Uvod v upravljanje kibernetskih tveganj
Kibernetska tveganja ogrožajo poslovanje slovenskih organizacij bolj kot kadarkoli prej. Nove regulatorne zahteve in sofisticirane grožnje zahtevajo takojšen prehod od reaktivnega k sistematičnemu upravljanju varnosti. Ta vodnik vam omogoča vzpostavitev učinkovitega sistema upravljanja kibernetskih tveganj, ki izpolnjuje zakonske obveznosti in ščiti kritična poslovna sredstva.
Ključne točke:
- Sistematičen pristop k upravljanju kibernetskih tveganj je postal zakonska obveznost za širši krog organizacij
- Identifikacija tveganj zahteva popoln inventar vseh digitalnih sredstev in podatkovnih tokov
- Regulatorni okvir vključuje ZInfV-1, GDPR in sektorske zahteve z jasnimi roki implementacije
- Tehnične rešitve morajo biti podprte z organizacijskimi procesi in usposobljenim osebjem
- Kontinuirano spremljanje in prilagajanje sta ključna za dolgotrajno učinkovitost sistema
Kazalo vsebine:
- Zakaj je sistematično upravljanje tveganj ključno
- Identifikacija in ocenjevanje kibernetskih tveganj
- Regulativni okvir in skladnost
- Implementacija in operativni vidiki
- Pogosti zmoti in napačne interpretacije pri prehodu na ZInfV-1
Ta vodnik je namenjen vodjem IT, CISO-jem in poslovodstvu, ki želijo vzpostaviti učinkovit sistem upravljanja kibernetskih tveganj. Vsebina pokriva praktične korake in zahteve, ki jih morajo organizacije izpolniti v naslednjih mesecih. Po branju boste razumeli ključne elemente upravljanja kibernetskih tveganj in njihovo praktično implementacijo, vključno z identifikacijo in ocenjevanjem kibernetskih tveganj v vašem okolju, vzpostavitvijo procesov za obvladovanje identificiranih tveganj, skladnostjo z regulatornimi zahtevami in standardi ter praktičnimi koraki za implementacijo v organizaciji.
Uspešno upravljanje kibernetskih tveganj omogoča organizacijam varno poslovanje in izpolnjevanje regulatornih obveznosti. Hkrati zmanjšuje verjetnost resnih varnostnih incidentov in njihovih posledic. Organizacije z vzpostavljenim sistemom upravljanja tveganj lahko bolje usmerijo investicije v varnost in hitreje odgovorijo na nove grožnje.
Zakaj je sistematično upravljanje tveganj ključno
Slovensko gospodarstvo se sooča z naraščajočimi kibernetskimi grožnjami in strožjimi regulatornimi zahtevami. Zakon o informacijski varnosti (ZInfV-1) je prinesel nove obveznosti za širši krog organizacij, ki presegajo tradicionalne IT oddelke. Regulatorni pritisk se povečuje tudi iz drugih virov, vključno z evropskimi direktivami in sektorskimi zahtevami.
Mnoge organizacije še vedno uporabljajo ad-hoc pristope k varnosti, kar pomeni odzivanje na grožnje brez sistematičnega pregleda tveganj. Takšen pristop je v današnjem regulatornem okolju neustrezен in lahko vodi v resne posledice. Reaktivno upravljanje varnosti ne omogoča predvidevanja groženj in pravočasnega ukrepanja, kar povečuje verjetnost uspešnih napadov.
Tipična slovenska organizacija s 100 zaposlenimi upravlja več kot 50 različnih sistemov in aplikacij. Brez jasnega pregleda nad tveganji ne ve, kje so najbolj ranljive točke. Pogosto se izkaže, da so največja tveganja tam, kjer jih niso pričakovali. Kompleksnost sodobnih IT okolij zahteva strukturiran pristop k prepoznavanju in obvladovanju tveganj.
Regulatorni nadzor postaja strožji in bolj sistematičen. Organizacije morajo dokazati, da imajo vzpostavljen proces upravljanja tveganj. To ni več le IT vprašanje, ampak strateška poslovodska odločitev, ki vpliva na celotno poslovanje organizacije. Neizpolnjevanje regulatornih zahtev lahko vodi v visoke kazni in ugled organizacije.
