Odnosi li se NIS2 na moju tvrtku?

Ako ste u jednom od 18 obuhvaćenih sektora i imate 50+ zaposlenika ili 10M+ EUR prihoda, vjerojatno ste obveznik. Ako ste dio lanca opskrbe ključnog subjekta, također možete biti obuhvaćeni neovisno o veličini.

Koji je rok za NIS2 usklađivanje u Hrvatskoj?

Zakon o kibernetičkoj sigurnosti (ZKS) je stupio na snagu 15. veljače 2024., a Uredba o kibernetičkoj sigurnosti 22. studenog 2024. Obveze su na snazi i ne postoji dodatni prijelazni rok.

Kakva je veza između NIS2 i ISO 27001?

ISO 27001 pokriva otprilike 70% NIS2 zahtjeva. Ključne razlike su rokovi prijave incidenata (24h/72h/30d), osobna odgovornost uprave i regulatorne kazne do 10M EUR. ISO 27001 je dobrovoljan standard, NIS2 je zakonska obveza.

Koje su kazne za neusklađenost s NIS2?

Ključni subjekti: do 10.000.000 EUR ili 2% globalnog prometa. Važni subjekti: do 7.000.000 EUR ili 1,4% prometa. Uprava osobno odgovara s kaznama od 250 do 6.000 EUR po prekršaju.

NIS2 za hrvatske tvrtke — vodič za usklađenost

Ante Projić · 12. travnja 2026.

NIS2 direktiva zahtijeva od svih bitnih i važnih subjekata u Hrvatskoj implementaciju 10 sigurnosnih mjera iz članka 21. Ako vodite tvrtku u sektoru koji NIS2 pokriva, NIS2 Hrvatska usklađenost je zakonska obveza, ne preporuka.

Znam kako to izgleda iz vaše perspektive. Vodite tvrtku, rješavate operativne probleme, i onda netko kaže "moramo se uskladiti s NIS2" i vi pomislite: još jedan zakon za koji nikad nismo čuli, a koji nas može koštati milijune. Vidim to kod klijenata svaki tjedan.

Dobra vijest: izvedivo je. Čak i za tvrtke bez internog IT sigurnosnog tima, uz pravu stručnu podršku.

U ovom vodiču prolazim kroz konkretne stvari: tko je obveznik, što morate napraviti, koliko to realno košta i kakvi su rokovi. Samo praktični koraci, bez teorije koja vam ne treba.

Ključni zaključci

ZKS je na snazi od veljače 2024., Uredba od studenog 2024. Ne dolazi. Tu je.
NIS2 obuhvaća puno širi krug tvrtki nego originalna NIS direktiva, uključujući dobavljače ključnih subjekata, čak i male tvrtke.
10 mjera iz članka 21 je okosnica svega, ali ne morate ih implementirati odjednom. Prioritizirajte prema gap analizi.
Uprava osobno odgovara za neusklađenost: 250 do 6.000 EUR po osobi po prekršaju.
Ako već imate ISO 27001, pokrivate oko 70% NIS2 zahtjeva. Značajna prednost.

Što je NIS2 i zašto je važna za Hrvatsku?

NIS2 (Network and Information Security Directive 2) je EU direktiva 2022/2555 koja postavlja zajedničke sigurnosne standarde za ključne sektore u EU. Širi opseg od prethodnice, strože kazne, i uvodi osobnu odgovornost članova uprave. ENISA pruža dodatne smjernice za implementaciju.

Od NIS do NIS2: što se promijenilo

Originalna NIS direktiva iz 2016. pokrivala je relativno uzak krug operatora ključnih usluga. U praksi, u Hrvatskoj se to svodilo na pedesetak tvrtki. NIS2 mijenja tri stvari iz temelja.

Broj obuhvaćenih sektora narastao je sa 7 na 18. Kazne su sa simboličnih iznosa skočile na do 10 milijuna EUR ili 2% globalnog prihoda, ovisno što je veće. I treće, ono što direktore budi noću: odgovornost uprave. Osobna. Direktor se više ne može skloniti iza "to je problem IT odjela".

ZKS: kako je Hrvatska transponirala NIS2

Hrvatska je NIS2 transponirala kroz Zakon o kibernetičkoj sigurnosti (ZKS), objavljen u Narodnim novinama 14/2024. Zakon je stupio na snagu 15. veljače 2024. Dakle, više od dvije godine je u primjeni. Puni tekst dostupan je na zakon.hr.

