Na snazi od 15.02.2024.

NIS2 direktiva —
pogađa li vašu firmu?

Hrvatska je 2024. transponirala europsku NIS2 direktivu kroz Zakon o kibernetičkoj sigurnosti (NN 14/2024). Pogađa preko 10.000 organizacija u 18 sektora — energetika, zdravstvo, financije, IT, vodoopskrba, hrana, prijevoz, javna uprava i drugi.

Zatraži audit → Provjeri jeste li obveznik
10.000+
obveznika u Hrvatskoj
18
obuhvaćenih sektora
24h
za prijavu incidenta
€10M
maks. kazna ili 2% prometa
Pregled

Što je NIS2 i zašto sada?

EU direktiva 2022/2555 zamijenila je staru NIS direktivu iz 2016. proširujući obuhvat na znatno više sektora i firmi — ne više samo kritična infrastruktura, već gotovo cijela srednja i velika privreda.

1

Šire područje primjene

Stara direktiva pokrivala je 7 sektora — NIS2 ih ima 18. Dodani su digitalna infrastruktura, ICT pružatelji, prehrambena industrija, kemikalije, otpad, javna uprava, istraživanje i drugi.

2

Konkretne mjere, ne samo "best practice"

Direktiva propisuje 10 obveznih mjera upravljanja rizicima — uključujući procjenu rizika, plan kontinuiteta, sigurnost dobavljača, kriptografiju, kontrolu pristupa i edukaciju zaposlenika.

3

Osobna odgovornost uprave

Po prvi put, članovi uprave i direktori osobno odgovaraju za usklađenost s mjerama kibernetičke sigurnosti — uključujući moguće zabrane obnašanja rukovodećih funkcija.

Tko je obveznik?

18 sektora — provjerite je li vaš među njima

Obveza se primjenjuje na srednje i velike organizacije (50+ zaposlenih ili €10M+ godišnjeg prometa) u jednom od navedenih sektora. Postoje iznimke — manje firme mogu biti obveznici ako su jedini pružatelj usluge u nekoj regiji ili ako su kritični dobavljač.

Ključni subjekti Annex I — visoka kritičnost

⚡ Energetika
🚛 Promet
🏦 Bankarstvo
📈 Financijska tržišta
🏥 Zdravstvo
💧 Voda za piće
🚰 Otpadne vode
🌐 Digitalna infrastruktura
💻 ICT upravljanje (B2B)
🏛️ Javna uprava
🛰️ Svemir

Važni subjekti Annex II — ostali kritični sektori

📮 Pošta i kuriri
♻️ Gospodarenje otpadom
⚗️ Kemikalije
🥫 Prehrambena industrija
🏭 Proizvodnja (medicinski, elektronički, strojevi, vozila)
🛒 Digitalni pružatelji (marketplaces, search, social)
🔬 Istraživanje i razvoj

Niste sigurni jeste li obveznik?

Procjena obvezujućeg statusa je prvi korak — radimo je besplatno.

Provjerimo zajedno →
Ključne obveze

10 mjera koje morate provesti

Članak 21. NIS2 direktive propisuje minimalne mjere upravljanja rizicima koje svaka obvezna organizacija mora dokumentirati, provoditi i redovito revidirati.

01 Politika sigurnosti informacijskih sustava

Pisana politika koja definira pristup riziku, odgovornosti, dozvoljenu uporabu.

02 Upravljanje incidentima

Procedura detekcije, eskalacije, dokumentiranja i izvještavanja CSIRT-a.

03 Kontinuitet poslovanja i upravljanje krizama

Backup strategija, disaster recovery plan, testiranje povrata podataka.

04 Sigurnost lanca opskrbe

Procjena dobavljača, sigurnosne klauzule u ugovorima, monitoring trećih strana.

05 Sigurnost nabavke, razvoja i održavanja IT sustava

Vulnerability disclosure, secure coding, code review, penetracijsko testiranje.

06 Politike za ocjenu učinkovitosti mjera

Redovne revizije, KPI-jevi, interni auditi i izvještavanje uprave.

07 Kibernetička higijena i edukacija

Obuke zaposlenika, phishing simulacije, MFA, password policy, patch management.

08 Kriptografija

Enkripcija podataka u mirovanju i prijenosu, upravljanje ključevima.

09 Sigurnost ljudskih resursa i kontrola pristupa

Provjere prilikom zapošljavanja, RBAC, privileged access management, offboarding.

10 Sigurna autentifikacija i komunikacija

MFA na svim sustavima, sigurni glasovni/video/text kanali za hitne situacije.

