NIS2 Hrvatska: vodič za usklađenost za tvrtke
NIS2 direktiva zahtijeva od svih bitnih i važnih subjekata u Hrvatskoj implementaciju 10 sigurnosnih mjera iz članka 21. Ako vodite tvrtku u sektoru koji NIS2 pokriva, NIS2 Hrvatska usklađenost je zakonska obveza, ne preporuka.
Znam kako to izgleda iz vaše perspektive. Vodite tvrtku, rješavate operativne probleme, i onda netko kaže "moramo se uskladiti s NIS2" i vi pomislite: još jedan zakon za koji nikad nismo čuli, a koji nas može koštati milijune. Vidim to kod klijenata svaki tjedan.
Dobra vijest: izvedivo je. Čak i za tvrtke bez internog IT sigurnosnog tima, uz pravu stručnu podršku.
U ovom vodiču prolazim kroz konkretne stvari: tko je obveznik, što morate napraviti, koliko to realno košta i kakvi su rokovi. Samo praktični koraci, bez teorije koja vam ne treba.
Sadržaj
Ključni zaključci
- ZKS je na snazi od veljače 2024., Uredba od studenog 2024. Ne dolazi. Tu je.
- NIS2 obuhvaća puno širi krug tvrtki nego originalna NIS direktiva, uključujući dobavljače ključnih subjekata, čak i male tvrtke.
- 10 mjera iz članka 21 je okosnica svega, ali ne morate ih implementirati odjednom. Prioritizirajte prema gap analizi.
- Uprava osobno odgovara za neusklađenost: 250 do 6.000 EUR po osobi po prekršaju.
- Ako već imate ISO 27001, pokrivate značajan dio NIS2 zahtjeva — ovisno o mapiranju, 60–80% tehničkih kontrola. Značajna prednost.
Što je NIS2 i zašto je važna za Hrvatsku?
NIS2 (Network and Information Security Directive 2) je EU direktiva 2022/2555 koja postavlja zajedničke sigurnosne standarde za ključne sektore u EU. Širi opseg od prethodnice, strože kazne, i uvodi osobnu odgovornost članova uprave. Politika i službene smjernice EU dostupne su na stranici Europske komisije o NIS2, a ENISA pruža dodatne smjernice za implementaciju.
Što se promijenilo od NIS-a do NIS2?
Originalna NIS direktiva iz 2016. pokrivala je relativno uzak krug operatora ključnih usluga. U praksi se u Hrvatskoj to svodilo na pedesetak tvrtki. NIS2 mijenja tri stvari odjednom. Prvo, broj obuhvaćenih sektora narastao je s 7 na 18, podijeljenih na 11 ključnih i 7 važnih, pa odjednom pod zakon padaju i tvrtke koje nikad nisu mislile da su "kritična infrastruktura". Drugo, kazne su sa simboličnih iznosa skočile na do 10 milijuna EUR ili 2% globalnog prihoda, ovisno o tome što je veće, a obuhvat seže i kroz lanac opskrbe, tako da i mala tvrtka može biti uvučena preko klijenta. Treće, ono što direktore budi noću: odgovornost uprave. Osobna. Direktor se više ne može skloniti iza "to je problem IT odjela".
Kako je Hrvatska transponirala NIS2 (ZKS)?
Hrvatska je NIS2 transponirala kroz Zakon o kibernetičkoj sigurnosti (ZKS), objavljen u Narodnim novinama 14/2024. Zakon je stupio na snagu 15. veljače 2024. Dakle, više od dvije godine je u primjeni; puni tekst dostupan je na zakon.hr. ZKS prati strukturu NIS2 direktive, ali ima i naše specifičnosti: definira kategorije subjekata, njihove obveze, rokove za prijavu incidenata i kazne. Nadzor je podijeljen među sektorskim nadležnim tijelima, a incidente prijavljujete nadležnom CSIRT-u. Postoje dva: Nacionalni CERT, pri CARNET-u, nadležan za privatni sektor i građanstvo, te NCSC-HR (Nacionalni centar za kibernetičku sigurnost), pri SOA-i, nadležan za državna tijela, pravne osobe s javnim ovlastima i jedinice lokalne i područne samouprave. Kad se dogodi incident, već znate kome ga prijavljujete, a pod koji režim potpadate obično je prvo što me direktor pita.
