumenata koji ne daju pouzdanu sliku stanja.

CISO ili osoba zadužena za informacijsku sigurnost uobičajeno koordinira program kibernetičke sigurnosti. Ona predlaže mjere, prati rizike, definira sigurnosne zahtjeve, koordinira odgovor na incidente i izvještava upravu. Međutim, CISO ne može sam riješiti sve zahtjeve. Vlasnik poslovnog procesa mora potvrditi kritičnost usluge i prihvatljivost rizika. IT tim provodi tehničke kontrole. Pravna i compliance funkcija tumače regulatorne obveze. Nabava i vlasnici ugovora moraju uključiti sigurnosne zahtjeve u odnos s dobavljačima. Interna revizija ne provodi kontrole, već neovisno provjerava jesu li dizajnirane i provedene kako je predviđeno.

Najčešća pogreška je imenovati jednu osobu kao „NIS2 odgovornu osobu” bez stvarne ovlasti nad vlasnicima sustava, budžetom, nabavom ili poslovnim prioritetima. Takva osoba može pripremiti procjenu i upozoriti na rizike, ali ne može sama zatvoriti neusklađenosti koje zahtijevaju odluke drugih dijelova organizacije.

Matrica odgovornosti mora uključiti i dokaze

Za svaku ključnu obvezu korisno je unaprijed odrediti tko je vlasnik provedbe, tko odobrava odluku, tko daje stručni doprinos i tko mora biti obaviješten. No matrica nije potpuna ako ne odgovara na još jedno pitanje: gdje je dokaz da je obveza ispunjena?

Primjerice, za upravljanje pristupima nije dovoljno navesti IT administratora kao izvršitelja. Potrebno je odrediti tko odobrava pristupe, koliko često se provode recertifikacije, gdje se čuvaju zapisi pregleda, kako se evidentiraju iznimke i tko prati rokove. Isti pristup vrijedi za sigurnosne kopije, upravljanje ranjivostima, kontinuitet poslovanja, edukaciju zaposlenika i procjenu dobavljača.

Dokazi nisu dodatna administracija. Oni su način da uprava, interna revizija i nadzorno tijelo razlikuju provedenu kontrolu od dobre namjere. Kada su dokazi raspršeni po osobnim mapama i e-pošti, priprema za nadzor postaje spora, a rizik od nepotpunog odgovora raste.

Koju ulogu imaju IT, compliance, rizici i interna revizija?

Odgovornost za NIS2 zahtijeva suradnju funkcija koje često rade odvojeno. IT poznaje infrastrukturu i operativne ovisnosti. Sigurnosna funkcija procjenjuje prijetnje i definira kontrole. Compliance prati regulatorne zahtjeve. Risk management povezuje kibernetičke rizike s poslovnim rizicima i tolerancijom rizika koju je odobrila uprava. Interna revizija daje neovisnu procjenu zrelosti i pouzdanosti kontrola.

U manjim organizacijama jedna osoba može pokrivati više navedenih uloga. To nije samo po sebi problem, pod uvjetom da su ovlasti, sukobi interesa i eskalacijski putovi jasni. Kod veće složenosti, primjerice u zdravstvu, energetici, financijama ili telekomunikacijama, potrebna je formalnija struktura jer je broj kritičnih usluga, sustava i dobavljača veći.

Vanjski savjetnici i pružatelji upravljanih sigurnosnih usluga također mogu imati važnu ulogu, osobito kada nedostaju interna znanja. Ipak, outsourcing ne prebacuje regulatornu odgovornost. Organizacija mora nadzirati ugovorene usluge, definirati očekivane razine sigurnosti, pratiti izvještaje i osigurati da vanjski partneri podržavaju, a ne zamagljuju dokazivost usklađenosti.

Kako uprava može dokazati da nadzire NIS2 usklađenost

Upravljačko tijelo treba dobivati sažeta, ali sadržajna izvješća u redovitim intervalima i pri značajnim promjenama. Izvješće ne bi smjelo biti samo popis završenih aktivnosti. Treba prikazati stanje ključnih kontrola, otvorene neusklađenosti, rizike iznad prihvatljive razine, status mjera, ovisnosti o dobavljačima i odluke koje čekaju upravu.

Posebnu vrijednost imaju zapisi upravljačkih odluka: odobrenje politike, prihvaćanje obrazloženog preostalog rizika, odobravanje plana ulaganja, imenovanje vlasnika aktivnosti te praćenje rokova. Ako je rizik prihvaćen, zapis mora pokazati da je odluka bila informirana i vremenski ograničena, a ne prešutna posljedica neaktivnosti.

Kontinuirano praćenje je važnije od povremene pripreme za audit. Organizacija se mijenja: uvodi novu uslugu, spaja se s drugom tvrtkom, mijenja dobavljača u oblaku ili zapošljava nove administratore. Svaka takva promjena može utjecati na procjenu rizika i skup dokaza. Platforma poput ITrevizija.hr može centralizirati samoprocjenu, prikupljanje i AI analizu dokaza, upravljanje neusklađenostima te izvještavanje prema upravi. Time odgovorne osobe ne dobivaju samo popis zahtjeva, već pregled stvarnog stanja i prioriteta provedbe.

Model odgovornosti koji funkcionira u praksi

Dobar početak je formalna odluka uprave kojom se potvrđuje obuhvat usklađivanja, imenuje izvršni vlasnik programa i uspostavlja redoviti ritam izvještavanja. Nakon toga treba napraviti procjenu trenutačnog stanja, mapirati kritične usluge i odrediti vlasnike svake mjere i svakog dokaza.

Sljedeći korak nije pokušaj da se sve riješi odjednom. Prioritet trebaju imati nedostaci s najvećim poslovnim i sigurnosnim učinkom, posebno oni koji se odnose na upravljanje incidentima, kontinuitet usluga, pristupe, ranjivosti, sigurnost dobavljača i sposobnost pravodobnog izvještavanja. Za svaku mjeru potreban je vlasnik, rok, potrebni resursi i način provjere završetka.

Najzdraviji znak zrelosti nije tvrdnja da organizacija nema otvorenih problema. To je sposobnost da u svakom trenutku jasno pokaže koji problemi postoje, tko ih rješava, kada će biti zatvoreni i koji je rizik do tada svjesno prihvaćen. Upravo takva preglednost upravi omogućuje da svoju NIS2 odgovornost pretvori u stvarno upravljanje, a ne u dokument koji se otvara tek pred nadzor.