Ako vaša organizacija ulazi u krug subjekata na koje se odnose obveze iz NIS2 okvira, najveći problem obično nije razumjeti da obveza postoji. Problem je utvrditi stvarno stanje – što je već uređeno, što je samo djelomično pokriveno i gdje nedostaju dokazi koji će to potvrditi. Upravo zato je samoprocjena usklađenosti NIS2 prvi operativni korak koji odvaja uređenu regulatornu pripremu od improvizacije pod pritiskom rokova.
Za upravu, CISO-a, voditelja usklađenosti ili internu reviziju to nije administrativna formalnost. To je alat za donošenje odluka. Dobra samoprocjena ne daje samo odgovor na pitanje jeste li usklađeni, nego pokazuje gdje su regulatorni, operativni i sigurnosni rizici najveći, koliko će otklanjanje trajati i koji dokazi moraju postojati da bi usklađenost bila održiva, a ne deklarativna.
Što zapravo znači samoprocjena usklađenosti NIS2
Samoprocjena usklađenosti NIS2 je strukturirani pregled organizacijskih, tehničkih i upravljačkih mjera koje organizacija ima uspostavljene u odnosu na obveze kibernetičke sigurnosti. To uključuje politike, procjene rizika, upravljanje incidentima, kontinuitet poslovanja, zaštitu pristupa, nadzor nad dobavljačima, upravljanje ranjivostima i niz drugih područja koja regulator ne promatra izolirano.
Ključna razlika između površnog i korisnog pristupa leži u dokazima. Mnoge organizacije imaju pravilnike, procedure i tehničke kontrole, ali ih ne mogu povezati s konkretnim regulatornim zahtjevom ili ne mogu pokazati da se te mjere zaista provode. Samoprocjena zato mora istodobno procijeniti tri razine – postoji li mjera, provodi li se i može li se dokazati.
To je posebno važno u okruženjima gdje odgovornost nije koncentrirana u jednom timu. IT drži tehničke kontrole, pravna služba prati regulatorni okvir, sigurnost vodi incidente, a poslovne funkcije upravljaju kritičnim procesima. Bez jedinstvenog pregleda nastaje tipičan problem – svi imaju dio slike, ali nitko nema cjelinu.
Zašto organizacije zapnu već na početku
Najčešća pogreška nije manjak truda nego pogrešan redoslijed. Organizacije prvo krenu pisati dokumente, naručivati alate ili prepisivati kontrole iz drugih standarda, a tek onda pokušavaju utvrditi što je od toga doista potrebno. Takav pristup stvara volumen, ali ne i jasnoću.
Drugi čest problem je oslanjanje na generičke upitnike. Oni mogu biti korisni kao polazište, ali rijetko daju dovoljno precizan uvid za subjekte koji moraju organizirati revizijske dokaze, rasporediti odgovornosti i pripremiti plan daljnjeg postupanja. Pitanje poput “imate li politiku upravljanja incidentima” samo po sebi ne govori ništa o kvaliteti, opsegu, vlasništvu procesa ni provedbi u praksi.
Treći problem je podcjenjivanje međuzavisnosti. Primjerice, procjena rizika nije odvojena od upravljanja dobavljačima, a planovi kontinuiteta nisu odvojeni od klasifikacije imovine i incident response procesa. Kada se procjena radi po silosima, rezultat je prividna usklađenost na papiru i niz operativnih slabosti u stvarnom radu.
Kako izgleda korisna samoprocjena usklađenosti NIS2
Korisna procjena mora biti dovoljno detaljna da otkrije nesukladnosti, ali i dovoljno praktična da se može završiti bez višemjesečnog projekta. U praksi to znači da se procjena vodi kroz jasno mapirane zahtjeve, uz prikupljanje dokaza i procjenu zrelosti svake kontrolne domene.
Prvi sloj čini identifikacija obveza koje se odnose na konkretnu organizaciju. Nisu svi subjekti u istoj situaciji. Veličina organizacije, sektor, kritičnost usluga, postojeći okvir upravljanja i ugovorne obveze prema partnerima utječu na prioritet i dubinu pojedinih mjera.
Drugi sloj je pregled postojećeg stanja. Ovdje nije dovoljno pitati postoji li dokument ili alat. Potrebno je utvrditi tko je vlasnik kontrole, kada je zadnji put ažurirana, na koje sustave ili procese se odnosi i postoji li trag provedbe. Ako postoji MFA samo za dio kritičnih sustava, to nije isto kao dosljedno upravljanje pristupom na razini organizacije.
Treći sloj je analiza manjka. Tek kada je stvarno stanje poznato, moguće je izraditi plan daljnjeg postupanja. Taj plan mora biti provediv. Nema koristi od popisa od 60 aktivnosti bez prioriteta, budžetske procjene i određene odgovornosti. Upravi treba pregled utjecaja i redoslijeda, a operativnim timovima konkretan zadatak i očekivani dokaz.