Uredba o kibernetičkoj sigurnosti
Provedba ZKS-a detaljnije je razrađena Uredbom o kibernetičkoj sigurnosti (NN 135/2024), koja je stupila na snagu 30. studenog 2024. Uredba propisuje konkretne tehničke i organizacijske mjere, način provedbe samoprovjera, metodologiju procjene rizika i detalje oko prijave incidenata. U praksi će vam biti važnija od samog Zakona. Zakon postavlja obvezu da imate sigurnosne mjere; Uredba tu obvezu spušta na razinu na kojoj se zapravo radi: što dokumentirati, kako provesti procjenu rizika i koji su minimalni tehnički standardi. Upravo Uredba operacionalizira 10 mjera iz članka 21, a procjena rizika je mjera 1 iz koje sve ostalo proizlazi. Ta ista metodologija temelj je kojim poslije sistematizirano prolazite kroz svih 10 mjera i ocjenjujete gdje stojite. Kad sjednete pisati prvu politiku ili pripremati samoprovjeru, otvarate Uredbu, ne Zakon.
NIS2 obveznici u Hrvatskoj: jeste li vi u opsegu?
Pitanje koje najčešće dobivam. Odgovor ovisi o tri stvari: sektoru, veličini tvrtke i (ovo mnogi ne znaju) lancu opskrbe u kojem se nalazite.
Koji sektori su NIS2 ključni subjekti?
Ključni subjekti (essential entities) su tvrtke u sektorima koji drže državu i gospodarstvo na nogama. Najstroži zahtjevi, najviše kazne.
| Sektor | Primjeri |
|---|---|
| Energetika | Elektroprivreda, plinska distribucija, nafta, toplinarstvo |
| Promet | Zračni, željeznički, vodeni, cestovni prijevoz |
| Bankarstvo | Kreditne institucije |
| Infrastruktura financijskog tržišta | Mjesta trgovanja, središnje druge ugovorne strane |
| Zdravstvo | Bolnice, laboratoriji, proizvođači medicinskih proizvoda |
| Pitka voda | Distribucija i opskrba |
| Otpadne vode | Sustavi za prikupljanje i pročišćavanje |
| Digitalna infrastruktura | DNS, TLD, cloud, data centri, CDN, trust usluge |
| Upravljanje ICT uslugama (B2B) | Managed service provideri, managed security service provideri |
| Javna uprava | Tijela središnje i regionalne vlasti |
| Svemir | Operatori zemaljske infrastrukture |
Pragovi: velika poduzeća (250+ zaposlenika ili 50M+ EUR prihod / 43M+ EUR aktiva). No, neki subjekti su obuhvaćeni neovisno o veličini, primjerice pružatelji DNS usluga, TLD registri i kvalificirani pružatelji usluga povjerenja.
Koji sektori su NIS2 važni subjekti?
Važni subjekti (important entities) obuhvaćaju širi krug sektora. Zahtjevi su isti, ali su kazne nešto niže.
| Sektor | Primjeri |
|---|---|
| Poštanske i kurirske usluge | Poštanski operatori |
| Gospodarenje otpadom | Prikupljanje, obrada, recikliranje |
| Kemijska industrija | Proizvodnja i distribucija kemikalija |
| Proizvodnja i distribucija hrane | Prehrambena industrija, veleprodaja |
| Proizvodnja | Medicinski uređaji, računala, elektronika, strojevi, motorna vozila |
| Digitalni pružatelji usluga | Online tržišta, tražilice, platforme društvenih mreža |
| Istraživanje | Istraživačke organizacije |
Pragovi: srednja poduzeća (50+ zaposlenika ili 10M+ EUR prihod / 10M+ EUR aktiva).
Samoprovjera: 5 pitanja
Ako niste sigurni jeste li NIS2 obveznik, prođite kroz ovih pet pitanja:
- Je li vaš primarni sektor djelatnosti na jednom od gornjih popisa?
- Imate li 50 ili više zaposlenika?
- Prelazi li vaš godišnji prihod 10 milijuna EUR?
- Pružate li usluge nekom od ključnih subjekata kao dio njihovog lanca opskrbe?
- Pruža li vaša tvrtka digitalne usluge (cloud, SaaS, managed IT) drugim tvrtkama?
Ako ste na bilo koje pitanje odgovorili s "da", vjerojatno ste obveznik.
