Početna Blog Kako Napraviti ...

Kako Napraviti Analizu Nedostataka za NIS2 Usklađenost: Vodič Korak po Korak

Cybersecurity 27 Aug, 2025 / Cybersecurity
Tomislav Horvat

Autor:

Tomislav Horvat

Ključne točke o analizi nedostataka za NIS2 usklađenost

  • Analiza nedostataka za NIS2 pomaže otkriti propuste u usklađenosti i štiti vašu tvrtku od mogućih kazni do 10 milijuna eura ili 2% globalnog prometa, istovremeno jačajući vašu sigurnosnu poziciju.

  • Utvrdite spada li vaša tvrtka u opseg NIS2 na temelju veličine i sektora, zatim okupite međusektorski tim koji uključuje IT sigurnost, pravnu službu, upravljanje rizicima i predstavnike ključnih odjela.

  • Sustavno procijenite svoje trenutne sigurnosne kontrole prema zahtjevima NIS2, dokumentirajte nedostatke i odredite im prioritete prema izloženosti riziku, složenosti provedbe i dostupnim resursima.

  • Razvijte cjeloviti plan sanacije s jasno definiranim odgovornostima, realnim rokovima i mjerljivim ciljevima, imajući na umu da provjere usklađenosti počinju 2026. godine.

  • Uspostavite sustave za stalno praćenje i vodite detaljnu dokumentaciju svih aktivnosti usklađenosti, pripremajući pakete za reviziju koji dokazuju vašu predanost zahtjevima NIS2.

Što je analiza nedostataka za NIS2 i zašto je važna

Analizu nedostataka za NIS2 možete zamisliti kao sistematski pregled sigurnosnih mjera vaše tvrtke ili organizacije. 

Pomaže vam uočiti razlike između onoga što trenutno radite i onoga što zahtijeva NIS2 direktiva.

Vrijeme curi za početak usklađivanja s NIS2. 

Iako se provjere usklađenosti očekuju tek 2026. godine (ovisno o implementaciji u pojedinoj državi članici), priprema vaših sustava i procesa zahtijeva dosta vremena i pomno planiranje. 

Rizici su prilično visoki. 

Ako se ne uskladite, vaša tvrtka mogla bi se suočiti s ozbiljnim kaznama. 

Ključni subjekti mogu dobiti kazne do 10 milijuna eura ili 2% globalnog prometa, dok važni subjekti mogu dobiti kazne do 7 milijuna eura ili 1,4% prometa.

Posebno zabrinjavajući aspekt za mnoge tvrtke je osobna odgovornost

Viši menadžment i članovi uprave mogu snositi osobne kazne ili čak kaznenu odgovornost zbog neusklađenosti. 

U nekim slučajevima, mogli biste biti čak i privremeno udaljeni s upravljačke pozicije ako dođe do ozbiljnih propusta.

Osim izbjegavanja kazni, ova analiza pomaže ojačati vašu obranu od kibernetičkih napada koji postaju sve sofisticiraniji iz dana u dan.

Pripremna faza: postavljanje temelja

Utvrđivanje spada li vaša tvrtka u opseg NIS2

Idemo odmah prijeći na stvar – NIS2 obuhvaća puno širi spektar subjekata od svog prethodnika, i trebate znati jeste li obuhvaćeni.

NIS2 se primjenjuje na organizacije u dvije glavne kategorije: "ključni subjekti" i "važni subjekti". 

Direktiva posebno obuhvaća srednja i velika poduzeća u određenim sektorima, prema jasno definiranim pragovima veličine:

  • Srednji subjekti: organizacije s 50-249 zaposlenika i godišnjim prometom većim od 10 milijuna eura ili bilancom većom od 10 milijuna eura

  • Veliki subjekti: organizacije s 250+ zaposlenika ili godišnjim prometom većim od 50 milijuna eura ili bilancom većom od 43 milijuna eura

Ako ste ključni subjekt u nekom od ovih sektora, NIS2 se odnosi na Vas:

  • Energetika (struja, nafta, plin, grijanje/hlađenje)

  • Promet (zračni, željeznički, vodeni, cestovni)

  • Bankarstvo i financijska tržišta

  • Zdravstvo (uključujući bolnice, laboratorije, farmaceutsku proizvodnju)

  • Pitka voda i otpadne vode

  • Digitalna infrastruktura (internet čvorišta, DNS pružatelji, registri domena, usluge u oblaku, podatkovni centri, mreže za isporuku sadržaja, usluge povjerenja)

  • Javna uprava (središnja i regionalna vlast)

  • Svemir

Važni subjekti uključuju poslovanje u:

  • Poštanske i kurirske usluge

  • Gospodarenje otpadom

  • Proizvodnja kemikalija

  • Proizvodnja hrane

  • Proizvodnja (medicinski uređaji, elektronika, strojevi, vozila)

  • Digitalni pružatelji (internetske trgovine, tražilice, društvene mreže)

Direktiva također predviđa određena izuzeća. 