Pred vzpostavitvijo sistema upravljanja kibernetskih tveganj mora organizacija urediti temeljne osnove. Popoln inventar vseh IT sistemov in podatkov predstavlja izhodišče za vse nadaljnje aktivnosti. Brez natančnega pregleda nad digitalnimi sredstvi ni mogoče učinkovito oceniti tveganj. Jasno določena odgovornost za informacijsko varnost zagotavlja, da ima nekdo konkretno pristojnost in odgovornost za varnostne odločitve.
Osnovne varnostne politike in procedure morajo biti vzpostavljene pred implementacijo naprednejših sistemov upravljanja tveganj. Te politike določajo osnovna pravila in pričakovanja glede varnostnega vedenja. Razumevanje regulatornih obveznosti za specifično dejavnost organizacije je ključno za pravilno usmeritev naporov. Različne panoge imajo različne zahteve, ki jih je treba upoštevati pri načrtovanju sistema upravljanja tveganj.
Podpora vodstva za investicije v varnost je nujno potrebna za uspešno implementacijo. Brez ustreznih finančnih sredstev in organizacijske podpore sistem upravljanja tveganj ne more biti učinkovit. Vodstvo mora razumeti pomen kibernetske varnosti in biti pripravljeno investirati v potrebne tehnologije in usposabljanje.
Organizacije z vzpostavljenim sistemom upravljanja tveganj lažje izpolnjujejo regulatorne zahteve in lahko bolje usmerijo investicije v varnost. Sistematičen pristop omogoča prioritizacijo ukrepov glede na dejansko tveganje in optimalno porabo sredstev. Hkrati se zmanjša verjetnost resnih incidentov, kar prinaša dolgoročne finančne koristi.
Praktični koraki za začetek
Prvi korak pri vzpostavljanju sistema upravljanja kibernetskih tveganj je temeljita analiza trenutnega stanja. To vključuje pregled vseh obstoječih varnostnih ukrepov, identifikacijo vrzeli in oceno pripravljenosti na regulatorne zahteve. Analiza mora biti celovita in vključevati tehnične, organizacijske in procesne vidike varnosti.
Naslednje sekcije podrobno razložijo, kako identificirati tveganja v vašem okolju in vzpostaviti učinkovite procese za njihovo obvladovanje. Posebna pozornost je namenjena skladnosti z veljavnimi regulatornimi zahtevami in praktičnim korakom implementacije.
Identifikacija in ocenjevanje kibernetskih tveganj
Metodologije za prepoznavanje tveganj
Sistematična identifikacija tveganj zahteva strukturiran pristop, ki presega običajno “preverjanje kljukic”. V praksi to pomeni popolno mapiranje vseh digitalnih sredstev, od strežnikov do mobilnih naprav zaposlenih. Proces mora biti celovit in vključevati vse komponente IT infrastrukture, ne glede na njihovo velikost ali navidezno pomembnost.
Organizacije najpogosteje pozabijo na skrite digitalne povezave, kot so pametne naprave v pisarnah ali povezava s partnerskimi sistemi. Te “nevidne” komponente lahko predstavljajo značilne varnostne vrzeli, ki jih napadalci izkoriščajo za vstop v omrežje. Posebno pozornost je treba nameniti IoT napravam, ki pogosto nimajo ustreznih varnostnih funkcij.
NIST okvir predvideva štiri ključne korake identifikacije, ki omogočajo sistematičen pristop k prepoznavanju tveganj. Prvi korak zahteva inventarizacijo vseh sistemov, kar v srednji organizaciji traja približno 4-6 tednov. Ta proces mora biti natančen in vključevati vse digitalne komponente, vključno s tistimi, ki jih upravljajo zunanji ponudniki.
Drugi korak mapira podatkovne tokove med sistemi, kar omogoča razumevanje, kako informacije potujejo skozi organizacijo. To je ključno za prepoznavanje točk, kjer bi lahko prišlo do nepooblaščenega dostopa ali uhajanja podatkov. Tretji korak identificira kritične odvisnosti, medtem ko četrti oceni potencialne točke napada in načine, kako bi napadalci lahko izkoristili identificirane ranljivosti.
Kvantitativno in kvalitativno ocenjevanje
Matrika tveganj kombinira verjetnost nastopa z vplivom na poslovanje in predstavlja temelj za odločanje o prioritetah. Formula je konceptualno preprosta: Tveganje = Verjetnost × Vpliv × Ranljivost. V praksi organizacije uporabljajo lestvico od 1 do 5 za vsak parameter, kar omogoča standardizirano primerjavo različnih tveganj.