Tipičan scenarij: dobavljač koji ne zna da je u opsegu
Zamislite proizvodno poduzeće sa 60 zaposlenih koje kao dobavljač izrađuje komponente za energetski sektor. Firewall, antivirus, i to je otprilike to od sigurnosti. Onda njihov ključni klijent iz energetike kaže: "Trebamo dokaz da ispunjavate NIS2 zahtjeve jer ste u našem lancu opskrbe." Odjednom, moraju ispuniti svih 10 mjera iz članka 21, a nemaju ni početnu točku. Ovakvih slučajeva je sve više. Mnoge tvrtke otkrivaju da su u opsegu NIS2 ne kroz vlastiti sektor, nego kroz lanac opskrbe. NIS2 traži od ključnih subjekata da osiguraju vlastiti lanac opskrbe (mjera 4 iz članka 21), pa tu obvezu ugovornim sigurnosnim klauzulama prebacuju na dobavljače. Tako i tvrtka koja je sama ispod veličinskog praga i ne pripada nijednom od 18 reguliranih sektora ipak završi pod NIS2 zahtjevima, i to preko ugovora s klijentom. Ako prodajete reguliranom subjektu, taj zahtjev stiže u vašem sljedećem ugovoru; pitanje je samo kada.
NIS2 i ISO 27001: saveznici, ne konkurencija
"Ako imam ISO 27001, trebam li se brinuti o NIS2?" Pitanje koje dobivam barem jednom tjedno. ISO 27001 vam daje veliku prednost, ali sam po sebi nije dovoljan.
| Područje | ISO 27001 | NIS2 / ZKS |
|---|---|---|
| Procjena rizika | Da (Annex A) | Da (čl. 21, mjera 1) |
| Upravljanje incidentima | Da (A.5.24-A.5.28) | Da, sa strožim rokovima (24h/72h/30d) |
| Kontinuitet poslovanja | Da (A.5.29-A.5.30) | Da (čl. 21, mjera 3) |
| Lanac opskrbe | Da (A.5.19-A.5.23) | Da, s eksplicitnim zahtjevima (čl. 21, mjera 4) |
| Upravljanje pristupom | Da (A.5.15-A.5.18, A.8) | Da (čl. 21, mjera 9-10) |
| Edukacija zaposlenika | Da (A.6.3) | Da (čl. 21, mjera 7) |
| Kriptografija | Da (A.8.24) | Da (čl. 21, mjera 8) |
| Prijava regulatoru | Ne (nije obvezna) | Da (24h/72h/30d rokovi) |
| Osobna odgovornost uprave | Ne | Da (kazne za fizičke osobe) |
| Zakonska sankcija | Ne (dobrovoljni standard) | Da (do 10M EUR) |
Ovisno o mapiranju, ISO 27001 pokriva 60–80% tehničkih zahtjeva NIS2 — tabela iznad pokazuje gdje se preklapaju i gdje NIS2 ide korak dalje. Ključne razlike su rokovi prijave incidenata (ISO nema stroge rokove), osobna odgovornost uprave (ISO to ne pokriva) i regulatorne kazne (ISO je dobrovoljan standard).
Ako imate ISO 27001, vaš put do NIS2 usklađenosti je kraći i jeftiniji. Ako nemate, razmislite o paralelnoj implementaciji jer se ulaganje značajno preklapa. Detaljnije o ISO 27001 pripremi u Hrvatskoj — razlika 2013 vs. 2022, 93 Annex A kontrole, 6-mjesečni roadmap i interni audit — pokrivam u našem ISO 27001 vodiču.
Koje su 10 obveznih mjera iz članka 21 NIS2?
Članak 21 NIS2 direktive (transponiran u ZKS) definira 10 obveznih sigurnosnih mjera. Zakonski zahtjevi, ne preporuke. Evo što svaka znači kad sjednete za stol i krenete raditi.
