Penetracijski testovi i procjena ranjivosti: Vodič za NIS2 usklađenost
23. prosinca 2025.
Ažurirano: 22. veljače 2026.
20 min čitanja
Kibernetička sigurnost
Penetracijski testovi (pentest) i procjena ranjivosti (vulnerability assessment) temeljni su alati za provjeru stvarne sigurnosti informacijskih sustava. NIS2 direktiva eksplicitno zahtijeva od organizacija da redovito procjenjuju učinkovitost svojih sigurnosnih mjera — a najbolji način za to je simulacija napada na vlastitu infrastrukturu. U ovom vodiču objašnjavamo razliku između pentesta i procjene ranjivosti, metodologije, NIS2 zahtjeve i kako organizirati testiranje u praksi.
Sažetak i ključne točke
Procjena ranjivosti identificira poznate ranjivosti; penetracijski test simulira stvarni napad.
NIS2 članak 21(2)(f) zahtijeva procjenu učinkovitosti sigurnosnih mjera — pentest i VA ispunjavaju ovaj zahtjev.
Preporučena učestalost: procjena ranjivosti mjesečno, penetracijski test godišnje (ili nakon značajnih promjena).
Prosječni trošak pentesta za srednju tvrtku: 5.000–20.000 EUR ovisno o opsegu.
Samostalno testiranje nije dovoljno — NIS2 sugerira neovisnu procjenu.
Rezultate koristite za prioritizaciju ulaganja u sigurnost i dokazivanje usklađenosti regulatoru.
Iako se pojmovi često koriste naizmjenično, radi se o različitim pristupima s različitim ciljevima:
Aspekt
Procjena ranjivosti (VA)
Penetracijski test (Pentest)
Cilj
Identificirati poznate ranjivosti
Podijelite članak
Trebate pomoć s usklađenošću?
Kontaktirajte nas za besplatne konzultacije
Simulirati stvarni napad i procijeniti utjecaj
Pristup
Automatizirani skeneri + manualna validacija
Kombinacija automatiziranih i manualnih tehnika
Dubina
Široka pokrivenost, plitka analiza
Uža pokrivenost, duboka analiza
Eksploatacija
Ne — samo identifikacija
Da — pokušaj iskorištavanja ranjivosti
Trajanje
Sati do dana
Dani do tjedana
Učestalost
Mjesečno ili kvartalno
Godišnje ili polugodišnje
Trošak
1.000–5.000 EUR
5.000–50.000+ EUR
Rezultat
Popis ranjivosti s ocjenom rizika
Dokaz iskoristivosti i procjena stvarnog utjecaja
Analogija
Liječnički pregled
Stres-test srca
Preporuka za NIS2 subjekte: Koristite oba pristupa komplementarno. Procjena ranjivosti za redovitu provjeru (mjesečno), penetracijski test za duboku analizu (godišnje).
Zašto NIS2 zahtijeva testiranje
NIS2 direktiva ne koristi eksplicitno termine „pentest" ili „vulnerability assessment", ali više odredbi izravno ili neizravno zahtijevaju ove aktivnosti:
NIS2 odredba
Relevantnost za testiranje
Čl. 21(2)(a) — Politike analize rizika
VA i pentest ključni su za identifikaciju rizika
Čl. 21(2)(e) — Sigurnost nabave, razvoja i održavanja sustava
Testiranje ranjivosti kao dio životnog ciklusa sustava
Čl. 21(2)(f) — Procjena učinkovitosti mjera
Izravni zahtjev — VA i pentest dokazuju učinkovitost
Čl. 21(3) — Pristup temeljen na riziku
Rezultati testiranja informiraju procjenu rizika
Recital 79
Spominje „testiranje i revidiranje" sigurnosnih praksi
ENISA smjernice
ENISA u tehničkim smjernicama za provedbu NIS2 eksplicitno preporučuje:
Redovitu procjenu ranjivosti mrežne i aplikacijske infrastrukture
Periodičke penetracijske testove kao metodu provjere sigurnosnih kontrola
Neovisno testiranje (treća strana) za objektivnu procjenu
Vrste penetracijskih testova
Prema razini pristupa informacijama
Vrsta
Opis
Kad koristiti
Black box
Tester nema nikakve informacije o sustavu
Simulacija vanjskog napadača
White box
Tester ima potpuni pristup (dokumentacija, izvorni kod, dijagrami)
Najtemeljivija provjera, optimalno za NIS2
Grey box
Tester ima ograničene informacije (korisničke račune, mrežne dijagrame)
Simulacija kompromitiranog zaposlenika ili dobavljača
Prema cilju testiranja
Vrsta
Opis
NIS2 relevantnost
Mrežni pentest (vanjski)
Testiranje perimetra — vatrozid, VPN, javno dostupni servisi
Čl. 21(2)(e) — sigurnost sustava
Mrežni pentest (interni)
Testiranje iz interne mreže — lateralno kretanje, eskalacija privilegija
Čl. 21(2)(i) — kontrola pristupa
Web aplikacijski pentest
Testiranje web aplikacija — OWASP Top 10 ranjivosti
Za NIS2 subjekte u financijskom sektoru: DORA uredba zahtijeva TLPT testiranje (Threat-Led Penetration Testing) temeljeno na TIBER-EU okviru. Ovo nadilazi standardni pentest — uključuje obavještajnu analizu prijetnji i simulaciju naprednog napadača.
Preporuka za NIS2: Kombinirajte pristupe — interni tim za kontinuiranu procjenu ranjivosti (mjesečno), vanjski stručnjaci za godišnji penetracijski test. Ovo dokazuje regulatoru da provodite i kontinuirano praćenje i neovisnu provjeru.
