Ako je vaša organizacija tek utvrdila da ulazi u obuhvat Zakona o kibernetičkoj sigurnosti, problem nije samo razumjeti propis. Pravi izazov je pretvoriti zahtjeve u kontroliran, dokaziv i održiv proces. Upravo zato ovaj vodič za ZKS usklađenost ne kreće od teorije, nego od pitanja koje uprava, CISO i voditelji usklađenosti stvarno imaju – što točno moramo napraviti, kojim redoslijedom i kako ćemo dokazati da smo to napravili.
Kod ZKS usklađenosti najskuplja pogreška nije nužno tehnički propust, nego pogrešna pretpostavka da je dovoljno imati nekoliko politika, antivirus i imenovanu odgovornu osobu. Regulator gleda širu sliku: upravljanje rizicima, formalizirane procese, odgovornosti, dokumentirane odluke, nadzor, prijavu incidenata i sposobnost da organizacija pokaže stvarnu operativnu spremnost. Drugim riječima, usklađenost nije dokument. To je sustav upravljanja koji mora funkcionirati i kad revizija dođe i kad se dogodi incident.
Što ZKS usklađenost stvarno znači
ZKS usklađenost u praksi znači da organizacija može povezati regulatorne zahtjeve s konkretnim kontrolama, odgovornostima, dokazima i zapisima. To uključuje formalno određivanje opsega, razumijevanje koje se obveze odnose na vaš sektor i veličinu subjekta, procjenu rizika, uspostavu sigurnosnih mjera te mehanizme nadzora i izvještavanja.
Za dio organizacija najveći problem nije nedostatak sigurnosnih aktivnosti, nego to što su aktivnosti raspršene. IT ima tehničke kontrole, pravna služba ima određene politike, interni audit ima vlastite nalaze, a uprava nema jedinstven pregled. U takvom okruženju lako nastaje lažan osjećaj usklađenosti. Kontrola postoji, ali nije formalizirana. Proces postoji, ali nije dokumentiran. Odgovornost postoji, ali nije jasno dodijeljena.
Zato ZKS treba čitati kroz tri razine. Prva je regulatorna – što zakon i podzakonski okvir traže. Druga je operativna – kako se to provodi u svakodnevnom radu. Treća je dokazna – kako pokazujete da se provodi dosljedno i pod nadzorom.
Vodič za ZKS usklađenost počinje opsegom
Prvi korak nije pisanje politika, nego određivanje opsega usklađivanja. To znači utvrditi koje organizacijske cjeline, informacijski sustavi, poslovni procesi, dobavljači i lokacije ulaze u obuhvat. Ako taj korak preskočite, sve što slijedi postaje neprecizno. Kontrole se uvode nasumično, dokazi se prikupljaju parcijalno, a procjena rizika ostaje apstraktna.
U reguliranim sektorima to je posebno važno jer kritične usluge često ovise o kombinaciji internih sustava, vanjskih pružatelja usluga i više poslovnih timova. Primjerice, zdravstvena ustanova može imati dobro zaštićen klinički sustav, ali slab nadzor nad pomoćnim aplikacijama, udaljenim pristupom ili dobavljačima koji održavaju ključnu infrastrukturu. Formalni opseg mora obuhvatiti upravo te međutočke jer se regulatorni rizik često skriva u prijelazima između odgovornosti.
Dobro definiran opseg daje još jednu važnu korist – omogućuje upravi da razumije koliko je projekt usklađivanja stvarno velik. Bez toga je teško odobriti resurse, rokove i prioritete.
Od procjene rizika do kontrola
ZKS usklađenost ne može se graditi samo na check-listi. Potrebna je procjena rizika koja povezuje prijetnje, ranjivosti, kritične procese i očekivani učinak na poslovanje. To ne znači da svaka organizacija mora razviti složen metodološki model. Znači da mora imati dosljedan i obranjiv pristup kojim može objasniti zašto je određene mjere odabrala, kako je odredila prioritete i gdje su preostali rizici.
U praksi se ovdje često pojavljuju dvije krajnosti. Jedna je pretjerano teorijski pristup s matricama koje nitko ne koristi. Druga je potpuno tehnički pristup u kojem se rizik svodi na popis alata i ranjivosti. Ni jedno ni drugo nije dovoljno. Uprava mora vidjeti poslovni učinak, IT mora razumjeti tehničke implikacije, a funkcija usklađenosti mora moći dokazati da postoji metodologija i redovito preispitivanje.
Kontrole nakon toga treba grupirati oko stvarnih regulatornih tema: upravljanje pristupima, upravljanje incidentima, kontinuitet poslovanja, sigurnost dobavnog lanca, upravljanje ranjivostima, sigurnost mreža i sustava, edukacija zaposlenika, upravljanje promjenama i nadzor. Nije presudno da dokumentacija zvuči impresivno. Presudno je da su kontrole primjenjive, vlasništvo jasno dodijeljeno, a dokazi dostupni.
Dokumentacija bez viška administracije
Jedan od najčešćih razloga za zastoj je pokušaj da se sve dokumentira odjednom. Rezultat je gomila nacrta, malo potvrđenih verzija i još manje operativne primjene. ZKS usklađenost traži dokumentaciju, ali ne traži birokraciju radi birokracije.
Dobra dokumentacija ima jasnu funkciju. Politike postavljaju smjer i odgovornosti. Procedure opisuju način provedbe. Zapisi i dokazi pokazuju da se postupalo u skladu s definiranim pravilima. Ako dokument ne služi nijednoj od te tri svrhe, vjerojatno je višak.