| Mjera | Što znači u praksi | Razina napora |
|---|---|---|
| 1. Analiza rizika i politike | Dokumentirana metodologija procjene rizika, formalne politike | Srednja |
| 2. Postupanje s incidentima | Incident response plan, definirana eskalacija, kontakt lista | Srednja |
| 3. Kontinuitet poslovanja | Backup, disaster recovery, BCP, testiranje oporavka | Visoka |
| 4. Lanac opskrbe | Procjena dobavljača, sigurnosne klauzule u ugovorima | Srednja |
| 5. Sigurnost razvoja i održavanja | Patch management, sigurnosno testiranje, SDLC | Srednja do visoka |
| 6. Procjena učinkovitosti | Interni auditi, pen testovi, pregledi politika | Srednja |
| 7. Kibernetička higijena i edukacija | Security awareness training, phishing simulacije, redovne sigurnosne edukacije | Niska |
| 8. Kriptografija | Enkripcija podataka, upravljanje ključevima, standardi | Srednja |
| 9. Upravljanje pristupom, HR sigurnošću i imovinom | RBAC, princip najmanjeg privilegija, pregledi pristupa, background checks, NDA-ovi, inventar i klasifikacija imovine | Srednja |
| 10. MFA i sigurne komunikacije | Višefaktorska autentifikacija na kritičnim sustavima, kriptirani voice/video kanali, sigurni emergency komunikacijski sustavi | Niska |
Koje su prve tri NIS2 mjere koje treba uvesti?
Ne morate raditi sve odjednom. Iz iskustva s klijentima, ovo je redoslijed koji ima najviše smisla:
- Procjena rizika (mjera 1) — sve ostalo proizlazi iz nje. Bez procjene rizika ne znate što štitite ni od čega.
- MFA na kritičnim sustavima (mjera 10) — najbrža pobjeda s najboljim omjerom ulaganja i učinka.
- Incident response plan (mjera 2) — rokovi prijave počinju od dana jedan. Improvizacija u trenutku krize nije opcija.
Koji su rokovi za prijavu NIS2 incidenata?
Direktiva propisuje trostupanjski rokovnik u članku 23 NIS2 direktive (transponirano u čl. 16 ZKS-a).
Rokovi prijave:
- 24 sata: rano upozorenje. Od trenutka kad saznate za incident, imate 24 sata da pošaljete rano upozorenje CERT-u. Ovo ne mora biti detaljna analiza, ali mora sadržavati osnovne informacije o tome što se dogodilo.
- 72 sata: potpuna prijava. Detaljna prijava s procjenom ozbiljnosti, utjecaja, indikatorima kompromitacije i poduzetim mjerama.
- 1 mjesec: završni izvještaj. Kompletna analiza incidenta, root cause, poduzete korektivne mjere i naučene lekcije.
Kome se prijavljuje (per čl. 16 ZKS-a):
- Nacionalni CERT (pri CARNET-u): za privatni sektor i građanstvo te sektore poput bankarstva, infrastrukture financijskog tržišta, digitalne infrastrukture, znanosti i obrazovanja.
- NCSC-HR (Nacionalni centar za kibernetičku sigurnost, pri SOA-i): za državna tijela, pravne osobe s javnim ovlastima te jedinice lokalne i područne (regionalne) samouprave.
Što se dogodi bez incident response plana?
Zamislite da dobijete poziv od CERT.hr-a: detektirani su sumnjivi mrežni tokovi iz vaše mreže. Imate 72 sata za potpunu prijavu. Nemate incident response plan, nemate log management, nemate forenzičke sposobnosti. Jedina opcija: angažirati vanjsku pomoć po premium cijenama, jer niste imali retainer ugovor.
Reaktivno je uvijek skuplje od proaktivnog.
Koje su kazne za neusklađenost s NIS2?
Visine kazni propisane su u članku 34 NIS2 direktive. Dizajnirane su da bole.
| Kategorija | Maksimalna kazna | Alternativno |
|---|---|---|
| Ključni subjekti | 10.000.000 EUR | ili 2% ukupnog godišnjeg globalnog prometa |
| Važni subjekti | 7.000.000 EUR | ili 1,4% ukupnog godišnjeg globalnog prometa |
| Osobna odgovornost uprave | 250–6.000 EUR po osobi po prekršaju | Za ponovljene: 2.000–6.000 EUR |
Primjenjuje se viši iznos: kazna ili postotak prometa, ovisno što je veće.
Osobna odgovornost uprave zaslužuje posebnu pozornost. Iznosi od 250 do 6.000 EUR po prekršaju možda ne zvuče dramatično. Ali kumulativno, za ponovljene prekršaje uz donju granicu od 2.000 EUR, brzo se akumuliraju. I iskreno, novac nije ni najgori dio. Regulatorna evidencija i reputacijski rizik za člana uprave, to je ono što dugoročno boli.
