
Kako Napraviti Analizu Nedostataka za NIS2 Usklađenost: Vodič Korak po Korak
Ključne točke o analizi nedostataka za NIS2 ...
-->
Autor:
Tomislav Horvat
Analiza nedostataka za NIS2 pomaže otkriti propuste u usklađenosti i štiti vašu tvrtku od mogućih kazni do 10 milijuna eura ili 2% globalnog prometa, istovremeno jačajući vašu sigurnosnu poziciju.
Utvrdite spada li vaša tvrtka u opseg NIS2 na temelju veličine i sektora, zatim okupite međusektorski tim koji uključuje IT sigurnost, pravnu službu, upravljanje rizicima i predstavnike ključnih odjela.
Sustavno procijenite svoje trenutne sigurnosne kontrole prema zahtjevima NIS2, dokumentirajte nedostatke i odredite im prioritete prema izloženosti riziku, složenosti provedbe i dostupnim resursima.
Razvijte cjeloviti plan sanacije s jasno definiranim odgovornostima, realnim rokovima i mjerljivim ciljevima, imajući na umu da provjere usklađenosti počinju 2026. godine.
Uspostavite sustave za stalno praćenje i vodite detaljnu dokumentaciju svih aktivnosti usklađenosti, pripremajući pakete za reviziju koji dokazuju vašu predanost zahtjevima NIS2.
Analizu nedostataka za NIS2 možete zamisliti kao sistematski pregled sigurnosnih mjera vaše tvrtke ili organizacije.
Pomaže vam uočiti razlike između onoga što trenutno radite i onoga što zahtijeva NIS2 direktiva.
Vrijeme curi za početak usklađivanja s NIS2.
Iako se provjere usklađenosti očekuju tek 2026. godine (ovisno o implementaciji u pojedinoj državi članici), priprema vaših sustava i procesa zahtijeva dosta vremena i pomno planiranje.
Rizici su prilično visoki.
Ako se ne uskladite, vaša tvrtka mogla bi se suočiti s ozbiljnim kaznama.
Ključni subjekti mogu dobiti kazne do 10 milijuna eura ili 2% globalnog prometa, dok važni subjekti mogu dobiti kazne do 7 milijuna eura ili 1,4% prometa.
Posebno zabrinjavajući aspekt za mnoge tvrtke je osobna odgovornost.
Viši menadžment i članovi uprave mogu snositi osobne kazne ili čak kaznenu odgovornost zbog neusklađenosti.
U nekim slučajevima, mogli biste biti čak i privremeno udaljeni s upravljačke pozicije ako dođe do ozbiljnih propusta.
Osim izbjegavanja kazni, ova analiza pomaže ojačati vašu obranu od kibernetičkih napada koji postaju sve sofisticiraniji iz dana u dan.
Idemo odmah prijeći na stvar – NIS2 obuhvaća puno širi spektar subjekata od svog prethodnika, i trebate znati jeste li obuhvaćeni.
NIS2 se primjenjuje na organizacije u dvije glavne kategorije: "ključni subjekti" i "važni subjekti".
Direktiva posebno obuhvaća srednja i velika poduzeća u određenim sektorima, prema jasno definiranim pragovima veličine:
Srednji subjekti: organizacije s 50-249 zaposlenika i godišnjim prometom većim od 10 milijuna eura ili bilancom većom od 10 milijuna eura
Veliki subjekti: organizacije s 250+ zaposlenika ili godišnjim prometom većim od 50 milijuna eura ili bilancom većom od 43 milijuna eura
Ako ste ključni subjekt u nekom od ovih sektora, NIS2 se odnosi na Vas:
Energetika (struja, nafta, plin, grijanje/hlađenje)
Promet (zračni, željeznički, vodeni, cestovni)
Bankarstvo i financijska tržišta
Zdravstvo (uključujući bolnice, laboratorije, farmaceutsku proizvodnju)
Pitka voda i otpadne vode
Digitalna infrastruktura (internet čvorišta, DNS pružatelji, registri domena, usluge u oblaku, podatkovni centri, mreže za isporuku sadržaja, usluge povjerenja)
Javna uprava (središnja i regionalna vlast)
Svemir
Važni subjekti uključuju poslovanje u:
Poštanske i kurirske usluge
Gospodarenje otpadom
Proizvodnja kemikalija
Proizvodnja hrane
Proizvodnja (medicinski uređaji, elektronika, strojevi, vozila)
Digitalni pružatelji (internetske trgovine, tražilice, društvene mreže)
Direktiva također predviđa određena izuzeća.
