Revizija i samoprocjena kibernetičke sigurnosti
Ovisno o kategoriji u koju su svrstani, obveznici NIS2 moraju provoditi ili samoprocjenu ili reviziju kibernetičke sigurnosti.
Dok uslugu revizije mogu pružati isključivo tvrtke koje su nositelji nacionalnog sigurnosnog certifikata za reviziju kibernetičke sigurnosti, samoprocjenu obveznici mogu provoditi sami ili za to angažirati specijalizirane tvrtke. Samoprocjena kibernetičke sigurnosti – najbolji prvi korak u usklađivanju sa NIS2 Usklađivanje sa odredbama NIS2 i Zakona o kibernetičkoj sigurnosti, te ostalom relevantnom regulativom se u najvećoj mjeri svodi na uspostavu učinkovitog sustava upravljanja kibernetičkom sigurnošću, koji bi svaka organizacija morala uspostaviti prvenstveno radi vlastite zaštite, a mnoge već i jesu.
Samoprocjena kibernetičke sigurnosti koju nudimo temelji se na višedesetljetnom iskustvu u procjenama klijenata koji sežu od dinamičnih startupa, preko kritičnih infrastrukturnih tvrtki u područjima poput energetike, financija, zdravstva, pa sve do američkih Fortune 500 korporacija.
- Uključuje analizu i procjenu adekvatnosti i učinkovitosti:
- uspostavljenog sustava upravljanja rizicima kibernetičke sigurnosti,
- primijenjenih mjera kibernetičke sigurnosti,
- educiranosti i razine svijesti o kibernetičkoj sigurnosti,
- raspodjele i razumijevanja odgovornosti za zaštitu podataka.
Naša procjena rezultira jasnim izvješćem o usklađenošću sa NIS2 i Zakonom o kibernetičkoj sigurnosti te između ostaloga uključuje:
- opis revidirane organizacije, njezine djelatnosti i utjecaja na kibernetičku sigurnost društva,
- svrstavanje organizacije prema kriterijima za kategorizaciju ključnih i važnih subjekata prema odredbama Zakona o kibernetičkoj sigurnosti sa jasnim obrazloženjem,
- popis zahtjeva NIS2 i Zakona o kibernetičkoj sigurnosti koji se odnose na organizaciju sa:
- opisom svakog zahtjeva i referencom na primjenjive članke regulative obrazloženjem razloga iz kojega se zahtjev primjenjuje na organizaciju,
- opisom načina na koji je organizacija ispunila zahtjev,
- ocjenom razine ispunjenosti,
- ocjenom učinkovitosti u ispunjavanju zahtjeva,
- preporukama za poboljšanje.
- Sažetak za upravu koji se sastoji od:
- sažetak nalaza i mišljenje revizora o općoj razini usklađenosti,
- grafički pregled usklađenosti po domenama,
- popis identificiranih kršenja odredbi Zakona,
- plan hitnih aktivnosti usklađivanja
Zakonske obveze, odgovornosti i ovlasti
Zakon o kibernetičkoj sigurnosti svojim člankom 31. svim ključnim subjektima propisuje obvezu provođenja revizije kibernetičke sigurnosti najmanje jednom u dvije godine, dok važnim subjektima u istom vremenskom periodu nalaže provedbu samoprocjene.
Reviziju i samoprocjenu ne treba miješati sa stručnim nadzorom kojega redovito, ali i izvanredno provodi nadležno tijelo – uglavnom, središnje državno tijelo za kibernetičku sigurnost, odnosno Sigurnosno-obavještajna agencija koja u tu svrhu mora uspostaviti Nacionalni centar za kibernetičku sigurnost (NCSC-HR).
Bez obzira radi li se o samoprocjeni ili reviziji, postupak je vrlo sličan s tom razlikom da reviziju kibernetičke sigurnosti mogu provoditi samo za to ovlaštene tvrtke.
Iz tehničkih razloga, imenovanje ovlaštenih revizora kibernetičke sigurnosti se ne očekuje prije 2027. godine, ali to se nikako ne smije shvatiti kao odgoda obvezne primjene odredbi Zakona, odnosno NIS2 direktive. Za kršenje odredbi Zakona o kibernetičkoj sigurnosti propisan je cijeli niz prekršajnih i korektivnih mjera koje obuhvaćaju: izdavanje upozorenja o povredama Zakona, izdavanje obvezujućih uputa ili naloga kojima se zahtijeva otklanjanje utvrđenih nedostataka ili povreda Zakona, uz navođenje mjera koje subjekt treba provesti radi otklanjanja tih nedostataka ili povreda, privremene zabrane obavljanja aktivnosti koja nije usklađena za Zakonom, novčane kazne za odgovorne osobe u iznosu od 500 do 6.000 eur, novčane kazne za ključne subjekte u iznosima do 10.000.000 eura ili 2% ukupnog godišnjeg prometa na svjetskoj razini, ovisno o tome koji je iznos veći, odnosno do 7.000.000 eura ili 1,4% ukupnog godišnjeg prometa za važne subjekte.
Trajanje
Ovisno o veličini i kompleksnosti revidirane organizacije, trajanje procjene kibernetičke sigurnosti može biti od 2 tjedna do 6 mjeseci, a u slučajevima vrlo kompleksnih organizacija i više.
Slijedeći koraci
Po provedbi procjene, uprava se mora upoznati se rezultatima i preporukama. Rado ćemo vam pomoći u cijelom postupku usklađivanja i održavanja usklađenosti sa zahtjevima NIS2 i druge regulative iz područja kibernetičke sigurnosti.