Navigacija kroz oluju: kako NIS2 i DORA redefiniraju europsku usklađenost

Direktiva NIS2 i Uredba DORA EU-a mijenjaju usklađenost u području kibernetičke sigurnosti te zahtijevaju strože upravljanje rizicima, prijavljivanje incidenata i digitalnu operativnu otpornost. Ovaj vodič objašnjava njihov utjecaj, prikazuje njihovu duboku usklađenost s ISO 27001 i daje praktičan, korak-po-korak put prema spremnosti za CISO-ove i poslovne rukovoditelje.

Uvod

Europsko okruženje usklađenosti prolazi kroz najveću transformaciju u posljednjoj generaciji. S rokom za prenošenje Direktive o mrežnoj i informacijskoj sigurnosti (NIS2) u listopadu 2024. i punom primjenom Akta o digitalnoj operativnoj otpornosti (DORA) od siječnja 2025., razdoblje u kojem je kibernetička sigurnost bila pozadinska IT funkcija definitivno je završilo. Ta dva propisa predstavljaju promjenu paradigme: kibernetičku sigurnost i operativnu otpornost stavljaju u središte korporativnog upravljanja te upravljačka tijela čine izravno odgovornima za propuste.

Za CISO-ove, rukovoditelje za usklađenost i vlasnike poslovnih procesa ovo nije još jedan okvir prema kojem treba mapirati kontrole. Riječ je o obvezi uspostave sigurnosnog profila koji je vođen s vrha, temeljen na riziku i dokazivo otporan. NIS2 proširuje opseg svojeg prethodnika na širok raspon „ključnih” i „važnih” subjekata, dok DORA nameće stroga i usklađena pravila cijelom financijskom sektoru EU-a i njegovim kritičnim pružateljima tehnoloških usluga. Ulozi su veći, zahtjevi su propisaniji, a kazne za neusklađenost ozbiljne. Ovaj članak vodi vas kroz novi regulatorni teren, koristeći okvir ISO 27001 kao praktičnu osnovu za postizanje usklađenosti s NIS2 i DORA.

Što je u pitanju

Posljedice neispunjavanja obveza iz NIS2 i DORA daleko nadilaze formalnu opomenu. Ti propisi uvode značajne financijske kazne, osobnu odgovornost rukovodstva i rizik ozbiljnih operativnih poremećaja. Razumijevanje težine tih rizika prvi je korak u izradi uvjerljivog poslovnog obrazloženja za ulaganja i organizacijske promjene.

NIS2 osobito značajno podiže financijske uloge. Kao što pojašnjava naš sveobuhvatni vodič Zenith Controls, kazne su oblikovane tako da privuku pozornost upravljačkog tijela.

Za ključne subjekte novčane kazne mogu dosegnuti do 10 milijuna EUR ili 2% ukupnog godišnjeg prometa na svjetskoj razini u prethodnoj financijskoj godini, ovisno o tome što je veće. Za važne subjekte najviša kazna iznosi 7 milijuna EUR ili 1,4% ukupnog godišnjeg prometa na svjetskoj razini.

Ti su iznosi usporedivi s kaznama na razini GDPR-a i pokazuju namjeru EU-a da strogo provodi standarde kibernetičke sigurnosti. Iako su usklađene na razini EU-a, točne strukture kazni i dalje se mogu neznatno razlikovati ovisno o tome kako pojedina država članica prenese NIS2 u nacionalno pravo. No rizik nije samo financijski. NIS2 uvodi mogućnost privremene zabrane obnašanja upravljačkih funkcija za osobe za koje se utvrdi odgovornost za povrede, čime kibernetička sigurnost postaje pitanje osobne odgovornosti glavnih izvršnih direktora i članova upravljačkih tijela.