Finančni vpliv mora vključevati vse relevantne stroške, ne le neposrednih stroškov obnove. Izgubljeni prihodki zaradi prekinitve poslovanja lahko presegajo neposredne stroške za večkrat. Regulatorne kazni predstavljajo dodatno finančno breme, ki ga je treba upoštevati pri ocenjevanju. Stroški za obnovitev ugleda organizacije so težko merljivi, vendar lahko dolgoročno predstavljajo največji finančni vpliv.
Kvantitativni pristop zahteva zgodovinske podatke o incidentih, ki jih manjše organizacije pogosto nimajo na voljo. Ta pristop je natančnejši, vendar zahteva več virov in strokovnega znanja. Kvalitativni pristop temelji na strokovnih ocenah in je primernejši za manjše organizacije z omejenimi viri.
Večina slovenskih podjetij uporablja hibridni pristop, kjer finančno ovrednotijo le kritična tveganja, medtem ko ostala ocenjujejo kvalitativno. Ta pristop omogoča optimalno porabo virov za ocenjevanje, hkrati pa zagotavlja dovolj natančne rezultate za sprejemanje odločitev. Pomembno je, da je metodologija ocenjevanja konsistentna in dokumentirana.
Dinamično spremljanje groženj
Grožnje se spreminjajo hitreje od tradicionalnih poslovnih tveganj, kar zahteva kontinuirano spremljanje in prilagajanje ocen tveganj. Threat intelligence vključuje spremljanje sektorskih groženj, geopolitičnih dogodkov in novih načinov napadov. Uradni viri zagotavljajo aktualne informacije o grožnjah za slovenski prostor in morajo biti redno preverjani.
Učinkovito spremljanje zahteva kombinacijo avtomatiziranih orodij in človeške analize. Avtomatizirana orodja lahko obdelajo velike količine podatkov o grožnjah, vendar je potrebna človeška interpretacija za razumevanje konteksta in relevantnosti za specifično organizacijo. Organizacije morajo vzpostaviti procese za redno prejemanje in analizo informacij o grožnjah.
Organizacije morajo prilagoditi svojo oceno tveganj vsaj četrtletno, ob večjih spremembah v tehnološki infrastrukturi pa tudi pogosteje. Novi sistemi, aplikacije ali poslovni procesi lahko uvedejo nova tveganja, ki jih je treba pravočasno identificirati in oceniti. Redne posodobitve zagotavljajo, da sistem upravljanja tveganj ostane aktualen in učinkovit.
Regulativni okvir in skladnost
Slovenska zakonodaja in direktive EU
Zakon o informacijski varnosti, sprejet junija 2025, implementira NIS2 direktivo v slovenski pravni red in predstavlja najpomembnejši regulatorni okvir za kibernetsko varnost. Organizacije morajo do konca leta 2026 vzpostaviti sistem upravljanja kibernetskih tveganj, kar zahteva celovito pripravo in implementacijo. Zakon določa jasne obveznosti za bistvene in pomembne subjekte, pri čemer se obseg obveznosti razlikuje glede na kategorizacijo organizacije.
GDPR dodatno ureja varstvo osebnih podatkov pri upravljanju tveganj in postavlja specifične zahteve za obdelavo osebnih podatkov v kontekstu varnostnih ukrepov. Organizacije morajo dokumentirati, kako njihovi ukrepi varnosti vplivajo na zasebnost posameznikov in zagotoviti, da varnostni ukrepi ne kršijo načel varstva podatkov. Sektorska regulativa, kot je bančna ali energetska, postavlja dodatne zahteve za specifične panoge, ki jih je treba upoštevati pri načrtovanju sistema upravljanja tveganj.
Kombinacija različnih regulatornih zahtev lahko ustvari kompleksno okolje, ki zahteva skrbno načrtovanje in koordinacijo. Organizacije morajo razumeti, kako se različni predpisi dopolnjujejo in prekrivajo, ter zagotoviti celovito skladnost z vsemi relevantnimi zahtevami. Celovit pregled regulatornih obveznosti je ključen za uspešno implementacijo.
