Ako ste u organizaciji upravo dobili zadatak provjeriti obuhvaća li vas novi regulatorni okvir, ovaj vodič kroz zakon o kibernetičkoj sigurnosti treba vam dati nešto korisnije od općih objašnjenja – jasan način da utvrdite obveze, procijenite stanje i krenete prema usklađenosti bez gubljenja mjeseci na interpretacije.
Za većinu uprava, CISO-a, compliance timova i internih revizora problem nije samo razumjeti tekst propisa. Pravi problem je operativan. Treba odrediti tko je odgovoran, koje kontrole već postoje, gdje su rupe, kako prikupiti dokaze i kako sve to pretvoriti u održiv proces koji može izdržati nadzor, incident i internu provjeru.
Što u praksi znači zakon o kibernetičkoj sigurnosti
Zakon o kibernetičkoj sigurnosti ne svodi se na IT dokument koji živi odvojeno od poslovanja. On uvodi obveze upravljanja rizicima, organizacijskih mjera, tehničkih kontrola, prijave incidenata i dokazivanja da su mjere doista uspostavljene. To je bitna razlika. Regulator ne zanima samo imate li politiku, nego može li se pokazati da je politika provedena, pregledana i povezana s konkretnim odgovornostima.
U praksi to znači da sigurnost više ne može ostati parcijalna tema IT odjela. Uprava mora razumjeti razinu izloženosti, vlasnici procesa moraju znati svoje obveze, a kontrolne funkcije moraju imati pregled nad statusom usklađenosti. Što je organizacija veća i procesno složenija, to je veći rizik da stvarni problem ne bude nedostatak alata nego nedostatak strukture.
Vodič kroz zakon o kibernetičkoj sigurnosti: od obveze do provedbe
Prvo pitanje nije koje kontrole trebate kupiti, nego pripadate li skupini subjekata na koje se obveze odnose i u kojem opsegu. Taj korak djeluje jednostavno, ali često nije. Posebno kod grupacija, povezanih društava i organizacija koje pružaju više vrsta usluga. Pogrešna procjena obuhvata vodi ili prema lažnom osjećaju sigurnosti ili prema nepotrebnom administrativnom opterećenju.
Kada utvrdite da ste obveznik, sljedeći korak je mapiranje regulatornih zahtjeva na postojeće stanje. Tu se najčešće vidi razlika između formalne i stvarne spremnosti. Mnoge organizacije imaju dio dokumentacije, određene sigurnosne alate i povremene procjene rizika, ali nemaju jedinstven pregled. Nedostaje poveznica između zahtjeva, dokaza, odgovornih osoba i rokova za korektivne aktivnosti.
Upravo zato usklađivanje treba voditi kao upravljački program, a ne kao jednokratni projekt. Jednokratni projekt može zatvoriti početni jaz, ali ne rješava promjene u sustavima, kadrovima, dobavljačima i prijetnjama. Zakon od vas traži sposobnost trajnog upravljanja sigurnošću, ne samo pripremu za jedan pregled.
Tko u organizaciji mora biti uključen
Najskuplja pogreška je prepustiti cijelu temu isključivo IT-u. Tehnički timovi jesu ključni, ali bez uprave, pravne funkcije, compliancea, internih revizora, vlasnika poslovnih procesa i po potrebi nabave, usklađenost ostaje nepotpuna. Incidenti, upravljanje trećim stranama, kontinuitet poslovanja i odlučivanje o riziku nisu isključivo tehnička pitanja.
Za upravu je važno razumjeti da regulatorna odgovornost ne nestaje delegiranjem. Za CISO-a i IT menadžera važno je da zahtjevi budu prevedeni u provedive kontrole. Za compliance i internu reviziju ključno je da postoji trag dokaza i jasan model provjere. Kad te tri razine rade odvojeno, nastaje poznat problem – dokumenti izgledaju uredno, ali nitko ne može brzo dokazati stvarno stanje.
Koje se obveze najčešće podcjenjuju
Organizacije obično prvo pomisle na tehničke zaštite poput pristupnih kontrola, segmentacije, sigurnosnog nadzora i upravljanja ranjivostima. To je važno, ali podcjenjuju se tri područja.
Prvo je upravljanje rizikom. Ne kao formalni registar koji se ažurira jednom godišnje, nego kao proces koji utječe na prioritete, ulaganja i razinu prihvatljivog rizika. Drugo je upravljanje incidentima, posebno spremnost na pravovremeno prepoznavanje, eskalaciju i prijavu. Treće je upravljanje dokazima. Ako ne možete dokazati da se kontrola provodi, iz perspektive nadzora imate problem čak i kada kontrola postoji.
Tu se često otvara i pitanje dobavljača. Ako ključni procesi ovise o vanjskim partnerima, cloud infrastrukturi ili softverskim dobavljačima, dio vaše izloženosti nalazi se izvan vašeg neposrednog okruženja. To ne znači da je outsourcing problem sam po sebi. Znači da odnose s trećim stranama morate tretirati kao sigurnosni i regulatorni rizik, a ne samo ugovornu temu.
Kako izgleda razumna procjena početnog stanja
Dobar početak nije izrada stotinu stranica dokumentacije. Dobar početak je precizna samoprocjena. Ona treba pokazati što je već uspostavljeno, što je djelomično pokriveno, što nedostaje i gdje je razlika između formalnog opisa i operativne prakse.