DORA, iako usmjerena na financijski sektor, uvodi vlastiti skup pritisaka. Njezin je primarni cilj osigurati kontinuitet kritičnih financijskih usluga čak i tijekom značajnog IKT poremećaja. Rizik je ovdje sistemski. Neuspjeh jednog financijskog subjekta ili jednog od njegovih kritičnih IKT pružatelja usluga trećih strana mogao bi imati kaskadni učinak na europsko gospodarstvo. Mandat DORA-e jest spriječiti takav scenarij provedbom visokog standarda digitalne operativne otpornosti. Cijena neusklađenosti ne mora značiti samo novčane kazne, nego i gubitak odobrenja za rad te katastrofalnu reputacijsku štetu u sektoru koji počiva na povjerenju.

Operativni utjecaj jednako je zahtjevan. Oba propisa propisuju stroge rokove za prijavljivanje incidenata. NIS2 zahtijeva početnu obavijest nadležnim tijelima u roku od 24 sata od saznanja za značajan incident, uz detaljnije izvješće u roku od 72 sata. Tako kratak rok stvara izniman pritisak na timove za odgovor na incidente i zahtijeva zrele, uvježbane procese koje mnoge organizacije trenutačno nemaju. Fokus više nije samo na ograničavanju i oporavku, nego i na brzoj, transparentnoj komunikaciji s regulatorima.

Kako izgleda dobra praksa

U ovom novom razdoblju pojačanog nadzora „dobro” više ne znači imati politike pohranjene na polici ili postići jednokratnu certifikaciju. Riječ je o stanju kontinuirane, dokazive operativne otpornosti. To znači pomak od reaktivnog profila vođenog usklađenošću prema proaktivnoj kulturi utemeljenoj na riziku, u kojoj je kibernetička sigurnost ugrađena u poslovanje. Organizacija koja uspješno upravlja zahtjevima NIS2 i DORA imat će nekoliko ključnih obilježja, od kojih su mnoga ukorijenjena u načelima dobro implementiranog sustava upravljanja informacijskom sigurnošću (ISMS) temeljenog na ISO 27001.

Krajnji je cilj stanje u kojem organizacija može pouzdano izdržati IKT poremećaje, odgovoriti na njih i oporaviti se od njih, uz zaštitu svoje kritične imovine i usluga. To zahtijeva duboko razumijevanje poslovnih procesa i tehnologije koja ih podupire. Kako navodi Zenith Controls, cilj tih propisa jest izgraditi robusnu digitalnu infrastrukturu diljem EU-a.

Primarni cilj Direktive NIS2 jest postići visoku zajedničku razinu kibernetičke sigurnosti u cijeloj Uniji. Cilj joj je poboljšati otpornost i sposobnosti odgovora na incidente u javnom i privatnom sektoru.

Postizanje te „visoke zajedničke razine” znači implementaciju sveobuhvatnog sigurnosnog programa koji obuhvaća upravljanje, upravljanje rizicima, zaštitu imovine, odgovor na incidente i sigurnost dobavljača. Zrela organizacija imat će jasnu vezu od apetita za rizik na razini upravljačkog tijela do konkretnih tehničkih kontrola. Rukovodstvo neće samo odobravati proračun; aktivno će sudjelovati u odlukama o upravljanju rizicima, kako nalažu i NIS2 (Article 20) i DORA (Article 5).

Takvo idealno stanje obilježava proaktivna sigurnost vođena obavještajnim podacima. Umjesto pukog reagiranja na upozorenja, organizacija aktivno prikuplja i analizira obavještajne podatke o prijetnjama kako bi predvidjela i ublažila moguće napade. To je izravno usklađeno s kontrolom ISO/IEC 27002:2022 5.7 (obavještajni podaci o prijetnjama), praksom koja je sada izričito očekivanje u oba nova propisa.

Nadalje, otpornost se testira, a ne pretpostavlja. „Dobro” znači organizaciju koja redovito provodi realistična testiranja svojih planova odgovora na incidente i neprekidnosti poslovanja. Za određene financijske subjekte obuhvaćene DORA-om to se može proširiti na napredno penetracijsko testiranje vođeno obavještajnim podacima o prijetnjama (Threat-Led Penetration Testing, TLPT), odnosno strogu simulaciju scenarija stvarnih napada. Neće svaka organizacija biti u opsegu, ali za one koje jesu TLPT je obvezujući zahtjev. Takva kultura testiranja osigurava da planovi nisu samo teorijski dokumenti, nego provedive operativne upute koje funkcioniraju pod pritiskom.