Primjerice, subjekti u obrani, nacionalnoj sigurnosti, javnoj sigurnosti, provedbi zakona, pravosuđu, parlamentima i središnjim bankama obično su isključeni iz opsega.

Ako niste sigurni spada li vaša tvrtka u opseg, posavjetujte se s pravnim stručnjacima koji poznaju implementaciju NIS2 u vašoj državi članici EU, jer mogu postojati manje razlike u nacionalnim provedbama.

Sastavljanje pravog međusektorskog tima

Ne možete se baviti usklađenošću s NIS2 iz samo jednog odjela. 

Trebat će vam raznolik tim koji donosi različite perspektive.

Počnite s očitim sudionicima – IT sigurnosnim stručnjacima koji razumiju tehničke zahtjeve i pravnim timom koji poznaje regulatorne okvire. 

Ali nemojte stati na tome. 

Uključite predstavnike ključnih odjela na koje će promjene utjecati. 

Odjel za upravljanje rizicima svakako bi trebao biti uključen.

Uključenost višeg menadžmenta ključna je jer trebaju razumjeti što je u igri i imaju ovlasti za odobravanje resursa i donošenje odluka. 

Ponekad pomaže i vanjski pogled, pa razmislite o angažiranju vanjskih konzultanata s iskustvom u NIS2 ako vaše interno znanje ima praznine.

Ne zaboravite imenovati nekoga za voditelja projekta – osobu koja će sve držati na pravom putu. 

Budite realni oko vremenskih obveza

Članovi vašeg tima trebaju dovoljno vremena da posvete ovom projektu pažnju koju zaslužuje. 

Ovo nije nešto što mogu raditi usput uz redovne zadatke.

Postavljanje jasnih ciljeva i kriterija uspjeha

Prije nego krenete u analizu, odvojite vrijeme da definirate kako izgleda uspjeh. 

Što točno želite postići? 

Vaši ciljevi trebali bi se uklopiti u vašu širu strategiju usklađenosti i poslovne ciljeve.

Stvorite mjerljive ciljeve za vašu analizu nedostataka – možda je to procjena određenog postotka zahtjeva ili postizanje specifične razine detalja u vašim nalazima. 

Vodite računa o vremenu. 

S provjerama usklađenosti koje se očekuju 2026. godine, vaš vremenski plan mora biti realističan, ali treba uzeti u obzir da temeljita priprema zahtijeva vrijeme.

Budite potpuno jasni što spada u opseg vaše procjene. 

Koje ćete sustave, procese i podatke evaluirati? Kako će izgledati konačni rezultati? 

Razmislite o formatima dokumentacije, strukturama izvještavanja i predlošcima akcijskih planova.

I još nešto – pobrinite se da je vaša uprava na istoj stranici i spremna odvojiti resurse. 

Bez podrške vodstva, mogli biste ostati bez vremena, ljudi ili novca za pravilno provođenje procesa.

Faza procjene: srž analize nedostataka za NIS2

Mapiranje trenutnih sigurnosnih kontrola prema zahtjevima NIS2

Vrijeme je da zasučete rukave i napravite inventuru vaših trenutnih sigurnosnih mjera. 

Počnite dokumentiranjem onoga što već imate i napravite potpuni popis svih mrežnih i informacijskih sustava u opsegu.

Strukturirani pristup ovdje pomaže. 

Mnoge organizacije koriste jednostavni sustav ocjenjivanja – poput ljestvice od 3-5 stupnjeva od "Nije implementirano" do "Optimizirano" – za procjenu trenutnog stanja prema svakom zahtjevu. 

Ovo vam daje jasnu sliku gdje stojite.

Pregledajte svu postojeću dokumentaciju – sigurnosne pravilnike, planove odgovora na incidente, procjene rizika, sve. 