Posebno je važno upravljati revizijskim dokazima. Organizacije često imaju potrebne materijale, ali su oni razasuti po e-mailovima, dijeljenim mapama, ticketing sustavima i lokalnim diskovima. U trenutku pregleda nastaje potraga umjesto kontrole. Uređen repozitorij dokaza skraćuje pripremu, smanjuje rizik od nedosljednosti i olakšava periodično praćenje.
Gdje organizacije najčešće griješe
Najčešća pogreška je tretiranje usklađenosti kao jednokratnog projekta. ZKS usklađenost nije faza nakon koje se dokumentacija arhivira. Ako se procesi ne pregledavaju redovito, kontrole zastarijevaju, odgovorne osobe se mijenjaju, a incidentni scenariji ostaju neprovjereni.
Druga česta pogreška je oslanjanje isključivo na IT odjel. Kibernetička sigurnost jest tehničko područje, ali regulatorna odgovornost nije samo tehnička. Uprava mora biti uključena, funkcije rizika i usklađenosti moraju imati pregled, a poslovni vlasnici procesa moraju razumjeti svoju ulogu. Kad je cijeli teret na IT-u, organizacija obično dobije djelomično tehničko rješenje bez upravljačkog okvira.
Treća pogreška je formalizam bez provjere izvedivosti. Lako je usvojiti proceduru za prijavu incidenata, ali pitanje je zna li operativni tim kada incident prelazi prag za formalnu eskalaciju. Lako je propisati kontrole pristupa, ali treba provjeriti jesu li recertifikacije stvarno provedene. Usklađenost bez testiranja brzo postane deklarativna.
Kako organizirati provedbu bez višemjesečne implementacije
Najpraktičniji pristup je podijeliti provedbu u radne cjeline koje donose mjerljiv rezultat. Prvo dolazi inicijalna samoprocjena i gap analiza. Nakon toga treba odrediti prioritetne nesukladnosti, vlasnike aktivnosti i rokove. Tek tada dokumentacija i tehničke mjere dobivaju pravi redoslijed.
Za većinu organizacija nije racionalno uvoditi širok i kompleksan GRC sustav ako je primarni cilj brzo i dokazivo usklađivanje sa ZKS-om. Takvi projekti često traju dugo, traže opsežnu konfiguraciju i stvaraju dodatno administrativno opterećenje. Mnogo je korisniji alat koji je od početka strukturiran oko regulatornih zahtjeva, samoprocjene, dokaza i izvještaja koje zakon traži.
Tu je vrijednost specijalizirane platforme vrlo konkretna. Ako sustav može povezati kontrolna pitanja, zahtjeve, dokumente, vlasnike aktivnosti, AI analizu dokumentacije i izvještavanje, organizacija dobiva operativni model umjesto još jednog repozitorija datoteka. Za subjekte koji posebno paze na privatnost i kontrolu nad podacima, važni su i modeli hostinga, enkripcija, kontrola pristupa te mogućnost on-premise implementacije kada to zahtijeva profil rizika.
Vodič za ZKS usklađenost za upravu i CISO-a
Uprava i CISO ne trebaju isti nivo detalja, ali trebaju isti pogled na stanje. Upravi treba jasan odgovor na tri pitanja: koliki je regulatorni rizik, koje su glavne nesukladnosti i što je plan zatvaranja. CISO-u treba precizan pregled kontrola, ovisnosti, dokaza i operativnih obveza.
Kad ta dva pogleda nisu usklađena, projekt zapinje. Uprava misli da je organizacija blizu cilja jer vidi usvojene politike. Operativni tim zna da nedostaju testiranja, klasifikacija imovine, evidencija dobavljača ili formalni postupci eskalacije incidenata. Zato izvještavanje mora biti dovoljno poslovno za upravu i dovoljno duboko za izvršne nositelje aktivnosti.
U tom smislu, dobra usklađenost nije ona koja stvara najviše dokumenata, nego ona koja omogućuje donošenje odluka. Ako iz pregleda ne možete odmah vidjeti gdje je najveći rizik i što je sljedeći potez, sustav nije dovoljno upravljiv.
Što znači održiva usklađenost
Održiva ZKS usklađenost znači da organizacija može nastaviti raditi i nakon inicijalnog zatvaranja gapova. To uključuje periodične samoprocjene, ažuriranje procjene rizika, pregled dokaza, praćenje korektivnih aktivnosti i spremnost na regulatorni uvid bez izvanredne mobilizacije.
Ovdje se vidi razlika između ad hoc projekta i operativnog modela. Ad hoc pristup može privremeno zatvoriti otvorena pitanja. Operativni model smanjuje trošak budućih provjera, ubrzava reakciju na promjene propisa i povećava otpornost organizacije. Za regulirane subjekte to nije samo pitanje urednosti, nego pitanje upravljačke odgovornosti.
Ako tražite najkraći put, on obično ne postoji. Ali postoji jasan put: odrediti opseg, procijeniti rizike, mapirati kontrole, urediti dokaze, zatvoriti prioritete i uspostaviti ritam praćenja. Platforme poput ITrevizija.hr imaju smisla upravo kada trebate taj put učiniti bržim, preglednijim i sigurnijim, bez gubitka regulatorne preciznosti. Najviše koristi pritom imaju organizacije koje usklađenost ne tretiraju kao obvezu za zadovoljiti, nego kao disciplinu koja upravi daje bolju kontrolu nad rizikom.