Povezivanje s temama kontrola ISO 27001:2022

Kontrole iz Priloga A standarda ISO 27001:2022, kako su razrađene u ISO/IEC 27002:2022, čine okosnicu modernog ISMS-a. Kako je istaknuto u vodiču Zenith Controls: Vodič za usklađenost kroz više regulatornih okvira,

Kontrole kao što su A.5.7 (obavještajni podaci o prijetnjama), A.5.23 (informacijska sigurnost pri korištenju usluga u oblaku) i A.5.29 (odnosi s dobavljačima) izravno se navode u smjernicama za implementaciju NIS2 i DORA, čime se naglašava njihova središnja važnost za međuregulatornu usklađenost. Organizacije koje u potpunosti implementiraju te kontrole i osiguraju dokaze o njihovoj provedbi u dobroj su poziciji, ali i dalje moraju adresirati posebne obveze izvješćivanja, upravljanja i otpornosti koje uvode novi propisi.

Praktičan put: korak-po-korak smjernice

Postizanje usklađenosti s NIS2 i DORA može djelovati kao golem zadatak, ali postaje izvedivo kada se razloži na temeljne sigurnosne domene. Korištenjem strukturiranog pristupa ISMS-a usklađenog s ISO 27001 organizacije mogu sustavno izgraditi potrebne sposobnosti. Slijedi praktičan put, vođen uspostavljenim politikama i najboljim praksama.

1. Uspostavite snažno upravljanje i odgovornost

Oba propisa krajnju odgovornost stavljaju na „upravljačko tijelo”. To znači da se kibernetička sigurnost više ne može delegirati isključivo IT odjelu. Upravljačko tijelo mora razumjeti, nadzirati i odobriti okvir za upravljanje rizicima kibernetičke sigurnosti.

Prvi je korak formalizirati tu strukturu. Politike vaše organizacije moraju odražavati pristup vođen s vrha. Prema dokumentu P01S Politika upravljanja politikama informacijske sigurnosti - SME, temeljnom dokumentu svakog ISMS-a, sam okvir politika zahtijeva izričitu potporu najvišeg rukovodstva.

Politike informacijske sigurnosti mora odobriti rukovodstvo, moraju biti objavljene i priopćene zaposlenicima te relevantnim vanjskim stranama.

To znači da je rukovodstvo aktivno uključeno u određivanje smjera. To se dodatno učvršćuje definiranjem jasnih uloga. P02S Politika uloga i odgovornosti u upravljanju - SME navodi da se „odgovornosti za informacijsku sigurnost moraju definirati i dodijeliti”, čime se uklanja nejasnoća o tome tko je vlasnik pojedinog dijela sigurnosnog programa. Za NIS2 i DORA to mora uključivati imenovanu osobu ili odbor odgovoran za izvješćivanje o statusu usklađenosti izravno upravljačkom tijelu.

Ključne aktivnosti:

• Dodijelite sponzora za kibernetičku sigurnost i otpornost na razini upravljačkog tijela.
• Zakažite redovite preglede učinkovitosti ISMS-a i usklađenosti s regulatornim zahtjevima na razini upravljačkog tijela.
• Dokumentirajte odluke, aktivnosti i dokaze o nadzoru.

2. Implementirajte sveobuhvatan okvir za upravljanje rizicima

Preispitajte i ažurirajte svoj proces procjene rizika. Kako je navedeno u Vodiču za implementaciju metodologije procjene rizika, „NIS2 i DORA zahtijevaju dinamične procjene rizika vođene prijetnjama koje nadilaze statične godišnje preglede. Organizacije moraju integrirati obavještajne podatke o prijetnjama (A.5.7) i osigurati ažuriranje procjena rizika kao odgovor na promjene u okruženju prijetnji ili poslovnom okruženju.” Zenith Controls. NIS2 nadilazi generičku procjenu rizika propisujući konkretne mjere upravljanja rizicima u Article 21, uključujući sigurnost opskrbnog lanca, postupanje s incidentima, neprekidnost poslovanja i uporabu kriptografije. Ti zahtjevi moraju biti dokazivo implementirani i redovito pregledavani, čime postaje jasno da usklađenost nije samo dokumentacija, nego dokaziva operativna praksa.

