NIS2 Direktiva (Zakon i Uredba o kibernetičkoj sigurnosti u RH)

Usklađivanje s NIS2 direktivom, kao i s nacionalnim Zakonom i Uredbom o kibernetičkoj sigurnosti, zahtijeva od ključnih i važnih subjekata sustavno, dokumentirano i dokazivo upravljanje kibernetičkim sigurnosnim rizicima. Nacionalni regulatorni okvir jasno definira da se usklađenost ne provjerava isključivo kroz vanjske nadzore i revizije, već i kroz samoprocjene i revizije kibernetičke sigurnosti, provedene prema službenim smjernicama nadležnih tijela.

Samoprocjena kibernetičke sigurnosti, provedena prema službenim smjernicama nadležnih tijela, predstavlja ključni mehanizam usklađivanja s NIS2 okvirom u Hrvatskoj. Ona omogućuje ne samo provjeru usklađenosti, već i kontinuirano upravljanje razinom kibernetičke sigurnosti i otpornosti subjekta.

Samoprocjena predstavlja formalni i strukturirani mehanizam kojim subjekt samostalno, ali prema propisanoj metodologiji, utvrđuje stupanj usklađenosti uspostavljenih mjera upravljanja kibernetičkim sigurnosnim rizicima te prati trend podizanja razine zrelosti kibernetičke sigurnosti.

Naš pristup osigurava da samoprocjena bude stručna, objektivna i u potpunosti usklađena s regulatornim očekivanjima, te da služi kao stvarni alat za upravljanje rizicima, a ne samo formalna obveza.

Regulatorna osnova samoprocjene i revizije

Smjernice za provedbu samoprocjene i revizije kibernetičke sigurnosti, koje je donio Zavod za sigurnost informacijskih sustava, definiraju:

• obveznike provedbe samoprocjene
• učestalost provedbe
• metodologiju ocjenjivanja dokumentiranih i implementiranih mjera
• način izračuna stupnja usklađenosti i trenda zrelosti

Samoprocjena se provodi u odnosu na mjere upravljanja kibernetičkim sigurnosnim rizicima propisane Prilogom II. Uredbe, uz primjenu:

• Pravila sigurnosne certifikacije za reviziju kibernetičke sigurnosti
• Smjernica za provedbu samoprocjene kibernetičke sigurnosti
• Kalkulatora samoprocjene (Prilog A)
• Okvira za evaluaciju (Prilog B), koji definira bodovne pragove i razine zahtjeva
• Kataloga kontrola (Prilog C), koji detaljno razrađuje pojedinačne kontrole, kriterije ocjenjivanja i povezanost s međunarodnim standardima

Naš pristup samoprocjeni kibernetičke sigurnosti

Pružamo stručnu i metodološku podršku u provedbi samoprocjena kibernetičke sigurnosti, u potpunosti usklađenu sa službenim smjernicama i nacionalnim regulatornim zahtjevima. Naš pristup osigurava da samoprocjena ne bude formalna vježba, već realan i auditno održiv prikaz stvarnog stanja kibernetičke sigurnosti subjekta.

Podrška obuhvaća:

• tumačenje regulatornih zahtjeva i primjenjive razine mjera (osnovna, srednja, napredna)
• strukturirano provođenje samoprocjene po svim propisanim mjerama i podskupovima mjera
• stručno vrednovanje dokumentacije i implementacije kontrola, u skladu s kriterijima ocjenjivanja
• identifikaciju nesukladnosti, slabosti i područja za poboljšanje
• izradu jasnih preporuka i plana daljnjeg postupanja

Evaluacija prema Katalogu kontrola

Samoprocjena se provodi kroz detaljnu analizu kontrola raspoređenih u definirane kategorije, uključujući, između ostalog:

• politike i procedure kibernetičke sigurnosti
• organizacijske uloge, odgovornosti i upravljačke mehanizme
• upravljanje rizicima, imovinom i opskrbnim lancem
• upravljanje incidentima i kontinuitetom poslovanja
• nadzor, detekciju i odgovor na sigurnosne događaje

Svaka kontrola ocjenjuje se zasebno kroz razinu dokumentiranosti i razinu implementacije, čime se dobiva objektivan i usporediv prikaz stanja sigurnosnih mjera, sukladno propisanim bodovnim pragovima.