To uključuje pregled politika i procedura, ali i provjeru tehničkih i organizacijskih dokaza. Primjerice, nije dovoljno navesti da postoji upravljanje pristupima. Treba vidjeti kako se odobravaju privilegije, kako se provode revizije prava, kako se dokumentiraju iznimke i koliko je proces stvarno konzistentan kroz cijelu organizaciju. Isto vrijedi za backup, oporavak, upravljanje promjenama, klasifikaciju podataka i reakciju na incidente.
Kvalitetna samoprocjena donosi jednu dodatnu korist koju uprave posebno cijene – pretvara apstraktan regulatorni zahtjev u mjerljiv plan daljnjeg postupanja. Umjesto pitanja jesmo li usklađeni, dobivate preciznije pitanje: koje nesukladnosti moramo zatvoriti prvo, tko je vlasnik aktivnosti, koji dokaz trebamo prikupiti i koliki je poslovni rizik ako nešto ostane otvoreno.
Dokumentacija bez operativnog kaosa
Jedan od razloga zašto usklađivanje zapne jest to što se dokumentacija vodi fragmentirano. Dio je u Excelima, dio u ticketing sustavu, dio u mapama na disku, dio u e-mailovima, a dio u glavama ključnih ljudi. Takav pristup možda prolazi dok je opseg mali, ali kod ozbiljnijih regulatornih obveza brzo postaje neodrživ.
Središnje upravljanje revizijskim dokazima mijenja dinamiku cijelog procesa. Kada za svaki zahtjev možete povezati odgovornu osobu, status, podlogu, korektivnu aktivnost i dokaz, tada i uprava i kontrolne funkcije dobivaju pregled koji je inače teško postići. To nije samo administrativna urednost. To je preduvjet za bržu internu provjeru, kvalitetniji odgovor na upite nadležnih tijela i manje oslanjanje na pojedince koji drže kontekst u glavi.
U tom dijelu tehnološka podrška ima realnu vrijednost, ali samo ako je prilagođena konkretnom regulatornom okviru. Generički GRC sustavi mogu biti moćni, no često traže duga podešavanja, opsežan angažman korisnika i dodatno prevođenje propisa u operativni model. Organizacijama koje trebaju brzu i dokazivu usklađenost obično više odgovara rješenje koje je od početka strukturirano oko zakonskih obveza, samoprocjene, AI analize dokumentacije i generiranja traženih izvješća.
Vodič kroz zakon o kibernetičkoj sigurnosti za upravu i CISO-a
Uprava i CISO ne gledaju isti detalj, ali moraju dijeliti istu sliku rizika. Uprava treba znati gdje postoji regulatorna izloženost, koliki je potencijalni poslovni učinak i koliko organizacija realno može provesti promjene u zadanom roku. CISO treba znati koje su kontrole prioritetne, gdje nedostaju resursi i kako osigurati da dokazivost prati tehničku provedbu.
Tu nema univerzalnog recepta. Organizacija s razvijenim sigurnosnim timom može imati slabosti u governanceu i dokazima. Druga može imati urednu dokumentaciju, ali zastarjele operativne kontrole. Treća može biti tehnički napredna, ali ovisna o dobavljačima bez dovoljno nadzora. Zato je najbolji pristup onaj koji prvo objektivno mjeri stanje, a tek onda definira tempo i opseg usklađivanja.
Za dio organizacija najrazumnije je krenuti kroz faze. Najprije utvrditi obuhvat i napraviti samoprocjenu, zatim postaviti plan korektivnih aktivnosti, a nakon toga uspostaviti kontinuirano praćenje usklađenosti i procjenu rizika. Takav pristup smanjuje pritisak na timove i daje upravi jasnije upravljačke točke. Upravo je to razlog zašto platforme poput ITrevizija.hr imaju smisla kada trebate spojiti regulatornu preciznost, brzinu provedbe i kontrolu nad dokazima bez višemjesečne implementacije.
Što razlikuje formalnu usklađenost od stvarne otpornosti
Formalna usklađenost znači da možete pokazati politike, evidencije i planove. Stvarna otpornost znači da organizacija može prepoznati incident, reagirati pod pritiskom, održati ključne procese i oporaviti se bez improvizacije. Idealno je imati oboje, ali u praksi nisu uvijek na istoj razini.
Tu treba biti realan. Neke mjere možete uvesti relativno brzo, posebno one povezane s dokumentacijom, odgovornostima i osnovnim kontrolama. Druge traže više vremena, ulaganja i promjene ponašanja. Primjer su segmentacija složenih okruženja, jačanje nadzora, upravljanje identitetima ili disciplinirano upravljanje dobavljačima. Zato je korisno razlikovati kratkoročne regulatorne prioritete od srednjoročnog jačanja otpornosti.
Najzdraviji pristup je onaj koji ne bira između ta dva cilja. Ako usklađivanje vodite samo zbog forme, povećavate rizik da prvi ozbiljan incident razotkrije stvarne slabosti. Ako se usredotočite samo na tehniku bez regulatorne strukture, teško ćete dokazati da sustavno upravljate obvezama. Organizaciji treba model koji povezuje obje strane.
Zakon o kibernetičkoj sigurnosti neće biti lakši zato što ga odgađate, ali će biti upravljiviji čim ga pretvorite u jasan skup odgovornosti, dokaza i prioriteta. Najveća prednost ne dolazi iz savršene dokumentacije, nego iz trenutka kada cijela organizacija zna što mora napraviti, zašto to radi i kako će pokazati da je spremna.