Ključne aktivnosti:

• Uključite obavještajne podatke o prijetnjama u stvarnom vremenu u procjene rizika.
• Osigurajte da procjene rizika izričito obuhvaćaju rizike opskrbnog lanca i IKT rizike trećih strana (A.5.29).
• Dokumentirajte i dokazujte proces pregleda i ažuriranja.

Taj proces mora biti kontinuiran i iterativan, a ne godišnja formalnost. Obuhvaća sve, od sigurnosti opskrbnog lanca do podizanja svijesti zaposlenika.

3. Unaprijedite odgovor na incidente i izvješćivanje

Strogi rokovi prijavljivanja prema NIS2 (početna obavijest u roku od 24 sata) i detaljna shema klasifikacije i izvješćivanja prema DORA zahtijevaju vrlo zrelu funkciju upravljanja incidentima. Za to nije dovoljan samo SOC; potreban je jasno definiran i uvježban plan.

P30S Politika odgovora na incidente - SME daje nacrt za tu sposobnost. Naglašava da „organizacija mora planirati i pripremiti se za upravljanje incidentima informacijske sigurnosti definiranjem, uspostavom i komuniciranjem procesa, uloga i odgovornosti za upravljanje incidentima informacijske sigurnosti.” Odgovor na incidente središnja je točka i NIS2 i DORA. Politika upravljanja incidentima informacijske sigurnosti (odjeljak 4.2) navodi:

Organizacije moraju implementirati postupke za otkrivanje, prijavljivanje i odgovor na incidente u rokovima koje zahtijevaju primjenjivi propisi te održavati detaljne zapise za potrebe revizije.

Ključni elementi za implementaciju uključuju:

• Jasnu definiciju „značajnog incidenta” koji pokreće rok za prijavljivanje prema NIS2 i DORA.
• Unaprijed definirane komunikacijske kanale i predloške za izvješćivanje regulatora, CSIRT-ova i drugih dionika.
• Redovite vježbe i simulacijske vježbe za stolom kako bi se osiguralo da tim za odgovor može učinkovito provesti plan pod pritiskom.
• Procese pregleda nakon incidenta radi učenja iz svakog događaja i kontinuiranog poboljšanja sposobnosti odgovora.

4. Ojačajte upravljanje rizicima opskrbnog lanca i trećih strana

DORA osobito podiže upravljanje IKT rizicima trećih strana s aktivnosti dubinske analize dobavljača na temeljnu disciplinu operativne otpornosti. Financijski subjekti sada su izričito odgovorni za otpornost svojih kritičnih IKT pružatelja usluga. NIS2 također zahtijeva da subjekti adresiraju rizike koji proizlaze iz njihovih dobavljača.

Politika sigurnosti trećih strana i dobavljača, odjeljak 5.2 - SME zahtijeva sljedeće:

Prije početka angažmana svaki dobavljač mora biti pregledan radi mogućih rizika.

Također navodi potrebne kontrole, uz zahtjev da „zahtjevi organizacije za informacijsku sigurnost moraju biti dogovoreni s dobavljačima i dokumentirani.” Za DORA i NIS2 to ide dalje:

• Održavajte registar svih IKT pružatelja usluga trećih strana, uz jasnu oznaku onih koji se smatraju „kritičnima”.
• Osigurajte da ugovori uključuju posebne odredbe koje obuhvaćaju sigurnosne kontrole, prava na reviziju i izlazne strategije. DORA je u tom pogledu vrlo propisana.
• Redovito procjenjujte rizike kritičnih dobavljača, ne samo tijekom uvođenja dobavljača nego tijekom cijelog životnog ciklusa odnosa.
• Razvijte planove za nepredviđene okolnosti za slučaj neuspjeha ili prestanka odnosa s kritičnim dobavljačem kako bi se osigurao kontinuitet usluge.

