Usklađenje i samoprocjena kibernetičke sigurnosti

Zavod za sigurnost informacijskih sustava, temeljem obveza iz Zakona i Uredbe o kibernetičkoj sigurnosti, izradio je službene Smjernice za provedbu samoprocjena kibernetičke sigurnosti koje su dostupne na službenim mrežnim stranicama ZSIS-a:

Smjernice za provedbu samoprocjene kibernetičke sigurnosti
Prilog A - Kalkulator za samoprocjenu kibernetičke sigurnosti
Prilog B - Okvir za evaluaciju mjera upravljanja kibernetičkim sigurnosnim rizicima
Prilog C - Katalog kontrola

Smjernice s pripadajućim prilozima objavljuju se na mrežnim stranicama ZSIS-a te su javno dostupni. One omogućuju dosljednu primjenu regulatornih zahtjeva, pomažu u identifikaciji slabih točaka i predstavljaju temelj za definiranje mjera za unaprjeđenje kibernetičke sigurnosti. 

Smjernice objavljene na mrežnim stranicama Zavoda za sigurnost informacijskih sustava jedini su važeći službeni dokument sa svim svojim sastavnim dijelovima koji su svi subjekti koji su kategorizirani kao važni u smislu Zakona i Uredbe dužni provoditi. 

Također ove smjernice mogu primjenjivati i svi subjekti koji su kategorizirani kao ključni kao i oni subjekti koji će to provoditi na dobrovoljnoj osnovi s obzirom da iste smjernice koriste i službeni revizori koji će ocjenjivati takve subjekte.

Uporaba svih drugih dokumenata, standarda, okvira i alata za provođenje službenih samoprocjena kibernetičke sigurnosti se ne preporuča, jer isti ne predstavljaju važeći propis donesen sukladno odredbama Zakona i Uredbe.

Kratak pregled smjernica za provedbu samoprocjene kibernetičke sigurnosti

Prilog A - Kalkulator za samoprocjenu kibernetičke sigurnosti

Prilikom provedbe samoprocjene kibernetičke sigurnosti mora se koristiti i popuniti ovaj tablični kalkulator koji služi za bodovanje i izračun stupnja usklađenosti uspostavljenih mjera upravljanja kibernetičkim sigurnosnim rizicima i trenda podizanja razine zrelosti kibernetičke sigurnosti subjekta. Kada ocjena dokumentiranja ili primjene ispuni uvjete pojedinačnih kontrola automatski se mijenja boja pozadine u zelenu boju. Osim toga se gleda i skupna ocjena kontrola kako bi neka mjera bila zadovoljena.

Kalkulator samoprocjene

Bodovanje kontrola definirano je u “Prilog B - Okvir za evaluaciju”. Tablični kalkulator koristi to bodovanje kako bi automatski prikazao prolaznost svake kontrole za osnovnu, srednju i naprednu razinu kibernetičke sigurnosti. Kalkulator sadrži više listova (sheets) i koristi se odgovarajući list sukladno razini kibernetičke sigurnosti koju je potrebno postići.

Izjava o sukladnosti

Izjava o sukladnosti nalazi se na zadnjem listu tabličnog kalkulatora. Ako organizacija ispuni sve kriterije (tj. sve kontrole i skupovi kontrola prikažu zelenu pozadinu umjesto crvene) popunjava se Izjava o sukladnosti. Izjava između ostaloga treba sadržavati ime, prezime i potpis osobe koja je provela samoprocjenu te ime, prezime i potpis osobe odgovorne za upravljanje mjerama kibernetičke sigurnosti. 

Samoprocjena kibernetičke sigurnosti

Za provedbu samoprocjene kibernetičke sigurnosti subjekt je sukladno Članku 56 Uredbe dužan odrediti svoje zaposlenike ili vanjske suradnike koji posjeduju najmanje:

  • relevantna znanja iz implementacije međunarodnih normi iz područja informacijske ili kibernetičke sigurnosti
  • potvrdu o završenoj vanjskoj ili internoj edukaciji za internog revizora po nekoj od relevantnih međunarodnih normi iz područja informacijske ili kibernetičke sigurnosti
  • jednu godinu radnog iskustva u okviru provođenja sličnih vrsta interne revizije u području mrežnih i informacijskih sustava odnosno kibernetičke sigurnosti.