Primjerice, subjekti u obrani, nacionalnoj sigurnosti, javnoj sigurnosti, provedbi zakona, pravosuđu, parlamentima i središnjim bankama obično su isključeni iz opsega.
Ako niste sigurni spada li vaša tvrtka u opseg, posavjetujte se s pravnim stručnjacima koji poznaju implementaciju NIS2 u vašoj državi članici EU, jer mogu postojati manje razlike u nacionalnim provedbama.
Ne možete se baviti usklađenošću s NIS2 iz samo jednog odjela.
Trebat će vam raznolik tim koji donosi različite perspektive.
Počnite s očitim sudionicima – IT sigurnosnim stručnjacima koji razumiju tehničke zahtjeve i pravnim timom koji poznaje regulatorne okvire.
Ali nemojte stati na tome.
Uključite predstavnike ključnih odjela na koje će promjene utjecati.
Odjel za upravljanje rizicima svakako bi trebao biti uključen.
Uključenost višeg menadžmenta ključna je jer trebaju razumjeti što je u igri i imaju ovlasti za odobravanje resursa i donošenje odluka.
Ponekad pomaže i vanjski pogled, pa razmislite o angažiranju vanjskih konzultanata s iskustvom u NIS2 ako vaše interno znanje ima praznine.
Ne zaboravite imenovati nekoga za voditelja projekta – osobu koja će sve držati na pravom putu.
Budite realni oko vremenskih obveza.
Članovi vašeg tima trebaju dovoljno vremena da posvete ovom projektu pažnju koju zaslužuje.
Ovo nije nešto što mogu raditi usput uz redovne zadatke.
Prije nego krenete u analizu, odvojite vrijeme da definirate kako izgleda uspjeh.
Što točno želite postići?
Vaši ciljevi trebali bi se uklopiti u vašu širu strategiju usklađenosti i poslovne ciljeve.
Stvorite mjerljive ciljeve za vašu analizu nedostataka – možda je to procjena određenog postotka zahtjeva ili postizanje specifične razine detalja u vašim nalazima.
Vodite računa o vremenu.
S provjerama usklađenosti koje se očekuju 2026. godine, vaš vremenski plan mora biti realističan, ali treba uzeti u obzir da temeljita priprema zahtijeva vrijeme.
Budite potpuno jasni što spada u opseg vaše procjene.
Koje ćete sustave, procese i podatke evaluirati? Kako će izgledati konačni rezultati?
Razmislite o formatima dokumentacije, strukturama izvještavanja i predlošcima akcijskih planova.
I još nešto – pobrinite se da je vaša uprava na istoj stranici i spremna odvojiti resurse.
Bez podrške vodstva, mogli biste ostati bez vremena, ljudi ili novca za pravilno provođenje procesa.
Vrijeme je da zasučete rukave i napravite inventuru vaših trenutnih sigurnosnih mjera.
Počnite dokumentiranjem onoga što već imate i napravite potpuni popis svih mrežnih i informacijskih sustava u opsegu.
Strukturirani pristup ovdje pomaže.
Mnoge organizacije koriste jednostavni sustav ocjenjivanja – poput ljestvice od 3-5 stupnjeva od "Nije implementirano" do "Optimizirano" – za procjenu trenutnog stanja prema svakom zahtjevu.
Ovo vam daje jasnu sliku gdje stojite.
Pregledajte svu postojeću dokumentaciju – sigurnosne pravilnike, planove odgovora na incidente, procjene rizika, sve.
