Za srednja preduzeća NIS2 može djelovati kao regulativa pisana za energetske i telekomunikacijske divove — ali direktiva namjerno uvlači hiljade srednjih proizvođača, dobavljača i pružalaca usluga u svoj opseg. Dobra vijest: ne treba vam korporativni sigurnosni budžet da biste bili usklađeni. Treba vam struktura, redoslijed i dokazi. Ovaj vodič vas vodi kroz implementaciju redoslijedom koji zaista funkcioniše u praksi — iz stvarnih projekata, a ne samo iz teksta direktive.
Shvatite ovo kao projektni plan, ne kao listu za čitanje. Svaki korak proizvodi konkretan artefakt — određivanje opsega, registar nedostataka, odluku o upravljanju, plan za incidente — koji će revizori i regulatori na kraju tražiti da vide. Ako korak ne ostavlja pisani trag, nije završen.
Korak 1: Potvrdite primjenjivost i dokumentujte je
Utvrdite jeste li „ključni" ili „važan" subjekt mapiranjem sektora prema NIS2 aneksima i broja zaposlenih i prometa prema pragovima veličine. Srednji subjekti (50+ zaposlenih ili 10M€ prometa) u obuhvaćenom sektoru obično su uključeni. Ali veličina nije jedini okidač — ako snabdijevate ključni subjekt, njegove obaveze se na vas prenose ugovorima.
- Mapirajte svaku liniju poslovanja prema Aneksu I (ključni) i Aneksu II (važni).
- Provjerite je li neki veliki kupac sam ključni subjekt — vaše obaveze lanca snabdijevanja slijede.
- Napišite kratak, datiran memo o opsegu. Prvo pitanje regulatora često je: „jeste li u opsegu i kako ste odlučili?"
- Ako zaključite da niste u opsegu, dokumentujte obrazloženje jednako pažljivo — ta odluka mora izdržati provjeru.
Korak 2: Procijenite nedostatke u odnosu na član 21
Član 21 definiše deset minimalnih mjera upravljanja rizicima. Umjesto nagađanja, sprovedite strukturiranu procjenu nedostataka koja ocjenjuje svaku mjeru na jednostavnoj skali zrelosti i povezuje je s dokazima koje već imate. Taj jedan dokument postaje vaša mapa puta, opravdanje budžeta i osnova za reviziju.
- Ocijenite svaku od deset mjera: nije započeto, djelimično, operativno ili zrelo.
- Za svako „djelimično" ili bolje, zabilježite gdje se nalazi prateći dokaz.
- Rangirajte nedostatke prema riziku, ne prema lakoći — prvo zatvorite ono što najviše šteti.
- Vodite procjenu kao živu tabelu koju revidirate kvartalno, ne kao jednokratni izvještaj.
Korak 3: Uspostavite upravljanje i dodijelite vlasništvo
NIS2 čini organe upravljanja lično odgovornim, pa upravljanje nije opcionalna papirologija — to je dio koji regulatori najviše ispituju. Najčešći promašaj u srednjim firmama je sigurnosni program koji u potpunosti živi unutar IT-a bez vidljivog uključivanja rukovodstva.
- Osigurajte izričito odobrenje mjera rizika i realan budžet.
- Imenujte jednog odgovornog vlasnika — internog vođu ili virtualnog CISO-a ako nemate ulogu interno.
- Zakažite obuku uprave koju direktiva zahtijeva i vodite evidenciju prisustva.
- Stavite ponavljajući pregled rizika na agendu rukovodstva kako bi nadzor bio dokaziv, a ne teorijski.
Korak 4: Implementirajte kontrole i uspostavite prijavu incidenata
S jasnim prioritetima, zatvorite najrizičnije nedostatke i izgradite operativnu snagu do koje je NIS2 najviše stalo: postupanje s incidentima. Sat za prijavu je nemilosrdan — rano upozorenje u roku od 24 sata, potpunija obavijest u roku od 72 sata i konačni izvještaj u roku od mjesec dana od značajnog incidenta.
- Unaprijed definišite šta se za vašu organizaciju smatra „značajnim incidentom".
- Izgradite tok prijave koji pogađa rokove od 24h / 72h / 1 mjesec bez panike.
- Pregledajte ključne dobavljače i dodajte sigurnosne klauzule u ugovore gdje nedostaju.
- Automatizujte prikupljanje dokaza — preglede pristupa, logove obuke, zapise o zakrpama.
Rano upozorenje od 24 sata nije tehnički problem — već organizacijski. Ako vaš tim nikada nije uvježbao ko koga zove, prvi stvarni incident je najgori mogući trenutak da to saznate.
Korak 5: Testirajte, uvježbavajte i dokažite spremnost
Kontrola koju nikada niste isprobali je hipoteza, ne sposobnost. Prije nego što regulator ili stvarni napadač testiraju vaš proces za incidente, testirajte ga sami simulacijskom vježbom koja vodi rukovodstvo kroz realan scenario od početka do kraja.
- Sprovedite poludnevnu simulaciju ransomware ili curenja podataka barem jednom godišnje.
- Zabilježite naučene lekcije i vratite ih u plan i registar rizika.
- Provjerite jesu li vaši obrasci za prijavu i kontakt liste aktuelni i dostupni tokom prekida.
Korak 6: Održavajte usklađenost kao stalni program
NIS2 nije prekretnica koju jednom prođete. To je stanje koje održavate. Organizacije koje ostaju usklađene tretiraju registar nedostataka, prikupljanje dokaza i pregled uprave kao kontinuirani ciklus, a ne kao paniku prije revizije. Držite dokumentaciju usklađenom sa stvarnim poslovanjem, i svaki naredni pregled postaje ažuriranje, a ne ponovna izgradnja.
Implementiran ovim redoslijedom — opseg, nedostaci, upravljanje, kontrole, testiranje, održavanje — NIS2 postaje upravljiv program čak i za mali tim. Počnite iskrenom procjenom, prvo riješite ono najvažnije i držite rukovodstvo istinski angažovanim.
Teme
Povezani resursi
Pretvorite ovo u plan koji prolazi reviziju
Zakažite besplatnu 30-minutnu konsultaciju i zajedno ćemo mapirati najbrži put do usklađenosti s najmanjim rizikom — bez žargona, bez prodaje.
Zakaži besplatnu konsultaciju