Ako se u vašoj organizaciji pitanje kako provesti NIS2 samoprocjenu još uvijek svodi na nekoliko Excel tablica, e-mailova i parcijalnih odgovora različitih timova, problem nije samo administrativan. Problem je u tome što takav pristup rijetko daje pouzdanu sliku stvarne razine usklađenosti, a još rjeđe stvara revizijski trag koji možete braniti pred upravom, internom revizijom ili nadležnim tijelom.
NIS2 samoprocjena nije formalnost koju treba “odraditi”. To je strukturirani pregled sposobnosti organizacije da upravlja kibernetičkim rizicima, provodi propisane mjere i dokaže da kontrole ne postoje samo na papiru. Upravo zato dobra samoprocjena mora spojiti regulatorne zahtjeve, operativnu praksu i kvalitetu dokaza.
Kako provesti NIS2 samoprocjenu na način koji ima vrijednost
Prvo treba raščistiti jednu čestu pogrešku. Samoprocjena nije isto što i ispunjavanje upitnika. Upitnik može biti alat, ali vrijednost proizlazi iz metodologije, obuhvata i kriterija ocjenjivanja. Ako pitanja nisu povezana sa stvarnim obvezama, ako odgovori nisu potkrijepljeni dokazima i ako rezultat ne vodi do plana daljnjeg postupanja, organizacija dobiva lažan osjećaj spremnosti.
Zato proces treba postaviti kao upravljački mehanizam, a ne kao jednokratnu kontrolnu listu. U praksi to znači da najprije definirate što procjenjujete, tko daje odgovore, koje dokaze prihvaćate i kako razlikujete djelomičnu od pune usklađenosti.
1. Odredite regulatorni i organizacijski obuhvat
Prvi korak nije tehnički, nego upravljački. Potrebno je utvrditi na koji se dio organizacije samoprocjena odnosi, koji su ključni poslovni procesi u obuhvatu, koje informacijske i operativne tehnologije podržavaju te procese te koje su uloge odgovorne za pojedina područja.
Ovdje se često podcijeni kompleksnost grupacija, povezanih društava, izdvojenih IT funkcija i vanjskih pružatelja usluga. Ako, primjerice, sigurnosne kontrole vodi centralna IT funkcija, a poslovni kontinuitet zasebna operativna jedinica, odgovori moraju odražavati stvarnu podjelu odgovornosti. U suprotnom ćete imati dokument koji izgleda uredno, ali ne odražava način na koji organizacija stvarno funkcionira.
Dobra praksa je mapirati obuhvat kroz tri sloja: poslovne usluge, podržavajuće sustave i odgovorne vlasnike. Tek tada odgovori u samoprocjeni dobivaju kontekst.
2. Prevedite zahtjeve u provjerljiva pitanja
NIS2 obveze ne treba tumačiti kao apstraktna načela, nego kao skup provjerljivih očekivanja. Umjesto pitanja “imamo li upravljanje incidentima”, korisnije je pitati postoji li formalno odobrena procedura, jesu li definirane odgovornosti, bilježe li se incidenti, testira li se postupanje i postoje li dokazi o primjeni.
Razlika je velika. Prvo pitanje često proizvodi optimističan odgovor. Drugo otkriva stvarno stanje.
Kod izrade upitnika ili kontrolnog okvira dobro je svaku temu razlomiti na više kontrolnih točaka. Upravljanje rizicima, odgovor na incidente, kontinuitet poslovanja, sigurnost lanca opskrbe, upravljanje pristupima, kriptografske mjere, edukacija korisnika i nadzor sigurnosti ne bi smjeli ostati na jednoj razini općenitosti. Što je pitanje preciznije, to je rezultat upotrebljiviji.
Dokazi su važniji od odgovora
Najslabija točka većine samoprocjena nije tumačenje regulative nego kvaliteta dokaza. Organizacije često imaju politike, ali ne i zapisnike o odobrenju. Imaju tehničke alate, ali ne i izvještaje koji potvrđuju da su kontrole aktivne. Imaju procedure, ali ne i trag da su zaposlenici upoznati s njima ili da su postupci testirani.
Zato svako područje procjene treba povezati s vrstom prihvatljivog dokaza. To mogu biti politike i procedure, zapisnici uprave, evidencije edukacija, izvještaji sustava, konfiguracijske postavke, rezultati testiranja, planovi oporavka, ugovorne klauzule s dobavljačima ili zapisnici o incidentima.
Ovdje vrijedi jednostavno pravilo: ako se tvrdnja ne može potkrijepiti dokumentom, zapisom ili tehničkim tragom, treba je tretirati kao nepotvrđenu. To ne znači automatski neusklađenost, ali znači da razina sigurnosti procjene pada.
3. Uključite prave vlasnike kontrola
NIS2 samoprocjenu nije realno provesti samo unutar IT odjela. Dio kontrola jest tehnički, ali velik dio se odnosi na upravljanje, odgovornosti, dobavljače, kontinuitet poslovanja, procjenu rizika i ljudske faktore. Ako u procjenu nisu uključeni vlasnici procesa, rezultat će biti parcijalan.
U praksi to znači da barem sudjeluju predstavnici IT-a, informacijske sigurnosti, usklađenosti ili pravne funkcije, poslovnih operacija, nabave i po potrebi ljudskih resursa. U reguliranim sektorima često je nužno uključiti i internu reviziju ili funkciju upravljanja rizicima.
Trade-off je jasan. Što je više sudionika, proces je sporiji. Ali ako ih isključite, povećavate rizik da će samoprocjena previdjeti područja koja su regulatorno osjetljiva upravo zato što nisu tehnička.
