NIS2 Hrvatska: vodič za usklađenost za tvrtke

11 min čitanja

NIS2 direktiva zahtijeva od svih bitnih i važnih subjekata u Hrvatskoj implementaciju 10 sigurnosnih mjera iz članka 21. Ako vodite tvrtku u sektoru koji NIS2 pokriva, NIS2 Hrvatska usklađenost je zakonska obveza, ne preporuka.

Znam kako to izgleda iz vaše perspektive. Vodite tvrtku, rješavate operativne probleme, i onda netko kaže "moramo se uskladiti s NIS2" i vi pomislite: još jedan zakon za koji nikad nismo čuli, a koji nas može koštati milijune. Vidim to kod klijenata svaki tjedan.

Dobra vijest: izvedivo je. Čak i za tvrtke bez internog IT sigurnosnog tima, uz pravu stručnu podršku.

U ovom vodiču prolazim kroz konkretne stvari: tko je obveznik, što morate napraviti, koliko to realno košta i kakvi su rokovi. Samo praktični koraci, bez teorije koja vam ne treba.

Ključni zaključci

  • ZKS je na snazi od veljače 2024., Uredba od studenog 2024. Ne dolazi. Tu je.
  • NIS2 obuhvaća puno širi krug tvrtki nego originalna NIS direktiva, uključujući dobavljače ključnih subjekata, čak i male tvrtke.
  • 10 mjera iz članka 21 je okosnica svega, ali ne morate ih implementirati odjednom. Prioritizirajte prema gap analizi.
  • Uprava osobno odgovara za neusklađenost: 250 do 6.000 EUR po osobi po prekršaju.
  • Ako već imate ISO 27001, pokrivate značajan dio NIS2 zahtjeva — ovisno o mapiranju, 60–80% tehničkih kontrola. Značajna prednost.

Što je NIS2 i zašto je važna za Hrvatsku?

NIS2 (Network and Information Security Directive 2) je EU direktiva 2022/2555 koja postavlja zajedničke sigurnosne standarde za ključne sektore u EU. Širi opseg od prethodnice, strože kazne, i uvodi osobnu odgovornost članova uprave. Politika i službene smjernice EU dostupne su na stranici Europske komisije o NIS2, a ENISA pruža dodatne smjernice za implementaciju.

Što se promijenilo od NIS-a do NIS2?

Originalna NIS direktiva iz 2016. pokrivala je relativno uzak krug operatora ključnih usluga. U praksi, u Hrvatskoj se to svodilo na pedesetak tvrtki. NIS2 mijenja tri stvari iz temelja.

Broj obuhvaćenih sektora narastao je sa 7 na 18. Kazne su sa simboličnih iznosa skočile na do 10 milijuna EUR ili 2% globalnog prihoda, ovisno što je veće. I treće, ono što direktore budi noću: odgovornost uprave. Osobna. Direktor se više ne može skloniti iza "to je problem IT odjela".

Kako je Hrvatska transponirala NIS2 (ZKS)?

Hrvatska je NIS2 transponirala kroz Zakon o kibernetičkoj sigurnosti (ZKS), objavljen u Narodnim novinama 14/2024. Zakon je stupio na snagu 15. veljače 2024. Dakle, više od dvije godine je u primjeni. Puni tekst dostupan je na zakon.hr.

ZKS prati strukturu NIS2 direktive, ali ima i naše specifičnosti. CERT.hr je centralno tijelo za privatni sektor, SOA za državna tijela. Zakon definira kategorije subjekata, obveze, rokove za prijavu incidenata i kazne.

Uredba o kibernetičkoj sigurnosti

Provedba ZKS-a detaljnije je razrađena Uredbom o kibernetičkoj sigurnosti (NN 135/2024), koja je stupila na snagu 22. studenog 2024. Uredba propisuje konkretne tehničke i organizacijske mjere, način provedbe samoprovjera, metodologiju procjene rizika i detalje oko prijave incidenata.

U praksi, Uredba će vam biti važnija od samog Zakona. Ona kaže što točno trebate dokumentirati, kako provoditi procjene rizika i koji su minimalni tehnički standardi.

