Rok za samoprocjenu je praktički istekao – Hoće li  AI zamijeniti IT revizore?

Objavljeno od

Obavijest o kategorizaciji

Dobili ste obavijest o kategorizaciji? Rok za usklađivanje je 12 mjeseci? Sada, u travnju 2026. trebali bi provesti samoprocjenu kibernetičke sigurnosti i ustanoviti u kojoj ste mjeri stvarno usklađeni, te rezultate dostaviti nadležnom tijelu?

Što ste poduzeli

Velika je šansa da ste o tome već razgovarali unutar vaše organizacije, IT je bio nositelj svih aktivnosti, a vrlo je vjerojatno da ste angažirali i vanjske konzultante. Uvijek ste znali da je kibernetička sigurnost važna, ali proces sustavne procjene rizika ili niste uspostavili, ili jeste, ali niste baš uvjereni da je sveobuhvatan. Štoviše, niste uvjereni u stvarnu korist sustavnog upravljanja rizikom, barem ne na način kako to sada radite.

Hoćemo li stvarno plaćati milijunske kazne?

Zakon o kibernetičkoj sigurnosti donosi jasne zahtjeve, rokove, i još jasnije kazne – milijuni eura za organizaciju i tisuće za odgovornu osobu. Došlo je vrijeme da se ozbiljnije posvetite onome što već dugo znate i odgađate jer uvijek postoje važniji prioriteti. Kazne su stvarne i to se ne može zanemariti, kao što se ne može zanemariti ni društvena i poslovna odgovornost kritičnih i važnih subjekata. Hoćemo li stvarno plaćati milijunske kazne? Što bolje uspostavite sustav upravljanja kibernetičkom sigurnošću, to je šansa da ćete platiti kaznu manja, ali … nikada nećete biti sigurni. Postizanje kibernetičke sigurnosti nije cilj – to je putovanje.

Ne brinite – niste jedini. Velika većina organizacija je u vrlo sličnoj situaciji.

Kako se spasiti?

Bez obzira jeste li super napredni telekom, banka, ili mala kategorizirana tvrtka poput npr. informacijskih posrednika ili proizvođača hrane, rizik kibernetičke sigurnosti je realan, a koraci koje morate provesti su slijedeći:

Samoprocjena kibernetičke sigurnosti

Postoji cijeli niz okvira i standarda iz područja kibernetičke sigurnosti, ali za ovu ćete se priliku obavezno poslužiti smjernicama koje je objavio Zavod za sigurnost informacijskih sustava. Vjerojatno ste već vidjeli „Kalkulator“ – predložak u obliku Excel tablice, no možda ste previdjeli da je njegovo popunjavanje daleko, daleko od samoprocjene kakva ona stvarno mora biti. Spomenute smjernice vrlo su detaljne, možda čak detaljnije od većine postojećih okvira i standarda u ovom području, zapravo su odlične.

Samoprocjena u 11 koraka

Za uspješnu provedbu samoprocjene, trebat će vam istovremeno 3 dokumenta (svi su objavljeni od strane Zavoda za sigurnost informacijskih sustava):

  1. Okvir za evaluaciju mjera upravljanja kibernetičkim sigurnosnim rizicima,
  2. Katalog kontrola i
  3. Kalkulator za samoprocjenu kibernetičke sigurnosti.

Otvorite Excel tablicu (kalkulator). Sa strane držite otvorene „Okvir“ i  „Katalog kontrola“, i pripremite si praznu tablicu. Krenite redom:

  1. Proučite u Okviru prvu mjeru i prvu podmjeru kako bi shvatili ciljeve koje morate postići implementacijom kontrola navedenih u kalkulatoru.
  2. U Kalkulatoru pogledajte koje kontrole je potrebno procijeniti u smislu njihovog doprinosa ispunjavanju ciljeva mjere i podmjere.
  3. U Katalogu kontrola pronađite odgovarajuću mjeru
  4. Proučite što ta mjera točno mora raditi (prvi paragraf u opisu kontrole), a posebno na koji se način mjera provjerava (drugi paragraf u opisu kontrole) i koje je dokaze potrebno prikupiti prilikom samoprocjene.
  5. Razmotrite kako je mjera implementirana u vašoj organizaciji i prikupite tražene dokaze.
  6. Opis načina implementacije mjere upišite u zasebni dokument (vezano uz mjeru, podmjeru i kontrolu), a prikupljene dokaze pohranite na mjesto gdje će vam ostati dostupni.
  7. U Katalogu kontrola prvo proučite smjernice za ocjenjivanje za tu konkretnu kontrolu, ali i postupak ocjenjivanja (na strani 10), te donesite odluku o ocjenama za dokumentaciju i implementaciju kontrole, u kontekstu ispunjavanja ciljeva mjere i podmjere.
  8. U Kalkulator upišite ocjene, a u polje napomena upišite obrazloženje za donošenje takvih ocjena.
  9. Pređite na slijedeću kontrolu i tako do kraja.
  10. Kad ste gotovi, pregledajte sve mjere, podmjere i kontrole koje ne zadovoljavaju traženu razinu sigurnosti, osmislite aktivnosti za poboljšanje, kreirajte plan daljnjeg postupanja i pratite njegovu provedbu.
  11. Kalkulator i plan daljnjeg postupanja dostavite nadležnom tijelu.

Može li bolje, brže i jednostavnije?

Naravno da može i brže i bolje i jednostavnije. Postoje dva načina:

Eksternalizacija samoprocjene

Cijelu samoprocjenu možete uvijek eksternalizirati. Ovdje možete očekivati trošak od minimalno 10-tak tisuća eura za najjednostavnije organizacije do više stotina tisuća, pa čak i više milijuna eura za najkompleksnije organizacije.

Kod angažmana konzultanata izuzetno je važno uvjeriti se da se u svom radu drže metodologije propisane smjernicama ZSIS-a. Imao sam prilike razgovarati sa ozbiljnim firmama koje su tvrdile da su im renomirane konzultantske kuće samoprocjenu napravile još prije objavljivanja smjernica ZSIS-a za samoprocjenu, što je naravno nemoguće. Dakle, pripazite da rezultat provedene samoprocjene sadrži sve gore navedene elemente. I naravno, da ima odgovarajuće iskustvo i potrebne stručne certifikate (npr. CISA).

Razvija se hrvatska AI platforma za usklađenost

Na tržištu postoji cijeli niz alata za upravljanje usklađenošću (tzv. GRC – Governace – Risk – Compliance), od kojih su mnogi u stanju podržati procjene po NIS2, no to nije u skladu sa propisanom metodologijom koja se primjenjuje u Hrvatskoj.

Dok ovo pišem, hrvatski tim koji objedinjava mlade stručnjake za umjetnu inteligenciju i iskusne međunarodne konzultante u području IT rizika i usklađenosti razvija hrvatsku AI platformu koja može cijelu samoprocjenu napraviti gotovo samostalno i već je dostupna na tržištu. Zanima li vas kako AI rješava probleme IT revizije, samoprocjene i usklađivanja sa ZKS, potražite po internetu. Ovo je jedna potpuno nova domena.

Mislite li da AI može zamijeniti IT revizora?