Brzi pregled: NIS2 i kritična infrastruktura
| Aspekt | Detalji |
|---|---|
| Broj sektora | 18 (11 visoke kritičnosti + 7 drugih kritičnih) |
| Kategorije subjekata | Ključni subjekti + Važni subjekti |
| Kriterij veličine | 50+ zaposlenika ILI promet >10M€ |
| Rok primjene | Listopad 2024. (prijenos u nacionalno pravo) |
| Kazne | Do 10M€ / 2% prometa (ključni) |
| Nadležno tijelo HR | CERT + sektorski regulatori |
Izvršni sažetak
Kritična infrastruktura čini temelj funkcioniranja društva i gospodarstva. Od električne energije do pitke vode, od bolnica do banaka—prekid ovih usluga može imati katastrofalne posljedice. NIS2 direktiva prepoznaje ovu ranjivost i nameće obveze kibernetičke sigurnosti operatorima kritične infrastrukture.
Zašto je ovo važno? Kibernetički napadi na kritičnu infrastrukturu porasli su 300% od 2019. Ransomware napadi zatvaraju bolnice. Hakerski napadi uzrokuju prekide opskrbe energijom. NIS2 je odgovor EU na ovu rastuću prijetnju. Za potpuni pregled NIS2 obveza, kazni i koraka za usklađenost pogledajte NIS2 direktiva: Što hrvatska poduzeća moraju znati.
Ključno: Ako vaša usluga utječe na zdravlje, sigurnost ili ekonomsku stabilnost građana—vjerojatno ste kritična infrastruktura prema NIS2.
Ovaj vodič namijenjen je direktorima, IT voditeljima i compliance službenicima u sektorima koje NIS2 obuhvaća.
Što je kritična infrastruktura
Definicija
Kritična infrastruktura su sustavi, mreže i resursi čiji prekid ili uništenje bi imalo ozbiljan utjecaj na:
- Zdravlje i sigurnost građana
- Gospodarsku aktivnost
- Funkcioniranje države
┌─────────────────────────────────────────────────────────────┐
│ KRITIČNA INFRASTRUKTURA │
├─────────────────────────────────────────────────────────────┤
│ │
│ 🔌 ENERGETIKA │
│ Bez struje nema ničega drugog │
│ │
│ 💧 VODA │
│ Pitka voda i odvodnja │
│ │
│ 🏥 ZDRAVSTVO │
│ Bolnice, ljekarne, laboratoriji │
│ │
│ 🏦 FINANCIJE │
│ Banke, platni sustavi │
│ │
│ 🚆 PROMET │
│ Zračni, željeznički, cestovni, pomorski │
│ │
│ 📡 TELEKOMUNIKACIJE │
│ Internet, mobilne mreže │
│ │
│ 🏛️ JAVNA UPRAVA │
│ Državna tijela, e-građani │
│ │
│ PREKID = OZBILJNE POSLJEDICE ZA DRUŠTVO │
│ │
└─────────────────────────────────────────────────────────────┘
Primjeri kibernetičkih napada na kritičnu infrastrukturu
| Godina | Napad | Posljedica |
|---|---|---|
| 2021 | Colonial Pipeline (SAD) | Nestašica goriva na istočnoj obali |
| 2021 | HSE (Irska zdravstveni sustav) | Otkazivanje operacija tjednima |
| 2022 | Viasat (sateliti) | Prekid komunikacija u Ukrajini |
| 2023 | Danska energetika | Napad na 22 energetske tvrtke |
NIS2 i proširena definicija
Što je NIS2
NIS2 (Direktiva (EU) 2022/2555) je EU direktiva koja:
- Zamjenjuje prethodnu NIS direktivu iz 2016.
- Proširuje obuhvat s 7 na 18 sektora
- Uvodi strože obveze i veće kazne
- Harmonizira pravila unutar EU
Ključne promjene u odnosu na NIS1
| Aspekt | NIS1 (2016) | NIS2 (2022) |
|---|---|---|
| Sektori | 7 | 18 |
| Obuhvaćeni subjekti | Samo "operatori ključnih usluga" | Ključni + Važni subjekti |
| Kriterij | Određivanje od strane države | Automatski prema veličini |
| Kazne | Nije harmonizirano | Do 10M€ / 2% prometa |
| Lanac opskrbe | Nije regulirano | Obvezna procjena rizika |
| Odgovornost uprave | Nije eksplicitno | Osobna odgovornost |
Zašto proširenje?
