Primjer plana usklađenja NIS2 u praksi

Ako tražite primjer plana usklađenja NIS2, vjerojatno niste u fazi općeg informiranja nego u fazi u kojoj uprava traži rokove, odgovorne osobe i dokaz da se obveze doista provode. Tu većina organizacija zapne. Ne na razumijevanju da NIS2 postoji, nego na prevođenju regulatornih zahtjeva u operativan plan koji se može voditi, mjeriti i dokazati.

Problem je što plan usklađenja ne smije biti samo popis želja. Mora povezati regulatorne zahtjeve, postojeće stanje, procjenu rizika, prioritetne nedostatke i konkretne aktivnosti. Ako toga nema, organizacija često proizvodi mnogo dokumentacije, a i dalje ne može jasno pokazati koliko je stvarno spremna za nadzor ili incident.

Što dobar primjer plana usklađenja NIS2 mora sadržavati

Dobar plan usklađenja kreće od realnog stanja, a ne od generičkog predloška. NIS2 ne traži samo formalno postojanje politika, nego i upravljanje rizicima, odgovornosti uprave, postupanje po incidentima, sigurnost dobavnog lanca, kontinuitet poslovanja, upravljanje pristupima, edukaciju i nadzor provedbe mjera.

Zato plan mora imati najmanje četiri stvari: jasno definiran opseg, procjenu trenutačne usklađenosti, prioritetizirane aktivnosti i mjerljive dokaze provedbe. Bez opsega ne znate što obuhvaćate. Bez procjene ne znate gdje ste. Bez prioriteta trošite vrijeme na manje važne teme. Bez dokaza ne možete pokazati da je usklađenje stvarno, a ne deklarativno.

U praksi to znači da se plan ne piše “od nule” u Word dokumentu, nego nastaje iz strukturirane analize. Organizacija prvo utvrđuje koje se obveze na nju odnose, zatim mapira postojeće kontrole, dokumentaciju i odgovornosti, a nakon toga definira što treba dopuniti, promijeniti ili uvesti.

Primjer plana usklađenja NIS2 po fazama

Najkorisniji primjer nije onaj koji izgleda najurednije, nego onaj koji odražava stvarni redoslijed rada. U nastavku je model koji se u praksi pokazuje izvedivim za srednje i veće organizacije.

1. Definiranje opsega i upravljačkog okvira

Prva faza određuje što točno ulazi u plan. To uključuje poslovne procese, informacijske sustave, kritične usluge, lokacije, ključne dobavljače i organizacijske jedinice. U istoj fazi treba formalno odrediti vlasnike procesa, odgovorne osobe za sigurnost, ulogu uprave i način izvještavanja.

Ovdje se često radi pogreška da se sigurnost prepusti isključivo IT-u. NIS2 to ne promatra tako usko. Uprava mora biti uključena, a plan mora jasno pokazati tko donosi odluke, tko prati provedbu i kako se eskaliraju odstupanja.

2. Početna procjena usklađenosti i gap analiza

Druga faza uspoređuje postojeće stanje sa zahtjevima koji proizlaze iz NIS2 i nacionalnog regulatornog okvira. Rezultat nije samo oznaka “usklađeno” ili “neusklađeno”, nego detaljan pregled nedostataka po područjima kontrole.

Primjerice, organizacija može imati politiku upravljanja incidentima, ali bez definiranih rokova prijave, bez testiranja i bez dovoljno jasne podjele odgovornosti. Formalno postoji dokument, ali operativna spremnost je niska. Upravo zato gap analiza mora gledati i kvalitetu provedbe, ne samo postojanje akta.

3. Procjena rizika i određivanje prioriteta

Nisu svi nedostaci jednako važni. Ako organizacija nema popis kritične imovine, nema klasifikaciju sustava i nema definiran proces upravljanja ranjivostima, to obično nosi veći prioritet od kozmetičkih dorada pojedine politike.

Dobar plan usklađenja koristi procjenu rizika kako bi odredio redoslijed aktivnosti. To je posebno važno kada su resursi ograničeni. Neke organizacije mogu istodobno pokrenuti više radnih tokova, dok će druge morati prvo zatvoriti regulatorno i operativno najkritičnije praznine.

4. Izrada i provedba korektivnih aktivnosti

Ovdje plan prelazi iz analize u izvršenje. Za svaku neusklađenost treba definirati aktivnost, vlasnika, rok, potrebne resurse i dokaz završetka. Aktivnosti mogu uključivati izradu ili doradu politika, uspostavu registra imovine, formalizaciju upravljanja pristupima, uvođenje procesa procjene dobavljača, definiranje planova kontinuiteta, provođenje edukacija i uspostavu evidencije incidenata.

Bitno je da aktivnosti ne ostanu na razini “izraditi proceduru”. Puno bolji zapis glasi: “donijeti proceduru upravljanja incidentima, provesti radionicu s odgovornim timovima, testirati eskalacijski scenarij i arhivirati rezultate testiranja”. Takav zapis je mjerljiv i dokaziv.