ZKS prati strukturu NIS2 direktive, ali ima i naše specifičnosti. CERT.hr je centralno tijelo za privatni sektor, SOA za državna tijela. Zakon definira kategorije subjekata, obveze, rokove za prijavu incidenata i kazne.

Uredba o kibernetičkoj sigurnosti

Provedba ZKS-a detaljnije je razrađena Uredbom o kibernetičkoj sigurnosti (NN 135/2024), koja je stupila na snagu 22. studenog 2024. Uredba propisuje konkretne tehničke i organizacijske mjere, način provedbe samoprovjera, metodologiju procjene rizika i detalje oko prijave incidenata.

U praksi, Uredba će vam biti važnija od samog Zakona. Ona kaže što točno trebate dokumentirati, kako provoditi procjene rizika i koji su minimalni tehnički standardi.

NIS2 obveznici u Hrvatskoj: jeste li vi u opsegu?

Pitanje koje najčešće dobivam. Odgovor ovisi o tri stvari: sektoru, veličini tvrtke i (ovo mnogi ne znaju) lancu opskrbe u kojem se nalazite.

Ključni subjekti: sektori i pragovi

Ključni subjekti (essential entities) su tvrtke u sektorima koji drže državu i gospodarstvo na nogama. Najstroži zahtjevi, najviše kazne.

Sektori ključnih subjekata prema NIS2
Sektor	Primjeri
Energetika	Elektroprivreda, plinska distribucija, nafta, toplinarstvo
Promet	Zračni, željeznički, vodeni, cestovni prijevoz
Bankarstvo	Kreditne institucije
Infrastruktura financijskog tržišta	Mjesta trgovanja, središnje druge ugovorne strane
Zdravstvo	Bolnice, laboratoriji, proizvođači medicinskih proizvoda
Pitka voda	Distribucija i opskrba
Otpadne vode	Sustavi za prikupljanje i pročišćavanje
Digitalna infrastruktura	DNS, TLD, cloud, data centri, CDN, trust usluge
Upravljanje ICT uslugama (B2B)	Managed service provideri, managed security service provideri
Javna uprava	Tijela središnje i regionalne vlasti
Svemir	Operatori zemaljske infrastrukture

Pragovi: velika poduzeća (250+ zaposlenika ili 50M+ EUR prihod / 43M+ EUR aktiva). No, neki subjekti su obuhvaćeni neovisno o veličini, primjerice pružatelji DNS usluga, TLD registri i kvalificirani pružatelji usluga povjerenja.

Važni subjekti: sektori i pragovi

Važni subjekti (important entities) obuhvaćaju širi krug sektora. Zahtjevi su isti, ali su kazne nešto niže.

Sektori važnih subjekata prema NIS2
Sektor	Primjeri
Poštanske i kurirske usluge	Poštanski operatori
Gospodarenje otpadom	Prikupljanje, obrada, recikliranje
Kemijska industrija	Proizvodnja i distribucija kemikalija
Proizvodnja i distribucija hrane	Prehrambena industrija, veleprodaja
Proizvodnja	Medicinski uređaji, računala, elektronika, strojevi, motorna vozila
Digitalni pružatelji usluga	Online tržišta, tražilice, platforme društvenih mreža
Istraživanje	Istraživačke organizacije

Pragovi: srednja poduzeća (50+ zaposlenika ili 10M+ EUR prihod / 10M+ EUR aktiva).

Samoprovjera: 5 pitanja

Ako niste sigurni jeste li NIS2 obveznik, prođite kroz ovih pet pitanja:

Je li vaš primarni sektor djelatnosti na jednom od gornjih popisa?
Imate li 50 ili više zaposlenika?
Prelazi li vaš godišnji prihod 10 milijuna EUR?
Pružate li usluge nekom od ključnih subjekata kao dio njihovog lanca opskrbe?
Pruža li vaša tvrtka digitalne usluge (cloud, SaaS, managed IT) drugim tvrtkama?

Ako ste na bilo koje pitanje odgovorili s "da", vjerojatno ste obveznik.

Tipičan scenarij: dobavljač koji ne zna da je u opsegu

Zamislite proizvodno poduzeće sa 60 zaposlenih koje proizvodi komponente za energetski sektor. Firewall, antivirus, i to je otprilike to od sigurnosti. Onda njihov ključni klijent iz energetike kaže: "Trebamo dokaz da ispunjavate NIS2 zahtjeve jer ste u našem lancu opskrbe." Odjednom, moraju ispuniti svih 10 mjera iz članka 21, a nemaju ni početnu točku.

Ovaj scenarij postaje sve češći. Mnoge tvrtke otkrivaju da su u opsegu NIS2 ne kroz vlastiti sektor, nego kroz lanac opskrbe.