Vremenska crta od NIS1 direktive (2016) do hrvatske primjene NIS2: NIS2 objavljena 2022., ZKS na snazi 15. veljače 2024., Uredba o ključnim subjektima na snazi 22. studenog 2024., obveze u primjeni 2026. obveze na snazi 2016 NIS1 EU direktiva (2016/1148) prosinac 2022. NIS2 objavljena EU 2022/2555 21-mj. rok za transpoziciju 15. veljače 2024. ZKS na snazi Zakon o kibernetičkoj sigurnosti 22. studenog 2024. Uredba o KS na snazi o ključnim subjektima 2026 DANAS u punoj primjeni Vremenska skala je linearna (1 god ≈ 100 jedinica viewBoxa).
Vremenska crta od NIS1 (2016) do hrvatske primjene: ZKS stupa na snagu 15. veljače 2024., Uredba o ključnim subjektima 22. studenog 2024., obveze trajno u primjeni.

NIS2 obveznici u Hrvatskoj: jeste li vi u opsegu?

Pitanje koje najčešće dobivam. Odgovor ovisi o tri stvari: sektoru, veličini tvrtke i (ovo mnogi ne znaju) lancu opskrbe u kojem se nalazite.

Stablo odluke za utvrđivanje NIS2 obveze: provjera sektora, veličinskog praga i lanca opskrbe, s ishodima ključni subjekt, važan subjekt ili niste obveznik. Q1 · POČETAK Je li vaš primarni sektor na popisu NIS2? DA · ključni sektor DA · važan sektor NE · nije na popisu Ključni sektori 11 • Energetika • Promet • Bankarstvo • Infr. fin. tržišta • Zdravstvo • Pitka voda • Otpadne vode • Dig. infrastruktura • ICT upravljanje (B2B) • Javna uprava • Svemir → idite na Q2 (veličina, ključni) Važni sektori 7 • Poštanske i kurirske usluge • Gospodarenje otpadom • Kemijska industrija • Proizvodnja i distribucija hrane • Proizvodnja • Digitalni pružatelji usluga • Istraživanje → idite na Q2 (veličina, važni) Izvan 18 sektora Niste niti u jednom od 18 izravno reguliranih sektora. Sektorski test ne primjenjuje se, ali još uvijek možete biti obuhvaćeni preko lanca opskrbe. → idite na Q3 (lanac opskrbe) Q2 · KLJUČNI 250+ zaposlenika ILI 50M+ EUR prihoda (ili 43M+ EUR aktive)? Q2 · VAŽNI 50+ zaposlenika ILI 10M+ EUR prihoda? Q3 · LANAC OPSKRBE Pružate li usluge ključnom subjektu? (dobavljač, MSP, partner) DA NE DA NE DA NE ISHOD KLJUČNI SUBJEKT najstroži režim ISHOD VAŽAN SUBJEKT srednje veličine ISHOD VAŽAN SUBJEKT prag prijeđen ISHOD Vjerojatno niste obveznik provjerite Q3 → ISHOD MOŽDA obuhvaćeni kontakt: pravna služba ISHOD Niste obveznik izvan dosega NIS2 LEGENDA ISHODA Ključni subjekt najstroži režim, prijava CSIRT-u u 24 h Važan subjekt redovne obveze, nadzor ex post Niste / možda provjera lanca opskrbe ili izvan dosega
Stablo odluke za NIS2 opseg: 11 ključnih i 7 važnih sektora, veličinski pragovi (250+/50M EUR za ključne, 50+/10M EUR za važne) i utjecaj lanca opskrbe.

Koji sektori su NIS2 ključni subjekti?

Ključni subjekti (essential entities) su tvrtke u sektorima koji drže državu i gospodarstvo na nogama. Najstroži zahtjevi, najviše kazne.

Sektori ključnih subjekata prema NIS2
Sektor Primjeri
Energetika Elektroprivreda, plinska distribucija, nafta, toplinarstvo
Promet Zračni, željeznički, vodeni, cestovni prijevoz
Bankarstvo Kreditne institucije
Infrastruktura financijskog tržišta Mjesta trgovanja, središnje druge ugovorne strane
Zdravstvo Bolnice, laboratoriji, proizvođači medicinskih proizvoda
Pitka voda Distribucija i opskrba
Otpadne vode Sustavi za prikupljanje i pročišćavanje
Digitalna infrastruktura DNS, TLD, cloud, data centri, CDN, trust usluge
Upravljanje ICT uslugama (B2B) Managed service provideri, managed security service provideri
Javna uprava Tijela središnje i regionalne vlasti
Svemir Operatori zemaljske infrastrukture

Pragovi: velika poduzeća (250+ zaposlenika ili 50M+ EUR prihod / 43M+ EUR aktiva). No, neki subjekti su obuhvaćeni neovisno o veličini, primjerice pružatelji DNS usluga, TLD registri i kvalificirani pružatelji usluga povjerenja.

Koji sektori su NIS2 važni subjekti?

