Prva ozbiljna pogreška obično se dogodi prije nego što projekt usklađivanja uopće počne. Uprava zaključi da je NIS2 još jedna IT tema, IT tim pretpostavi da će pravna služba dati tumačenje, a usklađenost ostane između više funkcija bez jasnog vlasnika. Upravo tu nastaju najčešće NIS2 pogreške tvrtki – ne u nedostatku alata, nego u pogrešnom postavljanju odgovornosti, opsega i dokaza.
Za organizacije koje posluju u reguliranim ili kritičnim djelatnostima, NIS2 nije projekt koji se može zatvoriti jednim dokumentom ili jednokratnom procjenom. Riječ je o trajnoj disciplini upravljanja rizikom, kontrolama, incidentima i dokazivosti. Tko to shvati prekasno, vrlo brzo ulazi u skupe korekcije, improvizirane interne akcije i nepreglednu dokumentaciju koju je teško braniti pred revizijom ili nadležnim tijelom.
Zašto su NIS2 pogreške tako česte
NIS2 se često podcjenjuje zato što mnoge tvrtke već imaju određene sigurnosne politike, ISO certifikate, procedure ili ugovorne kontrole prema partnerima. To stvara dojam da je regulatorna spremnost već dovoljno visoka. U praksi se pokaže da postojeći okvir jest koristan, ali nije isto što i dokaziva usklađenost s konkretnim zakonskim obvezama.
Drugi problem je brzina. Kada organizacija prekasno krene u procjenu, raste pritisak da se “zatvori forma”. Tada se izrađuju generički dokumenti, prepisuju predlošci i mapiraju kontrole bez stvarne provjere kako sustavi, odgovornosti i evidencije funkcioniraju u svakodnevnom radu. Na papiru sve izgleda uredno. U stvarnosti, tragovi odgovornosti i dokazivosti ostaju slabi.
Najčešće NIS2 pogreške tvrtki u prvoj fazi
Pogrešno određivanje obuhvata
Jedna od najskupljih pogrešaka je pogrešno određivanje toga na koje subjekte, procese, sustave i poslovne funkcije se obveze stvarno odnose. Dio organizacija krene preusko i uključi samo IT infrastrukturu. Druge odu u suprotnom smjeru i pokušaju obuhvatiti cijelu grupu, sve aplikacije i sve lokacije bez prioritizacije.
Oba pristupa stvaraju problem. Preuzak opseg propušta ključne rizike i regulatorne obveze, a preširok opseg usporava projekt i troši resurse na područja koja nisu jednako kritična. Ispravan pristup traži procjenu poslovnih usluga, ovisnosti, trećih strana, lokacija podataka i upravljačkih odgovornosti. To nije administrativna vježba, nego temelj svake kasnije odluke.
Tretiranje NIS2 kao isključivo IT pitanja
Kad se NIS2 prepusti samo IT odjelu, organizacija gotovo sigurno propušta važan dio slike. Kibernetička sigurnost jest tehnička tema, ali regulatorna usklađenost nije samo tehničko pitanje. U nju ulaze uprava, pravna funkcija, nabava, ljudski resursi, kontinuitet poslovanja, upravljanje dobavljačima i interna revizija.
Ako nema zajedničkog modela upravljanja, kontrole ostaju nepovezane. Incident response postoji u SOC-u, ali nije usklađen s internim eskalacijama. Procjena dobavljača postoji u nabavi, ali nije vezana uz cyber kriterije. Politike postoje, ali ih zaposlenici nisu prošli niti su obveze ugrađene u operativne procese.
Oslanjanje na generičku dokumentaciju
Mnogo organizacija u žurbi poseže za predlošcima. Predložak sam po sebi nije problem. Problem nastaje kada dokument formalno postoji, a ne odražava stvarni način rada tvrtke. Tada ista politika izgleda uredno na revizijskom sastanku, ali se raspada već na prvom detaljnijem pitanju o provođenju, izuzecima, odobrenjima i evidencijama.
Kod NIS2 dokumentacija mora biti prilagođena operativnoj realnosti. Ako se pristupi odobravaju kroz ticketing sustav, to treba biti jasno opisano i dokazivo. Ako organizacija koristi vanjske pružatelje za dio sigurnosnih funkcija, odgovornosti moraju biti precizno mapirane. Regulatorno gledano, dokument koji ne odgovara stvarnom procesu vrijedi manje od skromnije, ali točne dokumentacije.
Gdje tvrtke najčešće griješe u provedbi
Nedovoljno zreo pristup upravljanju rizicima
NIS2 ne traži samo popis prijetnji. Traži disciplinu upravljanja rizikom koja povezuje poslovni kontekst, kritičnost usluga, sigurnosne kontrole, odgovornosti i odluke o prihvaćanju rizika. U mnogim tvrtkama procjena rizika postoji kao godišnji dokument, ali nije dovoljno živa da usmjerava stvarne prioritete.
To se vidi kada organizacija ima dugačak registar rizika, a ne zna objasniti zašto je baš određeni sustav dobio prioritet zaštite, zašto određeni dobavljač predstavlja povećani rizik ili tko je odobrio prihvaćanje preostalog rizika. Bez tog lanca odlučivanja nema ni ozbiljne usklađenosti.
Slabo upravljanje dobavljačima i trećim stranama
Jedna od podcijenjenih tema je opskrbni lanac. Tvrtke često imaju ugovore, SLA-ove i osnovne sigurnosne klauzule, ali to nije isto što i sustavno upravljanje cyber rizikom dobavljača. Ako ključna usluga ovisi o vanjskom partneru, provideru clouda, MSSP-u ili razvojnom timu, tada i rizik usklađenosti dijelom izlazi izvan granica interne infrastrukture.