Pogledajte certifikate koje već imate, poput ISO 27001. 

Oni možda već ispunjavaju neke zahtjeve NIS2, štedeći vam vrijeme i trud.

Ne zanemarite prethodne sigurnosne procjene i nalaze revizija. 

Često postoje vrijedne informacije zakopane u tim izvještajima koje mogu pomoći vašoj trenutnoj analizi.

Procjena odgovornosti upravljačkog tijela

NIS2 stavlja specifične odgovornosti na leđa uprave. 

Je li vaša uprava službeno odobrila mjere upravljanja kibernetičkim rizicima kako zahtijeva članak 20? Imate li uspostavljene mehanizme za nadzor implementacije od strane uprave?

Provjerite je li vaš upravljački tim prošao obuku o kibernetičkoj sigurnosti. NIS2 to zahtijeva, zajedno sa sličnom obukom za zaposlenike. 

Imate li dokumentaciju koja pokazuje uključenost uprave u odluke o kibernetičkoj sigurnosti? Postoje li redoviti procesi izvještavanja koji ih informiraju?

Pobrinite se da vaši direktori razumiju da bi mogli biti osobno odgovorni za propuste u usklađenosti. 

Ništa ne fokusira pažnju kao saznanje da je vlastita koža u igri.

Procjena okvira za upravljanje rizicima

Dobro pregledajte svoje pravilnike i procedure za analizu rizika. 

Odgovaraju li onome što NIS2 zahtijeva? 

Vaši sigurnosni pravilnici za informacijske sustave trebali bi biti sveobuhvatni i stvarno funkcionirati u praksi, a ne samo postojati na papiru.

Ispitajte kako procjenjujete učinkovitost svojih mjera kibernetičke sigurnosti. 

Postoji li formalni proces, ili je više ad hoc? 

Provjerite primjenjuju li se osnovne higijenske mjere kibernetičke sigurnosti dosljedno u cijeloj vašoj tvrtki – ovi temelji često su okosnica dobre sigurnosti.

Provjerite koristite li višefaktorsku autentifikaciju ili rješenja za kontinuiranu autentifikaciju gdje je to potrebno. 

regledajte svoje pravilnike za kontrolu pristupa, kako se bavite sigurnošću u HR procesima i svoje prakse upravljanja imovinom. 

Ovo su sve područja koja NIS2 posebno adresira.

Pregled sposobnosti odgovora na incidente

Kada je riječ o odgovoru na incidente, NIS2 ima jasna očekivanja. 

Procijenite svoje procedure za rukovanje incidentima prema tim zahtjevima.

Imate li jasno dokumentirani proces za odgovor i prijavu incidenata kibernetičke sigurnosti?

Provjerite svoje postupke obavještavanja za upozoravanje CSIRT-ova (Timova za odgovor na računalne sigurnosne incidente) ili nadležnih tijela kada nešto pođe po zlu. 

Imate li proces za obavještavanje korisnika vaših usluga ako bi incident mogao utjecati na njih?

Pogledajte svoju dokumentaciju za rana upozorenja, obavijesti o incidentima, ažuriranja statusa i završna izvješća. 

NIS2 zahtijeva završna izvješća o incidentima unutar mjesec dana – je li vaš vremenski okvir u skladu s tim?

Ne zaboravite procijeniti svoje sustave za hitnu komunikaciju

Ako dođe do incidenta, mogu li ljudi unutar vaše organizacije sigurno komunicirati?

Analiza sigurnosnih mjera lanca opskrbe

Ranjivosti lanca opskrbe postale su glavna točka napada, a NIS2 to prepoznaje. 

Kako upravljate sigurnošću u svojim odnosima s dobavljačima i pružateljima usluga? Procjenjujete li njihove prakse kibernetičke sigurnosti prije potpisivanja ugovora?

Pregledajte svoje sigurnosne mjere za nabavu, razvoj i održavanje sustava. 

Uzimate li u obzir specifične ranjivosti svakog dobavljača?

Pregledajte kako procjenjujete njihove postupke sigurnog razvoja i ukupne prakse kibernetičke sigurnosti.

Provjerite sadrže li vaši ugovori sigurnosne zahtjeve i kako pratite usklađenost dobavljača s tim zahtjevima. 

Lanac je jak koliko i njegova najslabija karika, a u kibernetičkoj sigurnosti ta slaba karika često je u lancu opskrbe.