Pogledajte certifikate koje već imate, poput ISO 27001.
Oni možda već ispunjavaju neke zahtjeve NIS2, štedeći vam vrijeme i trud.
Ne zanemarite prethodne sigurnosne procjene i nalaze revizija.
Često postoje vrijedne informacije zakopane u tim izvještajima koje mogu pomoći vašoj trenutnoj analizi.
NIS2 stavlja specifične odgovornosti na leđa uprave.
Je li vaša uprava službeno odobrila mjere upravljanja kibernetičkim rizicima kako zahtijeva članak 20? Imate li uspostavljene mehanizme za nadzor implementacije od strane uprave?
Provjerite je li vaš upravljački tim prošao obuku o kibernetičkoj sigurnosti. NIS2 to zahtijeva, zajedno sa sličnom obukom za zaposlenike.
Imate li dokumentaciju koja pokazuje uključenost uprave u odluke o kibernetičkoj sigurnosti? Postoje li redoviti procesi izvještavanja koji ih informiraju?
Pobrinite se da vaši direktori razumiju da bi mogli biti osobno odgovorni za propuste u usklađenosti.
Ništa ne fokusira pažnju kao saznanje da je vlastita koža u igri.
Dobro pregledajte svoje pravilnike i procedure za analizu rizika.
Odgovaraju li onome što NIS2 zahtijeva?
Vaši sigurnosni pravilnici za informacijske sustave trebali bi biti sveobuhvatni i stvarno funkcionirati u praksi, a ne samo postojati na papiru.
Ispitajte kako procjenjujete učinkovitost svojih mjera kibernetičke sigurnosti.
Postoji li formalni proces, ili je više ad hoc?
Provjerite primjenjuju li se osnovne higijenske mjere kibernetičke sigurnosti dosljedno u cijeloj vašoj tvrtki – ovi temelji često su okosnica dobre sigurnosti.
Provjerite koristite li višefaktorsku autentifikaciju ili rješenja za kontinuiranu autentifikaciju gdje je to potrebno.
regledajte svoje pravilnike za kontrolu pristupa, kako se bavite sigurnošću u HR procesima i svoje prakse upravljanja imovinom.
Ovo su sve područja koja NIS2 posebno adresira.
Kada je riječ o odgovoru na incidente, NIS2 ima jasna očekivanja.
Procijenite svoje procedure za rukovanje incidentima prema tim zahtjevima.
Imate li jasno dokumentirani proces za odgovor i prijavu incidenata kibernetičke sigurnosti?
Provjerite svoje postupke obavještavanja za upozoravanje CSIRT-ova (Timova za odgovor na računalne sigurnosne incidente) ili nadležnih tijela kada nešto pođe po zlu.
Imate li proces za obavještavanje korisnika vaših usluga ako bi incident mogao utjecati na njih?
Pogledajte svoju dokumentaciju za rana upozorenja, obavijesti o incidentima, ažuriranja statusa i završna izvješća.
NIS2 zahtijeva završna izvješća o incidentima unutar mjesec dana – je li vaš vremenski okvir u skladu s tim?
Ne zaboravite procijeniti svoje sustave za hitnu komunikaciju.
Ako dođe do incidenta, mogu li ljudi unutar vaše organizacije sigurno komunicirati?
Ranjivosti lanca opskrbe postale su glavna točka napada, a NIS2 to prepoznaje.
Kako upravljate sigurnošću u svojim odnosima s dobavljačima i pružateljima usluga? Procjenjujete li njihove prakse kibernetičke sigurnosti prije potpisivanja ugovora?
Pregledajte svoje sigurnosne mjere za nabavu, razvoj i održavanje sustava.
Uzimate li u obzir specifične ranjivosti svakog dobavljača?
Pregledajte kako procjenjujete njihove postupke sigurnog razvoja i ukupne prakse kibernetičke sigurnosti.
Provjerite sadrže li vaši ugovori sigurnosne zahtjeve i kako pratite usklađenost dobavljača s tim zahtjevima.