Standardi in certifikacije
ISO 27001 ostaja zlati standard za sisteme upravljanja informacijske varnosti in zagotavlja preizkušen okvir za vzpostavitev celovitega sistema. Standard pokriva vse vidike informacijske varnosti, od organizacijskih do tehničnih ukrepov. ISO 27005 se osredotoča specifično na upravljanje tveganj in dopolnjuje osnovni standard z detaljnimi smernicami za proces upravljanja tveganj.
Implementacija ISO 27001 traja v povprečju 12-18 mesecev in stane med 25.000 in 80.000 EUR za srednje podjetje, odvisno od kompleksnosti organizacije in obsega implementacije. Stroški vključujejo zunanje svetovanje, usposabljanje zaposlenih, tehnične rešitve in certifikacijski proces. Kljub začetnim stroškom certifikacija prinaša dolgoročne koristi v obliki izboljšane varnosti in lažjega izpolnjevanja regulatornih zahtev.
TISAX standard prevladuje v avtomobilski industriji in je postal praktično obvezen za dobavitelje v tem sektorju. SOC 2 je ključen za ponudnike storitev v oblaku in organizacije, ki obdelujejo podatke strank. Vsak standard ima specifične zahteve za dokumentiranje in ocenjevanje tveganj, ki jih je treba upoštevati pri izbiri ustreznega pristopa.
Izbira pravega standarda je odvisna od panoge, poslovnih partnerjev in specifičnih potreb organizacije. Nekatere organizacije potrebujejo več certifikacij hkrati, kar zahteva skrbno načrtovanje za izogibanje podvajanju naporov. Primerjava različnih standardov lahko pomaga pri sprejemanju odločitve.
Poročanje in dokumentiranje
Obvezno poročanje incidentov zahteva jasno dokumentacijo procesov upravljanja tveganj in vzpostavljene komunikacijske kanale z regulatornimi organi. Organizacije morajo vzpostaviti revizijske sledi, ki omogočajo sledljivost odločitev in ukrepov. To vključuje dokumentiranje vseh ocen tveganj, sprejetih ukrepov in njihove učinkovitosti.
Komunikacija z regulatorji mora biti strukturirana in pravočasna, kar zahteva vzpostavljene procese za hitro zbiranje in posredovanje potrebnih informacij. Organizacije morajo poznati svoje obveznosti glede rokov poročanja in vsebine poročil. Zamude ali nepopolne informacije lahko vodijo v dodatne sankcije.
Dokumentacija mora vključevati ocene tveganj, sprejete ukrepe in rezultate testiranj, pri čemer mora biti vse jasno strukturirano in dostopno za revizije. Večina organizacij podceni obseg potrebne dokumentacije, kar povzroči težave pri revizijah ali incidentih. Priporočljivo je vzpostaviti sistem za avtomatično generiranje poročil in dokumentacije, kjer je to mogoče.
Implementacija in operativni vidiki
Uspešna implementacija upravljanja kibernetskih tveganj zahteva premišljen pristop k tehnologiji in organizaciji, ki upošteva specifične potrebe in omejitve organizacije. Večina slovenskih podjetij se zatakne pri izbiri prvih tehnoloških rešitev, ker podcenjujejo kompleksnost integracije različnih orodij in potrebo po prilagajanju obstoječim procesom.
Ključno je razumevanje, da tehnologija sama po sebi ne reši vseh izzivov upravljanja tveganj. Potrebna je kombinacija ustreznih orodij, dobro definiranih procesov in usposobljenih ljudi. Implementacija mora biti postopna in omogočati prilagajanje na podlagi izkušenj in spreminjajočih se potreb.
Tehnične rešitve in orodja
Osnova učinkovitega sistema je centralizirano zbiranje in analiza varnostnih dogodkov, ki omogoča celovit pregled nad varnostnim stanjem organizacije. SIEM sistemi omogočajo prepoznavanje anomalij v realnem času, vendar zahtevajo pravilno konfiguracijo in redno vzdrževanje. Mnoga podjetja napačno pričakujejo, da bo sistem deloval samodejno že po namestitvi, vendar je potrebno kontinuirano prilagajanje in optimizacijo.
Uspešna implementacija SIEM sistema zahteva temeljito razumevanje poslovnih procesov in normalnih vzorcev aktivnosti. Brez tega znanja sistem generira preveč lažnih alarmov, kar zmanjša njegovo učinkovitost. Pomembno je tudi zagotoviti ustrezno usposabljanje osebja, ki bo sistem uporabljalo in vzdrževalo.
