Procjene pokazuju da će globalni troškovi kibernetičkog kriminala već ove godine doseći čak 10,5 milijardi dolara. To znači da je kibernetička sigurnost postala izrazito važan preduvjet svakog oblika poslovanja. Upravo zbog povećanog rizika od kibernetičkih napada, Europska unija uvela je NIS2 direktivu.
Spremnost na obveze i zahtjeve NIS2 direktive može se procijeniti kroz GAP analizu, jednostavan i učinkovit alat koji pomaže izbjeći visoke kazne i povećati sigurnost svog poslovanja.
Iako je spomenuta direktiva stupila na snagu u prvom mjesecu 2023. godine, u Hrvatskoj je implementacija propisanih smjernica od kompanija započela od 18. listopada prošle godine. NIS2 postavlja strože zahtjeve za poduzeća u takozvanim ključnim i važnim sektorima – energetici, zdravstvu, prometu, IT uslugama, financijama i drugima. No, za razliku od prethodne verzije, sada više nisu zahvaćene samo velike tvrtke. Sve više i mali i srednji poduzetnici ulaze u obuhvat regulative. Ako pružate digitalne usluge, poslujete kao dobavljač većim sustavima ili radite u reguliranom sektoru, vrlo je vjerojatno da ste među obveznicima.
Što je GAP analiza i zašto je važna?
GAP analiza je prvi korak za procjenu spremnosti vaše tvrtke na zahtjeve NIS2 direktive. Riječ je o sustavnom pregledu stanja u kojem se vaša organizacija trenutno nalazi u odnosu na ono što direktiva propisuje.
GAP analiza vam pokazuje gdje se nalazite, gdje trebate biti i što trebate napraviti da biste to postigli. Drugim riječima, GAP analiza je analiza nedostataka, odnosno sustavan proces kojim organizacija procjenjuje koliko njezine postojeće prakse, politike i tehnička rješenja udovoljavaju zahtjevima neke regulative, u ovom slučaju NIS2.
Ključne karakteristike GAP analize prema NIS2 direktivi
Ova analiza donosi procjenu trenutnog stanja, analiziraju se postojeće sigurnosne politike, procedure, tehnologije i sposobnosti organizacije za upravljanje incidentima. Postojeće stanje uspoređuje se s obvezama i standardima koje propisuje NIS2 direktiva, a zatim se utvrđuju područja u kojima organizacija ne ispunjava zahtjeve direktive – takozvani “gaps” ili nedostaci.
Slijedi prioritizacija rizika, procjenjuje se koliko su identificirani nedostaci kritični za sigurnost i usklađenost s regulativom, što pomaže u određivanju prioriteta za njihovo otklanjanje.
Na temelju analize izrađuje se detaljan plan aktivnosti za otklanjanje utvrđenih nedostataka i jačanje kibernetičke otpornosti, a zatim se uspostavlja sustav za praćenje napretka i redovito ažuriranje sigurnosnih mjera kako bi se održala usklađenost s NIS2 zahtjevima.
Zašto je GAP analiza važna?
GAP analiza omogućuje organizaciji da jasno vidi gdje postoje rizici i slabosti u odnosu na NIS2, pomaže u planiranju i učinkovitom korištenju resursa za postizanje usklađenosti.
Također, služi kao dokaz regulatorima o proaktivnom pristupu sigurnosti i usklađenosti, što može pomoći u izbjegavanju kazni i drugih posljedica zbog neusklađenosti i jača ukupnu otpornost organizacije na kibernetičke prijetnje i incidente.
Što sve obuhvaća GAP analiza?
Kvalitetna GAP analiza utvrdit će imate li odgovarajuće politike i procedure, tko je odgovoran za sigurnost, kako se čuvaju podaci, koristite li antivirusne sustave, firewallove, šifriranje, redovite nadogradnje. Vrlo je važno i što će istražiti jesu li zaposlenici educirani o prevarama, phishingu i sigurnom radu na internetu kao i znate li što napraviti ako se dogodi napad.
Kako bi ju ispravno proveli, angažirajte stručnjake koji su upoznati s NIS2 zahtjevima te provedite GAP analizu kako biste saznali koliko ste blizu ili daleko od usklađenosti. Na temelju rezultata izradite akcijski plan za zatvaranje uočenih “rupa” – od tehničkih nadogradnji do uvođenja procedura.
Vrlo vjerojatno slijedi edukacija zaposlenika jer najčešći izvor problema uglavnom nisu alati, nego ljudi koji ih koriste. Slijedi kontinuirano praćenje i testiranje jer sigurnost nije jednokratni projekt, već proces.
Zašto djelovati već sada?
Kazne za neusklađenost s NIS2 mogu biti značajne, tu ne govorimo samo o novčanim reperkusijama, već i reputacijskim. No, osim izbjegavanja kazni, usklađenost vam donosi i dodatne koristi:
- veće povjerenje klijenata i partnera,
- smanjen rizik od kibernetičkih napada,
- bolju organizaciju internih procesa.
GAP analiza je najbolji saveznik u pripremi za NIS2. Ne odgađajte, već danas napravite prvi korak prema sigurnijem i otpornijem poslovanju. Od HT-a vrlo jednostavno zatražite analizu koja uključuje detaljnu procjenu razine kibernetičke sigurnosti temeljenu na 30 sigurnosnih domena kao što su zaštita podataka, sigurnost oblaka, upravljanje rizicima i slično. Tu je i automatsko generiranje izvještaja o usklađenosti na osnovu kojeg ćete moći definirati sljedeće korake i sigurnosne usluge potrebne za potpunu usklađenost s NIS2 direktivom.
HT-ovi sigurnosni paketi NIS2 pokrivaju širok spektar ICT usluga, pružajući fleksibilna rješenja koja se prilagođavaju specifičnim potrebama vaše tvrtke. Bilo da tek počinjete usklađivanje s direktivom NIS2 ili vam je potrebna potpuna obnova sigurnosne infrastrukture, njihov portfelj usluga pruža podršku na svakom koraku.
NIS2 paket Hrvatskog telekoma idealan je za tvrtke koje započinju svoj put kibernetičke sigurnosti, a uključuje GAP analizu, sigurnosni operativni centar (20 licenci), skeniranje ranjivosti, usluge phishing kampanja (PHISHINGaaS) te Cloud Backup – kibernetička sigurnost više nije opcija, već nužnost, a usklađenost s NIS2 direktivom temelj je sigurnog i odgovornog poslovanja.