Rokovi za prijavu incidenata

Svaki značajan incident mora biti prijavljen nacionalnom CSIRT-u (HR-CERT pri CARNetu / NCKS) prema vrlo strogim rokovima:

24h
Rano upozorenje — osnovna informacija o incidentu
72h
Obavijest o incidentu — opseg, posljedice, indikatori kompromitacije
1 mjesec
Završno izvješće — detaljna analiza, mjere za sprječavanje ponavljanja
Sankcije

Kazne koje mijenjaju kalkulaciju rizika

Za razliku od starije NIS direktive gdje su sankcije bile simbolične, NIS2 uvodi kazne usporedive s GDPR-om — te osobnu odgovornost direktora.

Ključni subjekti
do €10.000.000 ili 2% globalnog godišnjeg prometa

Primjenjuje se viši iznos.

Važni subjekti
do €7.000.000 ili 1,4% globalnog godišnjeg prometa

Primjenjuje se viši iznos.

Osobne sankcije za upravu
Privremena zabrana obnašanja rukovodećih funkcija

U slučaju ponovljenih propusta u provedbi obveznih mjera kibernetičke sigurnosti.

Što napraviti sada

Tri koraka do usklađenosti

1

Procjena obveznika

Utvrđujemo spada li vaša organizacija pod NIS2 — sektor, veličina, kritična funkcija.

  • Analiza sektora i klasifikacija
  • Kategorija subjekta (ključni/važni)
  • Rok prijave NCKS-u
2

Gap analiza

Mjerimo gdje ste sada vs. gdje morate biti — tehnička i organizacijska kontrola.

  • Audit 10 obveznih mjera
  • Procjena dobavljačkog lanca
  • Plan otklanjanja gap-ova s prioritetima
3

Implementacija & održavanje

Pomažemo postaviti potrebne politike, alate i procese — te ih održavamo.

  • Politike, procedure, dokumentacija
  • Tehničke mjere (MFA, EDR, backup, monitoring)
  • Trening uprave i zaposlenika
FAQ

Česta pitanja

Što je razlika između NIS i NIS2?

Stara NIS direktiva (2016) pokrivala je samo 7 sektora "kritične infrastrukture" i imala je vrlo opće obveze. NIS2 (2022) širi obuhvat na 18 sektora, propisuje konkretne mjere (10 obveznih kontrola), uvodi velike kazne i osobnu odgovornost uprave.

Tko provodi nadzor u Hrvatskoj?

Glavni nadležni je SOA — Sigurnosno-obavještajna agencija — preko Centra za kibernetičku sigurnost. Operativni CSIRT-ovi su HR-CERT pri CARNetu (privredni subjekti) i Nacionalni CERT za javne tijela. Sektorski regulatori (HNB, HAKOM, HERA) dijele nadležnost u svojim domenama.

Do kada se moramo uskladiti?

Zakon je na snazi od 15. veljače 2024. Obveznici su se trebali prijaviti nadležnom tijelu u roku od 3 mjeseca od stupanja na snagu (svibanj 2024). Mjere kibernetičke sigurnosti moraju biti provedene "bez odgađanja" — u praksi, što prije. Kontrole su počele.

Što ako smo manji od 50 zaposlenih?

Pravilo srednje veličine (50+ zaposlenih ili €10M+ prometa) ima iznimke. Mala firma može biti obveznik ako je: jedini pružatelj usluge u regiji, kritični dobavljač drugog obveznika, ili djeluje u posebno osjetljivoj djelatnosti (npr. registar TLD-a, pružatelj digitalne usluge javne uprave). Procjenu radimo individualno.

Imamo ISO 27001 — jesmo li već usklađeni?

ISO 27001 pokriva većinu tehničkih obveza NIS2 — ali ne sve. Specifični zahtjevi za prijavu incidenata, lanac opskrbe i odgovornost uprave moraju biti adresirani dodatno. Gap analiza obično pokaže 70–80% pokrića ako već imate ISO — ostatak je 4–8 tjedana fokusiranog rada.

Koliko traje NIS2 audit?

Ovisi o veličini i složenosti. Tipično: procjena obveznika 2–3 dana, gap analiza 2–4 tjedna za srednju firmu, implementacija 3–9 mjeseci. Za jednu lokaciju s 50–200 zaposlenih, ciljamo na potpunu usklađenost u 6 mjeseci.

Provedite NIS2 prije nego što vas inspekcija provjeri.

Kontrole su počele. Bolje preventivno nego s kaznom u rukama.

Zatraži besplatnu procjenu →
Zatraži NIS2 audit →