5. Izgradite i testirajte otpornost

Konačno, oba propisa u svojoj su biti usmjerena na otpornost. Vaša organizacija mora moći održavati kritične operacije tijekom i nakon incidenta kibernetičke sigurnosti. To zahtijeva sveobuhvatan program upravljanja kontinuitetom poslovanja (BCM).

Politika neprekidnosti poslovanja i oporavka od katastrofe - SME naglašava potrebu ugradnje sigurnosti u planiranje BCM-a. Navodi: „Organizacija mora utvrditi svoje zahtjeve za informacijsku sigurnost i kontinuitet upravljanja informacijskom sigurnošću u nepovoljnim situacijama.” To znači da vaši planovi BCM-a i oporavka od katastrofe (DR) moraju biti osmišljeni imajući na umu kibernetičke napade. Ključne aktivnosti uključuju:

• Provođenje analiza utjecaja na poslovanje (BIA) radi utvrđivanja kritičnih procesa i njihovih ciljeva vremena oporavka (RTO).
• Razvoj i dokumentiranje planova BCM-a i DR-a koji su jasni, provedivi i dostupni.
• Redovito testiranje tih planova kroz realistične scenarije, uključujući simulacije kibernetičkih napada. Zahtjev DORA-e za Threat-Led Penetration Testing za određene subjekte vrhunac je te prakse.

Slijedeći ove korake i ugrađujući ih u ISMS usklađen s ISO 27001, organizacije mogu izgraditi dokaziv i učinkovit program usklađenosti koji zadovoljava visoku razinu zahtjeva NIS2 i DORA.

Povezivanje cjeline: uvidi za usklađenost kroz više regulatornih okvira

Jedan od najučinkovitijih načina pristupa NIS2 i DORA jest prepoznati njihovo značajno preklapanje s postojećim, globalno priznatim standardima, osobito okvirom ISO/IEC 27001 i 27002. Promatranje tih novih propisa kroz prizmu ISO kontrola omogućuje organizacijama da iskoriste postojeća ulaganja u ISMS i izbjegnu izmišljanje već uspostavljenih rješenja.

Zenith Controls pruža ključne unakrsne reference koje pojašnjavaju te veze i pokazuju kako jedna kontrola iz ISO/IEC 27002:2022 može pomoći u ispunjavanju zahtjeva iz više propisa.

Upravljanje i politike (ISO/IEC 27002:2022 kontrola 5.1): Mandat za nadzor upravljačkog tijela temelj je i NIS2 i DORA. To se u potpunosti podudara s kontrolom 5.1, koja se usredotočuje na uspostavu jasnih politika informacijske sigurnosti. Kako objašnjava Zenith Controls, ta je kontrola temeljna za dokazivanje predanosti vodstva.

Ova kontrola izravno podržava NIS2 Article 20, kojim se upravljačka tijela smatraju odgovornima za nadzor implementacije mjera upravljanja rizicima kibernetičke sigurnosti. Također je usklađena s DORA Article 5, koji zahtijeva da upravljačko tijelo definira, odobri i nadzire okvir digitalne operativne otpornosti.

Implementacijom robusnog okvira politika koji vodstvo odobrava i redovito pregledava stvarate primarne dokaze potrebne za ispunjavanje tih ključnih članaka o upravljanju.

Upravljanje incidentima (ISO/IEC 27002:2022 kontrola 5.24): Zahtjevni zahtjevi oba propisa za prijavljivanje incidenata izravno se adresiraju zrelim planom upravljanja incidentima. Kontrola 5.24 (planiranje i priprema upravljanja incidentima informacijske sigurnosti) pruža strukturu za to. Usklađenost je izričita:

Ova kontrola ključna je za usklađenost s NIS2 Article 21(2), koji propisuje mjere za postupanje sa sigurnosnim incidentima, i Article 23, koji utvrđuje stroge rokove prijavljivanja incidenata. Također se mapira na detaljan proces upravljanja incidentima prema DORA Article 17, koji uključuje klasifikaciju i prijavljivanje većih incidenata povezanih s IKT-om.

