Raptoric Journal/Detekcija i odgovor
Detekcija i odgovor15. lipnja 2026. · 12 min čitanja

Plan odgovora na incidente: kako ga izraditi

Plan koji prvi put pišete usred napada je beskoristan. Evo kako izraditi plan odgovora na incidente, koje faze obuhvaća i zašto ga treba uvježbati prije nego zatreba.
Tim izrađuje plan odgovora na incidente i skicira tijek odgovora na staklenoj ploči.
Autor
LH
Lovro Heruc
Ofenzivna sigurnost, aplikacije i detekcija
Podijelite
LinkedInX / TwitterCopy link

Plan odgovora na incidente dokument je koji unaprijed definira kako organizacija reagira na sigurnosni incident: tko odlučuje, koga se obavještava, kako se incident zaustavlja i kako se sustavi vraćaju u rad. Najgori trenutak za pisanje takvog plana je usred napada. Pripremljen i uvježban plan razlika je između kontroliranog odgovora i kaosa koji povećava štetu. Ovaj tekst objašnjava kako izraditi plan, koje faze obuhvaća i zašto ga treba redovito vježbati.

Ovo je dio našeg pregleda detekcije i odgovora. Sposobnost odgovora gradimo kroz detekciju i odgovor na incidente.

Zašto plan mora postojati unaprijed

Tijekom incidenta vrijeme je kritično, a stres velik. Ako tek tada odlučujete tko je nadležan i koga zvati, gubite dragocjene sate. Uz to, propisi traže brzu prijavu: GDPR povredu osobnih podataka u 72 sata, a NIS2 značajan incident u stupnjevitim rokovima od 24 sata. Te rokove je nemoguće ispuniti improvizacijom.

Faze odgovora na incident

Dobar plan slijedi prepoznatljive faze, usklađene s priznatim okvirima.1

  1. 01
    Priprema
    Definirajte uloge, kontakte, alate i postupke prije incidenta te ih uvježbajte.
  2. 02
    Detekcija i analiza
    Prepoznajte incident, procijenite opseg i klasificirajte ozbiljnost.
  3. 03
    Ograničavanje
    Zaustavite širenje izolacijom pogođenih sustava, bez uništavanja dokaza.
  4. 04
    Iskorjenjivanje
    Uklonite uzrok, zatvorite ulaz i provjerite je li napadač uistinu izbačen.
  5. 05
    Oporavak
    Vratite sustave iz provjerenih kopija i pratite ima li ponovne pojave.
  6. 06
    Pouke
    Provedite pregled nakon incidenta i zatvorite propust da se ne ponovi.

Što plan mora sadržavati

Plan je koristan samo ako je konkretan i lako primjenjiv pod pritiskom.

  • Jasno definirane uloge i odgovornosti, uključujući tko donosi ključne odluke.
  • Popis kontakata, uključujući upravu, pravnu službu, vanjski tim i nadležna tijela.
  • Kriterije za klasifikaciju incidenta i prag za prijavu.
  • Korake za izolaciju, oporavak i komunikaciju.
  • Postupke prijave AZOP-u i nadležnom tijelu za NIS2 u propisanim rokovima.
  • Plan komunikacije prema zaposlenicima, klijentima i javnosti.

Vježbanje plana

Plan koji nitko nije isprobao gotovo sigurno ne radi kako se očekuje. Zato se provode vježbe za stolom (tabletop), u kojima tim prolazi kroz realan scenarij i otkriva rupe prije nego ih otkrije stvarni napad. Vježbu vrijedi ponoviti barem jednom godišnje i nakon većih promjena.

Kako Raptoric pomaže

Pomažemo tvrtkama izraditi i uvježbati plan odgovora koji se uklapa u rokove propisa, kroz detekciju i odgovor na incidente. Dogovorite uvodni razgovor.

Česta pitanja

Zašto trebamo plan odgovora na incidente unaprijed?
Jer tijekom incidenta nema vremena za improvizaciju, a propisi traže brzu prijavu: GDPR u 72 sata, NIS2 od 24 sata. Unaprijed pripremljen plan razlika je između kontroliranog odgovora i kaosa koji povećava štetu.
Koje faze obuhvaća odgovor na incident?
Pripremu, detekciju i analizu, ograničavanje, iskorjenjivanje, oporavak i pouke. Te faze usklađene su s priznatim okvirima i čine ponovljiv proces, a ne improvizaciju.
Trebamo li vježbati plan?
Da. Plan koji nitko nije isprobao gotovo sigurno ne radi kako mislite. Vježbe za stolom otkrivaju rupe prije stvarnog napada, a vrijedi ih ponoviti barem jednom godišnje.
Kako se plan veže na NIS2 i GDPR?
Oba propisa traže prijavu incidenata u kratkim rokovima. Plan definira tko, kako i kada prijavljuje, pa je preduvjet za ispunjavanje tih rokova i dokazivanje postupanja pred regulatorom.

Izvori

  1. 1NIST. SP 800-61: Computer Security Incident Handling Guide. National Institute of Standards and Technology, 2012. Poveznica
  2. 2ENISA. ENISA Threat Landscape. European Union Agency for Cybersecurity, 2024. Poveznica
Želite li ovakvu provjeru na vlastitim sustavima?
Naš tim definirat će opseg posla s vama u 30-minutnom razgovoru.
Dogovorite razgovor
Nastavite čitati
Svi tekstovi →