Lanac je jak koliko i njegova najslabija karika, a u kibernetičkoj sigurnosti ta slaba karika često je u lancu opskrbe.
Sada kada ste završili procjenu, vrijeme je da dokumentirate gdje vaše trenutne prakse ne ispunjavaju zahtjeve NIS2.
Korištenje strukturiranih predložaka pomaže organizirati ove informacije jasno.
Primijenite svoj okvir procjene (poput ljestvice od 5 stupnjeva spomenute ranije) da kvantificirate ozbiljnost svakog nedostatka.
Vizualni alati poput toplinske mape ili nadzornih ploča mogu pomoći u predstavljanju statusa dionicima koji možda ne žele prolaziti kroz detaljne izvještaje.
Za svaki nedostatak, zabilježite specifične članke i stavke NIS2 koje se primjenjuju.
Ovo olakšava rješavanje nedostataka.
Dokumentirajte dokaze koji potkrepljuju vaše nalaze kako biste mogli opravdati svoju procjenu ako bude potrebno.
Sve ovo objedinite u sveobuhvatan izvještaj o analizi nedostataka.
Ovo svima daje jasnu sliku gdje stojite i što treba popraviti.
Nisu svi nedostaci jednako važni.
Neki su hitniji od drugih, stoga ih kategorizirajte prema ozbiljnosti i potencijalnom utjecaju na vaše poslovanje i status usklađenosti.
Kad odlučujete što prvo riješiti, razmotrite koliko je vjerojatno da će ranjivost biti iskorištena i što bi se moglo dogoditi ako bude.
Razmislite o potencijalnim društvenim i ekonomskim utjecajima kako je navedeno u članku 21 NIS2.
Potražite brze pobjede – nedostatke koje možete riješiti relativno brzo s minimalnim resursima.
Ovi rani uspjesi stvaraju zamah i pokazuju napredak dionicima.
Nedostaci vezani uz izvještavanje o incidentima i odgovornosti uprave često trebaju visoki prioritet jer izravno utječu na usklađenost.
Također razmotrite međuovisnosti – ponekad rješavanje jednog problema pomaže riješiti nekoliko drugih, čineći ga učinkovitijim mjestom za početak.
Za svaki nedostatak, procijenite što će vam trebati da ga riješite.
To znači razmišljanje o novcu, ljudima, tehnologiji i vremenu.
Razmotrite trebate li nove uloge ili odgovornosti za rješavanje određenih nedostataka.
Neki problemi mogli bi zahtijevati specijalističko znanje koje trenutno nemate u kući.
Budite realni oko vremenskih rokova.
Složeni problemi mogli bi trebati mjesece da se pravilno riješe, dok bi se jednostavniji popravci mogli implementirati u danima ili tjednima.
Razmislite kako bi aktivnosti sanacije mogle utjecati na vaše poslovanje.
Hoće li rješavanje određenih problema zahtijevati zastoj u radu ili promjene u načinu rada ljudi?
Ovi faktori utječu i na vaš pristup i na vremenski okvir za rješavanje nedostataka.
S identificiranim nedostacima i postavljenim prioritetima, vrijeme je da stvorite detaljan akcijski plan.
Navedite konkretne korake za rješavanje svakog nedostatka, povezujući svaku akciju izravno s relevantnim zahtjevima NIS2.
Uključite jasne, mjerljive ciljeve kako biste znali kada ste uspješno riješili problem.
Definirajte točno koje rezultate očekujete od svake stavke plana.
Mapirajte međuovisnosti između različitih akcija.
Neke stvari trebaju se dogoditi određenim redoslijedom.
Uskladite svoj plan s vašom širom strategijom kibernetičke sigurnosti kako biste izbjegli dupliciranje napora ili implementaciju proturječnih mjera.
Stvorite vremenski plan temeljen na konkretnim nacionalnim rokovima implementacije i provjerama usklađenosti.
Podijelite ga u faze s međuprekretnicama kako biste mogli pratiti napredak i prilagoditi smjer ako je potrebno.
