Kad uprava pita jeste li usklađeni, pravo pitanje nije imate li antivirus, firewall ili pravilnik u ladici. Pitanje je možete li dokazati da su zakon o kibernetičkoj sigurnosti obveze vaše organizacije prevedene u mjere, odgovornosti, evidencije i postupke koji stvarno funkcioniraju.
Za mnoge subjekte problem nije razumjeti da obveze postoje, nego ih operativno rasporediti kroz poslovanje. Regulatorni tekst propisuje smjer, ali organizacija mora sama urediti tko procjenjuje rizik, tko vodi evidencije, kako se odobravaju mjere, kada se prijavljuju incidenti i kako se upravi prezentira status usklađenosti. Tu najčešće nastaje jaz između formalne spremnosti i stvarne otpornosti.
Zakon o kibernetičkoj sigurnosti – obveze nisu samo tehničke
Najčešća pogreška je svesti usklađenost na IT odjel. U praksi, obveze iz područja kibernetičke sigurnosti ulaze u upravljanje rizicima, kontinuitet poslovanja, odnose s dobavljačima, internu reviziju, zaštitu podataka i odgovornost uprave. Ako organizacija to tretira kao čisto tehnički projekt, vrlo brzo ostaje bez vlasništva nad procesom i bez jasnih dokaza zašto je nešto uvedeno, tko je to odobrio i kako se nadzire.
Zato je korisnije o obvezama razmišljati kroz nekoliko slojeva. Prvi je upravljački – politike, odgovornosti, odluke i nadzor. Drugi je operativni – procjene rizika, kontrole, incident response i kontinuitet. Treći je dokazni – dokumentacija, zapisi, izvješća i revizijski trag. Regulator gleda sva tri sloja, a ne samo tehničku konfiguraciju sustava.
Tko mora ozbiljno analizirati obveze
Ako ste subjekt koji posluje u sektoru od posebne važnosti ili kritičnom sektoru, pretpostavka mora biti da će se od vas očekivati strukturirana i dokaziva usklađenost. To posebno vrijedi za zdravstvo, financije, energetiku, telekomunikacije, farmaciju i druge organizacije čiji prekid rada, kompromitacija podataka ili nedostupnost usluge imaju šire posljedice.
Srednje i velike organizacije pritom imaju dodatni izazov. One često već imaju više pravilnika, nekoliko sigurnosnih alata i različite vlasnike procesa, ali nemaju objedinjenu sliku usklađenosti. Drugim riječima, imaju dijelove sustava, ali ne i sustav koji se može pregledno dokazati.
Uprava ne može ostati po strani
Jedna od najvažnijih promjena u regulatornom pristupu je očekivanje aktivne uključenosti upravljačkih tijela. Usklađenost nije zadatak koji se delegira bez nadzora. Uprava mora razumjeti ključne rizike, odobriti mjere, osigurati resurse i moći objasniti zašto organizacija vjeruje da je njezin sigurnosni okvir primjeren.
To ima vrlo praktičnu posljedicu. Ako sigurnosni tim radi kvalitetno, ali nema mehanizam za formalno izvještavanje uprave i evidentiranje odluka, organizacija je i dalje izložena. Regulatorna spremnost traži trag odluka, a ne samo dobru namjeru.
Koje obveze se u praksi pojavljuju najčešće
Iako se detalji primjene razlikuju ovisno o sektoru, veličini i kritičnosti subjekta, određeni skup obveza pojavljuje se gotovo uvijek. Organizacija mora imati procjenu rizika koja nije jednokratna vježba, nego živi proces. Mora uspostaviti sigurnosne mjere koje odgovaraju stvarnim prijetnjama, a ne samo generičkim preporukama. Mora imati definirane postupke za otkrivanje, upravljanje i prijavu incidenata. Također mora urediti kontinuitet poslovanja, oporavak, rad s dobavljačima i kontrolu pristupa.
No stvarni izazov nije popis obveza, nego njihova dokazivost. Primjerice, politika upravljanja pristupima sama po sebi nije dovoljna ako ne možete pokazati tko odobrava pristup, kako se provode periodične provjere prava i što se događa pri odlasku zaposlenika ili vanjskog suradnika. Isto vrijedi i za plan odgovora na incidente – dokument bez testiranja, vlasnika i zapisa o postupanju često ne vrijedi mnogo.
Procjena rizika kao temelj, ne formalnost
Procjena rizika je mjesto na kojem većina organizacija ili dobije jasan smjer ili izgubi nekoliko mjeseci. Ako je previše općenita, ne vodi izboru mjera. Ako je previše teorijska, poslovni vlasnici je ne koriste. Ako nije redovito ažurirana, vrlo brzo postaje arhiva.
Dobra procjena rizika povezuje poslovne procese, imovinu, prijetnje, ranjivosti i posljedice. Još važnije, povezuje ih s odlukama o prihvaćanju, smanjenju ili prijenosu rizika. Tek tada mjere imaju smisao i mogu se braniti pred internom revizijom, upravom ili nadležnim tijelom.
Upravljanje incidentima i obveze prijave
Incident nije samo tehnički događaj, nego i regulatorni događaj. Organizacija mora znati kada određeni sigurnosni incident prelazi prag za internu eskalaciju, kada aktivira krizne procedure i kada nastupa obveza prijave. To traži jasne kriterije, odgovorne osobe i vremenski discipliniran proces.