5. Prikupljanje dokaza i izvještavanje

Nadzor ne zanima samo što planirate, nego što možete dokazati. Zato plan mora predvidjeti koje će se vrste dokaza prikupljati: zapisnici, odobrene politike, evidencije edukacija, izvještaji o testiranju, tehničke konfiguracije, zapisi o revizijama pristupa, procjene dobavljača i statusi korektivnih mjera.

Ako se dokazi prikupljaju stihijski, organizacija vrlo brzo gubi pregled. Upravo tu nastaje najveći administrativni trošak. Struktura plana mora zato biti povezana s načinom pohrane dokaza i s periodičnim izvještavanjem prema upravi ili odboru odgovornom za sigurnost.

Kako izgleda sadržaj jednog operativnog plana

U najjednostavnijem obliku, primjer plana usklađenja NIS2 sadrži tablični ili sustavno vođen pregled s nekoliko obveznih polja. To su regulatorno područje, opis zahtjeva, trenutačno stanje, utvrđena neusklađenost, procjena rizika, planirana mjera, odgovorna osoba, rok provedbe, status i dokaz provedbe.

Takva struktura omogućuje dvije ključne stvari. Prvo, uprava vidi gdje su najveći rizici i koliko dugo će trebati njihovo zatvaranje. Drugo, operativni timovi dobivaju konkretne zadatke umjesto apstraktnih zahtjeva. To smanjuje nesporazume između usklađenosti, sigurnosti, IT-a, pravne funkcije i poslovnih vlasnika procesa.

Primjerice, za područje upravljanja pristupima plan može sadržavati nalaz da ne postoji formalna periodična recertifikacija korisničkih ovlasti. Korektivna mjera tada nije samo izrada politike, nego i uspostava kvartalnog pregleda pristupa za kritične sustave, određivanje vlasnika aplikacija i čuvanje revizijskog traga o provedenim pregledima.

Najčešće pogreške kod izrade plana

Prva pogreška je prepisivanje generičkih predložaka bez procjene stvarnog stanja. Takav plan može dobro izgledati na sastanku, ali se raspadne čim krenu pitanja o dokazima i odgovornostima.

Druga pogreška je miješanje strateških i operativnih aktivnosti. Ako u istom redu stoje “povećati razinu sigurnosti” i “uvesti MFA za administrativne račune”, plan postaje neupotrebljiv. Aktivnosti moraju biti dovoljno konkretne da se mogu izvršiti i provjeriti.

Treća pogreška je zanemarivanje dobavljača i trećih strana. U mnogim sektorima upravo tu leži velik dio izloženosti. Ako plan ne obuhvati kriterije za odabir, procjenu i praćenje sigurnosnog statusa dobavljača, ostaje važna praznina.

Četvrta pogreška je uvjerenje da se usklađenost postiže jednokratnim projektom. U stvarnosti se plan mora periodično ažurirati. Sustavi se mijenjaju, organizacija uvodi nove dobavljače, pojavljuju se novi rizici, a dokumenti zastarijevaju.

Što se može provesti brzo, a što traži više vremena

Neke mjere moguće je relativno brzo postaviti. To su formalizacija odgovornosti, usvajanje osnovnih politika, uspostava registra obveza, definiranje procesa evidencije incidenata i strukturiranje prikupljanja dokaza. Takve aktivnosti brzo podižu preglednost i daju temelj za daljnji rad.

S druge strane, aktivnosti poput pune klasifikacije imovine, uređenja sigurnosti dobavnog lanca, testiranja kontinuiteta poslovanja ili usklađivanja više povezanih društava obično traju dulje. Tu treba računati na suradnju više funkcija i na to da će neke mjere ovisiti o tehnološkim promjenama, budžetu ili ugovornim odnosima s vanjskim partnerima.

Zato je bolje imati fazni plan s jasnim prioritetima nego pokušati sve zatvoriti odjednom. Regulatorna ozbiljnost ne pokazuje se brojem otvorenih inicijativa, nego sposobnošću da se najvažniji rizici kontrolirano zatvaraju i uredno dokumentiraju.

Zašto automatizacija ovdje ima stvarnu vrijednost

Kod NIS2 najveći trošak često nije samo implementacija mjera, nego stalno održavanje pregleda nad statusom, dokazima i obvezama. Kada se to vodi ručno kroz e-mailove, tablice i razdvojene mape, organizacija teško može u svakom trenutku znati svoju stvarnu razinu usklađenosti.

Zato platforme koje povezuju samoprocjenu, upravljanje dokazima, evidenciju neusklađenosti i plan daljnjeg postupanja imaju vrlo praktičnu vrijednost. Ne zato što zamjenjuju odgovornost organizacije, nego zato što skraćuju administrativni ciklus i smanjuju rizik da važan dokaz, aktivnost ili rok ostane nevidljiv. U tom smislu, ITrevizija.hr odgovara upravo onim organizacijama koje žele brz i operativan put od procjene stanja do dokazive usklađenosti, bez višemjesečnih implementacija tipičnih GRC sustava.

Ako danas izrađujete plan, nemojte krenuti od pitanja koji dokument trebate napisati. Krenite od pitanja koje nedostatke morate zatvoriti, tko ih zatvara, do kada i kako ćete to dokazati kad vas netko točno to pita.