10 pitanja koja morate postaviti o NIS2 direktivi - i zašto se tiču svih nas

Ako pratite naš blog, već ste primijetili da sve više pažnje posvećujemo NIS2 direktivi. Razlog tome je jednostavan: radi se o regulativi koja ima potencijal bitno ojačati kibernetičku otpornost organizacija – ne samo onih koje su formalno obuhvaćene, već i svih drugih koje žele raditi odgovorno, dugoročno i sigurno.

Već smo pisali o tome što sve dolazi s NIS2, DORA-om i Zakonom o kibernetičkoj sigurnosti, a dotaknuli smo se i penetracijskog testiranja kao konkretne mjere zaštite. Poruka je jasna: kibernetička sigurnost više nije nešto „što ćemo kad stignemo“, nego jedan od ključnih poslovnih izazova današnjice.

Sada je pravi trenutak da otvorimo dijalog – ne samo s IT timom, već i među svim razinama upravljanja. Jer upravo tu leži ključna promjena koju NIS2 donosi: odgovornost više nije samo tehnička, već i upravljačka. Uprava i menadžment preuzimaju aktivnu ulogu, a IT postaje ključni partner u realizaciji konkretnih mjera.

Zato donosimo 10 pitanja koja bi svaka organizacija trebala postaviti – sebi, svom IT timu i menadžmentu. Cilj nije kontrola, već suradnja: da svi budemo sigurni da znamo gdje smo, kamo idemo i kako ćemo tamo doći.

1. Jesmo li sigurni spadamo li pod NIS2 – ili ne?

Idealan scenarij:
 „Da, proveli smo procjenu i znamo točno gdje pripadamo prema veličini, sektoru i vrsti usluga. Pratimo i nacionalnu implementaciju jer se mogu pojaviti dodatne smjernice.“

Zašto je to važno:
NIS2 se odnosi na znatno širi krug sektora nego prethodna verzija – uključujući IT usluge, financije, energetiku, zdravstvo, promet, digitalne usluge i infrastrukturu, javnu upravu i druge ključne ili važne subjekte.

Procjena nije samo formalnost – pogrešna pretpostavka o tome obuhvaća li vas direktiva može dovesti do ozbiljnih posljedica, uključujući novčane kazne i reputacijski rizik.

Ali čak i ako niste izravno obuhvaćeni, ne znači da ste “izvan igre” – NIS2 zahtjevi se prenose i kroz lance opskrbe. Organizacije koje jesu izravno obuhvaćene imat će obvezu procjene sigurnosne razine svojih partnera i dobavljača, što može značiti da ćete se i vi naći pod povećalom. U konačnici, odgovor treba biti zajednička odluka – IT, pravna služba i uprava moraju procijeniti status i rizike.

 

2. Imamo li jasnu strategiju za kibernetičku sigurnost?

Što bismo svi trebali razumjeti:
„Imamo dokumentiran plan sigurnosnih mjera, vremenski okvir, odgovorne osobe i redovita ažuriranja. Strategija uključuje upravljanje rizicima, edukaciju, detekciju prijetnji i planove oporavka.“

Zašto je to važno:
Improvizacija više nije opcija. Kibernetička sigurnost mora biti integrirana u poslovnu strategiju i nadzirana kao dio ukupnog upravljanja rizicima. Ako sigurnost nije strateška tema – onda će postati kriza. Strategija ne smije biti samo još jedan dokument – ona je alat za planiranje i jasnoću u kriznim trenucima.

 

3. Znamo li gdje su naši najveći rizici?

Idealan scenarij:
„Imamo ažuriranu procjenu rizika. Znamo koje sustave treba najviše štititi i radimo na tome kontinuirano.“

Zašto je to važno:
Ranjivosti ne možete sanirati ako ih ne prepoznajete. Uprava i IT tim zajedno trebaju imati uvid u prioritetne točke rizika. Ova procjena je temelj ne samo za zaštitu, nego i za planiranje budžeta, odabir partnera i edukaciju.