Digitalna transformacija znači da su sada mnogi više sektori ovisni o IT sustavima:
- Proizvođači koriste IoT i automatizirane sustave
- Prehrambena industrija ovisi o digitalnim lancima opskrbe
- Javna uprava pruža usluge online
- Istraživačke institucije čuvaju osjetljive podatke
18 sektora obuhvaćenih NIS2
Sektori visoke kritičnosti (Prilog I)
Ovih 11 sektora smatra se najkritičnijima. Veliki subjekti u ovim sektorima automatski su ključni subjekti.
| Sektor | Podsektori | Primjeri u HR |
|---|---|---|
| 1. Energetika | Električna energija, nafta, plin, toplinarstvo, vodik | HEP, INA, Plinacro |
| 2. Promet | Zračni, željeznički, vodeni, cestovni | Hrvatske željeznice, Croatia Airlines, Luke |
| 3. Bankarstvo | Kreditne institucije | Sve banke u HR |
| 4. Infrastruktura financijskih tržišta | Mjesta trgovanja, središnje druge ugovorne strane | Zagrebačka burza, SKDD |
| 5. Zdravstvo | Pružatelji zdravstvene zaštite, referentni laboratoriji, R&D lijekova, kritična med. oprema | Bolnice, HALMED |
| 6. Pitka voda | Opskrbljivači i distributeri pitke vode | Vodovod Zagreb, komunalna poduzeća |
| 7. Otpadne vode | Prikupljanje, odvodnja, pročišćavanje | Komunalna poduzeća |
| 8. Digitalna infrastruktura | IXP, DNS, TLD, cloud, data centri, CDN, trust services, javne e-kom mreže | A1, HT, Iskon |
| 9. ICT upravljanje (B2B) | Managed service providers, managed security providers | IT tvrtke |
| 10. Javna uprava | Tijela središnje i regionalne vlasti | Ministarstva, županije |
| 11. Svemir | Operatori zemaljske infrastrukture | N/A u HR trenutno |
Drugi kritični sektori (Prilog II)
Ovih 7 sektora također je obuhvaćeno, ali subjekti u njima su tipično važni subjekti (osim ako ispunjavaju kriterije za ključne).
| Sektor | Podsektori | Primjeri u HR |
|---|---|---|
| 12. Poštanske usluge | Poštanske i kurirske usluge | HP, DPD, GLS |
| 13. Gospodarenje otpadom | Prikupljanje, obrada, zbrinjavanje | Čistoća, EKO |
| 14. Proizvodnja kemikalija | Proizvodnja, uvoz, distribucija | Kemijske tvrtke |
| 15. Proizvodnja hrane | Proizvodnja, prerada, distribucija | Podravka, Vindija, veliki distributeri |
| 16. Proizvodnja | Med. oprema, računala, elektronika, strojevi, vozila | Proizvođači |
| 17. Digitalni pružatelji | Online tržišta, tražilice, društvene mreže | N/A lokalnih velikih |
| 18. Istraživanje | Istraživačke organizacije | Instituti, fakulteti |
Ključni vs. važni subjekti
Razlike
| Aspekt | Ključni subjekti | Važni subjekti |
|---|---|---|
| Veličina | Veliki (250+ zaposlenika ili promet >50M€) | Srednji (50+ zaposlenika ili promet >10M€) |
| Sektori | Sektori visoke kritičnosti (Prilog I) | Svi sektori (Prilog I i II) |
| Nadzor | Proaktivan (ex-ante) | Reaktivan (ex-post) |
| Kazne | Do 10M€ ili 2% prometa | Do 7M€ ili 1,4% prometa |
| Odgovornost uprave | Strože sankcije | Sankcije |
Proaktivni vs. reaktivni nadzor
Proaktivni (ključni subjekti):
- Redovite inspekcije
- Sigurnosni auditi
- Provjere bez povoda (incidenta)
Reaktivni (važni subjekti):
- Nadzor nakon incidenta
- Nadzor nakon pritužbe
- Nadzor na temelju informacija
Kriteriji za određivanje obuhvaćenosti
Dijagram odlučivanja
┌─────────────────────────────────────────────────────────────┐
│ JESAM LI OBUHVAĆEN NIS2? │
├─────────────────────────────────────────────────────────────┤
│ │
│ KORAK 1: SEKTOR │
│ Djelujem li u jednom od 18 sektora? │
│ └─ NE → Nisam obuhvaćen NIS2 │
│ └─ DA → Idi na Korak 2 │
│ │
│ KORAK 2: VELIČINA │
│ Imam li 50+ zaposlenika ILI promet >10M€ ILI bilancu >10M€?│
