HGK – Županijska komora Slavonski Brod u suradnji s Brodsko-posavskom županijom organizira Akademiju kibernetičke sigurnosti u srijedu, 26. studenoga 2025., s početkom u 9:00 sati u Županijskoj komori Slavonski Brod, Matije Mesića 9.

Poslovni sustavi od grada do javne tvrtke, od banke do energetskog operatora, od proizvodnje do transporta i logistike, ovisi o digitalnim procesima, kibernetička sigurnost više nije (samo) IT tema, već temelj poslovne stabilnosti i pravne odgovornosti uprave.
Novi Zakon o kibernetičkoj sigurnosti i Uredba RH ne donose samo tehničke obveze, već i osobnu odgovornost uprave za donošenje odluka, nadzor i financiranje provedbe.

Ova radionica pokazuje kako se odgovorno i inteligentno postaviti prema obvezama, ne kao tehničkom problemu, već kao strateškom pitanju upravljanja rizikom, reputacijom i kontinuitetom poslovanja.

Polaznici će kroz praktične primjere naučiti:

• kako izbjeći najčešće pogreške koje dovode do regulatornih kazni i reputacijskih šteta
• kako dokumentirati odluke i zaštititi sebe i organizaciju
• kako pristupiti integraciji tehnoloških rješenja strateški i sustavno (jer tehnologija je isto bitan korak u usklađenju, ali nije najbitniji)
• kako pretvoriti usklađenost u prednost kroz učinkovit sustav upravljanja sigurnošću.

Radionicu će voditi Marko Gulan, konzultant za cyber sigurnost.

Agenda radionice s detaljnim opisom nalazi se u privitku. Agenda je preliminarna i podložna promjenama.

Prijava na radionicu je putem platforme Digitalna komora.

Da biste pristupili linku prijave morate biti registrirani na platformu Digitalna komora. Na sljedećoj poveznici se nalaze upute za registraciju na Digitalnu komoru.

Kotizacija za radionicu se ne naplaćuje.

PROGRAM RADIONICE

09:00 – 9:45 | Zakonske odredbe i obveze Zakona
Fokus: Operativni i poslovni izazovi provedbe

• Kategorizacija u praksi. Kako riješiti situacije “na rubu” (telekomi, IT provideri,
  vanjski servisi)
• Određivanje granica odgovornosti: IT, pravna, uprava, dobavljač
• Modeli koordinacije: kako interno organizirati provedbu i praćenje mjera
• Upravljanje eksternaliziranim funkcijama (vCISO, MSSP, DPO): što mora
  ostati u rukama obveznika
• Ugovorni i komercijalni aspekti: kako provesti kibernetičku sigurnost u
  dobavljačke i partnerske odnose
• Kako komunicirati s upravom: što moraju razumjeti, a što ne trebaju
• Uloga menadžmenta u usklađenju poslovanja sa Zakonom

“U trenutku incidenta, regulator ne pita tko je bio zadužen – pita zašto uprava nije
imala sustav kontrole.”

09:45 – 10:30 | Iskustva iz provedbe: gdje subjekti najčešće griješe

• Tipične pogreške iz stvarnih implementacija
• Primjeri loše podjele odgovornosti i propuštenih odluka
• Što se najčešće zaboravi u izvještajima uprave
• Kako prepoznati da vaša organizacija “samo izgleda usklađeno”

“Najveći rizik nije napad – nego pogrešno uvjerenje da ste sigurni.”

10:30 – 10:45 | Pauza za kavu

10:45 – 11:30 | Provedba u praksi: od GAP analize do dokaza usklađenosti

• Struktura GAP analize: koje dokumente i procese treba pregledati
• Kako postaviti registar mjera, plan provedbe i evidenciju napretka
• Što su “dokazi implementacije” i kako ih prikupljati
• Dokumentiranje odluka uprave i trag odgovornosti
• Primjeri najčešćih propusta i konkretnih rješenja

“Usklađenost nije dokument, to je trag odluka koji pokazuje da ste razumjeli rizike.”

