ISMS, ISO 27001, upravljanje rizicima.
Sustav upravljanja informacijskom sigurnošću od nule ili na temelju postojećeg stanja. Priprema za ISO 27001 certifikat i podrška kod revizije.
PRAKSA · KIBERNETIČKA SIGURNOST
ISMS, ISO 27001 i NIS2 kontrole.
Postavljamo sustav upravljanja informacijskom sigurnošću. Pripremamo vas za ISO 27001. Provodimo tehničke i organizacijske mjere koje propisuje NIS2. Penetracijska testiranja, sigurnosne operacije i dokumentacija spremna za reviziju idu uz to.
SOC.DESK · ZADNJIH 30 DANA● UŽIVO
Obrađenih sigurnosnih incidenataprosjek 22 min47
Saniranih ranjivosti128
Primijenjenih zakrpa342
Poslanih phishing simulacija3,1% klik2.840
Sigurnosnih pregleda dobavljača11
Pregleda pristupnih prava76
POVJERENJE 300+ EU ORGANIZACIJA
ROCHESIEMENSIKEAASTRAZENECAVODAFONEPHILIPSJUST EAT
BESPLATNA 30-MIN KONZULTACIJA
Razgovor s iskusnim savjetnikom.
Odgovor unutar jednog radnog dana. Jasni sljedeći koraci i okvirna cijena.
ODGOVOR U 1 RADNOM DANU·NDA NA UPIT·BEZ OBVEZA
§ 01 / ŠTO POKRIVAMO
Sigurnosni stack.
Kontrole, testiranja, nadzor.
Mrežna segmentacija, identitet i pristup, zaštita krajnjih točaka, upravljanje ranjivostima, penetracijsko testiranje, sigurnosne operacije.
Mjere iz članka 21 i prijava incidenata.
NIS2 upravljanje, procjena rizika, sigurnost lanca opskrbe, obrada incidenata i tijek prijave (24h CERT-u i 72h nadzornom tijelu).
VAŽNI SUBJEKTI
Do 7 mil. € ili 1,4% prometa
Upravne kazne po čl. 34 NIS2 za propuste u upravljanju i prijavi.
KLJUČNI SUBJEKTI
Do 10 mil. € ili 2% prometa
Maksimum po čl. 34 NIS2. Plus osobna odgovornost uprave po čl. 20.
§ 02 / OKVIRI
ISO 27001 i NIS2.
ISO 27001 ANEKS A · SKUPINE KONTROLA
A.5Organizacijske kontrolePolitike, uloge, odgovornosti, odnosi s dobavljačima.
A.6Kontrole zaposlenikaProvjera, edukacija svijesti, disciplinski postupak.
A.7Fizičke kontroleProstor, oprema, čisti stol, sigurno uklanjanje.
A.8Tehnološke kontrolePristup, kriptografija, sigurni razvoj, evidencija.
NIS2 ČL. 21 · MJERE
Čl. 21(a)Analiza rizika i politikaDokumentirana politika informacijske sigurnosti i pristup riziku.
Čl. 21(b)Obrada incidenataPostupci i sposobnost detekcije, odgovora i oporavka.
Čl. 21(c)Kontinuitet poslovanjaUpravljanje sigurnosnim kopijama, oporavak, krizna komunikacija.
Čl. 21(d)Sigurnost lanca opskrbeSigurnost nabave mrežnih i informacijskih sustava.
Čl. 21(e-j)Tehničke mjereKriptografija, kontrola pristupa, MFA, sigurne komunikacije, upravljanje ranjivostima.
§ 03 / NAČIN SURADNJE
Modeli suradnje.
ISMSNAJTRAŽENIJE
ISMS program i ISO 27001
Postavljanje sustava upravljanja informacijskom sigurnošću od nule ili sanacija postojećeg stanja. Priprema za fazu 1 i fazu 2 certifikacijske revizije.
- →ISO 27001 ISMS
- →Izjava o primjenjivosti
- →Interni audit program
- →Podrška kod certifikacije
NIS24-6 MJ
NIS2 program usklađenosti
Provedba čl. 21 NIS2: upravljanje, procjena rizika, tijek prijave incidenata, sigurnost lanca opskrbe, tehničke mjere.
