⚡ LIMITED TIME Get our FREE €500+ Compliance Starter Kit
Get It Now →
HR EN BG CS DA DE EL ES ET FI FR GA HU IT LT LV MT NL PL PT RO SK SL SV
NIS2 DORA

Od stajanke do stolne vježbe: izrada plana odgovora na incidente za kritičnu infrastrukturu usklađenog s NIS2

Igor Petreski
20 min read
#Odgovor na incidente #Revizija #ISMS #Upravljanje rizicima #Upravljanje dobavljačima #Neprekidnost poslovanja
Dijagram toka koji prikazuje postupak odgovora na incidente usklađen s NIS2 u 9 koraka, s detaljnim životnim ciklusom od okidača incidenta do postizanja operativne spremnosti, uključujući definiranje uloga tima za odgovor na incidente, provedbu tehničkog životnog ciklusa odgovora (ograničavanje, uklanjanje prijetnje, oporavak), upravljanje regulatornim obavijestima (NIS2, DORA) i pripremu mape revizijskih dokaza za više okvira.

Krizni scenarij: kada se pripravnost suoči sa stvarnim posljedicama

U 3:17 ujutro u sigurnosno-operativnom centru velike regionalne zračne luke sustav za rukovanje prtljagom, ključan za tisuće putnika, blokiran je jer upravljačko sučelje ne reagira. Mrežni promet pokazuje anomalne skokove. Je li riječ o kratkotrajnom IT zastoju, kvaru hardvera ili uvodu u dubok, koordiniran kibernetički napad? Za nekoliko sati počinje ukrcaj na transatlantske letove. Svaka minuta nejasnoće ili sporog odgovora prelijeva se u operativni kaos, reputacijsku štetu, regulatorni nadzor i potencijalno milijunske gubitke.

Za rukovoditelje odgovorne za upravljanje kritičnom infrastrukturom — zračnim lukama, energetskim mrežama, vodoopskrbom ili bolnicama — takvi trenuci nisu ni rijetki ni bezazleni. Današnje regulatorno okruženje, utemeljeno na Direktivi NIS2, Uredbi o digitalnoj operativnoj otpornosti (DORA) i međunarodnim standardima kao što je ISO/IEC 27001:2022, ne zahtijeva samo plan, nego živ dokaz spremnosti. Ulozi su egzistencijalni. Odgovor na incidente mora biti više od tehničke discipline: mora biti dokazivo usklađen, precizno dokumentiran i mapiran kroz svaki regulatorni okvir.

Upravo su za takvo okruženje visokog pritiska izrađeni Clarysecovi Zenith Controls i Zenith Blueprint: okruženje u kojem „plan na papiru” nije dovoljan i u kojem svaka odluka, komunikacija i faza oporavka mora izdržati pravni, regulatorni i operativni nadzor.

Mandat NIS2: odgovor na incidente pravna je obveza

Stupanje NIS2 na snagu mijenja očekivanja. Regulatori zahtijevaju strukturirano, ponovljivo i revizijski provjerljivo postupanje s incidentima. Article 21(2) zahtijeva „politike i postupke za postupanje s incidentima” kao pravne instrumente. To nadilazi najbolju sigurnosnu praksu; riječ je o obvezi koja se može izravno procjenjivati i sankcionirati ako ne postoji ili nije djelotvorna.

Ključni zahtjevi NIS2 za odgovor na incidente:

  • Dokumentirani procesi upravljanja incidentima
  • Potpuni dokazi o postupanju s prijetnjama: identifikacija, ograničavanje, uklanjanje prijetnje, oporavak
  • Definirane i mapirane uloge, uključujući odgovornosti vanjskih dobavljača
  • Obvezno testiranje, uključujući stolne vježbe i preglede djelotvornosti
  • Usklađenost kroz više okvira s DORA, NIST, COBIT, GDPR i ISO/IEC 27001:2022

Ako vaš plan ne može odmah odgovoriti na ključna pitanja — tko vodi, tko komunicira, tko izvješćuje te kako se odgovor prati, testira i poboljšava — jednostavno nije usklađen.