Važni subjekti (important entities) obuhvaćaju širi krug sektora. Zahtjevi su isti, ali su kazne nešto niže.

Sektori važnih subjekata prema NIS2
Sektor Primjeri
Poštanske i kurirske usluge Poštanski operatori
Gospodarenje otpadom Prikupljanje, obrada, recikliranje
Kemijska industrija Proizvodnja i distribucija kemikalija
Proizvodnja i distribucija hrane Prehrambena industrija, veleprodaja
Proizvodnja Medicinski uređaji, računala, elektronika, strojevi, motorna vozila
Digitalni pružatelji usluga Online tržišta, tražilice, platforme društvenih mreža
Istraživanje Istraživačke organizacije

Pragovi: srednja poduzeća (50+ zaposlenika ili 10M+ EUR prihod / 10M+ EUR aktiva).

Samoprovjera: 5 pitanja

Ako niste sigurni jeste li NIS2 obveznik, prođite kroz ovih pet pitanja:

  1. Je li vaš primarni sektor djelatnosti na jednom od gornjih popisa?
  2. Imate li 50 ili više zaposlenika?
  3. Prelazi li vaš godišnji prihod 10 milijuna EUR?
  4. Pružate li usluge nekom od ključnih subjekata kao dio njihovog lanca opskrbe?
  5. Pruža li vaša tvrtka digitalne usluge (cloud, SaaS, managed IT) drugim tvrtkama?

Ako ste na bilo koje pitanje odgovorili s "da", vjerojatno ste obveznik.

Tipičan scenarij: dobavljač koji ne zna da je u opsegu

Zamislite proizvodno poduzeće sa 60 zaposlenih koje proizvodi komponente za energetski sektor. Firewall, antivirus, i to je otprilike to od sigurnosti. Onda njihov ključni klijent iz energetike kaže: "Trebamo dokaz da ispunjavate NIS2 zahtjeve jer ste u našem lancu opskrbe." Odjednom, moraju ispuniti svih 10 mjera iz članka 21, a nemaju ni početnu točku.

Ovaj scenarij postaje sve češći. Mnoge tvrtke otkrivaju da su u opsegu NIS2 ne kroz vlastiti sektor, nego kroz lanac opskrbe.

NIS2 i ISO 27001: saveznici, ne konkurencija

"Ako imam ISO 27001, trebam li se brinuti o NIS2?" Pitanje koje dobivam barem jednom tjedno. ISO 27001 vam daje veliku prednost, ali sam po sebi nije dovoljan.

Usporedba ISO 27001 i NIS2 zahtjeva
Područje ISO 27001 NIS2 / ZKS
Procjena rizika Da (Annex A) Da (čl. 21, mjera 1)
Upravljanje incidentima Da (A.5.24-A.5.28) Da, sa strožim rokovima (24h/72h/30d)
Kontinuitet poslovanja Da (A.5.29-A.5.30) Da (čl. 21, mjera 3)
Lanac opskrbe Da (A.5.19-A.5.23) Da, s eksplicitnim zahtjevima (čl. 21, mjera 4)
Upravljanje pristupom Da (A.5.15-A.5.18, A.8) Da (čl. 21, mjera 9-10)
Edukacija zaposlenika Da (A.6.3) Da (čl. 21, mjera 7)
Kriptografija Da (A.8.24) Da (čl. 21, mjera 8)
Prijava regulatoru Ne (nije obvezna) Da (24h/72h/30d rokovi)
Osobna odgovornost uprave Ne Da (kazne za fizičke osobe)
Zakonska sankcija Ne (dobrovoljni standard) Da (do 10M EUR)

Ovisno o mapiranju, ISO 27001 pokriva 60–80% tehničkih zahtjeva NIS2 — tabela iznad pokazuje gdje se preklapaju i gdje NIS2 ide korak dalje. Ključne razlike su rokovi prijave incidenata (ISO nema stroge rokove), osobna odgovornost uprave (ISO to ne pokriva) i regulatorne kazne (ISO je dobrovoljan standard).

Ako imate ISO 27001, vaš put do NIS2 usklađenosti je kraći i jeftiniji. Ako nemate, razmislite o paralelnoj implementaciji jer se ulaganje značajno preklapa. Detaljnije o ISO 27001 pripremi u Hrvatskoj — razlika 2013 vs. 2022, 93 Annex A kontrole, 6-mjesečni roadmap i interni audit — pokrivam u našem ISO 27001 vodiču.

Koje su 10 obveznih mjera iz članka 21 NIS2?