Osigurajte si dovoljno vremena da testirate i provjerite implementirane mjere.
Nema ništa gore nego misliti da ste nešto popravili samo da otkrijete da je još uvijek problem tijekom revizije.
Uračunajte vrijeme za procese odobrenja i potencijalne regulatorne konzultacije – ovi često traju dulje nego što se očekuje.
Razmotrite i koliko dugo bi moglo trajati upravljanje organizacijskim promjenama.
Ljudima treba vremena da se prilagode novim postupcima i tehnologijama.
Ugradite vremensku rezervu za neočekivane izazove.
Gotovo uvijek nešto traje dulje nego što je planirano, pa davanje sebi prostora za manevriranje pomaže osigurati da ćete ispuniti rokove unatoč iznenađenjima.
Budite konkretni o tome tko je odgovoran za svaku aktivnost sanacije.
Dodijelite jasno vlasništvo pojedincima ili timovima kako ne bi bilo zabune oko toga tko što radi.
Osigurajte proračunska sredstva za investicije koje će vam biti potrebne.
Bez financijskih resursa, vaš akcijski plan ostaje teorija umjesto prakse.
Uravnotežite resurse između hitnih potreba usklađenosti i dugoročnih sigurnosnih poboljšanja.
Dok je ispunjavanje rokova usklađenosti hitno, nemojte zanemariti temeljna sigurnosna poboljšanja koja donose dugotrajne koristi.
Uspostavite jasne puteve za eskalaciju problema kada se pojave sukobi resursa ili izazovi implementacije.
Definirajte zahtjeve izvještavanja kako bi odgovorne strane informirale sve tijekom implementacije.
Razmotrite bi li privremeni zaposlenici ili konzultanti mogli pomoći sa specijaliziranim zadacima.
Ponekad je angažiranje dodatnih ruku za specifične aktivnosti učinkovitije nego rastezanje postojećeg tima.
Implementacija i praćenje
Počnite s vašim najvažnijim nedostacima kako biste prvo riješili kritične probleme usklađenosti.
Koordinirajte implementaciju kroz različite odjele kako biste osigurali dosljednost u cijeloj vašoj tvrtki ili organizaciji.
Slijedite postupke upravljanja promjenama kako biste smanjili poremećaje u svakodnevnim aktivnostima.
Dokumentirajte svoje odluke implementacije i sva odobrena odstupanja od izvornog plana – možda ćete trebati objasniti ove izbore kasnije.
Održavajte redovite sastanke o statusu s osobama odgovornim za implementaciju.
Ovo pomaže održati zamah i omogućuje vam da brzo riješite probleme prije nego što poremete vaš napredak.
Nakon što ste riješili svoje nedostatke, trebate sustave koji će osigurati da ostanu riješeni.
Razvijte procese za kontinuirano praćenje usklađenosti nakon vaše početne implementacije.
Gdje je moguće, implementirajte automatizirane kontrole i praćenje kako biste smanjili ručni rad.
Ovo čini trajnu usklađenost održivijom s manje resursa.
Postavite okidače za ponovnu procjenu usklađenosti kada se sustavi ili procesi promijene.
Nove tehnologije ili poslovne promjene mogu stvoriti nove nedostatke ako ne pazite na njih.
Izradite vizualne nadzorne ploče koje pokazuju status usklađenosti u cijeloj vašoj tvrtki.
Ovo olakšava uočavanje problema prije nego što postanu ozbiljni.
Osmislite redovite postupke provjere kako biste osigurali kontinuiranu usklađenost sa zahtjevima NIS2.
Razmotrite integraciju vašeg praćenja NIS2 s vašim širim praćenjem sigurnosnih operacija.
Ova integracija stvara koherentniji sigurnosni program i smanjuje dupliciranje napora.
Uspostavite mjerljive KPI-jeve za svaku aktivnost sanacije i vaš ukupni napredak usklađenosti.
Oni vam daju objektivne načine za praćenje.
Stvorite redovite mehanizme izvještavanja koji pokazuju status usklađenosti i napredak sanacije.
