Što Zakon stvarno uređuje
Zakon o kibernetičkoj sigurnosti (NN 14/2024) je hrvatski okvir povezan s NIS2 Direktivom. Njegova logika nije "kupite alat i završili ste", nego: prepoznajte rizike, uvedite razmjerne mjere, upravljajte incidentima, osigurajte kontinuitet i budite spremni dokazati da sustav održavate.
Za upravu i vlasnike tvrtki to znači da kibernetička sigurnost prestaje biti samo IT tema. Postaje dio upravljanja rizicima, ugovornih obveza, zaštite podataka i reputacije.
Tko može biti obveznik i zašto to treba provjeriti
Ne može se odgovorno reći "sve tvrtke su obveznici" ili "to vrijedi samo za velike". Potrebna je klasifikacija po sektoru, veličini, tipu usluge i ulozi u kritičnom ili važnom lancu opskrbe.
- Tvrtka može biti direktno obuhvaćena sektorom ili uslugom.
- Može biti dobavljač većeg subjekta koji traži sigurnosne dokaze.
- Može obrađivati osjetljive ili osobne podatke pa ima dodatne GDPR rizike.
- Može ovisiti o Microsoft 365, Google Workspace, web shopu ili aplikaciji koja mora ostati dostupna.
Što se praktično traži od uprave i IT-a
U praksi, dobar početni program pokriva:
- inventar sustava - domene, email, cloud, aplikacije, uređaji, dobavljači, administratorski računi,
- procjenu rizika - što je najvjerojatnije, što najviše boli i što se prvo rješava,
- tehničke kontrole - MFA/passkeys, email autentikacija, backup, logging, patching, endpoint zaštita,
- organizacijske kontrole - procedure, odgovornosti, edukacije, incident playbook,
- dokaze - izvještaji, logovi, promjene, politike i odluke koje se mogu pokazati partneru ili auditoru.
Email sigurnost nije cijeli ZKS, ali je najbolji početak
Email je kanal kroz koji dolaze phishing, BEC, lažni računi, malware, krađa lozinki i socijalni inženjering. Zato je email sigurnost dobar prvi korak: mjerljiva je, brzo se auditira i direktno smanjuje rizik.
Minimalni baseline koji preporučujemo za tvrtke:
- SPF, DKIM i DMARC s planom prelaska prema enforcementu,
- MTA-STS i TLS-RPT gdje infrastruktura to podržava,
- Microsoft 365 ili Google Workspace sigurnosni pregled,
- backup i restore test za ključne podatke,
- phishing edukacije i simulacije,
- incident postupak: tko reagira, kome se prijavljuje, kako se čuva dokaz.
Kako Vi-Di.me pomaže
Vi-Di.me radi praktičan security sprint za hrvatske tvrtke:
- Klasifikacija i scope - provjeravamo sektor, sustave, domene i realne obveze.
- Tehnički audit - email, DNS, M365/Google, backup, pristupi, osnovni incident tragovi.
- Plan prioriteta - što se radi odmah, što u 30 dana, što kasnije.
- Implementacija - DMARC, MTA-STS, backup, Hornetsecurity/PowerDMARC gdje ima smisla, MFA/passkeys i edukacije.
- Dokumentacija - izvještaj za upravu, tehnički zapis promjena i mjesečni plan održavanja.
Checklist za prvi audit kibernetičke sigurnosti
- Popis svih domena i poddomena.
- Popis svih sustava koji šalju email u ime domene.
- Microsoft 365 ili Google Workspace tenant i administratorski računi.
- Stanje SPF, DKIM, DMARC, MTA-STS, TLS-RPT i BIMI.
- Backup status za email, SharePoint, OneDrive, Teams i ključne aplikacije.
- MFA/passkeys status za upravu, financije, IT i administratore.
- Postoji li incident procedura i tko ju aktivira.
- Postoji li evidencija edukacija i phishing simulacija.