Identifikacija nedostataka i određivanje prioriteta

Dokumentiranje nedostataka u usklađenosti koristeći okvire procjene

Sada kada ste završili procjenu, vrijeme je da dokumentirate gdje vaše trenutne prakse ne ispunjavaju zahtjeve NIS2. 

Korištenje strukturiranih predložaka pomaže organizirati ove informacije jasno.

Primijenite svoj okvir procjene (poput ljestvice od 5 stupnjeva spomenute ranije) da kvantificirate ozbiljnost svakog nedostatka. 

Vizualni alati poput toplinske mape ili nadzornih ploča mogu pomoći u predstavljanju statusa dionicima koji možda ne žele prolaziti kroz detaljne izvještaje.

Za svaki nedostatak, zabilježite specifične članke i stavke NIS2 koje se primjenjuju. 

Ovo olakšava rješavanje nedostataka. 

Dokumentirajte dokaze koji potkrepljuju vaše nalaze kako biste mogli opravdati svoju procjenu ako bude potrebno.

Sve ovo objedinite u sveobuhvatan izvještaj o analizi nedostataka

Ovo svima daje jasnu sliku gdje stojite i što treba popraviti.

Određivanje prioriteta nedostataka prema izloženosti riziku i utjecaju

Nisu svi nedostaci jednako važni. 

Neki su hitniji od drugih, stoga ih kategorizirajte prema ozbiljnosti i potencijalnom utjecaju na vaše poslovanje i status usklađenosti.

Kad odlučujete što prvo riješiti, razmotrite koliko je vjerojatno da će ranjivost biti iskorištena i što bi se moglo dogoditi ako bude. 

Razmislite o potencijalnim društvenim i ekonomskim utjecajima kako je navedeno u članku 21 NIS2.

Potražite brze pobjede – nedostatke koje možete riješiti relativno brzo s minimalnim resursima. 

Ovi rani uspjesi stvaraju zamah i pokazuju napredak dionicima.

Nedostaci vezani uz izvještavanje o incidentima i odgovornosti uprave često trebaju visoki prioritet jer izravno utječu na usklađenost. 

Također razmotrite međuovisnosti – ponekad rješavanje jednog problema pomaže riješiti nekoliko drugih, čineći ga učinkovitijim mjestom za početak.

Određivanje potrebnih resursa za sanaciju

Za svaki nedostatak, procijenite što će vam trebati da ga riješite. 

To znači razmišljanje o novcu, ljudima, tehnologiji i vremenu.

Razmotrite trebate li nove uloge ili odgovornosti za rješavanje određenih nedostataka. 

Neki problemi mogli bi zahtijevati specijalističko znanje koje trenutno nemate u kući.

Budite realni oko vremenskih rokova

Složeni problemi mogli bi trebati mjesece da se pravilno riješe, dok bi se jednostavniji popravci mogli implementirati u danima ili tjednima.

Razmislite kako bi aktivnosti sanacije mogle utjecati na vaše poslovanje. 

Hoće li rješavanje određenih problema zahtijevati zastoj u radu ili promjene u načinu rada ljudi? 

Ovi faktori utječu i na vaš pristup i na vremenski okvir za rješavanje nedostataka.

Akcijski plan: premošćivanje nedostataka

Razvoj sveobuhvatnog plana sanacije

S identificiranim nedostacima i postavljenim prioritetima, vrijeme je da stvorite detaljan akcijski plan

Navedite konkretne korake za rješavanje svakog nedostatka, povezujući svaku akciju izravno s relevantnim zahtjevima NIS2.

Uključite jasne, mjerljive ciljeve kako biste znali kada ste uspješno riješili problem. 

Definirajte točno koje rezultate očekujete od svake stavke plana.

Mapirajte međuovisnosti između različitih akcija. 

Neke stvari trebaju se dogoditi određenim redoslijedom. 

Uskladite svoj plan s vašom širom strategijom kibernetičke sigurnosti kako biste izbjegli dupliciranje napora ili implementaciju proturječnih mjera.

Postavljanje realističnih vremenskih okvira i prekretnica

Stvorite vremenski plan temeljen na konkretnim nacionalnim rokovima implementacije i provjerama usklađenosti. 

Podijelite ga u faze s međuprekretnicama kako biste mogli pratiti napredak i prilagoditi smjer ako je potrebno.

Osigurajte si dovoljno vremena da testirate i provjerite implementirane mjere. 