Postavljanje temelja: planiranje i operativna provedba odgovora

Robustan odgovor na incidente počinje ispravnim nacrtom. ISO/IEC 27002:2022 kontrola 5.26, uz podršku Clarysecovih Zenith Blueprint: An Auditor’s 30-Step Roadmap i Zenith Controls, zahtijeva da priprema bude detaljna, operativno uređena i jasno dodijeljena odgovornim vlasnicima.

Clarysecov Zenith Blueprint, osobito faze 4 i 5, nalaže:

„Provedite postupke upravljanja incidentima: definirajte uloge, odgovornosti i komunikacijske kanale kako bi svaki dionik, od analitičara sigurnosno-operativnog centra (SOC) do glavnog izvršnog direktora, znao svoju ulogu. Dokumentirajte i provjerite sposobnosti kroz sveobuhvatne stolne vježbe.”

To znači:

  • Dokumentirati ovlasti i putove eskalacije
  • Unaprijed definirati pragove za regulatorno obavješćivanje
  • Mapirati osobe odgovorne za izradu i dostavu kriznih komunikacija
  • Osigurati očuvanje forenzičkih dokaza bez ometanja oporavka
  • Testirati i iterativno poboljšavati planove kroz strukturirane vježbe

Priprema nije jednokratan događaj. To je ciklus: planiraj, testiraj, pregledaj, poboljšaj. Zenith Blueprint pruža detaljne korake kako bi sve te točke bile obuhvaćene, potkrijepljene dokazima i spremne za reviziju.

Oblikovanje tima za odgovor na incidente: uloge, odgovornosti i sposobnosti

Kvalitetan odgovor, u 3:17 ujutro ili bilo kada, ovisi o jasnoći uloga. Clarysecova Politika upravljanja incidentima i ISO/IEC 27035-1:2023 definiraju timove i mandate u skladu s najboljom praksom:

UlogaPrimarna odgovornostKljučne vještine i ovlasti
Voditelj incidentaCjelokupna koordinacija, ovlast za donošenje odluka, komunikacija s izvršnim rukovodstvomOdlučno vodstvo, krizno upravljanje, ovlast nad značajnim promjenama
Tehnički voditeljIstraga, forenzika, ograničavanje, korektivne radnjeMrežna forenzika, analiza zlonamjernog softvera, stručnost u infrastrukturi
Voditelj komunikacijaInterna i vanjska komunikacija, veza s regulatorom i javnošćuKrizno komuniciranje, pravna upućenost, jasnoća u pogledu utjecaja na poslovanje
Pravni poslovi i usklađenostPravne, ugovorne i regulatorne smjernicePravo zaštite podataka, kibernetičko pravo, stručnost za NIS2/DORA/GDPR
Veza s poslovanjemOsiguravanje da operativni prioriteti ostanu u središtuPoznavanje poslovnih procesa, upravljanje rizicima

Dokumentiranje tih uloga i njihovo usklađivanje s primarnim i zamjenskim osobljem sprječava najčešći krizni neuspjeh: nejasnoću i pogrešnu komunikaciju.

Životni ciklus incidenta: kontrole moraju djelovati zajedno

Zreo plan odgovora na incidente povezuje više kontrola i standarda te ih nikada ne promatra izolirano. Clarysecovi Zenith Controls pokazuju kako se 5.26 (planiranje i priprema) izravno povezuje s drugim kontrolama upravljanja incidentima:

  1. Priprema i planiranje (5.26): definirati tim za odgovor na incidente (IRT), izraditi operativne upute, pripremiti komunikacijske planove, simulirati scenarije.
  2. Procjena događaja (5.25): odlučiti je li incident stvaran na temelju unaprijed utvrđenih kriterija, radi odlučnog postupanja, a ne paralize analizom.
  3. Tehnički odgovor (5.27): provesti ograničavanje, uklanjanje prijetnje i oporavak prema detaljnim operativnim uputama i mapiranim odgovornostima.