- →Mjere iz čl. 21
- →Tijek prijave incidenata
- →Kontrole lanca opskrbe
- →Edukacija uprave (čl. 20)
OPSMJESEČNI
Retainer sigurnosnih operacija
Tekuće sigurnosne operacije: upravljanje ranjivostima, ciklus penetracijskih testova, edukacija, pregledi dobavljača, mjesečni sigurnosni odbor.
- →Kvartalni pen-testovi
- →Program svijesti i phishinga
- →Cikličko upravljanje ranjivostima
- →Mjesečni sigurnosni odbor
§ 04 / OPSEG
Opseg usluga.
01 / 04
Program i upravljanje
- Opseg ISMS-a i politike
- Izjava o primjenjivosti
- Uloge i odgovornosti (RACI)
- Interni audit program
- Pregledi uprave i izvještavanje
02 / 04
Rizik i kontrole
- Metodologija procjene rizika
- Popis imovine i informacija
- Provedba kontrola iz Aneksa A
- Kriptografija i upravljanje ključevima
- Kontrola pristupa i identiteta
03 / 04
Operacije i testiranja
- Upravljanje ranjivostima
- Ciklus penetracijskih testova
- Detekcija i odgovor na incidente
- Testiranje pričuva i oporavka
- Evidencija i nadzor
04 / 04
Ljudi i treće strane
- Program svijesti
- Phishing simulacije
- Pregledi dobavljača i ugovora
- Edukacija uprave (NIS2 čl. 20)
- Korespondencija s nadzornim tijelima
§ 05 / SIGURNOSNE OPERACIJEPogledajte primjer izvještajaPDF · 5 STR
Stalan sigurnosni rad.
Sigurnost zahtijeva stalan rad između certifikacijskih ciklusa. Retainer pokriva upravljanje ranjivostima, edukaciju, preglede trećih strana i mjesečno sigurnosno vijeće na kojem uprava čita trenutno stanje.
Trijaža ranjivosti
24 h
SLA · kritične zakrpe
72 h
Kvartalni pen-test
Uključeno
Prijava nadzoru
Mi pripremamo
PRIMJER.MJESEČNOG.IZVJEŠTAJALIST 2026
Obrađeni incidenti47 / 47 u SLA
Otvorene ranjivosti12 srednje · 0 kritičnih
Primijenjene zakrpe342
Phishing testovi2.840 poslano · 3,1% klik
Pregledi dobavljača11 / 11 u ciklusu
Korespondencija s tijelima1 dobrovoljna prijava
POTPIS. JELENA NOVAK, PARTNER. KIBERNETIČKA SIGURNOST I NIS2
§ 06 / ODABRANI PROJEKTI
Sve studije slučaja →Nedavni angažmani.
CASE 01EU banka razine 2
ISO 27001 certifikacija u 11 kritičnih funkcija u prvom pokušaju.
11
Kritične funkcije
9 mj
Do certifikata
0
Nalazi revizije
OPSEGISO 27001 · ISMS · Interni audit
CASE 02Energetski operater · Ključni subjekt
NIS2 čl. 21 proveden prije nacionalnog roka.
34
Pokrivenih lokacija
5 mj
Do usklađenosti
0
Kritični nalazi
OPSEGNIS2 · ISMS · Kontrole lanca opskrbe
CASE 03SaaS · 200 ljudi
Retainer sigurnosnih operacija s kvartalnim pen-testovima i programom svijesti.
4
Pen-testova/god
3,1%
Stopa klika
47
Pregled dobavljača
OPSEGSigurnosne operacije · Pen-test · Svijest
§ 07 / ZAŠTO JE OVO VAŽNO
Prijetnje.
4,45 mil. €
Prosječan trošak povrede podataka u EU (2024.)
277 d
Prosječno vrijeme do otkrivanja i zaustavljanja povrede
83%
Povreda uključuje ljudski faktor
24 h
NIS2 rok ranog upozorenja (čl. 23)
TREND 01
Uprave su osobno odgovorne prema NIS2
Čl. 20 čini upravu odgovornom za odobravanje mjera upravljanja kibernetičkim rizikom i nadzor provedbe. Osobna odgovornost je sada na stolu.
