NIS2 Zahtjevi za Testiranje

Penetracijsko testiranje prema NIS2 Članku 21(2)(f)

NIS2 direktiva obvezuje godine godišnje penetracijsko testiranje kritičnih sustava. Saznajte što je zakonski obavezno, kako se priprema i gdje pronaći certificirane pružatelje.

Zatraži ponudu za testiranje →

Što NIS2 točno zahtijeva – Članak 21(2)(f)

NIS2 Članak 21(2)(f) propisuje da operatori kritične infrastrukture i pružatelji digitalnih usluga (ODDSU) moraju imati "politike i postupke za ocjenu učinkovitosti mjera upravljanja rizikom od kibernetskih prijetnji". Ovo nije preporuka – to je zakonski obavezna aktivnost.

U praksi to znači:

  • Godišnje penetracijsko testiranje kritičnih sustava i aplikacija
  • Testiranje od strane neovisnih stručnjaka (nisu samo vaši IT djelatnici)
  • Dokumentirani izvještaji dostupni za reviziju od nadzornih tijela
  • Remedijacija pronađenih ranjivosti i ponovljeno testiranje

Većina malih i srednjih poduzeća u Hrvatskoj ovu obvezu još nije formalno implementirala. Ako ste operator ODDSU-a ili korisnik kritične infrastrukture, zakonski ste dužni započeti bez odgode.

Što uključuje penetracijsko testiranje – Faze i opseg

Penetracijsko testiranje nije samo poklapanje gumbova. Struktruirani proces obuhvaća:

  • Reconnaissance – mapiranje javno dostupnih informacija o vašoj organizaciji
  • Scanning – identifikacija aktivnih servisa, otvorenih portova i verzija softvera
  • Enumeration – detaljno ispitivanje korisničkih računa, dijeljenih resursa i vulnerabilities
  • Exploitation – pokušaj izvršavanja zajedničkih napada (SQL injection, phishing, privilege escalation)
  • Post-exploitation – testiranje lateralnog kretanja i pristupa osjetljivim podacima
  • Izvještaj – detaljne preporuke, CVSS ocjene i koraci za remedijaciju

Trajanje: 5–20 poslovnih dana ovisno o veličini sustava. Dostava: Tehnički izvještaj, sažetak za upravu, plan remedijacije, preporuke za politike.

Penetracijsko testiranje vs. Skeniranje ranjivosti – Koja je razlika?

Ova dva pojma se često pomiješaju, ali nisu jednaka:

  • Skeniranje ranjivosti – automatizirani alati (Nessus, OpenVAS) traže poznate nedostatke. Brzo, jeftino (€500–1.500), ali ne simulira stvarnog napada.
  • Penetracijsko testiranje – čovjek provjerava može li zapravo iskoristiti te nedostatke. Uključuje socijalni inženjering, logičke greške, lančane napade. Skupo (€3.000–15.000+), ali daje realnu procjenu rizika.

NIS2 zahtijeva penetracijsko testiranje, ne samo skeniranje. Razlog: skenirač izvještava što može biti ranjivo; tester pokazuje što je zaista ranjivo i kako to iskoristiti. Za audite i revizije NIS2-a, trebate potonje.

Kako odabrati pružatelja penetracijskog testiranja

Ključni kriteriji:

  • Sertifikacije: Traži OSCP, CEH, GPEN ili ekvivalentne kvalifikacije testerâ
  • Iskustvo u vašoj branši: Ako ste financijska institucija ili zdravstvo, trebate tester s iskustvom u tom sektoru
  • NIS2 razumijevanje: Pružatelj mora znati što audit očekuje dokumentirati
  • Opseg jasno definiran: In-scope: web aplikacije? Vanjski perimet? Interna mreža? Socijalni inženjering?
  • Pravna zaštita: Ugovor mora pokrivati NDA, osiguranje, odgovornost

Preporučeni pružatelji za Hrvatsku i Europu: Cobalt.io (brzina, crowdsourced testerâ), HackerOne, Synack, Pentest People. Cobalt.io nudi fiksne cijene i 2–4 tjedne izvršenja.