Stupanj usklađenosti i trend zrelosti

Rezultati samoprocjene omogućuju:

• izračun ukupnog stupnja usklađenosti s propisanom razinom mjera
• praćenje trenda podizanja razine zrelosti kibernetičke sigurnosti kroz vrijeme

Ovakav pristup omogućuje upravi i odgovornim osobama donošenje informiranih odluka, prioritetizaciju ulaganja i sustavno unaprjeđenje kibernetičke sigurnosti, uz jasnu poveznicu prema regulatornim očekivanjima.

Priprema za nadzor i daljnje korake

Ispravno provedena samoprocjena predstavlja:

• temelj za sastavljanje Izjave o sukladnosti, kada su ispunjeni propisani uvjeti
• kvalitetnu pripremu za reviziju kibernetičke sigurnosti ili stručni nadzor
• ulaznu točku za daljnje aktivnosti poboljšanja i povećanja otpornosti

Naša uloga je osigurati da svaki korak bude metodološki ispravan, regulatorno utemeljen i dokumentacijski održiv, čime se smanjuje rizik regulatornih nalaza i osigurava dugoročna usklađenost.

Ovlaštene revizije kibernetičke sigurnosti prema Zakonu o kibernetičkoj sigurnosti  (3rd party audit)

• kritična infrastruktura – ključni subjekti
• provođenje ovlaštene revizije kibernetičke sigurnosti prema Pravilima sigurnosne certifikacije v1.0 Zavoda za sigurnost informacijskih sustava Republike Hrvatske
• potpuno neovisna i nepristrana procjena sustava

Prvi smo certificirani u Republici Hrvatskoj i posjedujemo aktivni nacionalni sigurnosni certifikat za provedbu revizija kibernetičke sigurnosti prema Zakonu o kibernetičkoj sigurnosti. Broj certifikata: PRUS nr. NSC-RKS-2026-001

Naša ekspertiza i kredibilitet

Naše implementacije i audite provode isključivo stručnjaci s najvišim razinama profesionalnih certifikata iz područja koja implementiraju i auditiraju. Riječ je o senior konzultantima i senior vodećim certifikacijskim auditorima te vodećim tutorima s aktivnim statusom i dugogodišnjim iskustvom u radu s međunarodnim normama, regulatornim okvirima, certifikacijskim shemama i naprednim tehnologijama.

Uz to, naši stručnjaci su aktivno uključeni u europska stručna, nadzorna i savjetodavna tijela, uključujući ENISA (European Union Agency for Cybersecurity) i EDPB (European Data Protection Board), gdje kao key eksperti sudjeluju u razvoju smjernica, certifikacijskih shema, regulatornih tumačenja i najboljih praksi u područjima kibernetičke sigurnosti, otpornosti i kontinuiteta poslovanja, zaštite podataka, privatnosti i digitalne regulative.

Ovakva kombinacija opsežnog auditorskog (revizorskog) iskustva u regulatorno i tehnološki kompleksnim sektorima, aktivnih funkcija u relevantnim europskim institucijama i edukacijskih autoriteta omogućuje nam da klijentima ne nudimo samo formalnu usklađenost, već stvarno primjenjiva, revizijski održiva i regulatorno robusna rješenja.

Naš tim čine:

• aktivni senior auditori i tehnički eksperti, s redovitim angažmanom na internim, dobavljačkim i certifikacijskim auditima
• third-party senior vodeći auditori za renomirane mađunarodno akreditirane certifikacijske kuće, s iskustvom provedbe certifikacijskih i nadzornih audita
• ovlašteni akreditirani vodeći mentori (Lead Tutors) najvećih svjetskih akreditiranih certifikacijskih i edukacijskih kuća
• stručnjaci s najvišim razinama certifikata (Lead Tutor, Lead Auditor, Lead Conformity Assessor, Lead Implementer) u područjima informacijske sigurnosti, zaštite osobnih podataka, otpornosti i kontinuiteta poslovanja, industrijske sigurnosti, upravljanja rizicima, usklađenosti, ESG-a i umjetne inteligencije.

APICURA CERT
Passion for security and resilience.