Samoprocjenu je potrebno vršiti najmanje jednom u dvije godine te o provedenim samoprocjenama kibernetičke sigurnosti izvještavati središnje državno tijelo za kibernetičku sigurnost. Za subjekte koji su obvezni provoditi samoprocjenu a istu ne provode određene su novčane kazne u iznosu od 5000,00 eura do 7.000.000,00 eura ili u iznosu od 0,2 % do najviše 1,4 % ukupnog godišnjeg prometa dotičnog subjekta na svjetskoj razini ostvarenog u prethodnoj financijskoj godini, ovisno o tome koji je iznos veći.

Izjavu o sukladnosti važni subjekti dužni su dostaviti nadležnom tijelu za provedbu zahtjeva kibernetičke sigurnosti bez odgode, a najkasnije u roku od osam dana od dana njihova sastavljanja. Troškove provedbe samoprocjena kibernetičke sigurnosti snose važni subjekti.

Subjekt je dužan izjavu o sukladnosti i drugu dokumentaciju nastalu u postupku samoprocjene kibernetičke sigurnosti čuvati 10 godina od sastavljanja takve izjave.

Što ako rezultati provedene samoprocjene kibernetičke sigurnosti pokazuju da uspostavljene mjere upravljanja kibernetičkim sigurnosnim rizicima nisu u skladu s mjerama upravljanja kibernetičkim sigurnosnim rizicima propisanim Zakonom i Uredbom? U tom slučaju važni subjekti dužni su utvrditi plan daljnjeg postupanja, uključujući plan za pravodobnu ponovnu samoprocjenu kibernetičke sigurnosti i ispravljanje utvrđenih nedostataka.

Prilog B - Okvir za evaluaciju mjera upravljanja kibernetičkim sigurnosnim rizicima

Svaka razina mjere (osnovna, srednja i napredna) ima propisanu minimalnu ocjenu koju subjekt mora zadovoljiti. Sustav ocjenjivanja podmjera temelji se na ispunjavanju uvjeta pojedinačnih kontrola i ukupne ocjene za odgovarajuću razinu. Svaka kontrola ima postavljen minimalni bodovni prag ocjene koji mora biti ispunjen kako bi se smatrala zadovoljenom. Na primjer, ako je bodovni prag za određenu kontrolu definiran kao „≥2“, subjekt mora ostvariti ocjenu jednaku ili veću od 2 kako bi zadovoljio taj kriterij i prošao pojedinačnu kontrolu.

Ocjene iz ovog priloga već su unijete u “Prilog A - Kalkulator samoprocjene” u obliku formula koje vrše automatski izračun i pružaju vizualni prikaz je li neka kontrola ili skup kontrola zadovoljavajuća za potrebnu razinu kibernetičkih mjera koje subjekt mora ostvariti. Ovaj dokument koristi se tijekom uspostave kontrola kako bi se unaprijed odredila minimalna razina sigurnosnih mehanizama koje treba postići po pitanju opsega dokumentiranja i razine primjene za svaku kontrolu.

Samoprocjena kibernetičke sigurnosti

Prilog C - Katalog kontrola

Ovaj prilog sadrži kontrole za mjere i podskupove mjera upravljanja kibernetičkim sigurnosnim rizicima propisanih Prilogom II. „Mjere upravljanja kibernetičkim sigurnosnim rizicima“ Uredbe o kibernetičkoj sigurnosti. Kontrolom se smatra organizirani skup politika, procedura, procesa ili tehničkih mehanizama koji imaju za cilj upravljanje i smanjenje rizika u području kibernetičke sigurnosti kroz prevenciju, detekciju ili odgovor na potencijalne prijetnje.

Primjer jedne takve kontrole (UPR-002) može se vidjeti na slici ispod. Kontrola objašnjava što je potrebno učiniti kako bi se kontrola dokumentirala i primijenila te što se provjerava tijekom samoprocjene / revizije.

Samoprocjena kibernetičke sigurnosti

Kako bi se ova kontrola povezala s ranije spomenutim bodovanjima iz drugih priloga, za svaku kontrolu su navedene i službene smjernice za ocjenjivanje koje definiraju što kontrola mora sadržavati kako bi se mogla ocijeniti u rasponu od 1-5.