4. Ocjenjujte zrelost, a ne samo prisutnost kontrole
Jedno od ključnih pitanja je kako ocijeniti odgovor. Model “da/ne” može biti dovoljan za vrlo grubu sliku, ali rijetko pomaže u planiranju poboljšanja. Mnogo korisniji pristup je razlikovati barem četiri stanja: ne postoji, djelomično postoji, formalno postoji ali nije dokazano učinkovito i u potpunosti je implementirano s dokazima.
Ovakav pristup pomaže upravi da vidi gdje je stvarni problem. Nije isto ako organizacija nema proceduru za incident response i ako procedura postoji, ali nije testirana zadnjih 18 mjeseci. Oba slučaja traže akciju, ali prioritet i vrsta mjere nisu isti.
Zrelost je posebno važna kod područja kao što su upravljanje ranjivostima, sigurnosni monitoring, planovi kontinuiteta i upravljanje dobavljačima. Tu formalna dokumentacija bez operativne primjene ne pruža dovoljnu razinu sigurnosti.
Kako provesti NIS2 samoprocjenu bez pogrešne slike rizika
Samoprocjena koja završi tablicom postotaka, a ne poveže nalaze s poslovnim rizikom, nije dovoljna za donošenje odluka. Upravu ne zanima samo koliko je odgovora pozitivno, nego koje nesukladnosti mogu uzrokovati prekid ključnih usluga, regulatorni problem ili reputacijski udar.
Zato nakon ocjenjivanja treba napraviti prioritetizaciju. Nije svaka manjkavost jednako kritična. Ako nedostaje formalni zapis o godišnjem pregledu politike, to jest propust. Ali ako ne postoji jasan postupak prijave i eskalacije incidenta ili ako su privilegirani pristupi slabo kontrolirani, rizik je operativno mnogo veći.
Korisno je nalaze razvrstati prema dvije dimenzije: regulatorna važnost i utjecaj na poslovanje. Tamo gdje su obje visoke, korektivna mjera mora imati prioritet, vlasnika i rok. Tamo gdje je regulatorna važnost niža, moguće je planirati postupno zatvaranje jaza.
5. Izradite plan daljnjeg postupanja
Ovo je točka na kojoj mnoge samoprocjene gube vrijednost. Nakon identificiranih nedostataka organizacije često ostanu bez jasnog odgovora što dalje. Dobar plan daljnjeg postupanja mora biti dovoljno konkretan da se može provesti, ali i dovoljno realan da ga poslovanje može podržati.
Za svaku značajnu nesukladnost treba definirati potrebnu mjeru, odgovornu osobu, potrebne preduvjete, ciljanu dokumentaciju ili tehničku promjenu te rok provedbe. Ako je potrebno ulaganje, korisno je odmah razlikovati brze korekcije od projekata koji traže budžet i međufunkcionalnu koordinaciju.
Tu se vidi razlika između korisne i dekorativne procjene. Korisna procjena završava akcijama. Dekorativna završava prezentacijom.
6. Osigurajte revizijski trag i ponovljivost
NIS2 usklađenost nije statična. Kontrole se mijenjaju, sustavi se nadograđuju, dobavljači ulaze i izlaze iz obuhvata, a regulatorna očekivanja se dodatno operacionaliziraju kroz praksu nadzora. Zato samoprocjena mora biti ponovljiva.
To znači da treba sačuvati verzije odgovora, pripadajuće dokaze, kriterije ocjenjivanja i odluke o prioritetima. Bez toga će svaka nova procjena počinjati od nule, a organizacija će trošiti vrijeme na rekonstrukciju već poznatih činjenica.
Upravo ovdje digitalna platforma ima jasnu operativnu prednost nad ručnim pristupom. Kada su zahtjevi, dokazi, komentari, odgovorne osobe i izvješća vođeni na jednom mjestu, organizacija brže dolazi do vjerodostojne slike stanja. Ako je pritom omogućena kontrola pristupa, zaštita podataka, EU hosting i strukturirano generiranje izvješća, proces postaje ne samo brži nego i sigurniji. U tom smislu, rješenja poput ITrevizija.hr imaju smisla organizacijama koje žele praktičan put do usklađenosti bez višemjesečne implementacije generičkog GRC alata.
Najčešće pogreške koje usporavaju samoprocjenu
Najčešća je pogreška miješanje formalne dokumentacije sa stvarnom provedbom. Odmah iza nje dolazi preširok obuhvat u prvoj iteraciji, zbog kojeg tim izgubi fokus i zamah. Treća je oslanjanje na jednog koordinatora koji pokušava prikupiti sve odgovore bez uključenih vlasnika procesa.
Postoji i suptilniji problem: organizacije ponekad precijene svoju zrelost zato što imaju napredne sigurnosne alate. Alati jesu važni, ali bez procedura, odgovornosti, testiranja i urednog traga odluka ne znače automatsku regulatornu usklađenost. S druge strane, ni vrlo uređena dokumentacija bez tehničke provedbe nije dovoljna. NIS2 traži obje strane.
Ako želite da samoprocjena zaista pomogne, krenite dovoljno usko da proces ostane pod kontrolom, ali dovoljno duboko da nalazima možete vjerovati. Najbolji rezultat ne dolazi iz najdužeg upitnika, nego iz discipliniranog povezivanja obveza, dokaza i akcija. Kada to postavite ispravno, samoprocjena prestaje biti teret i postaje alat za upravljanje rizikom, odgovornošću i stvarnom operativnom spremnošću.