Ne znači da sve mora biti riješeno odmah – bitno je da razumijemo rizike i da su oni za nas prihvatljivi u poslovnom kontekstu. Ključno je da postoji plan za mitigaciju i da se prioriteti postavljaju svjesno i strateški. Već i sam plan je odlična osnova za daljnju realizaciju i za dokazivanje odgovornog pristupa sigurnosti, posebno prema nadzorima ili partnerima.

 

4. Kako se štitimo – i kako znamo da to stvarno funkcionira?

Idealan scenarij:
„Koristimo višeslojnu zaštitu i redovito testiramo njenu učinkovitost kroz simulacije, monitoring i evaluaciju alata. Rezultati su dokumentirani i dostupni upravi.“

Zašto je to važno:
Nije dovoljno imati sigurnosne alate – važno je znati da zaista funkcioniraju kad je najpotrebnije. Kibernetička zaštita mora biti dinamična i pod stalnim nadzorom. Ovdje je transparentnost ključna

Višeslojna zaštita znači da se oslanjamo na više vrsta obrane: od kontrole pristupa, višefaktorske autentifikacije i antivirusnih sustava, preko sigurnosnih kopija i segmentacije mreže, do edukacije zaposlenika i procedura za odgovor na incidente.

Testiranje obuhvaća i tehničke provjere (npr. penetracijska testiranja, simulacije phishing napada), ali i organizacijske – tko zna što treba raditi u slučaju napada?

Ključno je da sustav nije “postavljen i zaboravljen” – nego redovito testiran, evaluiran i transparentno predstavljen upravi, kako bi sigurnost bila svjesna poslovna odluka, a ne pretpostavka.

 

5. Imamo li jasan plan za odgovor na incidente?

Što bismo svi trebali razumjeti:
„Znamo tko što radi u slučaju incidenta, kako se izvještava, kako komuniciramo prema van i kako vraćamo sustav u rad. Vježbali smo to barem jednom godišnje.“

Zašto je to važno:
U kriznim situacijama nema vremena za improvizaciju. Brzina i koordinacija u prvim satima incidenta često određuju razmjere štete. NIS2 zahtijeva prijavu u roku 24 sata – a to se može samo ako je proces uhodan

 

6. Imamo li dovoljno ljudi i znanja za provedbu svega?

Idealan scenarij:
„Trenutno pokrivamo ključne kompetencije internim kapacitetima i vanjskim partnerima. Članovi tima redovito se educiraju, a za specijalizirane zadatke angažiramo certificirane stručnjake.“

Zašto je to važno:
NIS2 izričito propisuje da organizacije moraju imati dovoljno kompetentnog, educiranog i iskusnog osoblja koje može upravljati sigurnosnim obvezama. No realnost je da većina timova – posebno u malim i srednjim organizacijama – teško može samostalno pokriti sve aspekte provedbe.

Zato je ključno osvijestiti da angažiranje vanjskih stručnjaka često nije trošak, nego efikasnije i brže rješenje koje omogućuje kvalitetniju provedbu, brže reakcije i manji rizik od pogrešaka. Uprava mora biti svjesna opterećenja i spremna podržati edukaciju, vanjske suradnike ili nova zapošljavanja – jer bez pravih ljudi nema ni prave sigurnosti.

 

7. Testiramo li redovito svoju sigurnost?

Idealan scenarij:
„Da – provodimo skeniranja ranjivosti, sigurnosne revizije i barem jedno godišnje penetracijsko testiranje. U planu je i redovito testiranje educiranosti zaposlenika i poštivanja internih sigurnosnih pravila (npr. phishing simulacije, provjera korištenja lozinki, pravila rada na udaljenim lokacijama).“

Zašto je to važno:
Ne testirati znači pretpostavljati da je sve u redu – dok vas netko drugi ne uvjeri u suprotno. Redovito testiranje pokazuje da ne čekate da vam netko “provali”, već da proaktivno gradite obranu.

