Izvršni sažetak
NIS2 direktiva (Direktiva (EU) 2022/2555) označava prekretnicu u regulaciji kibernetičke sigurnosti u Europskoj uniji. Za Hrvatsku, to konkretno znači da se broj obveznika povećao sa oko 500 na preko 3.000 organizacija, obuhvaćajući 18 sektora — od energetike i zdravstva do upravljanja otpadom i prehrambene industrije. Direktiva uvodi strože zahtjeve za upravljanje rizicima, obveznu prijavu incidenata u roku od 24 sata i, prvi put, izričitu osobnu odgovornost članova uprave za provedbu sigurnosnih mjera.
Rok za prijenos u nacionalno zakonodavstvo bio je 17. listopada 2024. i već je prošao, što znači da su obveze aktivne bez obzira na to u kojoj se fazi nalazi hrvatska transpozicija. Tvrtke koje odgađaju usklađenost izlažu se kaznama do 10 milijuna eura ili 2% globalnog prometa, ali i nečemu ozbiljnijem — povećanom riziku od kibernetičkog napada bez adekvatne zaštite. Ovaj vodič daje pregled obveza, praktične korake za usklađenost, realne troškove i najčešće pogreške koje treba izbjeći.
Prema podacima ENISA-e, broj kibernetičkih napada u EU porastao je za 300% između 2019. i 2023. godine. Prosječna šteta od ransomware napada iznosi 4,5 milijuna eura. U Hrvatskoj, CERT je u 2023. zabilježio preko 7.000 kibernetičkih incidenata, od čega značajan dio u javnom sektoru i energetici.
EU je reagirala direktivom NIS2 (Direktiva (EU) 2022/2555) koja zamjenjuje prethodnu NIS direktivu iz 2016. i drastično proširuje krug obveznika. U Hrvatskoj, to znači prijelaz s oko 500 na preko 3.000 organizacija koje moraju ispuniti stroge zahtjeve kibernetičke sigurnosti.
Rok za prijenos u nacionalno zakonodavstvo bio je 17. listopada 2024. Kazne za neusklađenost dosežu 10 milijuna eura ili 2% godišnjeg prometa.
No iza brojki stoji nešto važnije. NIS2 predstavlja temeljnu promjenu u pristupu kibernetičkoj sigurnosti u Europskoj uniji — od reaktivnog prema proaktivnom, od dobrovoljnog prema obveznom, od tehničkog prema upravljačkom.
Za hrvatske tvrtke to znači da kibernetička sigurnost više nije stvar samo IT odjela, nego strateška poslovna odluka u nadležnosti uprave.
U nastavku ovog vodiča detaljno obrađujemo sve aspekte direktive — od toga tko je obvezan i koje su konkretne mjere, preko primjera provedbe u drugim europskim zemljama, do realnih procjena troškova i najčešćih pogrešaka koje treba izbjeći.
Zašto je ovo važno za hrvatske tvrtke
NIS2 nije još jedan birokratski zahtjev iz Bruxellesa. Direktiva uvodi tri stvari koje mijenjaju pravila igre:
Osobna odgovornost uprave. Članak 20 direktive eksplicitno navodi da članovi upravljačkih tijela moraju odobriti mjere upravljanja kibernetičkim rizicima i nadzirati njihovu provedbu. Direktori mogu biti privremeno suspendirani s funkcije ako tvrtka nije usklađena. Ovo je radikalan odmak od dosadašnje prakse gdje se kibernetička sigurnost smatrala tehničkim pitanjem. Sada je to pitanje korporativnog upravljanja — jednako kao financijsko izvještavanje ili zaštita na radu. Članovi uprave moraju proći odgovarajuću edukaciju kako bi mogli donositi informirane odluke o sigurnosnim rizicima.
Obvezna prijava incidenata u 24 sata. Pod NIS1, rok je bio 72 sata. NIS2 traži rano upozorenje CERT-u unutar 24 sata od saznanja o incidentu, a potpuno izvješće unutar 72 sata. Mnoge tvrtke podcjenjuju koliko je 24 sata malo — posebno ako se incident dogodi u petak navečer ili za vrijeme blagdana. Bez unaprijed pripremljenih procedura i dežurnog osoblja, ovaj rok je praktički nemoguće ispoštovati.
Odgovornost za lanac opskrbe. Ako vaš dobavljač ima sigurnosni propust koji utječe na vašu organizaciju, vi ste i dalje odgovorni. NIS2 zahtijeva procjenu rizika svih ključnih dobavljača.
Kontekst hrvatskog tržišta
Hrvatska ima specifičnosti koje čine NIS2 usklađenost posebno izazovnom. Gospodarska struktura zemlje obiluje srednjim poduzećima u sektorima kao što su turizam, prehrambena industrija i energetika — sektori koji su sada obuhvaćeni direktivom, a koji dosad nisu imali značajne regulatorne obveze u području kibernetičke sigurnosti.