Upravljanje ranljivosti mora biti sistematično in avtomatizirano, saj ročno upravljanje v sodobnih IT okoljih ni več izvedljivo. V praksi to pomeni redne preglede vseh sistemov, prioritizacijo popravkov glede na tveganje in sledenje implementaciji. Podjetja z več kot 50 sistemi potrebujejo specializirana orodja za skeniranje in upravljanje popravkov, ki omogočajo avtomatizacijo večine procesov.
Backup strategija mora vključevati 3-2-1 pravilo in redne teste obnovitve, kar zagotavlja možnost hitrega okrevanja po incidentu. Še posebej pomembno je ločeno shranjevanje varnostnih kopij, saj se kibernetski napadi pogosto osredotočijo prav na uničenje backup sistemov. Celovite backup strategije zahtevajo kombinacijo lokalnih in oddaljenih rešitev ter redno testiranje postopkov obnovitve.
Organizacijske strukture in procesi
Funkcija odgovorne osebe za kibernetsko varnost mora imeti jasno definirane pristojnosti in neposreden dostop do vodstva, kar zagotavlja ustrezno podporo in možnost hitrega odločanja. V manjših organizacijah lahko to funkcijo opravlja IT vodja, vendar mora imeti dodatno usposabljanje s področja varnostnih tveganj in dovolj časa za izvajanje specifičnih nalog kibernetske varnosti.
Ključno je, da ima odgovorna oseba dovolj avtoritete za sprejemanje varnostnih odločitev in implementacijo potrebnih ukrepov. Brez ustreznih pooblastil ne more učinkovito opravljati svoje funkcije. Prav tako mora imeti dostop do vseh potrebnih virov in informacij za ocenjevanje tveganj.
Varnostni odbor zagotavlja strateško vodenje in odobravanje pomembnih odločitev, kar omogoča vključevanje različnih perspektiv in interesov. Sestavljajo ga predstavniki različnih oddelkov, vključno s pravnim, HR in poslovodstvom, kar zagotavlja celovit pristop k upravljanju tveganj. Odbor se mora sestajati vsaj mesečno in imeti jasno definirane odgovornosti pri upravljanju tveganj.
Incident response team mora biti pripravljen na takojšen odziv 24/7, kar zahteva jasno organizacijo in pripravljenost. To vključuje jasno definirane vloge, komunikacijske kanale in postopke eskalacije. Uradne smernice priporočajo redne vaje in simulacije za preverjanje pripriavljenosti ekipe na različne scenarije napadov.
Usposabljanje zaposlenih je ključni element uspešnega sistema upravljanja tveganj. Vsi zaposleni morajo razumeti svojo vlogo pri zagotavljanju kibernetske varnosti in poznati osnovne varnostne postopke. Redna ozaveščanja in simulacije phishing napadov pomagajo vzdrževati visoko raven varnostne kulture.
Učinkovito upravljanje kibernetskih tveganj postaja temeljni del poslovnega delovanja slovenskih podjetij in zahteva dolgoročno zavezanost organizacije. Z naraščajočimi grožnjami in regulatornimi zahtevami morajo organizacije vzpostaviti sistematičen pristop k prepoznavanju, ocenjevanju in obvladovanju kibernetskih tveganj. Kombinacija preventivnih ukrepov, kontinuirnega spremljanja in pripravljenosti na incidente omogoča organizacijam zaščito kritičnih sredstev in zagotavljanje neprekinjenih poslovnih procesov.
Pogosti zmoti in napačne interpretacije pri prehodu na ZInfV-1
Mnoge organizacije pri pripravi na ZInfV-1 naredijo kritične napake, ki lahko vodijo v neustrezno skladnost in dodatne stroške. Ena najpogostejših napak je prepričanje, da zadostuje zgolj tehnična zaščita brez ustrezne dokumentacije. ZInfV-1 zahteva celovit pristop z jasno opredeljenimi procesi in odgovornostmi, kar presega tradicionalno razumevanje IT varnosti.
Organizacije pogosto zanemarjajo organizacijske in procesne vidike skladnosti, ki so enako pomembni kot tehnični ukrepi. Brez ustrezne dokumentacije in vzpostavljenih procesov tehnični ukrepi ne zadostujejo za izpolnjevanje zakonskih zahtev. Regulatorni organi pričakujejo dokazila o sistematičnem pristopu k upravljanju tveganj.