Nema ništa gore nego misliti da ste nešto popravili samo da otkrijete da je još uvijek problem tijekom revizije.

Uračunajte vrijeme za procese odobrenja i potencijalne regulatorne konzultacije – ovi često traju dulje nego što se očekuje. 

Razmotrite i koliko dugo bi moglo trajati upravljanje organizacijskim promjenama. 

Ljudima treba vremena da se prilagode novim postupcima i tehnologijama.

Ugradite vremensku rezervu za neočekivane izazove. 

Gotovo uvijek nešto traje dulje nego što je planirano, pa davanje sebi prostora za manevriranje pomaže osigurati da ćete ispuniti rokove unatoč iznenađenjima.

Raspodjela resursa i odgovornosti

Budite konkretni o tome tko je odgovoran za svaku aktivnost sanacije. 

Dodijelite jasno vlasništvo pojedincima ili timovima kako ne bi bilo zabune oko toga tko što radi.

Osigurajte proračunska sredstva za investicije koje će vam biti potrebne. 

Bez financijskih resursa, vaš akcijski plan ostaje teorija umjesto prakse.

Uravnotežite resurse između hitnih potreba usklađenosti i dugoročnih sigurnosnih poboljšanja. 

Dok je ispunjavanje rokova usklađenosti hitno, nemojte zanemariti temeljna sigurnosna poboljšanja koja donose dugotrajne koristi.

Uspostavite jasne puteve za eskalaciju problema kada se pojave sukobi resursa ili izazovi implementacije. 

Definirajte zahtjeve izvještavanja kako bi odgovorne strane informirale sve tijekom implementacije.

Razmotrite bi li privremeni zaposlenici ili konzultanti mogli pomoći sa specijaliziranim zadacima. 

Ponekad je angažiranje dodatnih ruku za specifične aktivnosti učinkovitije nego rastezanje postojećeg tima.

Implementacija i praćenje

Provođenje akcijskog plana s faznim pristupom

Počnite s vašim najvažnijim nedostacima kako biste prvo riješili kritične probleme usklađenosti. 

Koordinirajte implementaciju kroz različite odjele kako biste osigurali dosljednost u cijeloj vašoj tvrtki ili organizaciji.

Slijedite postupke upravljanja promjenama kako biste smanjili poremećaje u svakodnevnim aktivnostima. 

Dokumentirajte svoje odluke implementacije i sva odobrena odstupanja od izvornog plana – možda ćete trebati objasniti ove izbore kasnije.

Održavajte redovite sastanke o statusu s osobama odgovornim za implementaciju. 

Ovo pomaže održati zamah i omogućuje vam da brzo riješite probleme prije nego što poremete vaš napredak.

Uspostavljanje mehanizama kontinuiranog praćenja

Nakon što ste riješili svoje nedostatke, trebate sustave koji će osigurati da ostanu riješeni. 

Razvijte procese za kontinuirano praćenje usklađenosti nakon vaše početne implementacije.

Gdje je moguće, implementirajte automatizirane kontrole i praćenje kako biste smanjili ručni rad. 

Ovo čini trajnu usklađenost održivijom s manje resursa.

Postavite okidače za ponovnu procjenu usklađenosti kada se sustavi ili procesi promijene. 

Nove tehnologije ili poslovne promjene mogu stvoriti nove nedostatke ako ne pazite na njih.

Izradite vizualne nadzorne ploče koje pokazuju status usklađenosti u cijeloj vašoj tvrtki. 

Ovo olakšava uočavanje problema prije nego što postanu ozbiljni. 

Osmislite redovite postupke provjere kako biste osigurali kontinuiranu usklađenost sa zahtjevima NIS2.

Razmotrite integraciju vašeg praćenja NIS2 s vašim širim praćenjem sigurnosnih operacija. 

Ova integracija stvara koherentniji sigurnosni program i smanjuje dupliciranje napora.

Praćenje napretka pomoću ključnih pokazatelja uspješnosti

Uspostavite mjerljive KPI-jeve za svaku aktivnost sanacije i vaš ukupni napredak usklađenosti. 

Oni vam daju objektivne načine za praćenje.

Stvorite redovite mehanizme izvještavanja koji pokazuju status usklađenosti i napredak sanacije. 

Definirajte pragove koji pokreću dodatne akcije kada KPI-jevi ukazuju na probleme.