Pogreška nastaje kada se pretpostavi da je dobavljač “već siguran” zato što je velik, međunarodan ili certificiran. Ponekad jest, ponekad nije. Bitno je znati koje kontrole stvarno provodi, kako prijavljuje incidente, gdje se obrađuju podaci, tko ima pristup i kako se dokazuje kontinuitet usluge. Bez tih odgovora tvrtka zapravo preuzima rizik koji ne kontrolira.
Incident management koji postoji samo formalno
Gotovo svaka organizacija ima neku proceduru za incidente. Problem je što se ona često testira tek kada se dogodi ozbiljan događaj. Tada izlazi na vidjelo da rokovi eskalacije nisu jasni, odgovorne osobe nisu dostupne, komunikacijski kanali nisu definirani, a forenzički tragovi nisu sustavno zaštićeni.
Dobro upravljanje incidentima ne mjeri se time postoji li procedura u repozitoriju dokumenata. Mjeri se time zna li organizacija prepoznati incident, klasificirati ga, aktivirati odgovorne u razumnom roku i dokumentirati svaku ključnu odluku. To je razlika između teorijske i operativne spremnosti.
Najčešće NIS2 pogreške tvrtki kod dokazivanja usklađenosti
Miješanje aktivnosti i dokaza
Vrlo čest propust je uvjerenje da je provedena aktivnost sama po sebi i dokaz. Nije. Održana edukacija nije dokaz ako nema evidencije, obuhvata, datuma i potvrde sadržaja. Proveden review pristupa nije dokaz ako se ne može pokazati tko je pregledao prava, kada, prema kojim kriterijima i koje su korekcije napravljene.
NIS2 usklađenost traži uredan revizijski trag. To znači da dokumenti, zapisi, odobrenja, izvještaji i odluke moraju biti povezani i dostupni. U suprotnom organizacija zna da je nešto radila, ali to ne može vjerodostojno pokazati.
Nepregledno vlasništvo nad kontrolama
Kad nema jasnog vlasnika kontrole, kontrola se svodi na dobru volju. Netko “obično” pregledava logove. Netko “povremeno” provjerava dobavljače. Netko “po potrebi” ažurira registre. Takva formulacija ne prolazi ozbiljnu provjeru.
Svaka ključna obveza mora imati vlasnika, dinamiku, ulazne podatke i očekivani dokaz. To ne znači stvaranje birokracije radi birokracije. To znači da organizacija može pokazati da njezin model upravljanja nije improviziran.
Nepovezana dokumentacija
Čest je slučaj da politike, procjene rizika, planovi kontinuiteta, evidencije incidenata i izvještaji postoje na više lokacija, u različitim verzijama i bez jedinstvenog pregleda statusa. Posljedica nije samo administrativni nered. Posljedica je da nitko ne može brzo utvrditi koja je verzija važeća, gdje je dokaz, koji je zahtjev zatvoren i što još nedostaje.
Tu organizacije često izgube najviše vremena. Ne na samoj analizi, nego na traženju onoga što su već napravile. Zato strukturiran repozitorij dokaza i jasan status usklađenosti često donose veću operativnu vrijednost od dodatnog seta generičkih politika.
Kako izbjeći pogreške bez višemjesečnog projekta
Prvi korak nije kupnja velikog GRC sustava niti pisanje desetaka dokumenata odjednom. Prvi korak je realna samoprocjena koja pokazuje gdje je organizacija danas, što joj konkretno nedostaje i koji su prioriteti prema regulatornom i poslovnom riziku. Bez toga se troši energija na pogrešnim mjestima.
Zatim treba uspostaviti jasan model upravljanja. Tko je vlasnik programa, tko odobrava rizike, tko održava dokaze, tko prati treće strane i kako se izvještava upravu. Ako te točke nisu definirane, ni najbolja tehnologija neće zatvoriti praznine.
Nakon toga slijedi racionalizacija dokumentacije i dokaza. Organizaciji ne treba najviše dokumenata, nego najviše jasnoće. Potrebno je povezati zahtjeve, kontrole, odgovorne osobe i revizijske tragove u operativan sustav rada. Upravo tu digitalizirani pristup donosi razliku jer skraćuje vrijeme prikupljanja dokaza, smanjuje oslanjanje na e-mail i tablice te povećava pregled nad statusom usklađenosti.
Za dio tvrtki bit će dovoljan fokus na brzu procjenu i plan korekcija. Za druge, posebno one s većim brojem lokacija, dobavljača i kritičnih procesa, potreban je kontinuiran model praćenja. Tu nema univerzalnog recepta. Ono što vrijedi za jednu ustanovu u zdravstvu ne mora vrijediti za energetsku ili financijsku organizaciju. Ali jedna stvar je zajednička: usklađenost je puno lakša kada se vodi kao poslovni proces, a ne kao povremena krizna akcija.
U praksi se najbolji rezultati postižu kada se regulatorni zahtjevi prevedu na operativni jezik organizacije – što treba napraviti, tko to radi, gdje je dokaz i kada se status ponovno provjerava. Takav pristup smanjuje rizik od slijepih točaka i daje upravi ono što joj je zaista potrebno: preglednost, odgovornost i mogućnost da donosi odluke na temelju stvarnog stanja.
Ako želite izbjeći tipične zastoje, krenite od pitanja koja su neugodna, ali korisna. Znamo li točno što nam je u opsegu, možemo li u kratkom roku pokazati dokaz, i ima li svaka ključna kontrola stvarnog vlasnika. Kad na ta pitanja možete dati jasan odgovor, NIS2 prestaje biti izvor pritiska i postaje upravljiv dio sigurnosti i poslovne otpornosti.