Definirajte pragove koji pokreću dodatne akcije kada KPI-jevi ukazuju na probleme.
Usporedite svoj stvarni napredak s planiranim vremenskim okvirima i prekretnicama.
Jeste li na pravom putu, ili trebate prilagoditi svoj pristup?
Pratite korištenje resursa prema vašim dodijeljenim proračunima kako biste izbjegli prekoračenja troškova.
Pratite metrike odgovora na incidente kako biste vidjeli poboljšavaju li vaše nove mjere stvarno vašu sigurnosnu poziciju.
Ako nemaju očekivani učinak, možda ćete trebati prilagoditi svoj pristup.
Držite svu svoju dokumentaciju vezanu uz usklađenost na jednom središnjem mjestu.
Ovo značajno olakšava pronalaženje onoga što trebate tijekom revizija ili regulatornih pregleda.
Redovito ažurirajte svoje pravilnike, procedure i tehničku dokumentaciju kako bi odgovarali zahtjevima NIS2.
Dokumentirajte svoje procjene rizika, sigurnosne mjere i dokaze o implementaciji.
Vodite evidenciju koja pokazuje odobrenje uprave za mjere upravljanja kibernetičkim rizicima.
Izradite i ažurirajte dokumentaciju za upravljanje incidentima, kontinuitet poslovanja i oporavak od katastrofe kako zahtijeva direktiva.
Ne zaboravite prikupiti dokaze o edukaciji zaposlenika o praksama kibernetičke sigurnosti.
Zapisi o edukaciji često su važan dio dokazivanja usklađenosti revizorima.
Izvještavanje uprave i dionika
Izradite izvršne sažetke koji ističu ključni status usklađenosti i rizike.
Neka budu kratki ali informativni, fokusirajući se na ono što uprava stvarno treba znati.
Prilagodite izvještaje različitim dionicima s odgovarajućim razinama detalja.
Ono što upravi treba razlikuje se od onoga što vaš sigurnosni tim zahtijeva.
Uključite financijske implikacije u svoje izvještavanje upravi.
Ovo pomaže direktorima razumjeti poslovni učinak sigurnosnih mjera i statusa usklađenosti.
Pokažite napredak prema vašem planu sanacije, ističući dostignute prekretnice.
Navedite koje resurse još trebate za preostale aktivnosti kako bi uprava mogla planirati u skladu s tim.
Budite otvoreni o potencijalnim poslovnim učincima ako određeni nedostaci usklađenosti nisu riješeni.
Direktori trebaju razumjeti rizike kako bi donijeli informirane odluke o prioritetima i resursima.
Stvorite pakete dokumentacije spremne za reviziju usklađene sa zahtjevima NIS2.
Kada revizori dođu, želite da sve što bi mogli zatražiti već bude organizirano i dostupno.
Provodite interne revizije usklađenosti kako biste otkrili potencijalne probleme prije regulatornih pregleda.
Uvijek je bolje sami otkriti i popraviti probleme nego da ih revizori ističu.
Pripremite ključno osoblje za potencijalne razgovore s revizorima ili regulatorima.
Pobrinite se da razumiju što bi moglo biti pitano i kako točno odgovoriti.
Dokumentirajte sve aktivnosti sanacije i sve svjesne odluke o prihvaćanju rizika.
Ako ste odlučili ne rješavati određene nedostatke, trebate objasniti svoje razloge.
Vodite evidenciju o vašim naporima kontinuiranog praćenja i poboljšanja.
Ovo pokazuje revizorima da aktivno upravljate usklađenošću, a ne samo reagirate na probleme.
Imajte spreman postupak za rješavanje i dokumentiranje svih nalaza koji se pojave tijekom revizija ili regulatornih pregleda.
Spremnost na to kako ćete rješavati probleme pomaže vam učinkovitije odgovoriti na njih.
Upute: Odgovorite na svako pitanje odabirom opcije koja najbolje predstavlja trenutačni status implementacije vaše organizacije.