│ └─ NE → Vjerojatno nisam obuhvaćen* │
│ └─ DA → Obuhvaćen sam NIS2, idi na Korak 3 │
│ │
│ KORAK 3: KATEGORIJA │
│ Imam li 250+ zaposlenika ILI promet >50M€ ILI bilancu >43M€│
│ I djelujem u sektoru visoke kritičnosti (Prilog I)? │
│ └─ NE → VAŽNI SUBJEKT │
│ └─ DA → KLJUČNI SUBJEKT │
│ │
│ *IZNIMKE: Bez obzira na veličinu obuhvaćeni su: │
│ - Kvalificirani pružatelji usluga povjerenja │
│ - Registri TLD domena │
│ - DNS pružatelji │
│ - Pružatelji javnih e-kom mreža/usluga │
│ - Javna uprava (središnja razina) │
│ - Jedini pružatelj usluge u državi članici │
│ │
└─────────────────────────────────────────────────────────────┘
Primjeri klasifikacije
| Organizacija | Sektor | Veličina | Kategorija |
|---|---|---|---|
| Velika bolnica (300 zaposlenika) | Zdravstvo (Prilog I) | Velika | Ključni subjekt |
| Srednja IT tvrtka (80 zaposlenika, MSP usluge) | ICT upravljanje (Prilog I) | Srednja | Važni subjekt |
| Mala komunalna tvrtka (30 zaposlenika) | Pitka voda (Prilog I) | Mala | Nije obuhvaćena* |
| Veliki proizvođač hrane (500 zaposlenika) | Proizvodnja hrane (Prilog II) | Velika | Važni subjekt |
| Srednja kurirska služba (100 zaposlenika) | Poštanske usluge (Prilog II) | Srednja | Važni subjekt |
*Osim ako je jedini pružatelj usluge u regiji
Obveze po sektorima
Zajedničke obveze za sve subjekte
Članak 21 NIS2 propisuje 10 obveznih mjera:
- Politike analize rizika i sigurnosti informacijskih sustava
- Postupanje s incidentima
- Kontinuitet poslovanja (backup, disaster recovery)
- Sigurnost lanca opskrbe
- Sigurnost u nabavi, razvoju i održavanju
- Politike za ocjenu učinkovitosti mjera
- Prakse kibernetičke higijene i obuka — pogledajte vodič za zaposlenike
- Politike korištenja kriptografije
- Sigurnost ljudskih resursa i kontrola pristupa
- Višefaktorska autentifikacija
Sektorski specifični zahtjevi
| Sektor | Dodatni zahtjevi |
|---|---|
| Energetika | Sigurnost SCADA/ICS sustava, otpornost mreže |
| Zdravstvo | Zaštita medicinskih uređaja, privatnost pacijenata |
| Financije | Usklađenost s DORA regulativom |
| Promet | Sigurnost operativne tehnologije |
| Javna uprava | Certifikacija, specifični standardi |
Lanac opskrbe i podizvoditelji
Novi fokus NIS2
NIS2 prvi put eksplicitno zahtijeva upravljanje rizicima lanca opskrbe. Napad na dobavljača može kompromitirati vaš sustav.
Što to znači u praksi
┌─────────────────────────────────────────────────────────────┐
│ SIGURNOST LANCA OPSKRBE │
├─────────────────────────────────────────────────────────────┤
│ │
│ VAŠA ORGANIZACIJA │
│ │ │
│ ├── Dobavljač IT usluga │
│ │ └── Njegovog podizvođača │
│ │ │
│ ├── Cloud provider │
│ │ │
│ ├── Dobavljač softvera │
│ │ │
│ └── Održavanje │
│ │
│ NAPAD NA BILO KOJEG = VAŠA RANJIVOST │
│ │
│ OBVEZE: │
│ ✓ Procjena sigurnosti dobavljača │
│ ✓ Sigurnosni zahtjevi u ugovorima │
│ ✓ Praćenje i audit dobavljača │
│ ✓ Plan za incidente kod dobavljača │
│ │
└─────────────────────────────────────────────────────────────┘
Učinak na manje tvrtke
Čak i ako niste direktno obuhvaćeni NIS2 (premala veličina), vaši klijenti koji jesu obuhvaćeni će od vas zahtijevati:
- Dokaz o sigurnosnim mjerama
- Odgovore na sigurnosne upitnike
- Ugovorne obveze o sigurnosti
- Pravo na audit
Kako utvrditi jeste li obuhvaćeni
Koraci za samoprocjenu
Identificirajte svoje djelatnosti
- Koje usluge pružate?
- Spadaju li pod neki od 18 sektora?
Provjerite veličinu
- Broj zaposlenika
- Godišnji promet
- Ukupna bilanca
Provjerite iznimke
- Jeste li jedini pružatelj usluge?
- Pružate li kritične usluge javnoj upravi?