TREND 02
Lanac opskrbe je nova površina napada
Čl. 21(d) izričito zahtijeva procjenu dobavljača i izravnih pružatelja usluga. Nadzorna tijela očekuju dokumentirane preglede.
TREND 03
AI mijenja ekonomiju phishinga
Generativni AI bitno smanjuje trošak ciljanog phishinga. Kvartalne simulacije i edukacija po ulogama postaju standard.
§ 08 / FAQ
Česta pitanja.
01Trebamo li ISO 27001 ako smo usklađeni s NIS2?+
Ne. NIS2 ne propisuje ISO 27001. Dva okvira se značajno preklapaju u kontrolama Aneksa A i mjerama čl. 21 NIS2, pa jedan ISMS program zadovoljava oba. Certifikacija je poslovna odluka koju pokreću zahtjevi klijenata i natječaja.
02Koliko traje ISO 27001 certifikacija?+
Od 6 do 9 mjeseci za uobičajenu srednju organizaciju. Dva mjeseca na opseg i rizik, tri mjeseca na provedbu kontrola, dva mjeseca na interni audit i pregled uprave, zatim certifikacijska revizija u fazi 1 i fazi 2.
03Radite li penetracijsko testiranje u kući?+
Da. Naš pen-test tim je interni, usklađen s ENISA-om, i rotira između ofenzivnih i defenzivnih angažmana. Izvještaji uključuju CVSS bodovanje, opis eksploatacije i preporuke za sanaciju.
04Možete li pokriti NIS2 obveze u više jurisdikcija?+
Da. Provodimo NIS2 programe u 11 EU jurisdikcija. Mjere iz čl. 21 usklađene su na razini EU; prijava i kontakt s nadzornim tijelima razlikuju se po državama.
05Što se događa kada se dogodi incident?+
Trijažu radimo u SLA od 24 sata, savjetujemo o 24-satnom upozorenju CERT-u i 72-satnoj prijavi, izrađujemo prijavu nadzornom tijelu i koordiniramo krizni tim. Playbooki su dio retainera.
06Radite li s našim postojećim sigurnosnim alatima?+
Da. Neovisni smo o alatima. Integriramo se s vašim postojećim SIEM-om, EDR-om, sustavima za tikete i DLP-om umjesto da ih mijenjamo. Odabir alata dokumentiramo, ali ne pokrećemo.
§ 09 / RESURSI
Predlošci i vodiči.
VODIČPDF · 32 str
Vodič za provedbu NIS2
Mjere iz čl. 21 prevedene u 60 praktičnih kontrola s mapiranjem na ISO 27001 Aneks A.
Preuzmi ↓POTREBNA E-MAIL ADRESA
VODIČPDF · 24 str
ISO 27001 plan
Plan po fazama od opsega do certifikacijske revizije. Realni rokovi za srednje organizacije.
Preuzmi ↓POTREBNA E-MAIL ADRESA
PREDLOŽAKPDF + DOCX
Playbook za odgovor na incidente
Postupci usklađeni s čl. 23 NIS2 i čl. 33 GDPR. Uključuje predloške za prijavu nadzornom tijelu.
Preuzmi ↓POTREBNA E-MAIL ADRESA
§ 10 / SRODNE PRAKSE
Povezane prakse.
NIS2 usklađenost
Mjere iz čl. 21, tijek prijave incidenata, edukacija uprave po čl. 20.
Otvori praksu →Zaštita podataka i GDPR
Isti incident, dva sata. GDPR čl. 33 dodaje 72-satnu prijavu na 24-satno upozorenje CERT-u.
Otvori praksu →Odgovor na incidente
Gotovi playbooki, predlošci za prijavu nadzornom tijelu, koordinacija kriznog tima.
Otvori praksu →11 / GET STARTED
Pokrenite sigurnosni program.
Besplatan uvodni sastanak. Jasni sljedeći koraci. Okvirna cijena unutar jednog radnog dana.