Druga pogosta napaka je podcenjevanje časovnih okvirov za implementacijo. Številna podjetja začnejo s pripravo šele nekaj mesecev pred rokom, kar vodi v površne rešitve in povečano tveganje neizpolnjevanja obveznosti. Ustrezna implementacija zahteva najmanj 6-12 mesecev za srednjo organizacijo, odvisno od kompleksnosti obstoječe infrastrukture.
Hitro implementirane rešitve pogosto ne upoštevajo specifičnih potreb organizacije in lahko povzročijo več težav kot koristi. Pomembno je načrtovati dovolj časa za testiranje, prilagajanje in usposabljanje zaposlenih. Podroben implementacijski načrt je ključen za uspešno izvedbo projekta.
Organizacije pogosto napačno razumejo tudi obseg zahtev ZInfV-1. Mnoge se osredotočajo zgolj na IT infrastrukturo, medtem ko zakon pokriva vse poslovne procese, vključno z upravljanjem dobaviteljev in ozaveščanjem zaposlenih. Celovit pristop zahteva vključevanje vseh delov organizacije, ne le IT oddelka.
Posebno pozornost je treba nameniti dobavni verigi, ki predstavlja značilno tveganje za mnoge organizacije. Zunanji ponudniki storitev lahko predstavljajo dodatne varnostne izzive, ki jih je treba ustrezno obvladovati. Pogodbe z dobavitelji morajo vključevati ustrezne varnostne zahteve in mehanizme nadzora.
Zadnja pogosta napaka je zanemarjanje kontinuiranih obveznosti. Skladnost z ZInfV-1 ni enkratna aktivnost, temveč zahteva redne preglede, posodobitve in poročanje pristojnim organom. Organizacije morajo vzpostaviti procese za kontinuirano upravljanje skladnosti in prilagajanje spremembam.
Mnoge organizacije tudi podcenjujejo potrebo po usposabljanju zaposlenih in spreminjanju organizacijske kulture. Kibernetska varnost ni le tehnični izziv, ampak zahteva sodelovanje vseh zaposlenih. Brez ustreznega ozaveščanja in usposabljanja tudi najboljši tehnični ukrepi ne morejo zagotoviti učinkovite zaščite.
Naslednji koraki za pripravo
Priprava na implementacijo sistema upravljanja kibernetskih tveganj zahteva sistematičen pristop in jasno načrtovanje. Prvi korak predstavlja temeljito oceno trenutnega stanja, ki omogoča razumevanje obstoječih zmožnosti in identificiranje vrzeli. Ta analiza mora biti celovita in vključevati vse vidike kibernetske varnosti.
Izvedite celovito oceno trenutnega stanja kibernetske varnosti in identificirajte vrzeli glede na zahteve ZInfV-1. Ta proces mora vključevati pregled vseh sistemov, procesov in politik ter primerjavo z zakonskimi zahtevami. Rezultat analize bo seznam prioritetnih ukrepov za doseganje skladnosti.
Določite odgovorno osebo za kibernetsko varnost in oblikujte projektno skupino za implementacijo. Ta skupina mora vključevati predstavnike različnih oddelkov in imeti jasno definirane vloge in odgovornosti. Projektna skupina bo odgovorna za koordinacijo vseh aktivnosti implementacije.
Pripravite časovni načrt z jasnimi mejniki do rokov 19. junija 2026 oziroma 20. decembra 2026. Načrt mora biti realen in upoštevati razpoložljive vire ter kompleksnost potrebnih sprememb. Redni pregledi napredka omogočajo pravočasno prilagajanje načrta.
Začnite z vzpostavljanjem dokumentacije in procesov upravljanja kibernetskih tveganj, kar predstavlja temelj za vse nadaljnje aktivnosti. Dokumentacija mora biti jasna, dostopna in redno posodobljena. Procesi morajo biti praktični in prilagojeni specifičnim potrebam organizacije.
Potrebujete pomoč pri implementaciji ZInfV-1?
Pomagamo slovenskim podjetjem z GAP analizo za identifikacijo vrzeli v skladnosti, vCISO storitvijo za kontinuiran nadzor in usmerjanje ter pripravo dokumentacije, vključno s politikami, postopki in evidencami.