Kako funkcionira penetracijsko testiranje kao usluga – Cobalt.io primjer

PtaaS (Penetration Testing as a Service) model je revolucionirao pristup penetracijskom testiranju:

  • Cobalt.io koristi crowdsourced testerâ – umjesto jednog testerâ, koordinira timove certificiranih stručnjaka. Rezultat: viša kvaliteta, brži rok.
  • Fiksne cijene: Znate točnu cijenu prije početka (na razlici od satnica koje mogu skočiti)
  • Brž timeline: Testiranje često počne unutar 2 tjedna; prvi rezultati u 4 tjedna
  • Kontinuirana komunikacija: Portalni sustav prati pronađene vulnerabilities u realnom vremenu
  • Remediation re-test: Nakon što popravite greške, možete zahtijevati re-test iste vulnerabilities

Cijena za SME: €3.000–€8.000 za standardnu web aplikaciju; €10.000–€15.000 za kompliciranije okoline (mrežna infrastruktura, API, mobilna aplikacija).

Što učiniti s rezultatima penetracijskog testiranja – Remedijacija i dokumentacija

Dobivanje izvještaja nije dovoljno. NIS2 zahtijeva dokaz akcije:

  • Prioritizacija: Sortiraj pronađene vulnerabilities po CVSS ocjeni (kritični, visoki, srednji, niski). Prvo popravi kritične.
  • Vlastiti plan remedijacije: Za svaku vulnerabilnost, definiraj odgovoran tim, rok i tehnički pristup popravci
  • Re-testiranje: Nakon popravke, zatraži od pružatelja da ponovno testira. Dokumentiraj kompletne rezultate (prije → nakon).
  • Revizijsku dokumentaciju: Čuvaj sve izvještaje, e-mailove komunikacije, dokaze o remedijaciji. Nadzorna tijela će traiti potpuni audit trail.
  • Politike: Ažuriraj politike upravljanja rizicima na osnovi pronađenih vulnerabilities

Preporuka: Svake godine novi test (zakon zahtijeva), plus ad-hoc testiranje nakon velika promjene infrastrukture.

Česta pitanja – NIS2 penetracijsko testiranje

Da. Članak 21(2)(f) NIS2-a zahtijeva "politike i postupke za ocjenu učinkovitosti mjera upravljanja rizikom". To se u praksi provodi godišnjim penetracijskim testiranjem. Nadzorna tijela (HAKOM, financijske autortety) sada provjeravaju da li imate dokumentirane izvještaje o testiranju. Nemaju dovoljno sredstava da vas svi proveravaju, ali ako su vas selektirali za auditu, nedostatak testiranja je kritična konstatacija.

Minimum je godišnje. Međutim, ako imate kontinuirane promjene (nove aplikacije, stalni development), dobra praksa je testiranje nakon svake važne promjene ili minimalno tromjesečne. Neki pružatelji (kao Cobalt.io) nude "continuous bug bounty" za kontinuirani praćaj. Zakon kaže godišnje, ali vaš rizik profil može zahtijevati više.

Tehnički može, ali ne zadovoljava NIS2 zahtjev. Zakon zahtijeva neovisnu ocjenu – vanjski pružatelj bez konflikta interesa. Ako interni IT tim pronađe greške, to je dobar početak, ali za compliance trebate vanjski izvještaj potpisati od treće strane. Zakonski je to dokazno vrijednije za audite.

Pružatelj će vas obavijestiti (obično je dogovoreno kako – kroz portal, e-mail, telefonom u slučaju kritičnog). Ne smije je iskoristiti dalje bez vašeg pisanog dogovora (to je "authorized" vs. "unauthorized" testing). Vi trebate odmah učiniti korake da zatvorite pristup, pa tek onda testirati remedijaciju. To je razlog zašto trebate jasnu dogovor opsega prije testiranja.

Za SME s 1–2 web aplikacije ili vanjskim perimetrom, čekaj €3.000–€8.000. Za kompleksnije okoline (interna mreža, multiple servera, API, mobilna aplikacija), €10.000–€15.000. Veće enterprise koriste €20.000+. Cobalt.io i slični PtaaS pružatelji su obično jeftiniji od tradicionalnih konzultanata jer koriste distributed testerâ. Cijena ovisi o opsegu – jasno definiraj što testiramo kako bi znao točnu procjenu.

Započni sa NIS2 penetracijskim testiranjem – Zakaži konsultaciju

Većina hrvatskih poduzećâ još nije formalno provela penetracijsko testiranje u skladu sa zakonom. Kapaciteti se brže popunjavaju – čekaju se povećane provjere od strane HAKOMA i nadzornih tijela. Zakaži testiranje još danas ili konsultiraj se s našim timom kako strukturirati program.

Zatraži ponudu za penetracijsko testiranje