U praksi se problemi javljaju kad SOC, IT operacije, pravna služba i poslovni vlasnici koriste različite definicije ozbiljnosti. Posljedica je kašnjenje, nepotpuna prijava ili neusklađena komunikacija. Zato je korisnije imati jednostavan, dokumentiran model odlučivanja nego složen proces koji nitko ne može provesti pod pritiskom.
Zakon o kibernetičkoj sigurnosti obveze i dokazi
Usklađenost bez dokaza nije usklađenost, nego procjena dobre volje. Organizacije često imaju implementirane kontrole, ali ih ne mogu brzo dokazati. Dokumenti su raspršeni, vlasnici nisu jasno određeni, verzije nisu usklađene, a izvješća se sastavljaju ručno neposredno prije nadzora.
Zato je dokazni sloj jednako važan kao i operativni. Potrebno je znati koji su dokumenti obvezni, koji su zapisi potrebni za potvrdu provedbe i kako se prati status nesukladnosti. U tom dijelu razlika između uređenog i neuređenog sustava postaje najvidljivija. Prvi omogućuje pregled stanja u nekoliko minuta. Drugi ovisi o Excelima, e-mailovima i memoriji pojedinaca.
Poseban rizik – dobavljači i vanjske usluge
Mnogo organizacija značajan dio svoje digitalne infrastrukture i procesa oslanja na vanjske pružatelje usluga. To samo po sebi nije problem, ali mijenja profil rizika. Ako kritična usluga ovisi o trećoj strani, tada i procjena, ugovorno upravljanje, nadzor i planovi oporavka moraju odražavati tu ovisnost.
Ovdje se često pojavljuje trade-off. Potpuna kontrola nad svim sustavima nije uvijek poslovno racionalna, ali ni oslanjanje na dobavljača bez jasnih sigurnosnih i dokaznih zahtjeva nije održivo. Organizacija mora znati što outsourca, koje rizike time preuzima i koje dokaze od dobavljača mora tražiti.
Kako pretvoriti obveze u operativni program
Najbolji pristup nije krenuti od gomilanja dokumentacije, nego od strukturirane procjene trenutnog stanja. Prvo treba utvrditi primjenjivost obveza, postojeće kontrole, nedostatke i prioritete. Nakon toga se definira plan postupanja s realnim rokovima, vlasnicima i očekivanim dokazima.
To je bitna razlika između formalnog projekta usklađenja i operativnog programa usklađenosti. Formalni projekt često završi isporukom dokumenata. Operativni program uvodi ritam – procjena, korekcije, praćenje, izvještavanje i periodično preispitivanje. Upravo taj ritam smanjuje regulatorni i poslovni rizik.
Za organizacije koje žele ubrzati taj put bez višemjesečne implementacije klasičnog GRC sustava, smislen pristup je koristiti specijaliziranu platformu koja povezuje samoprocjenu, upravljanje dokazima, AI analizu dokumentacije i generiranje zakonski traženih izvješća. Kad je sustav dizajniran oko konkretnih regulatornih obveza, lakše je vidjeti gdje ste usklađeni, gdje niste i što je sljedeći korak. Upravo je to razlog zašto ITrevizija.hr ima operativnu vrijednost za subjekte koji trebaju brz, pregledan i dokaziv okvir rada.
Gdje organizacije najčešće pogriješe
Najskuplja pogreška nije nužno potpuni izostanak mjera, nego lažan osjećaj spremnosti. Organizacija vjeruje da je pokrila obveze zato što ima ISO certifikat, sigurnosne alate ili skup politika koje su pripremljene prije nekoliko godina. To može biti dobra osnova, ali nije automatski dokaz potpune usklađenosti sa svim primjenjivim zahtjevima.
Druga česta pogreška je pokušaj da se sve riješi odjednom. Takav pristup obično preoptereti timove, uspori donošenje odluka i završi parcijalnom provedbom. Puno je učinkovitije podijeliti obveze na upravljačke, operativne i dokazne cjeline te ih rješavati kroz prioritete koji odražavaju stvarni rizik.
Treća pogreška je zanemarivanje održavanja. Jednokratna samoprocjena može dati početnu sliku, ali bez redovitog praćenja promjena u sustavima, procesima, prijetnjama i dobavljačima, usklađenost počinje kliziti gotovo odmah.
Što uprava i sigurnosni tim trebaju imati već sada
Ako želite realno procijeniti svoju poziciju, morate imati odgovor na nekoliko vrlo konkretnih pitanja. Znate li koje su obveze primjenjive baš na vaš subjekt. Možete li pokazati aktualnu procjenu rizika i plan tretmana. Postoji li evidencija kontrola, vlasnika i statusa provedbe. Imate li mehanizam za prijavu i evidenciju incidenata. Možete li bez improvizacije sastaviti izvješće za upravu ili nadzorno tijelo.
Ako je odgovor na dio tih pitanja nejasan ili ovisi o više ljudi koji traže dokumente po raznim mapama, to nije administrativni detalj. To je signal da usklađenost još nije dovoljno operativna.
Najbolje organizacije ne gledaju zakon kao statičan popis obveza, nego kao okvir za upravljanje otpornošću. Kad su obveze prevedene u jasan model odgovornosti, dokaza i kontinuiranog praćenja, usklađenost prestaje biti teret i postaje alat za bolju kontrolu rizika.