Koja područja treba obuhvatiti
Iako se dubina procjene razlikuje od organizacije do organizacije, nekoliko područja redovito odlučuje o kvaliteti rezultata. To su upravljanje rizicima, sigurnosne politike, klasifikacija imovine, upravljanje pristupima, detekcija i odgovor na incidente, sigurnost dobavljača, kontinuitet poslovanja, backup i oporavak, upravljanje ranjivostima, edukacija korisnika te upravljanje dokazima.
Posebno je osjetljivo područje upravljanja trećim stranama. Mnoge organizacije imaju visoku internu razinu kontrole, ali ovise o vanjskim pružateljima usluga, cloud okruženjima i outsourcanim procesima. Ako procjena ne obuhvati ugovorne zahtjeve, sigurnosne obveze dobavljača i dostupnost dokazne dokumentacije, slika usklađenosti ostat će nepotpuna.
Jednako je važna dokumentirana veza između upravljačke razine i operativne provedbe. NIS2 nije samo tehničko pitanje. Uprava mora moći pokazati da razumije rizik, da su odgovornosti dodijeljene i da postoji mehanizam praćenja provedbe mjera. To je točka na kojoj mnoge organizacije shvate da imaju tehničke aktivnosti, ali nemaju dovoljno strukturiran governance okvir.
Ručno, u Excelu ili kroz specijaliziranu platformu
Ovdje vrijedi jednostavno pravilo – što je organizacija veća, regulatorno izloženija i složenija, to je ručni pristup skuplji nego što na početku izgleda. Excel i dijeljeni dokumenti mogu poslužiti za inicijalni pregled, ali brzo postaju usko grlo kada treba verzionirati dokaze, pratiti statuse, dodjeljivati odgovornosti i generirati izvješća za upravu ili reviziju.
Specijalizirana platforma ima smisla kada organizacija želi da samoprocjena ne bude jednokratna aktivnost nego kontrolirani proces. Tada su presudni brzina prikupljanja podataka, jednoznačno mapiranje zahtjeva, centralizirano spremište dokaza, pregled nesukladnosti i mogućnost da se plan daljnjeg postupanja vodi iz istog okruženja.
Tu se vidi razlika između općih GRC alata i rješenja koje je građeno za konkretan regulatorni problem. Ako tim mora prvo mjesecima konfigurirati sustav da bi uopće počeo procjenu, operativna korist naglo pada. Za većinu organizacija daleko je važnije dobiti jasan i brz put do dokazive usklađenosti nego još jedan veliki implementacijski projekt.
Što uprava treba dobiti kao rezultat
Dobra samoprocjena ne završava tablicom odgovora. Njezin stvarni izlaz je upravljački upotrebljiv pregled. To znači da mora pokazati razinu usklađenosti po područjima, identificirane manjkavosti, procjenu regulatornog i operativnog rizika te preporučeni redoslijed aktivnosti.
Uprava ne treba stotine tehničkih detalja bez konteksta. Treba znati gdje je izloženost najveća, koje aktivnosti su nužne u kratkom roku, koje traže dodatna ulaganja i što organizacija može braniti kao postojeću dobru praksu. CISO i voditelji operativnih funkcija, s druge strane, trebaju precizan radni plan s vlasnicima, rokovima i očekivanim dokazima.
Ako procjena to ne daje, onda nije odradila svoj posao. Usklađenost bez prioriteta vodi zastoju. Prioriteti bez dokaza vode sporu oko statusa. A dokazi bez jasnog vlasništva vrlo brzo zastare.
Kada ima smisla uključiti vanjsku podršku
Nije svakoj organizaciji potreban isti model pomoći. Ako već postoji zreo sigurnosni i compliance tim, vanjska podrška može biti usmjerena na validaciju pristupa i ubrzanje prikupljanja dokaza. Ako je organizacija tek na početku, vanjska ekspertiza često je najbrži način da se izbjegnu pogrešni prioriteti i dokumentacija koja ne odgovara stvarnim zahtjevima.
Posebnu vrijednost donosi kombinacija metodologije, tehnološke podrške i savjetodavne interpretacije nalaza. U praksi to znači manje vremena na administraciju, manje nedoumica oko očekivanih dokaza i jasniji prijelaz iz procjene u provedbu. Upravo zato platforme poput ITrevizija.hr imaju smisla u okruženju gdje se od organizacije očekuje i brzina i regulatorna preciznost.
Najveća vrijednost nije u statusu, nego u spremnosti
Pitanje “jesmo li usklađeni” zvuči jednostavno, ali je često pogrešno postavljeno. Točnije pitanje glasi – možemo li dokazati da upravljamo kibernetičkim rizicima na način koji je razmjeran našoj ulozi, izloženosti i obvezama. Samoprocjena usklađenosti NIS2 zato nije samo provjera statusa, nego mehanizam kojim organizacija gradi preglednost, odgovornost i otpornost.
Kad je dobro postavljena, ona smanjuje regulatornu neizvjesnost, ubrzava donošenje odluka i uklanja prazninu između politike i prakse. A to je najkorisniji rezultat koji možete dobiti prije nego što vas rokovi, incident ili nadzor natjeraju da reagirate pod pritiskom.