Dobro dokumentiran i testiran plan odgovora na incidente temeljen na toj kontroli nije samo dobra praksa; on je izravan preduvjet za usklađenost s NIS2 i DORA.

IKT rizik trećih strana (ISO/IEC 27002:2022 kontrola 5.19): Snažan fokus DORA-e na opskrbni lanac jedno je od njezinih ključnih obilježja. Kontrola 5.19 (informacijska sigurnost u odnosima s dobavljačima) daje okvir za upravljanje tim rizicima. Zenith Controls naglašava tu ključnu poveznicu:

Ova kontrola temeljna je za adresiranje opsežnih zahtjeva u poglavlju V Uredbe DORA o upravljanju IKT rizikom trećih strana. Također podržava NIS2 Article 21(2)(d), koji zahtijeva da subjekti osiguraju sigurnost svojih opskrbnih lanaca, uključujući odnose između svakog subjekta i njegovih izravnih dobavljača.

Implementacija procesa opisanih u kontroli 5.19, poput provjere dobavljača, ugovornih sporazuma i kontinuiranog praćenja, izgrađuje upravo one sposobnosti koje DORA i NIS2 zahtijevaju.

Neprekidnost poslovanja (ISO/IEC 27002:2022 kontrola 5.30): U svojoj srži, DORA se odnosi na otpornost. Kontrola 5.30 (IKT spremnost za neprekidnost poslovanja) ISO je ekvivalent tog načela. Veza je izravna i snažna.

Ova kontrola temelj je za ispunjavanje glavnog cilja DORA-e, a to je osigurati neprekidnost poslovanja i otpornost IKT sustava. Izravno podržava zahtjeve navedene u poglavlju III Uredbe DORA (testiranje digitalne operativne otpornosti) i poglavlju IV (upravljanje IKT rizikom trećih strana). Također je usklađena s NIS2 Article 21(2)(e), koji propisuje politike neprekidnosti poslovanja, kao što su upravljanje sigurnosnim kopijama i oporavak od katastrofe.

Izgradnjom programa BCM-a oko te kontrole istodobno izgrađujete temelje za usklađenost s DORA-om. To pokazuje da ISO 27001 nije paralelan kolosijek, nego izravan pokretač ispunjavanja novih europskih regulatornih zahtjeva.

Brzi pregled: Prilog A ISO 27001 u odnosu na NIS2 i DORA

Ovo usklađenje pokazuje kako jedna ISO kontrola može pomoći u ispunjavanju više regulatornih zahtjeva, čineći ISO 27001 izravnim pokretačem usklađenosti s NIS2 i DORA.

Priprema za nadzor: što će revizori pitati

Kada regulatori ili revizori dođu u provjeru, tražit će konkretne dokaze živog programa sigurnosti i otpornosti, a ne samo skup dokumenata. Provjeravat će postoje li dokazi da se vaše politike provode, da su kontrole učinkovite i da su planovi testirani. Razumijevanje njihova fokusa omogućuje vam pripremu odgovarajućih dokaza i osigurava da su timovi spremni odgovoriti na zahtjevna pitanja.

Smjernice iz Zenith Blueprint, plana rada za revizore, daju dragocjen uvid u ono što možete očekivati. Revizori će sustavno prolaziti kroz ključne domene, a vi morate biti spremni za svaku od njih.

