Na svakom certifikacijskom ili nadzornom auditu prije ili kasnije dođe isti trenutak: auditor ne pita upravu ima li tvrtka politike, nego zamoli zaposlenika da mu kaže što one znače za njegov posao. Ako odgovor stane na "znam da negdje postoje", nijedan uredno potpisan dokument to više ne spašava. Svjesnost zaposlenika odavno nije meka tema iz uvodnog predavanja, nego mjerljiva obveza koju propisuju norme i zakoni, od ISO standarda preko NIS2 do AI Acta.
Potpis na listi nije dokaz znanja
Najčešći "dokaz" svjesnosti u hrvatskim tvrtkama je lista s potpisima: zaposlenik je potpisao da je pročitao politiku i time je stvar riješena. Problem je što potpis dokazuje samo da je papir kružio uredom. Ne pokazuje je li osoba dokument razumjela, sjeća li ga se nakon godinu dana i primjenjuje li ga kad zazvoni telefon s "hitnim" zahtjevom. Auditori to znaju, pa svjesnost sve češće provjeravaju razgovorom sa zaposlenicima, a regulatori traže evidenciju provedenih mjera, ne izjave o namjeri. Dokaz koji drži vodu mora pokazati tko je provjeren, kada, iz čega i s kojim rezultatom.
Što točno traže norme i propisi
ISO 9001 i ISO/IEC 27001: točka 7.3 i kontrola A.6.3
Obje norme u točki 7.3 traže da su osobe koje rade pod nadzorom organizacije svjesne politike, svog doprinosa učinkovitosti sustava i posljedica neusklađenosti. Ključna je formulacija "osobe koje rade pod nadzorom organizacije": to nisu samo zaposlenici, nego i vanjski suradnici i podizvođači koji rade u vašim procesima. ISO/IEC 27001:2022 kroz kontrolu A.6.3 dodatno traži program osvješćivanja, obrazovanja i obuke o informacijskoj sigurnosti, s redovitim osvježavanjem. Na auditu se za obje stvari traži zapis, dakle evidencija iz koje se vidi da provjera nije bila jednokratna ceremonija.
NIS2 i Zakon o kibernetičkoj sigurnosti
NIS2 direktiva i hrvatski Zakon o kibernetičkoj sigurnosti (NN 84/24) s Uredbom o kibernetičkoj sigurnosti (NN 135/24) osvješćivanje i obuku zaposlenika svrstavaju među obvezne mjere upravljanja kibernetičkim rizicima za ključne i važne subjekte. Posebnost je što obveza izričito uključuje i upravu: članovi upravljačkih tijela dužni su proći osposobljavanje, jer odgovaraju za provedbu mjera. Više o tome tko je obveznik i što sve mjere obuhvaćaju piše u našoj usluzi usklađivanja s NIS2 i ZKS-om. Za financijski sektor sličnu obvezu redovite obuke o digitalnoj otpornosti donosi i DORA.
GDPR: educirano osoblje kao dio zaštite podataka
GDPR u članku 39 među zadaće službenika za zaštitu podataka ubraja i podizanje svijesti te osposobljavanje osoblja koje obrađuje osobne podatke. U praksi nadzorna tijela kod povreda podataka redovito pitaju kako je osoblje bilo educirano, jer većina incidenata kreće od ljudske pogreške. Evidentirana provjera znanja o postupanju s osobnim podacima ovdje pokriva i obvezu i stvarni rizik, a kako to postaviti znaju naši DPO stručnjaci.
AI Act: AI pismenost postala je zakonska obveza
Najnovija i najmanje poznata obveza dolazi iz europskog AI Acta (Uredba (EU) 2024/1689). Njegov članak 4 primjenjuje se od 2. veljače 2025. i traži da svi koji razvijaju ili koriste AI sustave osiguraju dovoljnu razinu AI pismenosti svog osoblja. Dakle, čim vaši zaposlenici u poslu koriste ChatGPT, Copilot ili bilo koji AI alat, tvrtka je dužna pobrinuti se da razumiju što alat smije, što ne smije i koje podatke u njega ne unose. Praktično to znači politiku korištenja umjetne inteligencije i provjeru da je zaposlenici stvarno poznaju. Tvrtke koje grade sustav upravljanja umjetnom inteligencijom po ISO 42001 istu obvezu susreću i u točki 7.3 te norme.