Kako se pripremiti za NIS2 — praktični koraci za SMB
NIS2 usklađenost ne mora biti beskonačni projekt. Pet koraka.
1. Utvrdite jeste li obveznik
Koristite samoprovjeru od pet pitanja iz ovog članka. Ako ste u dilemi, konzultirajte se. Bolje je znati nego pretpostavljati. CERT.hr održava registar subjekata, ali i bez formalnog upisa možete procijeniti svoj status.
2. Gap analiza: gdje ste danas vs. gdje morate biti
Sistematizirano prođite kroz svih 10 mjera iz članka 21 i ocijenite gdje stojite. Što imate dokumentirano? Što provodite, ali nije formalizirano? Što uopće ne radite? Gap analiza daje vam jasnu sliku prioriteta.
3. Prioritizacija mjera: ne morate sve odjednom
Na temelju gap analize, definirajte što radite prvo. Moja preporuka za većinu tvrtki:
- Procjena rizika (mjera 1): sve ostalo proizlazi iz nje
- MFA na kritičnim sustavima (mjera 10): brza pobjeda, visok učinak
- Incident response plan (mjera 2): rokovi prijave počinju od dana jedan
- Backup i oporavak (mjera 3): ransomware ne čeka
4. Implementacija i dokumentacija
NIS2 zahtijeva ne samo provedbu mjera nego i njihovu dokumentaciju. Politike, procedure, zapisi o provedbi. Sve mora biti na papiru (ili u sustavu). Regulatorima nije dovoljno da "radite to u praksi", morate to dokazati.
5. Testiranje i kontinuirano praćenje
Jednom kad implementirate mjere, testirajte ih. Tabletop vježba incidenta. Phishing simulacija. Restore iz backupa. I onda nastavite pratiti. NIS2 usklađenost nema završni datum. Pogledajte kako naš tim pristupa kontinuiranom praćenju.
Zaključak
Tri stvari. Utvrdite jeste li obveznik. Napravite gap analizu. Krenite s implementacijom po prioritetima. Ne morate sve odjednom. Ali morate početi.
Tvrtke koje su ranije počele s pripremom već sada koriste NIS2 usklađenost kao tržišnu prednost. U natječajima za opskrbu velikih lanaca, dokumentirana sigurnosna praksa postaje diferencijator. Konkurencija koja još nije počela s usklađivanjem gubi pozicije, ne zato što je lošija u svom poslu, nego zato što ne može dokazati da je sigurna.
Ako želite znati gdje stojite, javite se. Pogledajte naše usluge IT sigurnosti i compliance-a ili zakažite besplatnu inicijalnu procjenu. Bez obveza, bez prodajnog pritiska.
Često postavljana pitanja
Odnosi li se NIS2 na moju tvrtku?
Ako ste u jednom od 18 obuhvaćenih sektora i imate 50+ zaposlenika ili 10M+ EUR prihoda, vjerojatno ste obveznik. Ako ste dio lanca opskrbe ključnog subjekta, također možete biti obuhvaćeni neovisno o veličini.
Koji je rok za NIS2 usklađivanje u Hrvatskoj?
Zakon o kibernetičkoj sigurnosti (ZKS) je stupio na snagu 15. veljače 2024., a Uredba o kibernetičkoj sigurnosti 30. studenog 2024. Obveze su na snazi i ne postoji dodatni prijelazni rok.
Kakva je veza između NIS2 i ISO 27001?
Ovisno o mapiranju, ISO 27001 pokriva 60–80% tehničkih zahtjeva NIS2. Ključne razlike su rokovi prijave incidenata (24h/72h/30d), osobna odgovornost uprave i regulatorne kazne do 10M EUR. ISO 27001 je dobrovoljan standard, NIS2 je zakonska obveza.
Koje su kazne za neusklađenost s NIS2?
Ključni subjekti: do 10.000.000 EUR ili 2% globalnog prometa. Važni subjekti: do 7.000.000 EUR ili 1,4% prometa. Uprava osobno odgovara s kaznama od 250 do 6.000 EUR po prekršaju.
Trebate pomoć s NIS2 usklađivanjem? Javite se — odgovaramo u roku od 24 sata.
Pošalji upit