Usporedite svoj stvarni napredak s planiranim vremenskim okvirima i prekretnicama. 

Jeste li na pravom putu, ili trebate prilagoditi svoj pristup? 

Pratite korištenje resursa prema vašim dodijeljenim proračunima kako biste izbjegli prekoračenja troškova.

Pratite metrike odgovora na incidente kako biste vidjeli poboljšavaju li vaše nove mjere stvarno vašu sigurnosnu poziciju. 

Ako nemaju očekivani učinak, možda ćete trebati prilagoditi svoj pristup.

Dokumentacija i izvještavanje

Stvaranje dokumentacije o usklađenosti

Držite svu svoju dokumentaciju vezanu uz usklađenost na jednom središnjem mjestu

Ovo značajno olakšava pronalaženje onoga što trebate tijekom revizija ili regulatornih pregleda.

Redovito ažurirajte svoje pravilnike, procedure i tehničku dokumentaciju kako bi odgovarali zahtjevima NIS2. 

Dokumentirajte svoje procjene rizika, sigurnosne mjere i dokaze o implementaciji.

Vodite evidenciju koja pokazuje odobrenje uprave za mjere upravljanja kibernetičkim rizicima. 

Izradite i ažurirajte dokumentaciju za upravljanje incidentima, kontinuitet poslovanja i oporavak od katastrofe kako zahtijeva direktiva.

Ne zaboravite prikupiti dokaze o edukaciji zaposlenika o praksama kibernetičke sigurnosti. 

Zapisi o edukaciji često su važan dio dokazivanja usklađenosti revizorima.

Izvještavanje uprave i dionika

Izradite izvršne sažetke koji ističu ključni status usklađenosti i rizike. 

Neka budu kratki ali informativni, fokusirajući se na ono što uprava stvarno treba znati.

Prilagodite izvještaje različitim dionicima s odgovarajućim razinama detalja

Ono što upravi treba razlikuje se od onoga što vaš sigurnosni tim zahtijeva.

Uključite financijske implikacije u svoje izvještavanje upravi. 

Ovo pomaže direktorima razumjeti poslovni učinak sigurnosnih mjera i statusa usklađenosti.

Pokažite napredak prema vašem planu sanacije, ističući dostignute prekretnice

Navedite koje resurse još trebate za preostale aktivnosti kako bi uprava mogla planirati u skladu s tim.

Budite otvoreni o potencijalnim poslovnim učincima ako određeni nedostaci usklađenosti nisu riješeni. 

Direktori trebaju razumjeti rizike kako bi donijeli informirane odluke o prioritetima i resursima.

Priprema za revizije i regulatorne preglede

Stvorite pakete dokumentacije spremne za reviziju usklađene sa zahtjevima NIS2. 

Kada revizori dođu, želite da sve što bi mogli zatražiti već bude organizirano i dostupno.

Provodite interne revizije usklađenosti kako biste otkrili potencijalne probleme prije regulatornih pregleda. 

Uvijek je bolje sami otkriti i popraviti probleme nego da ih revizori ističu.

Pripremite ključno osoblje za potencijalne razgovore s revizorima ili regulatorima.

Pobrinite se da razumiju što bi moglo biti pitano i kako točno odgovoriti.

Dokumentirajte sve aktivnosti sanacije i sve svjesne odluke o prihvaćanju rizika

Ako ste odlučili ne rješavati određene nedostatke, trebate objasniti svoje razloge.

Vodite evidenciju o vašim naporima kontinuiranog praćenja i poboljšanja.

Ovo pokazuje revizorima da aktivno upravljate usklađenošću, a ne samo reagirate na probleme.

Imajte spreman postupak za rješavanje i dokumentiranje svih nalaza koji se pojave tijekom revizija ili regulatornih pregleda. 

Spremnost na to kako ćete rješavati probleme pomaže vam učinkovitije odgovoriti na njih.

Upitnik za samoprocjenu NIS2

Alat za procjenu spremnosti za NIS2

Upute: Odgovorite na svako pitanje odabirom opcije koja najbolje predstavlja trenutačni status implementacije vaše organizacije. 

Ova procjena pomoći će odrediti vašu razinu spremnosti za usklađenost s NIS2.