Ova procjena pomoći će odrediti vašu razinu spremnosti za usklađenost s NIS2.
Opcije statusa implementacije:
Nije implementirano: Ne postoje procesi ili kontrole, ili su u ranim fazama planiranja
Djelomično implementirano: Procesi ili kontrole postoje, ali nisu potpuno operativni ili dokumentirani
Potpuno implementirano: Procesi ili kontrole su potpuno implementirani, dokumentirani i redovito pregledavani
Odgovornost i upravljanje
1. Je li vaše upravljačko tijelo formalno odobrilo mjere upravljanja rizicima kibernetičke sigurnosti?
o Nije implementirano
o Djelomično implementirano
o Potpuno implementirano
2. Nadzire li vaše upravljačko tijelo aktivno implementaciju mjera upravljanja rizicima kibernetičke sigurnosti?
o Nije implementirano
o Djelomično implementirano
o Potpuno implementirano
3. Jesu li članovi upravljačkog tijela završili edukaciju o kibernetičkoj sigurnosti, i jesu li slični programi edukacije dostupni zaposlenicima?
o Nije implementirano
o Djelomično implementirano
o Potpuno implementirano
Okvir za upravljanje rizicima
4. Je li vaša organizacija implementirala proporcionalne tehničke, operativne i organizacijske mjere za upravljanje rizicima kibernetičke sigurnosti?
o Nije implementirano
o Djelomično implementirano
o Potpuno implementirano
5. Imate li dokumentirane pravilnike za analizu i procjenu rizika?
o Nije implementirano
o Djelomično implementirano
o Potpuno implementirano
6. Imate li formalne pravilnike za sigurnost informacijskih sustava?
o Nije implementirano
o Djelomično implementirano
o Potpuno implementirano
7. Ima li vaša organizacija proces za evaluaciju učinkovitosti mjera kibernetičke sigurnosti?
o Nije implementirano
o Djelomično implementirano
o Potpuno implementirano
Upravljanje incidentima
8. Imate li dokumentirane procedure za rukovanje incidentima kibernetičke sigurnosti?
o Nije implementirano
o Djelomično implementirano
o Potpuno implementirano
9. Imate li uspostavljene protokole za obavještavanje relevantnih vlasti o značajnim incidentima kibernetičke sigurnosti?
