Raptoric Journal/Sigurnosni program i rizik
Sigurnosni program i rizik15. lipnja 2026. · 12 min čitanja

Upravljanje kibernetičkim rizicima: od procjene do odluke

Procjena rizika kaže gdje ste izloženi. Upravljanje rizicima je ono što potom radite s tim. Evo kako voditi rizike kao kontinuirani proces, ne jednokratan dokument.
Tim pregledava registar rizika i upravljačku nadzornu ploču u sastanku.
Autor
AL
Ana Levantić
Sigurnosni program, rizik i usklađenost
Podijelite
LinkedInX / TwitterCopy link

Procjena rizika kaže gdje je tvrtka izložena. Upravljanje rizicima je ono što s tim saznanjem radi. Razlika je važna: procjena je snimka stanja, a upravljanje je kontinuiran proces donošenja odluka, provođenja kontrola i praćenja je li rizik stvarno smanjen. Tvrtke koje stanu na procjeni imaju dokument, ali ne i sigurnost. Ovaj tekst objašnjava kako voditi rizike kao stalan proces.

Ovo je dio našeg pregleda sigurnosnog programa. Upravljanje rizicima vodimo kroz upravljanje, rizik i usklađenost.

Procjena nije isto što i upravljanje

Procjena rizika odgovara na pitanje gdje smo izloženi i koliko. Upravljanje rizicima odgovara na pitanje što ćemo s tim. Bez upravljanja, procjena ostaje popis problema koje nitko ne rješava. Upravljanje pretvara taj popis u odluke, zadatke i mjerljiv napredak.

Četiri načina postupanja s rizikom

Za svaki utvrđen rizik tvrtka bira jedan od četiri pristupa.1

PristupŠto značiPrimjer
SmanjitiUvesti kontrole koje snižavaju vjerojatnost ili učinak.Dvofaktorska autentifikacija protiv preuzimanja računa.
PrenijetiDio rizika preuzima druga strana.Osiguranje ili prijenos na pružatelja usluge.
PrihvatitiSvjesno prihvatiti rizik jer je nizak ili je trošak smanjenja prevelik.Mali rizik s malim učinkom.
IzbjećiPrestati s aktivnošću koja stvara rizik.Ukidanje nepotrebne izložene usluge.
Mogućnosti postupanja s rizikom.

Registar rizika

Središnji alat upravljanja je registar rizika: popis svih utvrđenih rizika, njihove ocjene, odluke o postupanju, odgovorne osobe i rokovi. Registar nije birokracija radi birokracije, nego mjesto na kojem se vidi stanje i napredak. Bez njega se rizici zaborave, a odluke izgube.

Uloga uprave

Upravljanje rizicima nije samo tehnički posao. Odluka da se rizik prihvati ili da se u njega uloži poslovna je odluka, pa odgovornost leži na upravi. NIS2 to izričito naglašava: odgovornost za kibernetičke rizike prebacuje na rukovodstvo, koje više ne može tvrditi da je riječ samo o IT pitanju.

Kontinuiran ciklus

Upravljanje rizicima nije linearan zadatak nego ciklus koji se ponavlja.

  1. 01
    Procijenite
    Utvrdite i ocijenite rizike kroz procjenu rizika.
  2. 02
    Odlučite
    Za svaki rizik odaberite smanjiti, prenijeti, prihvatiti ili izbjeći.
  3. 03
    Provedite
    Uvedite dogovorene kontrole i dodijelite odgovornost i rok.
  4. 04
    Pratite
    Provjeravajte djeluju li kontrole i je li rizik stvarno smanjen.
  5. 05
    Ponovite
    Osvježavajte procjenu kako se tvrtka i prijetnje mijenjaju.

Kako Raptoric pomaže

Postavljamo upravljanje rizicima koje je živ proces, s registrom, jasnim odlukama i izvještajima za upravu, kroz upravljanje, rizik i usklađenost. Dogovorite uvodni razgovor.

Česta pitanja

Koja je razlika između procjene i upravljanja rizicima?
Procjena je snimka stanja koja kaže gdje ste izloženi i koliko. Upravljanje je kontinuiran proces donošenja odluka, provođenja kontrola i praćenja je li rizik stvarno smanjen. Procjena bez upravljanja ostaje popis problema.
Koje su mogućnosti postupanja s rizikom?
Četiri: smanjiti rizik kontrolama, prenijeti ga drugoj strani, prihvatiti ga ako je nizak, ili izbjeći prestankom rizične aktivnosti. Za svaki rizik bira se jedan pristup i bilježi u registar.
Što je registar rizika?
Popis svih utvrđenih rizika s ocjenama, odlukama o postupanju, odgovornim osobama i rokovima. To je mjesto na kojem se vidi stanje i napredak, a bez njega se rizici i odluke izgube.
Tko je odgovoran za upravljanje rizicima?
Konačna odgovornost je na upravi, jer su odluke o prihvaćanju ili ulaganju u rizik poslovne odluke. NIS2 to izričito naglašava i prebacuje odgovornost na rukovodstvo.

Izvori

  1. 1ISO/IEC. ISO/IEC 27005: Information security risk management. International Organization for Standardization, 2022. Poveznica
  2. 2NIST. Cybersecurity Framework (CSF) 2.0 — Govern. National Institute of Standards and Technology, 2024. Poveznica
Želite li ovakvu provjeru na vlastitim sustavima?
Naš tim definirat će opseg posla s vama u 30-minutnom razgovoru.
Dogovorite razgovor
Nastavite čitati
Svi tekstovi →