Članak 21 NIS2 direktive (transponiran u ZKS) definira 10 obveznih sigurnosnih mjera. Zakonski zahtjevi, ne preporuke. Evo što svaka znači kad sjednete za stol i krenete raditi.

10 obveznih mjera iz članka 21 NIS2
Mjera Što znači u praksi Razina napora
1. Analiza rizika i politike Dokumentirana metodologija procjene rizika, formalne politike Srednja
2. Postupanje s incidentima Incident response plan, definirana eskalacija, kontakt lista Srednja
3. Kontinuitet poslovanja Backup, disaster recovery, BCP, testiranje oporavka Visoka
4. Lanac opskrbe Procjena dobavljača, sigurnosne klauzule u ugovorima Srednja
5. Sigurnost razvoja i održavanja Patch management, sigurnosno testiranje, SDLC Srednja do visoka
6. Procjena učinkovitosti Interni auditi, pen testovi, pregledi politika Srednja
7. Kibernetička higijena i edukacija Security awareness training, phishing simulacije, redovne sigurnosne edukacije Niska
8. Kriptografija Enkripcija podataka, upravljanje ključevima, standardi Srednja
9. Upravljanje pristupom, HR sigurnošću i imovinom RBAC, princip najmanjeg privilegija, pregledi pristupa, background checks, NDA-ovi, inventar i klasifikacija imovine Srednja
10. MFA i sigurne komunikacije Višefaktorska autentifikacija na kritičnim sustavima, kriptirani voice/video kanali, sigurni emergency komunikacijski sustavi Niska

Koje su prve tri NIS2 mjere koje treba uvesti?

Ne morate raditi sve odjednom. Iz iskustva s klijentima, ovo je redoslijed koji ima najviše smisla:

  1. Procjena rizika (mjera 1) — sve ostalo proizlazi iz nje. Bez procjene rizika ne znate što štitite ni od čega.
  2. MFA na kritičnim sustavima (mjera 10) — najbrža pobjeda s najboljim omjerom ulaganja i učinka.
  3. Incident response plan (mjera 2) — rokovi prijave počinju od dana jedan. Improvizacija u trenutku krize nije opcija.

Koji su rokovi za prijavu NIS2 incidenata?

Direktiva propisuje trostupanjski rokovnik u članku 23 NIS2 direktive (transponirano u čl. 16 ZKS-a).

Rokovi prijave:

  • 24 sata: rano upozorenje. Od trenutka kad saznate za incident, imate 24 sata da pošaljete rano upozorenje CERT-u. Ovo ne mora biti detaljna analiza, ali mora sadržavati osnovne informacije o tome što se dogodilo.
  • 72 sata: potpuna prijava. Detaljna prijava s procjenom ozbiljnosti, utjecaja, indikatorima kompromitacije i poduzetim mjerama.
  • 1 mjesec: završni izvještaj. Kompletna analiza incidenta, root cause, poduzete korektivne mjere i naučene lekcije.

Kome se prijavljuje (per čl. 16 ZKS-a):

  • Nacionalni CERT (operiran pri CARNET-u): za većinu sektora — privatni sektor, javnu upravu, sve civilne ključne i važne subjekte.
  • ZSIS-CERT pri SOA (Zavod za sigurnost informacijskih sustava): za tijela državne uprave koja barataju klasificiranim podacima i infrastrukturu nacionalne sigurnosti.

Što se dogodi bez incident response plana?

Zamislite da dobijete poziv od CERT.hr-a: detektirani su sumnjivi mrežni tokovi iz vaše mreže. Imate 72 sata za potpunu prijavu. Nemate incident response plan, nemate log management, nemate forenzičke sposobnosti. Jedina opcija: angažirati vanjsku pomoć po premium cijenama, jer niste imali retainer ugovor.

Reaktivno je uvijek skuplje od proaktivnog.

Koje su kazne za neusklađenost s NIS2?

Visine kazni propisane su u članku 34 NIS2 direktive. Dizajnirane su da bole.