Opcije statusa implementacije:

  • Nije implementirano: Ne postoje procesi ili kontrole, ili su u ranim fazama planiranja

  • Djelomično implementirano: Procesi ili kontrole postoje, ali nisu potpuno operativni ili dokumentirani

  • Potpuno implementirano: Procesi ili kontrole su potpuno implementirani, dokumentirani i redovito pregledavani

Odgovornost i upravljanje

1.      Je li vaše upravljačko tijelo formalno odobrilo mjere upravljanja rizicima kibernetičke sigurnosti?

o   Nije implementirano

o   Djelomično implementirano

o   Potpuno implementirano

2.      Nadzire li vaše upravljačko tijelo aktivno implementaciju mjera upravljanja rizicima kibernetičke sigurnosti?

o   Nije implementirano

o   Djelomično implementirano

o   Potpuno implementirano

3.      Jesu li članovi upravljačkog tijela završili edukaciju o kibernetičkoj sigurnosti, i jesu li slični programi edukacije dostupni zaposlenicima?

o   Nije implementirano

o   Djelomično implementirano

o   Potpuno implementirano

Okvir za upravljanje rizicima

4.      Je li vaša organizacija implementirala proporcionalne tehničke, operativne i organizacijske mjere za upravljanje rizicima kibernetičke sigurnosti?

o   Nije implementirano

o   Djelomično implementirano

o   Potpuno implementirano

5.      Imate li dokumentirane pravilnike za analizu i procjenu rizika?

o   Nije implementirano

o   Djelomično implementirano

o   Potpuno implementirano

6.      Imate li formalne pravilnike za sigurnost informacijskih sustava?

o   Nije implementirano

o   Djelomično implementirano

o   Potpuno implementirano

7.      Ima li vaša organizacija proces za evaluaciju učinkovitosti mjera kibernetičke sigurnosti?

o   Nije implementirano

o   Djelomično implementirano

o   Potpuno implementirano

Upravljanje incidentima

8.      Imate li dokumentirane procedure za rukovanje incidentima kibernetičke sigurnosti?

o   Nije implementirano

o   Djelomično implementirano

o   Potpuno implementirano

9.      Imate li uspostavljene protokole za obavještavanje relevantnih vlasti o značajnim incidentima kibernetičke sigurnosti?

o   Nije implementirano

o   Djelomično implementirano

o   Potpuno implementirano

10.  Ima li vaša organizacija procedure za obavještavanje primatelja usluga o incidentima koji bi mogli utjecati na njih?

o   Nije implementirano

o   Djelomično implementirano

o   Potpuno implementirano

Kontinuitet poslovanja i oporavak

11.  Imate li dokumentirane planove kontinuiteta poslovanja koji adresiraju incidente kibernetičke sigurnosti?

o   Nije implementirano

o   Djelomično implementirano

o   Potpuno implementirano

12.  Je li vaša organizacija implementirala procedure upravljanja sigurnosnim kopijama?

o   Nije implementirano

o   Djelomično implementirano

o   Potpuno implementirano

13.  Imate li dokumentirane planove oporavka od katastrofe i upravljanja krizom?

o   Nije implementirano

o   Djelomično implementirano

o   Potpuno implementirano

Sigurnost lanca opskrbe

14.  Imate li procedure za procjenu i upravljanje sigurnosnim rizicima od dobavljača i pružatelja usluga?

o   Nije implementirano

o   Djelomično implementirano

o   Potpuno implementirano

15.  Provodite li sigurnosne procjene praksi kibernetičke sigurnosti ključnih dobavljača?

o   Nije implementirano

o   Djelomično implementirano

o   Potpuno implementirano

Tehničke sigurnosne kontrole

16.  Je li vaša organizacija implementirala osnovne prakse kibernetičke higijene na svim sustavima?

o   Nije implementirano

o   Djelomično implementirano

o   Potpuno implementirano

17.  Koristite li višefaktorsku autentifikaciju ili rješenja za kontinuiranu autentifikaciju?

o   Nije implementirano

o   Djelomično implementirano

o   Potpuno implementirano

18.  Jeste li implementirali enkripciju i sigurnu komunikaciju za osjetljive podatke?

o   Nije implementirano

o   Djelomično implementirano

o   Potpuno implementirano

19.  Imate li formalne pravilnike za kontrolu pristupa i procedure upravljanja imovinom?

o   Nije implementirano

o   Djelomično implementirano

o   Potpuno implementirano

20.  Imate li sigurne sustave komunikacije u hitnim slučajevima unutar vaše organizacije?

o   Nije implementirano

o   Djelomično implementirano

o   Potpuno implementirano

Bodovanje i razine spremnosti za usklađenost

Metoda bodovanja:

  • Nije implementirano = 0 bodova

  • Djelomično implementirano = 1 bod

  • Potpuno implementirano = 2 boda

Ukupni mogući bodovi: 40 bodova

Razine spremnosti za usklađenost s NIS2

Razina

Raspon bodova

Status spremnosti

Opis

1

0-8

Rano planiranje

Vaša tvrtka je tek na početku puta prema usklađenosti s NIS2. Potrebno je značajno unapređenje u svim područjima kako bi se ispunili zahtjevi direktive. Hitno djelovanje je nužno za uspostavu osnovnih sigurnosnih kontrola prije početka provjera usklađenosti 2026.

2

9-16

Izgradnja temelja

Osnovni elementi kibernetičke sigurnosti postoje, ali značajni nedostaci ostaju u upravljanju, upravljanju rizicima i tehničkim kontrolama. Fokusirajte se na razvoj formalnih pravilnika i uspostavu nadzora uprave za napredak u usklađenosti.

3

17-24

Razvoj usklađenosti

Vaša tvrtka je implementirala mnoge potrebne elemente, ali nedostaje potpuna dokumentacija ili cjelovita implementacija. Postavite prioritete nepotpunim područjima i uspostavite sustave praćenja napretka prema potpunoj usklađenosti.

4

25-32

Napredna implementacija

Većina zahtjeva NIS2 je implementirana s odgovarajućom dokumentacijom. Fokusirajte se na poboljšanje postojećih kontrola, provođenje redovitih procjena i osiguranje dosljedne primjene u cijeloj organizaciji.

5

33-40

Optimizirana usklađenost

Vaša tvrtka demonstrira sveobuhvatnu usklađenost s NIS2 s potpunom implementacijom potrebnih kontrola. Održavajte ovaj status kroz kontinuirano poboljšanje, redovito testiranje i prilagodbu na promjene u prijetnjama i regulativi.

Napomena: Ova procjena daje općeniti pregled vaše spremnosti za NIS2, a ne konačnu potvrdu usklađenosti. Čak i visoki rezultati (33-40) pokazuju dobru pripremu, ali ne jamče potpunu regulatornu usklađenost. Upitnik pokriva ključna područja, ali nije sveobuhvatan i ne mjeri kvalitetu implementacije. Tvrtke bi trebale provesti detaljnu analizu svih zahtjeva NIS2 i održavati proces kontinuiranog praćenja. Konačnu usklađenost utvrđuju nadležna regulatorna tijela.

Ne suočavajte se s NIS2 usklađenošću sami: Gauss je tu za Vas

Osjećate li se preopterećeni složenošću usklađenosti s NIS2? Niste jedini. 

Detaljan proces analize nedostataka, tehnički zahtjevi i predstojeće provjere usklađenosti 2026. mogu biti zastrašujući – posebno s potencijalom za velike novčane kazne i osobnu odgovornost za upravu.

Zašto se mučiti s ovim izazovima sami kad Vam Gauss može pomoći? 

Naša stručna usluga usklađivanja s NIS2 uklanja nagađanje iz procesa. 

Vodit ćemo Vas kroz svaki korak analize nedostataka, pomoći Vam postaviti prioritete u vašim naporima sanacije i osigurati da Vaša dokumentacija zadovoljava regulatorne standarde.

Naš tim stručnjaka za kibernetičku sigurnost razumije i tehničke i regulatorne aspekte NIS2, omogućujući Vam da se usredotočite na ono u čemu ste najbolji – vođenje svog poslovanja.

Kontaktirajte nas danas da razgovaramo kako možemo pojednostaviti Vaš put prema usklađenosti s NIS2.

Povezani članci

Cybersecurity Cybersecurity

Kako Napraviti Analizu Nedostataka za NIS2 Usklađenost: Vodič Korak po Korak

Ključne točke o analizi nedostataka za NIS2 ...

Tomislav Horvat 27 Aug, 2025
Pročitaj više
Cybersecurity Cybersecurity

6 temeljnih vrsta testiranja kibernetičke sigurnosti: Potpuni vodič

Ključne spoznaje o vrstama testiranja kibernetičke ...

Tomislav Horvat 01 Jul, 2025
Pročitaj više
razgovarajmo

imate ideju za projekt?

javite nam se!

Zakažite sastanak
svg bg