Slijedi kontrolni popis onoga što će revizori tražiti i što će učiniti, prema njihovoj metodologiji:

1. Upravljanje i predanost rukovodstva:

• Što će tražiti: zapisnike sa sastanaka upravljačkog tijela, povelje odbora za rizike i odobrene primjerke glavnih politika informacijske sigurnosti.
• Što će učiniti: Kako je opisano u Zenith Blueprint, „Faza 1, korak 3: Razumijevanje okvira upravljanja”, revizori će „provjeriti je li upravljačko tijelo formalno odobrilo politiku ISMS-a i prima li redovite informacije o profilu rizika organizacije.” Tražit će dokaze aktivnog angažmana, a ne samo potpis na dokumentu starom godinu dana.

2. Upravljanje rizicima trećih strana:

• Što će tražiti: cjelovit popis IKT dobavljača, ugovore s kritičnim pružateljima usluga, izvješća o procjeni rizika dobavljača i dokaze o kontinuiranom praćenju.
• Što će učiniti: Tijekom „Faze 4, koraka 22: Procjena upravljanja rizicima trećih strana”, fokus revizora bit će na dubinskoj analizi dobavljača i ugovornoj strogoći. Zenith Blueprint navodi ključne potrebne dokaze: „Ugovori, sporazumi o razini usluge (SLA) i revizijska izvješća dobavljača.” Revizori će detaljno pregledati te dokumente kako bi se uvjerili da sadrže posebne odredbe koje DORA zahtijeva, kao što su prava na reviziju i jasne sigurnosne obveze.

3. Planovi odgovora na incidente i neprekidnosti poslovanja:

• Što će tražiti: vaš plan odgovora na incidente, plan neprekidnosti poslovanja, plan oporavka od katastrofe i, najvažnije, rezultate najnovijih testova, vježbi i simulacija.
• Što će učiniti: Revizori neće samo čitati vaše planove. Kako je detaljno navedeno u „Fazi 3, koraku 15: Pregled planova odgovora na incidente i neprekidnosti poslovanja”, njihov je fokus na „testiranju i validaciji planova.” Tražit će izvješća nakon provedbe simulacijskih vježbi za stolom, rezultate penetracijskog testiranja (osobito TLPT izvješća za DORA) i dokaze da su nalazi iz tih testiranja praćeni do otklanjanja nedostataka. Plan koji nikada nije testiran revizor smatra planom koji ne postoji.

4. Podizanje sigurnosne svijesti i osposobljavanje:

• Što će tražiti: materijale za osposobljavanje, zapise o završetku za različite skupine zaposlenika (uključujući upravljačko tijelo) i rezultate simulacija phishinga.
• Što će učiniti: U „Fazi 2, koraku 10: Procjena podizanja sigurnosne svijesti i osposobljavanja” revizori će „procijeniti učinkovitost programa osposobljavanja pregledom njegova sadržaja, učestalosti i stopa dovršetka.” Željet će vidjeti da je osposobljavanje prilagođeno specifičnim ulogama i da se njegova učinkovitost mjeri.

Unaprijed pripremljeni dokazi pretvorit će reviziju iz stresnog, reaktivnog prikupljanja informacija u urednu demonstraciju zrelosti vaše organizacije i njezine predanosti otpornosti.

Uobičajene zamke

Iako je put prema usklađenosti s NIS2 i DORA jasan, nekoliko uobičajenih zamki može zaustaviti čak i dobro zamišljene napore. Svijest o tim rizicima prvi je korak u njihovu izbjegavanju.

1. Mentalitet „samo IT”: Tretiranje NIS2 i DORA kao problema isključivo IT odjela ili odjela kibernetičke sigurnosti najčešća je pogreška. Riječ je o propisima na razini poslovanja, usmjerenima na operativnu otpornost. Bez prihvaćanja i aktivnog sudjelovanja upravljačkog tijela i voditelja poslovnih jedinica, svaki napor za usklađivanje neće adresirati temeljne zahtjeve upravljanja i vlasništva nad rizikom.

2. Podcjenjivanje opskrbnog lanca: Mnoge organizacije imaju slijepu točku kada je riječ o stvarnom opsegu njihove ovisnosti o IKT pružateljima usluga trećih strana. DORA osobito zahtijeva duboko i iscrpno razumijevanje tog ekosustava. Samo slanje sigurnosnog upitnika više nije dovoljno. Nepravilna identifikacija svih kritičnih dobavljača i neugrađivanje robusnih zahtjeva sigurnosti i otpornosti u ugovore predstavlja značajan nedostatak usklađenosti.

