Ako je vaša organizacija obveznik prema Zakonu o kibernetičkoj sigurnosti ili se ozbiljno priprema za njegovu punu primjenu, pitanje obveze po NIS2 direktivi nije više pravna tema za kasnije. To je operativno pitanje uprave, sigurnosti, odgovornosti i dokazivanja. Najveći problem pritom nije samo razumjeti što propis traži, nego prevesti zahtjeve u konkretne interne aktivnosti, vlasnike zadataka i revizijski trag koji će izdržati nadzor.
Što uopće znače obveze po NIS2 direktivi
NIS2 ne traži deklarativnu sigurnost, nego upravljanu otpornost. To znači da organizacija mora moći pokazati kako prepoznaje rizike, kako ih smanjuje, kako reagira na incidente i kako uprava nadzire cijeli sustav. U praksi, regulator ne gleda samo imate li dokument, nego je li dokument živ, primijenjen i poduprt dokazima.
Za srednje i velike subjekte to mijenja logiku usklađenosti. Više nije dovoljno da sigurnosne aktivnosti postoje u tehničkom timu, dok uprava formalno odobrava politike jednom godišnje. NIS2 traži jasnu upravljačku odgovornost, redovitu procjenu rizika, mjere sigurnosti primjerene izloženosti te postupke prijave i upravljanja incidentima.
Drugim riječima, usklađenost nije jedan projekt. Ona postaje kontrolirani proces.
Koga zahvaćaju obveze po NIS2 direktivi
Najčešća pogreška je pretpostavka da se NIS2 odnosi samo na “kritičnu infrastrukturu” u užem smislu. U stvarnosti, obuhvat je širi i uključuje niz sektora i subjekata čiji bi poremećaj rada imao značajan učinak na gospodarstvo, javne usluge ili zdravlje građana.
U hrvatskom kontekstu to posebno zanima organizacije iz zdravstva, financija, energetike, digitalne infrastrukture, telekomunikacija, proizvodnje, farmacije, logistike i drugih djelatnosti koje su izravno ili neizravno uključene u pružanje ključnih i važnih usluga. Veličina subjekta također je važna, ali nije jedini kriterij. Kod nekih organizacija presudan će biti sektor, kod drugih uloga u opskrbnom lancu, a kod trećih razina sistemske važnosti.
Zato je prvi korak uvijek kvalifikacija statusa. Ako taj korak preskočite, riskirate dvije loše opcije – da trošite resurse na pogrešan opseg usklađivanja ili da podcijenite stvarne regulatorne obveze.
Temeljne obveze koje organizacija mora pokriti
NIS2 postavlja okvir, ali ono što upravu i operativne timove stvarno zanima jest: što konkretno moramo imati? Odgovor je manje dramatičan nego što se ponekad prikazuje, ali traži disciplinu.
Upravljanje rizicima i sigurnosne mjere
Organizacija mora uspostaviti pristup upravljanju kibernetičkim rizicima koji je dokumentiran, razuman i primjenjiv. To uključuje procjenu prijetnji, ranjivosti, poslovnih učinaka i postojećih kontrola. Bitno je da taj proces ne ostane apstraktan. Ako procjena rizika ne vodi do prioriteta, rokova i odgovornih osoba, ona će u nadzoru imati ograničenu vrijednost.
Sigurnosne mjere pritom trebaju pokrivati područja poput upravljanja incidentima, kontinuiteta poslovanja, sigurnosti mrežnih i informacijskih sustava, kontrole pristupa, sigurnosti dobavljača, upravljanja ranjivostima i osnovne kibernetičke higijene. Mjere ne moraju biti iste za svaku organizaciju. Regulator očekuje primjerenost, a ne kopiranje tuđeg modela.
Odgovornost uprave
Jedna od najvažnijih promjena koju NIS2 uvodi jest stvarna uključenost uprave. Uprava mora odobravati mjere upravljanja rizicima, pratiti njihovu provedbu i razumjeti posljedice neusklađenosti. To nije formalnost koju je moguće prepustiti isključivo IT-u ili pravnoj funkciji.
U praksi to znači da članovi uprave trebaju dobivati pregledne, redovite i dovoljno konkretne informacije o stanju sigurnosti, otvorenim rizicima, statusu korektivnih aktivnosti i incidentima. Ako nema strukturiranog izvještavanja, teško je dokazati da nadzor postoji.
Upravljanje incidentima i prijava nadležnim tijelima
Obveza ne završava otkrivanjem incidenta. Organizacija mora imati definiran način klasifikacije događaja, eskalacije, internog odlučivanja i vanjske prijave kada su ispunjeni kriteriji. Rokovi i sadržaj prijava nisu nešto što se improvizira usred krize.
Zato je nužno unaprijed odrediti tko procjenjuje ozbiljnost incidenta, tko potvrđuje regulatornu relevantnost, tko komunicira prema nadležnim tijelima i gdje se čuvaju dokazi o poduzetim radnjama. U mnogim organizacijama upravo je ovaj dio najslabije dokumentiran.
Kontinuitet poslovanja i oporavak
NIS2 ne gleda sigurnost izolirano od operativne otpornosti. Ako ključni sustavi padnu, organizacija mora znati kako nastavlja rad, kako vraća usluge i kako upravlja kriznom komunikacijom. Sigurnosne politike bez scenarija oporavka često izgledaju dobro na papiru, ali ne prolaze test realnog incidenta.