Ovaj životni ciklus nije samo teorijski; on je okosnica odgovora koji može zadovoljiti i operativne potrebe i regulatorni nadzor.

Stolno testiranje: završni ispit prije katastrofe

Stolna vježba pretvara planiranje u dokazanu spremnost. Clarysecove politike zahtijevaju:

„Plan odgovora na incidente mora se testirati najmanje jednom godišnje ili nakon značajnih promjena infrastrukture. Scenariji moraju odražavati realne prijetnje: ransomware, uskraćivanje usluge, povredu u opskrbnom lancu ili curenje podataka.”

Primjer stolne vježbe za našu zračnu luku:

Voditelj vježbe: „3:17 je ujutro. Sustav za prtljagu ne reagira. Poruka o otkupnini pojavljuje se na dijeljenom administratorskom disku. Što slijedi?”

Tim za odgovor na incidente (IRT):

  • Voditelj incidenta okuplja tim.
  • Tehnički voditelj pokreće segmentaciju mreže.
  • Pravni poslovi i usklađenost prate rok od 24 sata za obavješćivanje prema NIS2.
  • Voditelj komunikacija izrađuje izjave za partnere i medije, uravnotežujući jasnoću i oprez.
  • Popisi kontakata se testiraju, a zastarjeli podaci o dobavljačima pokreću trenutačni ciklus poboljšanja.

Ishodi se dokumentiraju, praznine identificiraju, a politike ažuriraju. Svaka iteracija testa, svaki zapis dnevnika i svaka promjena stvarni su, revizijski provjerljivi dokazi.

Stvaranje dokaza i revizijska spremnost: vaš dokaz jest vaš plan

Uspješan prolazak revizije znači prikazati više od same politike; revizori traže operativne dokaze.

Primjer tablice dokaza:

ZahtjevClarysecov resursKako se dokazi stvaraju
Postoji plan odgovora na incidenteZenith Controls, 30-Step BlueprintPotpisan, dostupan i verzioniran plan
Uloge i odgovornostiPolitika odgovora na incidente, Politika dobavljačaOrganizacijske sheme, matrice uloga, ugovorne klauzule
Zapisnik stolne vježbeZenith Controls, korak iz BlueprintaIzvješća o vježbama s vremenskom oznakom, zapisnici, naučene lekcije
Zapisi o obavješćivanjuPredlošci komunikacije, BlueprintTragovi e-pošte, obrasci regulatora, zapisi dnevnika odgovora
Dokaz ciklusa poboljšanjaNaknadna analiza, koraci iz BlueprintaAžurirani planovi, evidencije osposobljavanja, dokazi kontinuiranog ažuriranja

Mapiranje usklađenosti kroz okvire: NIS2, DORA, NIST, COBIT, ISO/IEC 27001:2022

Clarysecovi Zenith Controls jedinstveno mapiraju glavne standarde za objedinjeno dokazivanje usklađenosti. Kontrole odgovora na incidente nalaze se na sjecištu:

Broj kontroleNaziv kontroleOpisPotporni standardiMapirani okviri
5.24Kontrole upravljanja incidentimaOtkrivanje, prijavljivanje, evidentiranje dokaza, pregledISO/IEC 27035:2023, ISO/IEC 22301:2019, ISO/IEC 27031:2021NIS2, DORA, NIST SP 800-61, COBIT
5.25Plan odgovora na incidenteUstroj tima za odgovor, putovi obavješćivanja, redovito testiranje i poboljšavanjeISO/IEC 22301:2019, ISO/IEC 27031:2021, ISO/IEC 27035:2023NIS2, DORA, NIST, COBIT, GDPR
5.26Planiranje i pripremaDefiniranje IRT-a, operativne upute, komunikacijski planovi, mapiranje scenarijaISO/IEC 27001:2022, ISO/IEC 27035:2023, ISO/IEC 22301:2019NIS2, DORA, NIST, COBIT
5.27Tehnički odgovorOperativne upute za ograničavanje, uklanjanje prijetnje i oporavak, operativni zapisi dnevnikaISO/IEC 27001:2022, ISO/IEC 27031:2021NIS2, DORA, NIST, COBIT