3. Otpornost „na papiru”: Izrada detaljnih planova odgovora na incidente i neprekidnosti poslovanja koji dobro izgledaju na papiru, ali nikada nisu testirani u realističnom scenariju. Revizori i regulatori to će lako prepoznati. Otpornost se dokazuje djelovanjem, a ne dokumentacijom. Izostanak redovitog i rigoroznog testiranja jasan je znak upozorenja da organizacija nije spremna za stvarnu krizu.

4. Ignoriranje obavještajnih podataka o prijetnjama: Puko reagiranje na prijetnje gubitnička je strategija. I NIS2 i DORA implicitno i eksplicitno zahtijevaju proaktivniji sigurnosni pristup vođen obavještajnim podacima. Organizacije koje ne uspostave proces prikupljanja, analize i primjene obavještajnih podataka o prijetnjama teško će dokazati da učinkovito upravljaju rizikom i uvijek će biti korak iza napadača.

5. Tretiranje usklađenosti kao jednokratnog projekta: NIS2 i DORA nisu projekti s datumom završetka. Oni uspostavljaju trajni zahtjev za praćenjem, izvješćivanjem i kontinuiranim poboljšanjem. Organizacije koje to promatraju kao utrku do roka, a zatim smanjuju resurse, brzo će izaći iz usklađenosti i biti nespremne za sljedeću reviziju ili, još gore, sljedeći incident.

Sljedeći koraci

Put prema usklađenosti s NIS2 i DORA maraton je, a ne sprint. Zahtijeva strateški, strukturiran pristup utemeljen na provjerenim okvirima. Najučinkovitiji put naprijed jest koristiti sveobuhvatne kontrole ISO 27001 kao temelj.

1. Provedite analizu nedostataka: Započnite procjenom trenutačnog profila u odnosu na zahtjeve NIS2, DORA i ISO 27001. Naš ključni vodič, Zenith Controls, pruža detaljno mapiranje potrebno za razumijevanje gdje vaše kontrole ispunjavaju zahtjeve, a gdje postoje praznine.

2. Izgradite svoj ISMS: Ako ga još nemate, uspostavite formalni sustav upravljanja informacijskom sigurnošću. Upotrijebite naš skup predložaka politika, kao što su Full SME Pack - SME ili Full Enterprise Pack, kako biste ubrzali razvoj svojeg okvira upravljanja.

3. Pripremite se za revizije: Od prvog dana usvojite način razmišljanja revizora. Upotrijebite Zenith Blueprint kako biste razumjeli kako će se vaš program provjeravati i kako biste izgradili bazu dokaza potrebnu za sigurno dokazivanje usklađenosti.

Zaključak

Dolazak Direktive NIS2 i Uredbe DORA označava prijelomni trenutak za kibernetičku sigurnost i operativnu otpornost u Europi. One nisu tek postupna ažuriranja postojećih pravila, nego temeljito preoblikovanje regulatornih očekivanja, s većom odgovornošću vodstva, dubljom provjerom opskrbnog lanca i opipljivom predanošću otpornosti.

Iako je izazov značajan, on je ujedno i prilika. To je prilika za odmak od usklađenosti po principu označavanja kućica i izgradnju zaista robusnog sigurnosnog profila koji ne zadovoljava samo regulatore, nego i štiti poslovanje od sve veće prijetnje poremećaja. Korištenjem strukturiranog pristupa temeljenog na riziku koji pruža ISO 27001 organizacije mogu izgraditi jedinstven, objedinjeni program koji učinkovito i djelotvorno adresira temeljne zahtjeve oba propisa. Put naprijed zahtijeva predanost, ulaganja i kulturni pomak vođen s vrha, ali ishod je organizacija koja nije samo usklađena, nego je stvarno otporna na moderne digitalne prijetnje.