Pritom se ne testiraju samo tehnički sustavi – već i koliko su zaposlenici svjesni sigurnosnih procedura i u kojoj mjeri se pridržavaju pravila korištenja IT infrastrukture. Ljudi su često najslabija karika – ali i najvažnija linija obrane.

 

8. Jesmo li usklađeni s GDPR-om i ISO 27001?

Idealan scenarij:
„Poštujemo GDPR i imamo ili radimo na ISO 27001 certifikatu. Znamo kako se ova usklađenja preklapaju i koristimo ih za učinkovitije ispunjavanje zahtjeva NIS2.“

Zašto je to važno:
Ako ste već radili na zaštiti podataka i informacijskih sustava – ne počinjete od nule. NIS2 nadograđuje postojeće obveze, ali ne duplicira ih. Dobra koordinacija sprječava preklapanje, preopterećenost i troškove.

 

9. Znamo li tko je kod nas zadužen za NIS2?

Idealan scenarij:
„Imamo jasno određenu osobu ili tim koji koordinira, izvještava i prati sve što se tiče NIS2. Uprava je redovito informirana.“

Zašto je to važno:
Jedna od najvećih novosti je osobna odgovornost uprave. Ako niste definirali tko vodi cijeli proces, nećete moći ni koordinirati provedbu, ni dokazati usklađenost kad dođe inspekcija.

 

10. Imamo li plan za krizne situacije – i znamo li kako ga provesti?

Idealan scenarij:
„Imamo ažurirane planove kontinuiteta poslovanja (BCP) i oporavka od katastrofa (DRP). Znamo tko što radi, kako komuniciramo unutar tvrtke i prema van, koje sustave prvo vraćamo u funkciju i u kojem vremenskom okviru. Ove planove redovito testiramo i znamo kako ih aktivirati u slučaju napada, prekida ili gubitka podataka.“

Zašto je to važno:
Otporna organizacija ne ovisi samo o prevenciji, nego i o sposobnosti da brzo i koordinirano reagira kad se dogodi incident. Dobar plan smanjuje štetu, skraćuje vrijeme oporavka i čuva povjerenje korisnika, partnera i regulatora – a to je temelj vjerodostojnosti u digitalnom okruženju.

 

Zaključak

Kibernetička sigurnost više nije odgovornost jednog tima ili jedne osobe – to je zajednička zadaća cijele organizacije. IT tim će i dalje imati neophodnu operativnu ulogu, ali NIS2 izričito stavlja odgovornost i na najviše razine upravljanja. Upravo zato ovaj vodič i postoji – da biste na temelju konkretnih pitanja otvorili dijalog između IT-a, uprave i drugih ključnih ljudi u organizaciji. Jer istinska otpornost ne gradi se na propisima, već na suradnji.

Vrijeme je da prestanemo razmišljati o kibernetičkoj sigurnosti kao tehničkom problemu i počnemo je tretirati kao ono što jest: strateški prioritet.

Zatražite konzultacije i analizu!

Saznajte već danas jeste li spremni za NIS2 regulative i koliko su vaši sustavi zaista sigurni - ne brinite, čak i ako ima mjesta za poboljšanje, tu smo da vam u tome pomognemo.

    Vezani članci

    Blog

    10 pitanja koja morate postaviti o NIS2 direktivi

    Saznaj više
    Blog

    Što je penetracijsko testiranje i zašto ga trebate?

    Saznaj više
    Blog

    NIS2 direktiva – koga se tiče i kako ju implementirati?

    Saznaj više
    Blog

    NIS2, DORA i Zakon o kibernetičkoj sigurnosti – što nas čeka?

    Saznaj više
    Blog

    HSM u 2024.

    Saznaj više
    Blog

    Zašto kupiti Google licencu od lokalnog partnera?

    Saznaj više
    Blog

    Google Workspace vs. Microsoft 365 – koji više odgovara vašim potrebama?

    Saznaj više
    Blog

    Što je Google Workspace i kako može pomoći timovima u suradnji?

    Saznaj više
    Blog

    HSM u 2023.

    Saznaj više