Kako odabrati pružatelja pentesta
Kriteriji za odabir profesionalnog pružatelja:
Certificirani testeri — OSCP, CEH, CREST, GPEN
Iskustvo u vašem sektoru — poznavanje specifičnih prijetnji i regulativa
Metodologija — koriste li priznatu metodologiju (PTES, OSSTMM, OWASP)
Izvješće — kvaliteta izvješća s tehničkim detaljima i preporukama za upravu
Reference — prethodni klijenti u sličnim industrijama
Osiguranje — profesionalno osiguranje od odgovornosti
Troškovi i učestalost
Troškovi
Vrsta testiranja
Mala tvrtka
Srednja tvrtka
Velika organizacija
Procjena ranjivosti (VA)
1.000–3.000 EUR
3.000–8.000 EUR
8.000–20.000 EUR
Vanjski pentest
3.000–8.000 EUR
8.000–20.000 EUR
20.000–50.000+ EUR
Web aplikacijski pentest
2.000–5.000 EUR
5.000–15.000 EUR
15.000–40.000 EUR
Red team
—
15.000–40.000 EUR
40.000–100.000+ EUR
Phishing simulacija
500–2.000 EUR
2.000–5.000 EUR
5.000–15.000 EUR
Preporučena učestalost za NIS2 subjekte
Aktivnost
Učestalost
Obrazloženje
Automatsko skeniranje ranjivosti
Tjedno
Kontinuirani uvid u stanje
Procjena ranjivosti (VA)
Mjesečno
Validacija i prioritizacija nalaza
Penetracijski test
Godišnje
Duboka provjera sigurnosti
Pentest nakon velikih promjena
Po potrebi
Nova aplikacija, migracija, spajanje
Red team
Svake 2–3 godine
Sveobuhvatna provjera (ako ste ključni subjekt)
Phishing simulacija
Kvartalno
Provjera svijesti zaposlenika
Izvješće o nalazima
Kvalitetno izvješće o penetracijskom testu treba sadržavati:
Za upravu (executive summary)
Ukupna ocjena sigurnosnog stanja
Broj kritičnih, visokih, srednjih i niskih nalaza
Ključni rizici poslovnim jezikom
Prioritizirane preporuke s procjenom troškova
Za tehnički tim (tehnički nalaz)
Detaljan opis svake ranjivosti
Koraci za reprodukciju (proof of concept)
CVSS ocjena i klasifikacija
Preporuke za otklanjanje s konkretnim uputama
Povezane reference (CVE, CWE)
Za NIS2 dokumentaciju
Datum i opseg testiranja
Metodologija i standardi
Certifikacije testera
Status nalaza i rokovi za otklanjanje
Plan ponovnog testiranja (re-test)
FAQ
Mora li pentest provesti certificirani stručnjak?
NIS2 ne propisuje specifične certifikacije, ali ENISA preporučuje angažiranje stručnjaka s priznatim certifikacijama (OSCP, CREST, CEH). U slučaju regulatornog nadzora, certifikacija testera pojačava kredibilitet nalaza.
Može li pentest oštetiti naše sustave?
Profesionalni pentest provodi se s mjerama opreza — definirani opseg, isključenja, komunikacijski kanali. Rizik je minimalan, ali postoji. Zato se potpisuje ugovor (Rules of Engagement) koji jasno definira granice testiranja.
Koliko često moramo provoditi pentest prema NIS2?
NIS2 ne propisuje točnu učestalost, ali zahtjeva „redovitu procjenu učinkovitosti mjera". U praksi to znači najmanje jednom godišnje i nakon značajnih promjena u infrastrukturi. ENISA preporučuje godišnji ciklus.
Što ako pentest otkrije kritičnu ranjivost?
Odgovorni pružatelj će vas odmah obavijestiti o kritičnim nalazima (ne čekajući završno izvješće). Kritične ranjivosti treba otkloniti u roku od 48 sati i provesti re-test nakon primjene popravka.
Treba li rezultate pentesta čuvati kao tajne?
Da — izvješće o penetracijskom testu sadržava osjetljive informacije o ranjivostima vaših sustava. Klasificirajte ga kao povjerljivi dokument, ograničite pristup i nikada ga ne šaljite neenkriptiranim kanalima.
Zaključak
Penetracijski testovi i procjena ranjivosti nisu luksuz — za NIS2 subjekte to je zakonski zahtjev za procjenu učinkovitosti sigurnosnih mjera. Organizacije koje redovito testiraju svoju sigurnost ne samo da ispunjavaju regulatorne obveze, nego značajno smanjuju rizik od stvarnog incidenta.
Ključne preporuke: (1) Kombinirajte kontinuiranu procjenu ranjivosti (mjesečno) s godišnjim pentestom. (2) Angažirajte neovisnog vanjskog testera za pentest — interni tim nije dovoljan za NIS2. (3) Koristite priznate metodologije (OWASP, PTES, OSSTMM). (4) Tretirajte izvješća kao povjerljive dokumente. (5) Rezultate koristite za prioritizaciju ulaganja — ne samo za izvješćivanje.
Trebate penetracijski test ili procjenu ranjivosti? Vision Compliance surađuje s certificiranim pružateljima pentesta i nudi koordinaciju testiranja za NIS2 subjekte. Zakažite besplatnu konzultaciju i utvrdite stanje sigurnosti vaših sustava.
Robert Lozo, mag. iur., partner je u Vision Complianceu specijaliziran za usklađenost s EU regulativom. Savjetuje organizacije o GDPR-u, NIS2, AI Actu i financijskoj regulativi te izrađuje dokumentaciju spremnu za reviziju i planove usklađenosti u reguliranim industrijama.