Konzultirajte pravnu službu
- Granični slučajevi zahtijevaju stručnu procjenu
Dokumentiranje odluke
Čak i ako utvrdite da niste obuhvaćeni, dokumentirajte svoju analizu:
- Koji sektori su razmatrani
- Podaci o veličini
- Zaključak s obrazloženjem
- Datum analize
Koraci do usklađenosti
Faza 1: Procjena (1-2 mjeseca)
- Utvrdite obuhvaćenost i kategoriju
- Napravite gap analizu postojećeg stanja
- Identificirajte kritične sustave i podatke
- Procjena rizika lanca opskrbe
Faza 2: Planiranje (1 mjesec)
- Definirajte prioritete na temelju rizika
- Izradite plan usklađenosti s rokovima
- Alocirajte resurse (budžet, ljudi)
- Osigurajte podršku uprave
Faza 3: Implementacija (3-6 mjeseci)
- Implementirajte tehničke mjere
- Izradite/ažurirajte politike i procedure
- Educirajte zaposlenike
- Uspostavite proces prijave incidenata
Faza 4: Održavanje (kontinuirano)
- Redoviti auditi i testiranja
- Praćenje i ažuriranje procjene rizika
- Kontinuirana edukacija
- Poboljšanje na temelju incidenata i nalaza
Zaključak
NIS2 značajno proširuje definiciju kritične infrastrukture i nameće obveze tisućama organizacija koje ranije nisu bile regulirane. Ako djelujete u jednom od 18 sektora i ispunjavate kriterije veličine, morate djelovati sada.
Vaš akcijski plan
- Procijenite obuhvaćenost koristeći dijagram u ovom vodiču
- Napravite gap analizu postojećih mjera
- Educirajte upravu o obvezama i odgovornostima
- Pokrenite projekt usklađenosti
Započnite s NIS2 edukacijom
CompliQuest nudi online tečajeve koji pokrivaju NIS2 zahtjeve za sve obuhvaćene sektore. Naši tečajevi pomažu organizacijama ispuniti zahtjev za edukaciju zaposlenika iz članka 21 NIS2 direktive.
Pregledajte naše tečajeve kibernetičke sigurnosti | Kontaktirajte nas
Često postavljana pitanja
Kako znati je li moja tvrtka ključni ili važni subjekt?
Ključni subjekti su veliki subjekti (250+ zaposlenika ili promet >50M€) u sektorima visoke kritičnosti (Prilog I NIS2). Važni subjekti su srednji subjekti (50+ zaposlenika ili promet >10M€) u svim obuhvaćenim sektorima. Neki subjekti su obuhvaćeni bez obzira na veličinu (DNS operateri, TLD registri).
Koja je razlika u nadzoru između ključnih i važnih subjekata?
Ključni subjekti podliježu proaktivnom nadzoru — regulatori mogu provoditi redovite inspekcije i revizije. Važni subjekti podliježu reaktivnom nadzoru — inspekcija se pokreće tek nakon prijave incidenta ili sumnje na neusklađenost.
Što ako sam dobavljač ključnom subjektu?
NIS2 zahtijeva od obveznih subjekata procjenu rizika lanca opskrbe. Ako ste dobavljač ključnom ili važnom subjektu, velika je vjerojatnost da ćete morati ispuniti sigurnosne zahtjeve definirane ugovorom, čak i ako sami niste izravno obuhvaćeni direktivom.
Mogu li koristiti ISO 27001 za NIS2 usklađenost?
ISO 27001 pokriva značajan dio zahtjeva iz članka 21 NIS2, ali nije dovoljan sam po sebi. NIS2 ima specifične zahtjeve za prijavu incidenata, odgovornost uprave i sigurnost lanca opskrbe koji nadilaze ISO 27001.
Tko u Hrvatskoj nadzire kritičnu infrastrukturu?
Nadležna tijela ovise o sektoru: HAKOM za elektroničke komunikacije, HANFA za financije, Ministarstvo zdravstva za zdravstveni sektor, a Nacionalni CERT koordinira na razini države. Sektorski regulatori definiraju specifične zahtjeve.
Koliko vremena imam za usklađenost?
Rok za prijenos NIS2 u nacionalno zakonodavstvo bio je 17. listopada 2024. Organizacije koje su tek identificirane kao obvezne trebaju početi s usklađenjem odmah. Realan rok za punu implementaciju je 6-12 mjeseci ovisno o složenosti sustava.
Izvori
- NIS2 direktiva — Prilog I i II (EUR-Lex) — popis sektora visoke kritičnosti i ostalih kritičnih sektora
- ENISA: NIS2 Implementation Guidance — smjernice za implementaciju NIS2
- Nacionalni CERT Hrvatska — koordinacija i prijava incidenata
- HAKOM: Kibernetička sigurnost — nadležno tijelo za elektroničke komunikacije
- European Commission: NIS2 Directive Factsheet — pregled direktive
Povezani članci
- NIS2 direktiva: Što hrvatska poduzeća moraju znati
- Kibernetička sigurnost: Vodič za zaposlenike
- Phishing napadi: Kako prepoznati i zaštititi se
- Pojmovnik: Compliance termini i definicije
Ovaj članak služi kao informativni vodič i ne predstavlja pravni savjet. Za specifične situacije konzultirajte pravne stručnjake.