NIS2 i ISO 27001: saveznici, ne konkurencija

"Ako imam ISO 27001, trebam li se brinuti o NIS2?" Pitanje koje dobivam barem jednom tjedno. ISO 27001 vam daje veliku prednost, ali sam po sebi nije dovoljan.

Usporedba ISO 27001 i NIS2 zahtjeva
Područje	ISO 27001	NIS2 / ZKS
Procjena rizika	Da (Annex A)	Da (čl. 21, mjera 1)
Upravljanje incidentima	Da (A.5.24-A.5.28)	Da, sa strožim rokovima (24h/72h/30d)
Kontinuitet poslovanja	Da (A.5.29-A.5.30)	Da (čl. 21, mjera 3)
Lanac opskrbe	Da (A.5.19-A.5.23)	Da, s eksplicitnim zahtjevima (čl. 21, mjera 4)
Upravljanje pristupom	Da (A.5.15-A.5.18, A.8)	Da (čl. 21, mjera 9-10)
Edukacija zaposlenika	Da (A.6.3)	Da (čl. 21, mjera 7)
Kriptografija	Da (A.8.24)	Da (čl. 21, mjera 8)
Prijava regulatoru	Ne (nije obvezna)	Da (24h/72h/30d rokovi)
Osobna odgovornost uprave	Ne	Da (kazne za fizičke osobe)
Zakonska sankcija	Ne (dobrovoljni standard)	Da (do 10M EUR)

ISO 27001 pokriva otprilike 70% NIS2 zahtjeva. Ključne razlike su rokovi prijave incidenata (ISO nema stroge rokove), osobna odgovornost uprave (ISO to ne pokriva) i regulatorne kazne (ISO je dobrovoljan standard).

Ako imate ISO 27001, vaš put do NIS2 usklađenosti je kraći i jeftiniji. Ako nemate, razmislite o paralelnoj implementaciji jer se ulaganje značajno preklapa.

10 mjera iz članka 21: što konkretno morate napraviti

Članak 21 NIS2 direktive (transponiran u ZKS) definira 10 obveznih sigurnosnih mjera. Zakonski zahtjevi, ne preporuke. Evo što svaka znači kad sjednete za stol i krenete raditi.

10 obveznih mjera iz članka 21 NIS2
Mjera	Što znači u praksi	Razina napora
1. Analiza rizika i politike	Dokumentirana metodologija procjene rizika, formalne politike	Srednja
2. Postupanje s incidentima	Incident response plan, definirana eskalacija, kontakt lista	Srednja
3. Kontinuitet poslovanja	Backup, disaster recovery, BCP, testiranje oporavka	Visoka
4. Lanac opskrbe	Procjena dobavljača, sigurnosne klauzule u ugovorima	Srednja
5. Sigurnost razvoja i održavanja	Patch management, sigurnosno testiranje, SDLC	Srednja do visoka
6. Procjena učinkovitosti	Interni auditi, pen testovi, pregledi politika	Srednja
7. Kibernetička higijena	Security awareness program, phishing simulacije	Niska
8. Kriptografija	Enkripcija podataka, upravljanje ključevima, standardi	Srednja
9. Upravljanje pristupom	RBAC, princip najmanjeg privilegija, pregledi pristupa	Srednja
10. MFA	Višefaktorska autentifikacija na kritičnim sustavima	Niska

Tri mjere za početak

Ne morate raditi sve odjednom. Iz iskustva s klijentima, ovo je redoslijed koji ima najviše smisla:

Procjena rizika (mjera 1) — sve ostalo proizlazi iz nje. Bez procjene rizika ne znate što štitite ni od čega.
MFA na kritičnim sustavima (mjera 10) — najbrža pobjeda s najboljim omjerom ulaganja i učinka.
Incident response plan (mjera 2) — rokovi prijave počinju od dana jedan. Improvizacija u trenutku krize nije opcija.

Prijava incidenata: rokovi koji ne čekaju

Rokovi prijave:

24 sata: rano upozorenje. Od trenutka kad saznate za incident, imate 24 sata da pošaljete rano upozorenje CERT-u. Ovo ne mora biti detaljna analiza, ali mora sadržavati osnovne informacije o tome što se dogodilo.
72 sata: potpuna prijava. Detaljna prijava s procjenom ozbiljnosti, utjecaja, indikatorima kompromitacije i poduzetim mjerama.
1 mjesec: završni izvještaj. Kompletna analiza incidenta, root cause, poduzete korektivne mjere i naučene lekcije.