Kako izgleda dokaz koji auditor prihvaća
Kad se svi ti zahtjevi svedu na zajednički nazivnik, dokaz svjesnosti ima četiri sastojka. Prvo, provjera mora biti vezana uz vaše stvarne politike, a ne uz generički tečaj: auditor uspoređuje odgovore zaposlenika s onim što piše u vašim dokumentima. Drugo, mora postojati zapis po osobi: tko je polagao, kada, iz kojih politika i s kojim rezultatom. Treće, provjera se mora ponavljati, jer znanje izblijedi, a politike se mijenjaju: u praksi se rezultat obično priznaje 12 mjeseci. I četvrto, iz evidencije se mora vidjeti što ste napravili s prazninama: tko nije prošao, koje su politike ispod praga i kakav je bio ciljani trening nakon toga. Upravo ta zadnja stavka razlikuje formalnost od sustava koji radi.
Kako provjeru svjesnosti postaviti u praksi
Postupak koji se pokazao izvedivim i za tvrtke od desetak ljudi izgleda ovako. Iz važećih politika i procedura izradi se banka pitanja, po mogućnosti takva da se pitanja i odgovori rotiraju, pa se ispit ne može naučiti napamet. Zaposlenici ispite rješavaju online, po sustavu ili po pojedinoj politici, a rezultati se automatski evidentiraju. Uprava iz analitike vidi gdje su praznine i tamo usmjerava obuku, umjesto da svi svake godine slušaju isto predavanje. Za sigurnosne teme stvarno ponašanje dodatno mjere simulirane phishing kampanje. Mi smo cijeli taj krug pretvorili u Portal svjesnosti: pitanja nastaju iz vaših politika, ispiti se ocjenjuju na serveru, a Excel evidencija i potvrde spremne za auditora generiraju se jednim klikom.
Ako vas audit ili nadzor čeka ove godine, nemojte da vam svjesnost zaposlenika bude točka na kojoj se sve zakomplicira. Javite nam se za besplatnu procjenu: u kratkom razgovoru procijenit ćemo koje obveze se odnose na vas i kako ih najbrže pokriti dokazima.
Često postavljana pitanja
Je li potpisana izjava zaposlenika dovoljan dokaz svjesnosti?
Za ozbiljan audit nije. Potpis dokazuje da je zaposlenik dokument primio, ne i da ga razumije. Norme traže svjesnost, a nju auditor provjerava razgovorom i traženjem zapisa o provedenim provjerama znanja. Potpisana lista može biti dio evidencije, ali sama po sebi ne pokazuje razumijevanje.
Koliko često treba provjeravati svjesnost zaposlenika?
Praksa koja prolazi na auditima je provjera najmanje jednom godišnje, uz obveznu provjeru kod zapošljavanja i nakon svake veće izmjene politika. Rezultat provjere obično se priznaje 12 mjeseci, nakon čega se obnavlja.
Što je AI pismenost i tko je mora imati?
AI pismenost je razumijevanje mogućnosti, ograničenja i rizika AI alata koje osoba koristi u poslu. Članak 4 AI Acta od 2. veljače 2025. obvezuje sve koji razvijaju ili koriste AI sustave da osiguraju dovoljnu razinu AI pismenosti osoblja. Obveza dakle ne pogađa samo IT tvrtke, nego svaku organizaciju čiji zaposlenici u poslu koriste AI alate.
Moraju li provjeru proći i vanjski suradnici i podizvođači?
Da, ako rade u vašim procesima. ISO 9001 i ISO 27001 govore o osobama koje rade pod nadzorom organizacije, što uključuje i vanjske suradnike, studente i podizvođače s pristupom vašim sustavima ili podacima. Auditori na to posebno paze, jer je tu evidencija najčešće šuplja.
Što napraviti kad zaposlenik ne položi provjeru?
Neuspjela provjera nije problem, nego koristan podatak. Iz analitike se vidi koje politike su ispod praga, pa se za te teme organizira ciljani trening i ponovljeni ispit. Za auditora je upravo taj slijed, provjera pa trening pa ponovna provjera, najbolji dokaz da sustav svjesnosti stvarno živi.