Kazne za neusklađenost s NIS2 / ZKS
Kategorija Maksimalna kazna Alternativno
Ključni subjekti 10.000.000 EUR ili 2% ukupnog godišnjeg globalnog prometa
Važni subjekti 7.000.000 EUR ili 1,4% ukupnog godišnjeg globalnog prometa
Osobna odgovornost uprave 250–6.000 EUR po osobi po prekršaju Za ponovljene: 2.000–6.000 EUR
Usporedba maksimalnih kazni po NIS2 i ZKS: ključni subjekti do 10 milijuna eura, važni do 7 milijuna eura, osobna odgovornost uprave 250 do 6 000 eura po prekršaju i po osobi, s naznakom da se akumulira. SUBJEKT MAKSIMALNA KAZNA Ključni subjekti 10.000.000 EUR ili 2 % globalnog godišnjeg prometa Važni subjekti 7.000.000 EUR ili 1,4 % globalnog godišnjeg prometa Uprava osobno ≈ ×1.000 manje 250 – 6.000 EUR po prekršaju · po članu uprave ponovljeni: 2.000 – 6.000 EUR 0 2 M 4 M 6 M 8 M 10 M EUR linearna skala u eurima (1 M = 1.000.000 EUR) VAŽNO ZA TUMAČENJE Osobna kazna uprave djeluje sitno na korporativnoj skali, ali se akumulira: po svakom prekršaju, po svakom članu uprave. Pet članova uprave × pet ponovljenih prekršaja po 6.000 EUR = 150.000 EUR direktne osobne odgovornosti.
Maksimalne kazne po NIS2 / ZKS — korporativne do 10 milijuna EUR, osobne uprave 250 – 6.000 EUR po prekršaju (akumulira se po članu uprave).

Primjenjuje se viši iznos: kazna ili postotak prometa, ovisno što je veće.

Osobna odgovornost uprave zaslužuje posebnu pozornost. Iznosi od 250 do 6.000 EUR po prekršaju možda ne zvuče dramatično. Ali kumulativno, za ponovljene prekršaje uz donju granicu od 2.000 EUR, brzo se akumuliraju. I iskreno, novac nije ni najgori dio. Regulatorna evidencija i reputacijski rizik za člana uprave, to je ono što dugoročno boli.

Kako se pripremiti za NIS2 — praktični koraci za SMB

NIS2 usklađenost ne mora biti beskonačni projekt. Pet koraka.

1. Utvrdite jeste li obveznik

Koristite samoprovjeru od pet pitanja iz ovog članka. Ako ste u dilemi, konzultirajte se. Bolje je znati nego pretpostavljati. CERT.hr održava registar subjekata, ali i bez formalnog upisa možete procijeniti svoj status.

2. Gap analiza: gdje ste danas vs. gdje morate biti

Sistematizirano prođite kroz svih 10 mjera iz članka 21 i ocijenite gdje stojite. Što imate dokumentirano? Što provodite, ali nije formalizirano? Što uopće ne radite? Gap analiza daje vam jasnu sliku prioriteta.

3. Prioritizacija mjera: ne morate sve odjednom

Na temelju gap analize, definirajte što radite prvo. Moja preporuka za većinu tvrtki:

  1. Procjena rizika (mjera 1): sve ostalo proizlazi iz nje
  2. MFA na kritičnim sustavima (mjera 10): brza pobjeda, visok učinak
  3. Incident response plan (mjera 2): rokovi prijave počinju od dana jedan
  4. Backup i oporavak (mjera 3): ransomware ne čeka

4. Implementacija i dokumentacija

NIS2 zahtijeva ne samo provedbu mjera nego i njihovu dokumentaciju. Politike, procedure, zapisi o provedbi. Sve mora biti na papiru (ili u sustavu). Regulatorima nije dovoljno da "radite to u praksi", morate to dokazati.

5. Testiranje i kontinuirano praćenje

Jednom kad implementirate mjere, testirajte ih. Tabletop vježba incidenta. Phishing simulacija. Restore iz backupa. I onda nastavite pratiti. NIS2 usklađenost nema završni datum. Pogledajte kako naš tim pristupa kontinuiranom praćenju.

Zaključak

Tri stvari. Utvrdite jeste li obveznik. Napravite gap analizu. Krenite s implementacijom po prioritetima. Ne morate sve odjednom. Ali morate početi.

Tvrtke koje su ranije počele s pripremom već sada koriste NIS2 usklađenost kao tržišnu prednost. U natječajima za opskrbu velikih lanaca, dokumentirana sigurnosna praksa postaje diferencijator. Konkurencija koja još nije počela s usklađivanjem gubi pozicije, ne zato što je lošija u svom poslu, nego zato što ne može dokazati da je sigurna.

Ako želite znati gdje stojite, javite se. Pogledajte naše usluge IT sigurnosti i compliance-a ili zakažite besplatnu inicijalnu procjenu. Bez obveza, bez prodajnog pritiska.

Pošalji upit
Ante Projić je osnivač Ctrl Alt Grow i IT security konzultant s 15+ godina iskustva u sigurnosti, DevOps-u i cloud infrastrukturi.