Kome se prijavljuje:

CERT.hr: za privatni sektor i javnu upravu
SOA: za tijela državne uprave u području nacionalne sigurnosti

Što se dogodi bez incident response plana?

Zamislite da dobijete poziv od CERT.hr-a: detektirani su sumnjivi mrežni tokovi iz vaše mreže. Imate 72 sata za potpunu prijavu. Nemate incident response plan, nemate log management, nemate forenzičke sposobnosti. Jedina opcija: angažirati vanjsku pomoć po premium cijenama, jer niste imali retainer ugovor.

Reaktivno je uvijek skuplje od proaktivnog.

Kazne: koliko vas može koštati neusklađenost

Dizajnirane su da bole.

Kazne za neusklađenost s NIS2 / ZKS
Kategorija	Maksimalna kazna	Alternativno
Ključni subjekti	10.000.000 EUR	ili 2% ukupnog godišnjeg globalnog prometa
Važni subjekti	7.000.000 EUR	ili 1,4% ukupnog godišnjeg globalnog prometa
Osobna odgovornost uprave	250–6.000 EUR po osobi po prekršaju	Za ponovljene: 2.000–6.000 EUR

Primjenjuje se viši iznos: kazna ili postotak prometa, ovisno što je veće.

Osobna odgovornost uprave zaslužuje posebnu pozornost. Iznosi od 250 do 6.000 EUR po prekršaju možda ne zvuče dramatično. Ali kumulativno, za ponovljene prekršaje uz donju granicu od 2.000 EUR, brzo se akumuliraju. I iskreno, novac nije ni najgori dio. Regulatorna evidencija i reputacijski rizik za člana uprave, to je ono što dugoročno boli.

Kako se pripremiti: praktični koraci za SMB

NIS2 usklađenost ne mora biti beskonačni projekt. Pet koraka.

1. Utvrdite jeste li obveznik

Koristite samoprovjeru od pet pitanja iz ovog članka. Ako ste u dilemi, konzultirajte se. Bolje je znati nego pretpostavljati. CERT.hr održava registar subjekata, ali i bez formalnog upisa možete procijeniti svoj status.

2. Gap analiza: gdje ste danas vs. gdje morate biti

Sistematizirano prođite kroz svih 10 mjera iz članka 21 i ocijenite gdje stojite. Što imate dokumentirano? Što provodite, ali nije formalizirano? Što uopće ne radite? Gap analiza daje vam jasnu sliku prioriteta.

3. Prioritizacija mjera: ne morate sve odjednom

Na temelju gap analize, definirajte što radite prvo. Moja preporuka za većinu tvrtki:

Procjena rizika (mjera 1): sve ostalo proizlazi iz nje
MFA na kritičnim sustavima (mjera 10): brza pobjeda, visok učinak
Incident response plan (mjera 2): rokovi prijave počinju od dana jedan
Backup i oporavak (mjera 3): ransomware ne čeka

4. Implementacija i dokumentacija

NIS2 zahtijeva ne samo provedbu mjera nego i njihovu dokumentaciju. Politike, procedure, zapisi o provedbi. Sve mora biti na papiru (ili u sustavu). Regulatorima nije dovoljno da "radite to u praksi", morate to dokazati.

5. Testiranje i kontinuirano praćenje

Jednom kad implementirate mjere, testirajte ih. Tabletop vježba incidenta. Phishing simulacija. Restore iz backupa. I onda nastavite pratiti. NIS2 usklađenost nema završni datum. Pogledajte kako naš tim pristupa kontinuiranom praćenju.

Zaključak

Tri stvari. Utvrdite jeste li obveznik. Napravite gap analizu. Krenite s implementacijom po prioritetima. Ne morate sve odjednom. Ali morate početi.

Tvrtke koje su ranije počele s pripremom već sada koriste NIS2 usklađenost kao tržišnu prednost. U natječajima za opskrbu velikih lanaca, dokumentirana sigurnosna praksa postaje diferencijator. Konkurencija koja još nije počela s usklađivanjem gubi pozicije, ne zato što je lošija u svom poslu, nego zato što ne može dokazati da je sigurna.

Ako želite znati gdje stojite, javite se. Pogledajte naše usluge IT sigurnosti i compliance-a ili zakažite besplatnu inicijalnu procjenu. Bez obveza, bez prodajnog pritiska.

Pošalji upit

Ante Projić je osnivač Ctrl Alt Grow i IT security konzultant s 15+ godina iskustva u sigurnosti, DevOps-u i cloud infrastrukturi.