Ovdje je posebno važno povezati IT oporavak s poslovnim prioritetima. Nisu svi sustavi jednako važni, niti svi procesi mogu čekati isti broj sati. Kad taj prioritet nije jasan, planovi kontinuiteta ostaju generički.
Sigurnost opskrbnog lanca
Za mnoge subjekte ovo je najzahtjevniji dio. NIS2 traži da organizacija ne procjenjuje samo vlastite kontrole, nego i rizike koji dolaze kroz dobavljače, vanjske pružatelje usluga i tehnološke partnere. To ne znači da morate revidirati svakog dobavljača jednako duboko. Znači da morate imati kriterije, klasifikaciju i dokaz da kritične odnose pratite ozbiljnije od administrativno manje važnih.
Ovdje se često otvara pitanje razmjernosti. Mala interna nabava i veliki outsourcing partner ne nose isti rizik. Dobar sustav usklađenosti zato razlikuje kritične dobavljače od ostalih i usmjerava napor tamo gdje učinak može biti najveći.
Gdje organizacije najčešće pogriješe
Najčešći problem nije nedostatak volje, nego nedostatak strukture. Organizacije često imaju dio potrebnih dokumenata, dio tehničkih kontrola i dio znanja u pojedinim timovima, ali nemaju cjelovitu sliku. Tada nastaje lažni osjećaj spremnosti.
Druga česta pogreška je oslanjanje na generičke predloške. Predložak može pomoći kao početna točka, ali ne može zamijeniti stvarni kontekst organizacije, kritične procese, regulatorni status i postojeću arhitekturu sustava. U nadzoru se vrlo brzo vidi razlika između prilagođenog sustava upravljanja i dokumentacije koja postoji samo zato da popuni mapu.
Treći problem je dokazivanje. Mnoge organizacije nešto rade, ali ne mogu to jednostavno dokazati. Nemaju centralizirane dokaze, verzioniranje, trag odobrenja ni jasnu poveznicu između zakonskog zahtjeva i interne kontrole. Upravo tu usklađenost postaje skupa, spora i nepredvidiva.
Kako pristupiti usklađivanju bez zastoja u poslovanju
Najpraktičniji pristup nije krenuti od izrade novih dokumenata, nego od mapiranja postojećeg stanja. Treba utvrditi koji se zahtjevi već djelomično ispunjavaju, gdje postoje praznine i koji su dokazi već dostupni. Tek nakon toga ima smisla određivati plan korektivnih aktivnosti.
Zatim treba postaviti upravljački model. To znači definirati vlasnike područja, dinamiku izvještavanja, način evidentiranja dokaza i logiku praćenja statusa. Bez toga se usklađenost vrlo brzo pretvori u niz nepovezanih zadataka koji ovise o dobroj volji pojedinaca.
Nakon toga dolazi prioritetizacija. Nisu sve nesukladnosti jednake. Neke nose visok regulatorni i operativni rizik i treba ih rješavati odmah, dok druge traže plansko zatvaranje kroz nekoliko mjeseci. Dobra procjena ovdje štedi vrijeme, budžet i fokus uprave.
Za organizacije koje žele ubrzati proces, posebno je korisno imati jedinstveno mjesto na kojem se spajaju zakonski zahtjevi, samoprocjena, revizijski dokazi, AI analiza dokumentacije i generiranje traženih izvješća. Upravo zato platforme poput ITrevizija.hr imaju smisla – ne kao još jedan sloj administracije, nego kao operativni alat za kontrolu usklađenosti i rizika.
Što nadzor stvarno želi vidjeti
U praksi nadzor ne traži savršenstvo. Traži ozbiljnost, sljedivost i upravljivost. Ako organizacija može pokazati da razumije svoj status, da je mapirala obveze, provela procjenu rizika, odredila mjere, uključila upravu i uspostavila plan zatvaranja praznina, to je bitno snažnija pozicija od one u kojoj postoji puno parcijalnih aktivnosti bez središnje kontrole.
Važno je i kako su informacije organizirane. Kada su dokazi razasuti po e-mailovima, lokalnim mapama i različitim timovima, svaka provjera postaje stres test. Kada su zahtjevi, kontrole, odgovorne osobe i statusi pregledno povezani, usklađenost prestaje biti krizni projekt i postaje dio redovnog upravljanja.
Zašto je pravo vrijeme ranije nego što izgleda
Mnoge organizacije odgađaju ozbiljan rad na NIS2 obvezama jer procjenjuju da imaju još vremena. To je rizična procjena. Razlog nije samo regulatorni rok, nego činjenica da kvalitetno usklađivanje traži više od pisanja akata. Treba uskladiti upravu, sigurnosne timove, pravnu funkciju, nabavu, poslovne vlasnike procesa i često vanjske dobavljače.
Ako krenete prekasno, završit ćete s dokumentima koji formalno postoje, ali nisu integrirani u poslovanje. Ako krenete dovoljno rano, imate prostor za razumnu procjenu, korekcije i stvarno testiranje mjera. Upravo tu nastaje razlika između organizacije koja samo reagira na propis i one koja gradi održivu kibernetičku otpornost.
Najkorisnije pitanje nije jeste li već potpuno usklađeni. Pitanje je možete li danas, bez improvizacije, pokazati što su vaše obveze, tko ih provodi, koji dokazi postoje i što još treba zatvoriti. Ako odgovor nije jasan, vrijeme je da usklađenost pretvorite u vođen proces, a ne u temu koja se otvara tek kad stigne upit nadzornog tijela.