Samoprocjena kibernetičke sigurnosti

Samo je jedna službeno odobrena metodologija

Jedina službeno odobrena metodologija za vršenje samoprocjena kibernetičke sigurnosti nalazi se u smjernicama Zavoda za sigurnost informacijskih sustava te je koriste i službeni revizori kod procjene sigurnosnih mjera za kritične subjekte. 

Službena metodologija koristi se kako bi se osiguralo objektivno i dosljedno ocjenjivanje za sve organizacije na području RH i samo se na osnovu nje može sastaviti Izjava o sukladnosti.

Postoje mnoge druge metodologije ocjenjivanja koje se koriste u sklopu međunarodnih standarda informacijske sigurnosti poput ISO/IEC 27001, NIST, COBIT itd. Međutim, nijedna od njih nije primjenjiva za vršenje samoprocjena kibernetičke sigurnosti ili izradu GAP analize ili analize usklađenosti. Analiza izvršena drugim alatima je beskorisna s obzirom da takva analiza neće obuhvatiti sva područja niti će dati do znanja do koje je razine ispunjena određena kontrola. Primjera radi, određivanje ključnih resursa i način na koji se takvi resursi određuju nije sastavni dio ISO/IEC 27001:2022 standarda informacijske sigurnosti pa metodologije i alati koji se koriste za procjenu usklađenosti s ISO/IEC 27001:2022 standardom neće obuhvatiti kontrole koje ne postoje u tom međunarodnom standardu.

Postoje mnoge organizacije na tržištu koje tvrde da vrše tzv. NIS2 Gap analizu ili Analizu usklađenosti ali pritom se koriste alatima i metodologijama koje se koriste za neki od međunarodnih standarda informacijske sigurnosti umjesto da koriste “Prilog A - Kalkulator samoprocjene” i službene smjernice. Korištenje drugih alata i metodologija je bačen novac. Morat ćete čitavu analizu vršiti ponovno putem službenog kalkulatora samoprocjene kako bi mogli ispuniti Izjavu o sukladnosti i kako biste bili sigurni da su provedene sve kontrole, na način i u obimu kako se to od vaše organizacije zahtjeva. 

Također postoje i mnogi koji nude tzv. NIS2 uspostavu ili prilagodbu, a koji također ne slijede službene smjernice i ne koriste “Prilog A - Kalkulator samoprocjene”. Na žalost izuzetak u takvoj zavaravajućoj praksi nisu ni velike korporacije u Hrvatskoj koje koriste vlastite izmišljene metodologije kojima pokušavaju progurati svoja ostala tehnička rješenja kao sastavni dio NIS2 prilagodbe. Svaka usluga prilagodbe koja ne slijedi službene smjernice dovest će vas u velike probleme s obzirom da nećete moći sastaviti Izjavu o sukladnosti te ćete dvostruko plaćati uslugu prilagodbe. 

Osnovnu razinu kibernetičke sigurnosti možete osigurati bez korištenja naprednih tehničkih rješenja, ona su potrebna samo ako se od vas zahtjeva visoka razina kibernetičke sigurnosti ili ih odlučite dobrovoljno koristiti kao rezultat vaše interne procjene rizika.

Važno je razumjeti da se analiza, uspostava ili prilagodba mora vršiti u skladu sa smjernicama i pomoću tabličnog kalkulatora ZSIS-a. One su sam temelj prilagodbe s obzirom da donose popis svih kontrola koje je potrebno uspostaviti, pružaju objašnjenja za uspostavu i navode revizorske zahtjeve. 

Stoga zahtijevajte da pružatelj usluge koji vam treba izvršiti navedene zadaće obavezno u ponudi ili ugovoru navede da će koristiti službene alate sa stranica ZSIS-a kako biste osigurali da se neće koristiti drugim neodobrenim metodologijama i alatima. Samo tako ćete biti sigurni da je posao obavljen na pravilan način i izbjeći naknadna plaćanja ispravaka, nadopuna i vršenja samoprocjene kibernetičke sigurnosti.

“NIS2 usklađenje” koje ne slijedi smjernice ZSIS-a nije usklađenje!

Napisao: Dragan Podvorec
Datum: 31.05.2025
DPA - vaši podaci zaslužuju najbolju zaštitu