Prema podacima CERT.hr-a, phishing i ransomware napadi bilježe stalan rast u Hrvatskoj, s posebno izraženim napadima na javni sektor i zdravstvo. Istovremeno, tržište stručnjaka za kibernetičku sigurnost u Hrvatskoj je izuzetno usko — procjenjuje se da nedostaje nekoliko tisuća kvalificiranih stručnjaka, što otežava tvrtkama zapošljavanje potrebnog kadra.
Dodatni izazov predstavlja i činjenica da mnoge hrvatske tvrtke, osobito u industrijskim sektorima poput energetike i vodoopskrbe, koriste operativnu tehnologiju (OT) koja je instalirana prije desetljeća i nije projektirana s kibernetičkom sigurnošću na umu. Integracija sigurnosnih mjera u takva okruženja zahtijeva specifičnu stručnost i pažljivo planiranje kako se ne bi ugrozila operativna stabilnost.
Nadležna tijela u Hrvatskoj
| Tijelo | Uloga |
|---|---|
| Nacionalni CERT | Koordinacija i prijava incidenata |
| HAKOM | Elektroničke komunikacije |
| HANFA | Financijski sektor |
| Ministarstvo zdravstva | Zdravstveni sektor |
| Sektorski regulatori | Specifični zahtjevi po sektoru |
Što zakon zahtijeva
Tko je obvezan
NIS2 razlikuje ključne subjekte (Essential Entities) i važne subjekte (Important Entities). Za detaljni pregled svih 18 sektora pogledajte Kritična infrastruktura i NIS2: Tko mora biti usklađen.
Ključni subjekti:
- 250+ zaposlenika ILI promet iznad 50 milijuna eura ILI bilanca iznad 43 milijuna eura
- Djeluju u sektorima visoke kritičnosti (energetika, promet, bankarstvo, zdravstvo, vodoopskrba, digitalna infrastruktura, javna uprava)
- Kazne do 10 milijuna eura ili 2% globalnog prometa
Važni subjekti:
- 50+ zaposlenika ILI promet iznad 10 milijuna eura
- Djeluju u ostalim kritičnim sektorima (pošta, upravljanje otpadom, kemikalije, hrana, proizvodnja)
- Kazne do 7 milijuna eura ili 1,4% globalnog prometa
NIS1 vs NIS2: Što se promijenilo
| Aspekt | NIS1 (2016) | NIS2 (2022) |
|---|---|---|
| Obuhvat | 7 sektora | 18 sektora |
| Broj subjekata u HR | ~500 | ~3.000+ |
| Upravljanje | Nije specificirano | Osobna odgovornost uprave |
| Kazne | Nije harmonizirano | Do 10M€ / 2% prometa |
| Prijava incidenata | 72 sata | 24h upozorenje + 72h izvješće |
| Lanac opskrbe | Nije regulirano | Obvezna procjena rizika |
Sektori u Hrvatskoj
Sektori visoke kritičnosti (Prilog I):
| Sektor | Primjeri u Hrvatskoj |
|---|---|
| Energetika | HEP, INA, distributori plina |
| Promet | Zračne luke, hrvatske luke, HŽ |
| Bankarstvo | Sve banke i kreditne institucije |
| Financijska tržišta | Zagrebačka burza, SKDD |
| Zdravstvo | Bolnice, laboratoriji, proizvođači lijekova |
| Vodoopskrba | Komunalna poduzeća |
| Digitalna infrastruktura | Data centri, DNS operateri, cloud provideri |
| Javna uprava | Tijela državne uprave |
Ostali kritični sektori (Prilog II):
| Sektor | Primjeri u Hrvatskoj |
|---|---|
| Poštanske usluge | HP, kurirske službe |
| Upravljanje otpadom | Komunalna poduzeća |
| Hrana | Podravka, Dukat, veliki distributeri |
| Proizvodnja | Medicinska oprema, strojevi, vozila |
| Digitalni pružatelji | Online platforme, tražilice |
10 obveznih mjera (članak 21)
Članak 21 NIS2 direktive propisuje minimalne mjere koje svaka obvezna organizacija mora implementirati:
- Procjena rizika i sigurnosne politike - dokumentirana metodologija, minimalno godišnje revizije
- Postupanje s incidentima - definirani procesi detekcije, analize i odgovora, tim za odgovor (CSIRT)
- Kontinuitet poslovanja - planovi oporavka, backup strategija, redovito testiranje
- Sigurnost lanca opskrbe - procjena rizika dobavljača, sigurnosni zahtjevi u ugovorima
- Sigurnost u razvoju i održavanju sustava - sigurni razvojni procesi, upravljanje ranjivostima
- Ocjena učinkovitosti mjera - redoviti auditi, penetracijska testiranja
- Edukacija zaposlenika - obvezni programi, praktični vodič za zaposlenike
- Kriptografija - standardi enkripcije, upravljanje ključevima
- Kontrola pristupa - provjere zaposlenika, načelo najmanjih privilegija