11:30 – 12:15 | Procjena rizika i upravljanje rizicima

• Kako pristupiti rizicima iz perspektive poslovanja
• Kako odrediti prioritete i razinu prihvatljivosti rizika
• Mitigacijske mjere: kako balansirati između troška i učinka
• Kako rizik pretvoriti u alat za donošenje odluka

“Rizik nije neprijatelj, rizik je informacija koja čeka da bude iskorištena.”

12:15 – 12:45 | Izvještavanje o značajnim incidentima

• Što su značajni incidenti i kako ih prepoznati
• Kako izraditi internu politiku i proces prijave
• Tehnološki alati koji pomažu u ranom prepoznavanju i klasifikaciji
• Uloga pravne i IT funkcije u zajedničkom izvještavanju

“Zakašnjela prijava incidenta može vas koštati više od samog incidenta.”

12:45 – 13:45 | Pauza za ručak

13:45 – 14:30 | Kibernetička higijena, ljudski resursi i upravljanje digitalnim
identitetima

• Kibernetička higijena: prelazak s tehničke na organizacijsku razinu
• Edukacija zaposlenika: kako izgraditi kulturu sigurnosti
• Digitalni identiteti: srce upravljanja sigurnošću i rizicima zlouporabe

“Ljudi nisu najslabija karika, ako im damo znanje, oni su prva linija obrane.”

14:30 – 15:30 | Supply chain security: kako upravljati dobavljačima

• Identifikacija ključnih dobavljača i povezanih rizika
• Kako provoditi assessment dobavljača i ugrađivati sigurnosne zahtjeve
• Primjeri mjera i dokaza o usklađenosti u lancu opskrbe

“Sustav je jak koliko i njegov najslabiji dobavljač.”

15:30 – 16:15 | Upravljanje kontinuitetom poslovanja i oporavkom od incidenata
Fokus: Kako osigurati da poslovanje preživi prekid – bilo da ga uzrokuje cyber
napad, kvar sustava ili ljudska pogreška

• Što Uredba traži u kontekstu planiranja kontinuiteta i oporavka (BCM i DRP)
• Kako definirati kritične funkcije i njihove maksimalne dopuštene prekide
  (RTO/RPO)
• Odnos između tehničkih i organizacijskih mjera, zašto oporavak nije posao IT-
  a nego uprave
• Kako uspostaviti plan kontinuiteta koji pokriva: sustave, ljude, komunikaciju i
  reputaciju
• Uloga testiranja i simulacija: kako provjeriti stvarnu otpornost organizacije
• Dokumentiranje odluka uprave, kako pokazati regulatoru da je plan stvarno
  usvojen i testiran
• Što znači “evidence-based recovery” i kako se dokazano pripremiti za
  inspekciju ili incident

“Sustav bez plana kontinuiteta nije rizičan, on je statistički osuđen na prekid.”

16:15 – 16:45 | Samoprocjena i priprema za nadzor
Fokus: Kako samostalno procijeniti razinu usklađenosti i pripremiti se za inspekcijski
nadzor

• Što Zakon i Uredba traže u okviru samoprocjene: obveze, rokovi i forma
• Kako provesti samoprocjenu: koraci, kriteriji i ključni dokumenti
• Korištenje checklista i kataloga kontrola: što svaka organizacija mora imati
  dokumentirano
• Kako procijeniti realno stanje, a ne “uljepšanu sliku”
• Priprema dokaza i izrada akcionog plana za korektivne mjere
• Što regulator stvarno gleda: tipične točke provjere i najčešći nalazi
• Kako samoprocjenu pretvoriti u alat upravljanja, a ne birokratski teret

“Najbolji trenutak da saznate gdje ste ranjivi nije kad vas posjeti regulator, nego kad
sami to otkrijete. Samoprocjena nije formalnost. Ona je jedini dokaz da uprava zna
što je implementirano, što nije, i zašto.”

16:45 – 17:00 | Pitanja

“Nakon ove radionice više nećete moći reći da niste znali.
Moći ćete reći – razumijem, imam plan i znam što mi je činiti.”

Izvor:

HGK Županijska komora Slavonski Brod