Potporni standardi jačaju otpornost:

  • ISO/IEC 22301:2019: neprekidnost poslovanja; uspostavlja usklađivanje postupanja s incidentima i oporavka od katastrofe.
  • ISO/IEC 27035:2023: životni ciklus incidenta, ključan za naučene lekcije i revizijski pregled.
  • ISO/IEC 27031:2021: IKT spremnost za tehničko ograničavanje incidenta i oporavak.

Smjernice po okvirima

  • DORA: zahtijeva brzo regulatorno obavješćivanje i integraciju s planovima neprekidnosti poslovanja i tehničkim planovima.
  • NIST CSF: izravno se usklađuje s funkcijom „Respond”, s naglaskom na trenutačno, dokumentirano postupanje.
  • COBIT 2019: naglašava upravljanje te integrira odgovor na incidente s organizacijskim rizikom i pokazateljima uspješnosti.

Integracija dobavljača i trećih strana: zaštita proširenog perimetra

Kritična infrastruktura snažna je onoliko koliko je snažan njezin najslabiji dobavljač ili partner. Clarysecova Politika sigurnosti trećih strana i dobavljača postavlja jasne obveze.

Ključni zahtjevi uključuju:

„Dobavljači moraju razviti, održavati i testirati vlastite planove odgovora na incidente koji odgovaraju našim standardima. Odgovornosti, kanali i dokazi o vježbama moraju biti dokumentirani.” (odjeljak 9)

To nije opcionalno. Ugovori moraju definirati integraciju odgovora na incidente, obavijesti trećih strana i revizijske tragove. Varijanta usmjerena na SME prilagođava te zahtjeve manjim dobavljačima, tako da usklađenost obuhvaća cijeli ekosustav.

Primjer stolne vježbe s dobavljačem:

  • Nedostupnost se povezuje s vanjskim dobavljačem sustava za prtljagu.
  • Dobavljačev plan odgovora na incidente aktivira se i koordinira prema protokolima zajedničke vježbe.
  • Neuspjesi, primjerice zastarjeli kontaktni podaci, dokumentiraju se i pokreću korektivne radnje prije stvarne katastrofe.

Perspektive revizora: izdržati nadzor kroz više okvira

Revizori primjenjuju različite perspektive. Clarysecovi Zenith Controls pripremaju organizacije za svaku od njih:

Revizori za ISO/IEC 27001:2022:

  • Zahtijevaju dokumentirane i testirane planove odgovora na incidente.
  • Provjeravaju jasnoću uloga, dokaze o stolnim vježbama i integraciju s neprekidnošću poslovanja.

Revizori za NIS2/DORA:

  • Zahtijevaju rezultate temeljene na scenarijima.
  • Provjeravaju vrijeme i redoslijed regulatornih obavijesti.
  • Traže besprijekornu integraciju dobavljača i cikluse poboljšanja.

Revizori za NIST/COBIT:

  • Detaljno provjeravaju rad kontrola životnog ciklusa incidenta.
  • Traže dokaze o integraciji rizika, poboljšanju procesa i dokumentiranju naučenih lekcija.

Kritični izazovi i Clarysecove protumjere

Uobičajene zamke koje Clarysecovi alati izravno adresiraju:

  • Nejasnoća uloga ili komunikacijske praznine: matrice uloga iz Zenith Blueprinta, mapirane na obavijesti i radnje.
  • Nepotpuni odgovor dobavljača na incidente: obvezne revizije, ugovorni zahtjevi i zajedničke vježbe prema politici za treće strane.
  • Praznine u dokazima: automatizirani zapisi dnevnika, predlošci naknadne analize, praćenje poboljšanja u politici i praksi.

