NIS2 direktiva obvezuje godine godišnje penetracijsko testiranje kritičnih sustava. Saznajte što je zakonski obavezno, kako se priprema i gdje pronaći certificirane pružatelje.
Zatraži ponudu za testiranje →NIS2 Članak 21(2)(f) propisuje da operatori kritične infrastrukture i pružatelji digitalnih usluga (ODDSU) moraju imati "politike i postupke za ocjenu učinkovitosti mjera upravljanja rizikom od kibernetskih prijetnji". Ovo nije preporuka – to je zakonski obavezna aktivnost.
U praksi to znači:
Većina malih i srednjih poduzeća u Hrvatskoj ovu obvezu još nije formalno implementirala. Ako ste operator ODDSU-a ili korisnik kritične infrastrukture, zakonski ste dužni započeti bez odgode.
Penetracijsko testiranje nije samo poklapanje gumbova. Struktruirani proces obuhvaća:
Trajanje: 5–20 poslovnih dana ovisno o veličini sustava. Dostava: Tehnički izvještaj, sažetak za upravu, plan remedijacije, preporuke za politike.
Ova dva pojma se često pomiješaju, ali nisu jednaka:
NIS2 zahtijeva penetracijsko testiranje, ne samo skeniranje. Razlog: skenirač izvještava što može biti ranjivo; tester pokazuje što je zaista ranjivo i kako to iskoristiti. Za audite i revizije NIS2-a, trebate potonje.
Ključni kriteriji:
Preporučeni pružatelji za Hrvatsku i Europu: Cobalt.io (brzina, crowdsourced testerâ), HackerOne, Synack, Pentest People. Cobalt.io nudi fiksne cijene i 2–4 tjedne izvršenja.
PtaaS (Penetration Testing as a Service) model je revolucionirao pristup penetracijskom testiranju:
Cijena za SME: €3.000–€8.000 za standardnu web aplikaciju; €10.000–€15.000 za kompliciranije okoline (mrežna infrastruktura, API, mobilna aplikacija).
Dobivanje izvještaja nije dovoljno. NIS2 zahtijeva dokaz akcije:
Preporuka: Svake godine novi test (zakon zahtijeva), plus ad-hoc testiranje nakon velika promjene infrastrukture.
Da. Članak 21(2)(f) NIS2-a zahtijeva "politike i postupke za ocjenu učinkovitosti mjera upravljanja rizikom". To se u praksi provodi godišnjim penetracijskim testiranjem. Nadzorna tijela (HAKOM, financijske autortety) sada provjeravaju da li imate dokumentirane izvještaje o testiranju. Nemaju dovoljno sredstava da vas svi proveravaju, ali ako su vas selektirali za auditu, nedostatak testiranja je kritična konstatacija.
Minimum je godišnje. Međutim, ako imate kontinuirane promjene (nove aplikacije, stalni development), dobra praksa je testiranje nakon svake važne promjene ili minimalno tromjesečne. Neki pružatelji (kao Cobalt.io) nude "continuous bug bounty" za kontinuirani praćaj. Zakon kaže godišnje, ali vaš rizik profil može zahtijevati više.
Tehnički može, ali ne zadovoljava NIS2 zahtjev. Zakon zahtijeva neovisnu ocjenu – vanjski pružatelj bez konflikta interesa. Ako interni IT tim pronađe greške, to je dobar početak, ali za compliance trebate vanjski izvještaj potpisati od treće strane. Zakonski je to dokazno vrijednije za audite.
Pružatelj će vas obavijestiti (obično je dogovoreno kako – kroz portal, e-mail, telefonom u slučaju kritičnog). Ne smije je iskoristiti dalje bez vašeg pisanog dogovora (to je "authorized" vs. "unauthorized" testing). Vi trebate odmah učiniti korake da zatvorite pristup, pa tek onda testirati remedijaciju. To je razlog zašto trebate jasnu dogovor opsega prije testiranja.
Za SME s 1–2 web aplikacije ili vanjskim perimetrom, čekaj €3.000–€8.000. Za kompleksnije okoline (interna mreža, multiple servera, API, mobilna aplikacija), €10.000–€15.000. Veće enterprise koriste €20.000+. Cobalt.io i slični PtaaS pružatelji su obično jeftiniji od tradicionalnih konzultanata jer koriste distributed testerâ. Cijena ovisi o opsegu – jasno definiraj što testiramo kako bi znao točnu procjenu.
Većina hrvatskih poduzećâ još nije formalno provela penetracijsko testiranje u skladu sa zakonom. Kapaciteti se brže popunjavaju – čekaju se povećane provjere od strane HAKOMA i nadzornih tijela. Zakaži testiranje još danas ili konsultiraj se s našim timom kako strukturirati program.
Zatraži ponudu za penetracijsko testiranje