o Nije implementirano
o Djelomično implementirano
o Potpuno implementirano
10. Ima li vaša organizacija procedure za obavještavanje primatelja usluga o incidentima koji bi mogli utjecati na njih?
o Nije implementirano
o Djelomično implementirano
o Potpuno implementirano
Kontinuitet poslovanja i oporavak
11. Imate li dokumentirane planove kontinuiteta poslovanja koji adresiraju incidente kibernetičke sigurnosti?
o Nije implementirano
o Djelomično implementirano
o Potpuno implementirano
12. Je li vaša organizacija implementirala procedure upravljanja sigurnosnim kopijama?
o Nije implementirano
o Djelomično implementirano
o Potpuno implementirano
13. Imate li dokumentirane planove oporavka od katastrofe i upravljanja krizom?
o Nije implementirano
o Djelomično implementirano
o Potpuno implementirano
Sigurnost lanca opskrbe
14. Imate li procedure za procjenu i upravljanje sigurnosnim rizicima od dobavljača i pružatelja usluga?
o Nije implementirano
o Djelomično implementirano
o Potpuno implementirano
15. Provodite li sigurnosne procjene praksi kibernetičke sigurnosti ključnih dobavljača?
o Nije implementirano
o Djelomično implementirano
o Potpuno implementirano
Tehničke sigurnosne kontrole
16. Je li vaša organizacija implementirala osnovne prakse kibernetičke higijene na svim sustavima?
o Nije implementirano
o Djelomično implementirano
o Potpuno implementirano
17. Koristite li višefaktorsku autentifikaciju ili rješenja za kontinuiranu autentifikaciju?
o Nije implementirano
o Djelomično implementirano
o Potpuno implementirano
18. Jeste li implementirali enkripciju i sigurnu komunikaciju za osjetljive podatke?
o Nije implementirano
o Djelomično implementirano
o Potpuno implementirano
19. Imate li formalne pravilnike za kontrolu pristupa i procedure upravljanja imovinom?
o Nije implementirano
o Djelomično implementirano
o Potpuno implementirano
20. Imate li sigurne sustave komunikacije u hitnim slučajevima unutar vaše organizacije?
o Nije implementirano
o Djelomično implementirano
o Potpuno implementirano
Metoda bodovanja:
Nije implementirano = 0 bodova
Djelomično implementirano = 1 bod
Potpuno implementirano = 2 boda
Ukupni mogući bodovi: 40 bodova
Razina | Raspon bodova | Status spremnosti | Opis |
1 | 0-8 | Rano planiranje | Vaša tvrtka je tek na početku puta prema usklađenosti s NIS2. Potrebno je značajno unapređenje u svim područjima kako bi se ispunili zahtjevi direktive. Hitno djelovanje je nužno za uspostavu osnovnih sigurnosnih kontrola prije početka provjera usklađenosti 2026. |
2 | 9-16 | Izgradnja temelja | Osnovni elementi kibernetičke sigurnosti postoje, ali značajni nedostaci ostaju u upravljanju, upravljanju rizicima i tehničkim kontrolama. Fokusirajte se na razvoj formalnih pravilnika i uspostavu nadzora uprave za napredak u usklađenosti. |
3 | 17-24 | Razvoj usklađenosti | Vaša tvrtka je implementirala mnoge potrebne elemente, ali nedostaje potpuna dokumentacija ili cjelovita implementacija. Postavite prioritete nepotpunim područjima i uspostavite sustave praćenja napretka prema potpunoj usklađenosti. |
4 | 25-32 | Napredna implementacija | Većina zahtjeva NIS2 je implementirana s odgovarajućom dokumentacijom. Fokusirajte se na poboljšanje postojećih kontrola, provođenje redovitih procjena i osiguranje dosljedne primjene u cijeloj organizaciji. |
5 | 33-40 | Optimizirana usklađenost | Vaša tvrtka demonstrira sveobuhvatnu usklađenost s NIS2 s potpunom implementacijom potrebnih kontrola. Održavajte ovaj status kroz kontinuirano poboljšanje, redovito testiranje i prilagodbu na promjene u prijetnjama i regulativi. |
Napomena: Ova procjena daje općeniti pregled vaše spremnosti za NIS2, a ne konačnu potvrdu usklađenosti. Čak i visoki rezultati (33-40) pokazuju dobru pripremu, ali ne jamče potpunu regulatornu usklađenost. Upitnik pokriva ključna područja, ali nije sveobuhvatan i ne mjeri kvalitetu implementacije. Tvrtke bi trebale provesti detaljnu analizu svih zahtjeva NIS2 i održavati proces kontinuiranog praćenja. Konačnu usklađenost utvrđuju nadležna regulatorna tijela.
Osjećate li se preopterećeni složenošću usklađenosti s NIS2? Niste jedini.
Detaljan proces analize nedostataka, tehnički zahtjevi i predstojeće provjere usklađenosti 2026. mogu biti zastrašujući – posebno s potencijalom za velike novčane kazne i osobnu odgovornost za upravu.
Zašto se mučiti s ovim izazovima sami kad Vam Gauss može pomoći?
Naša stručna usluga usklađivanja s NIS2 uklanja nagađanje iz procesa.
Vodit ćemo Vas kroz svaki korak analize nedostataka, pomoći Vam postaviti prioritete u vašim naporima sanacije i osigurati da Vaša dokumentacija zadovoljava regulatorne standarde.
Naš tim stručnjaka za kibernetičku sigurnost razumije i tehničke i regulatorne aspekte NIS2, omogućujući Vam da se usredotočite na ono u čemu ste najbolji – vođenje svog poslovanja.
Kontaktirajte nas danas da razgovaramo kako možemo pojednostaviti Vaš put prema usklađenosti s NIS2.