Kako izgraditi, testirati i dokazati odgovor na incidente

Kontrolni popis u pet točaka za revizijsku spremnost prema NIS2

  1. Procijenite i mapirajte postojeći plan odgovora na incidente: upotrijebite 30 koraka iz Zenith Blueprinta za sveobuhvatnu analizu praznina.
  2. Uvedite Zenith Controls i mapiranja između okvira: osigurajte mapiranje na kontrole ISO/IEC 27001:2022, DORA, NIS2, NIST i COBIT. Obuhvatite ugovore s dobavljačima i potporne standarde.
  3. Provedite realistične stolne vježbe: dokumentirajte dokaze (zapise dnevnika, komunikacije, koordinaciju dobavljača, radnje poboljšanja).
  4. Provedite politiku za treće strane: primijenite Clarysecovu Politiku sigurnosti trećih strana i dobavljača te varijantu za SME, osiguravajući da su svi dobavljači usklađeni.
  5. Pripremite mapu dokaza: uključite potpisane planove, prikaze uloga, zapise dnevnika vježbi, izvješća o obavješćivanju i dokumentirane naučene lekcije.

Vaš put: od stajanke do stolne vježbe, od neizvjesnosti do sigurnosti

U današnjem reguliranom i međusobno povezanom svijetu plan odgovora na incidente ne smije samo postojati; mora biti dokazan u praksi kroz dokaze, usklađenost kroz više okvira i stvarnu spremnost. Clarysecov integrirani skup alata — Zenith Blueprint, Zenith Controls i robusne politike — pruža arhitekturu za istinsku operativnu otpornost.

Svaki je korak mapiran, testiran i spreman za reviziju, tako da vaša organizacija može djelovati izvrsno bez obzira na to počinje li kriza u 3:17 ujutro ili u upravnoj sobi. Izgradnja sposobnosti odgovora na incidente usklađene s NIS2 i spremne za krizne uvjete znači više od mira; to je istodobno regulatorna obrana i operativna izvrsnost.

Sljedeći koraci: osigurajte svoju razinu sigurnosti uz Clarysec

Put od stajanke do stolne vježbe počinje sada:

  • Preuzmite Clarysecove Zenith Blueprint i Zenith Controls.
  • Zakažite stolnu simulaciju s našim timom.
  • Pregledajte i unaprijedite svoju Politiku sigurnosti trećih strana i dobavljača, uključujući svakog partnera, velikog ili malog.

Nemojte čekati sljedeće upozorenje u 3 ujutro kako biste otkrili praznine u svom planu. Obratite se Clarysecu kako biste svoju organizaciju opremili dokazanim, testiranim i dokazima potkrijepljenim odgovorom na incidente.

Clarysec: vaš partner za usklađenost, otpornost i odgovor na incidente u stvarnom okruženju.

Zenith Controls | Zenith Blueprint | Politika sigurnosti trećih strana i dobavljača | Politika upravljanja incidentima

Istražite više studija slučaja i skupova alata na Clarysec blogu. Zakažite prilagođenu radionicu ili procjenu revizijske spremnosti već danas.

Frequently Asked Questions

About the Author

Igor Petreski

Igor Petreski

Compliance Systems Architect, Clarysec LLC

Igor Petreski is a cybersecurity leader with over 30 years of experience in information technology and a dedicated decade specializing in global Governance, Risk, and Compliance (GRC).Core Credentials & Qualifications:• MSc in Cyber Security from Royal Holloway, University of London• PECB-Certified ISO/IEC 27001 Lead Auditor & Trainer• Certified Information Systems Auditor (CISA) from ISACA• Certified Information Security Manager (CISM) from ISACA • Certified Ethical Hacker from EC-Council

Share this article

Related Articles