KOLUMNA

Cybersecurity: Ključna Uloga Upravnih Odbora u Novom Regulatornom Okruženju

Cybersecurity: Ključna Uloga Upravnih Odbora u Novom Regulatornom Okruženju
Marko Gulan, privatna arhiva

Uloga upravnih odbora u kibernetičkoj sigurnosti nikada nije bila kritičnija. S napredovanjem kibernetičkih prijetnji i uvođenjem strožih regulatornih zahtjeva poput NIS2 direktive i Cyber Resilience Act-a (CRA), odbori moraju zauzeti aktivniji i strateškiji pristup. Iako ne upravljaju operativnim aspektima, njihov nadzor, strateško usmjerenje i postavljanje prioriteta ključni su za osiguranje otpornosti organizacija.

Svaka nova tehnologija nosi i nove ranjivosti. NIS2 direktiva, odnosno Zakon o kibernetičkoj sigurnosti s pripadajućom Uredbom o kibernetičkoj sigurnosti koja je na snazi od 30. studenog 2024. godine i CRA postavljaju dodatne zahtjeve, uključujući procjenu rizika, dokumentiranje sigurnosnih praksi i usklađivanje s novim standardima otpornosti. Tvrtke i odgovorne osobe sada imaju regulatornu odgovornost osigurati primjenu adekvatnih mjera zaštite i kontinuiteta poslovanja.

Što NIS2 i CRA donose?

NIS2 direktiva proširuje opseg sektora i subjekata podložnih regulaciji, od energetike i zdravstva do digitalnih usluga. Također naglašava obveze odbora u pogledu upravljanja rizikom, izrade planova odgovora na incidente i osiguravanja sigurnosne kulture.

Cyber Resilience Act fokusira se na sigurnost proizvoda s digitalnim komponentama, zahtijevajući da proizvođači osiguraju robusne sigurnosne značajke tijekom cijelog životnog ciklusa proizvoda. Ovo nameće nove odgovornosti upravnim odborima u sektorima koji koriste ili proizvode digitalne proizvode.


Nažalost, prema nekim nedavnim istraživanjima, samo 68% odbora razmatra pitanja kibernetičke sigurnosti, dok 23% nema jasno definirane planove ili strategije. Uz nove obveze koje donosi NIS2, ovakva neadekvatna uključenost može dovesti do regulatornih kazni i reputacijskih gubitaka. U situaciji gdje je učestalost napada ove godina na razini svakih 11 sekundi s tendencijom da će se taj interval 2030. smanjiti na svake dvije sekunde i gdje na mjesečnoj razini iz tvrtki sa područja EU-a iscuri gotovo 10TB podataka (10 TB podataka je ekvivalentno iznosu od cca 50 milijuna Word dokumenata)

Pet je ključnih koraka za tvrtke i odgovorne osobe:

Kibernetička sigurnost nadilazi zaštitu podataka
Digitalizacija proširuje opseg prijetnji na operacije, lance opskrbe i industrijske sustave. NIS2, točnije Zakon zahtijeva procjenu ovih rizika na strateškoj razini i razvoj integriranih sigurnosnih planova što izlazi iz okvira odgovornosti IT-ja i direktno je pod obavezom upravljačke trukture.

Nadzor kao regulatorna i strateška obveza
Tvrtke i odgovorne osobe trebaju osigurati usklađenost s npr. NIST Cybersecurity Frameworkom ili sličnim okvirima, kao što je naglašeno u NIS2 direktivi, tj Zakonu i pratećoj Uredbi o kibernetičkoj sigurnosti. CRA dodatno zahtijeva procese koji pokrivaju sigurnost proizvoda tijekom njihovog korištenja, zahtijevajući pažnju odgovornih osoba na sigurnosne procese u razvoju proizvoda.

Fokus na rizik, ugled i kontinuitet poslovanja
Dok stručnjaci za sigurnost upravljaju tehničkim rizicima, upravljačke strukture moraju osigurati da se poslovni rizici, poput utjecaja na reputaciju i kontinuitet operacija, pravilno procjenjuju i ublažavaju. NIS2 zahtijeva integraciju ovih elemenata u strateške planove i kontinuirano redefiniranje.

Dubinska obrana kao standard otpornosti
Višeslojni sigurnosni pristupi, od tehnologija i politika do sigurnosne kulture, ključni su za usklađenost s CRA-om i otpornost na prijetnje. Aktivno vježbanje planova prema NIST ili sličnim okvirima dio je ovih zahtjeva.

Kibernetička sigurnost kao organizacijski prioritet
Kibernetička sigurnost je organizacijski, a ne samo tehnički izazov. NIS2 direktiva stavlja naglasak na jačanje sigurnosne kulture unutar organizacije, dok CRA osigurava da se odgovornost za sigurnost proteže na sve razine, uključujući upravu.

NIS2 i CRA nisu samo obveze; one su prilika za odgovorne osobe da preoblikuju svoje pristupe i učine svoje organizacije otpornijima. Aktivno sudjelovanje u razvoju strategija, postavljanje pametnih pitanja i osiguravanje usklađenosti s regulatornim okvirom ključno je ne samo za izbjegavanje kazni, već i za jačanje povjerenja dioničara i tržišta.

Organizacije koje ulažu u usklađenost i otpornost danas bit će lideri u sigurnosno svjesnom poslovnom okruženju sutrašnjice.

 

Autor: Marko Gulan, Savjetnik za kibernetičku sigurnost

*Izjava: Ovaj tekst napisan je samo za ictbusiness.info i tekst neće biti niti jednom drugom mediju biti ustupljen na korištenje.