- Višefaktorska autentifikacija - MFA za sve kritične sustave
Kako započeti s implementacijom članka 21
Za tvrtke koje tek počinju s usklađenosti, preporučujemo sljedeći redoslijed prioriteta:
Visoki prioritet (prvih 30 dana):
- Procjena rizika i sigurnosne politike (mjera 1) — temelj na kojem počiva sve ostalo
- Postupanje s incidentima (mjera 2) — bez toga ne možete ispuniti obvezu prijave u 24 sata
- Kontrola pristupa i MFA (mjere 9 i 10) — relativno brza implementacija s velikim učinkom
Srednji prioritet (30–90 dana):
- Kontinuitet poslovanja (mjera 3) — planovi oporavka i backup strategija
- Edukacija zaposlenika (mjera 7) — pokrenite prvi krug obuke
- Sigurnost lanca opskrbe (mjera 4) — započnite s procjenom najkritičnijih dobavljača
Niži prioritet (90–180 dana):
- Sigurnost u razvoju sustava (mjera 5) — integracija sigurnosti u razvojne procese
- Kriptografija (mjera 8) — revizija standarda enkripcije
- Ocjena učinkovitosti (mjera 6) — prvi penetracijski test i audit
Ovaj raspored nije univerzalan — svaka organizacija mora ga prilagoditi vlastitom profilu rizika i postojećem stanju sigurnosti.
Rokovi
| Datum | Što se događa |
|---|---|
| 16. siječnja 2023. | NIS2 stupio na snagu |
| 17. listopada 2024. | Rok za prijenos u nacionalno zakonodavstvo |
| 17. travnja 2025. | Rok za identifikaciju ključnih i važnih subjekata |
| Kontinuirano | Obveza prijave incidenata prema novim rokovima |
Prijava incidenata
NIS2 uvodi višestupanjski proces prijave koji zahtijeva brzu reakciju i detaljno dokumentiranje. Ovo je jedan od najzahtjevnijih aspekata direktive za tvrtke koje dosad nisu imale formalizirane procese odgovora na incidente.
| Faza | Rok | Što morate prijaviti |
|---|---|---|
| Rano upozorenje | 24 sata | Obavijest CERT-u o sumnji na incident |
| Početno izvješće | 72 sata | Detalji o incidentu, procjena štete |
| Međuizvješće | Na zahtjev | Ažuriranje statusa |
| Završno izvješće | 1 mjesec | Potpuna analiza, poduzete mjere, naučene lekcije |
Što se smatra značajnim incidentom? Incident se smatra značajnim ako je uzrokovao ili može uzrokovati ozbiljan operativni poremećaj usluga ili financijsku štetu, ili ako je utjecao ili može utjecati na druge fizičke ili pravne osobe uzrokujući znatnu materijalnu ili nematerijalnu štetu. U praksi, to uključuje ransomware napade koji su šifrirali podatke, neovlašteni pristup osjetljivim podacima, DDoS napade koji su onemogućili pružanje usluga i bilo koji incident koji utječe na dostupnost, autentičnost, cjelovitost ili povjerljivost podataka u značajnoj mjeri.
Praktični savjet: Pripremite predloške za svaku fazu prijave unaprijed. U stresu incidenta nećete imati vrijeme razmišljati o formatu izvješća. Imajte spremne kontakte CERT-a, predloške za rano upozorenje i internu listu osoba koje moraju biti obaviještene.
NIS2 u praksi: Primjeri iz Europe
Iako je rok za transpoziciju prošao u listopadu 2024., države članice nalaze se u različitim fazama provedbe. Prema podatcima Europske komisije, do kraja 2024. samo je dio država članica uspješno transponirao direktivu u nacionalno zakonodavstvo — ostatak, uključujući Hrvatsku, još je u procesu. Iskustva zemalja koje su dalje u provedbi pružaju korisne uvide za hrvatske tvrtke koje se tek pripremaju.
Njemačka: NIS2UmsuCG i prošireni obuhvat
Njemačka je među prvima pripremila nacrt zakona za provedbu NIS2 — NIS2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG). Njemački pristup proširio je obuhvat na oko 30.000 tvrtki, pri čemu je Bundesamt für Sicherheit in der Informationstechnik (BSI) dobio znatno pojačane ovlasti nadzora. Ključna pouka za hrvatske tvrtke: BSI je jasno naglasio da čeka s nadzornim mjerama dok se tvrtke ne registriraju, ali to ne znači da obveze ne vrijede. Njemačke tvrtke koje su počele s usklađenosti prije formalnog donošenja zakona imaju značajnu prednost.
Nizozemska: Pragmatičan pristup s jasnim smjernicama
Nacionalni centar za kibernetičku sigurnost Nizozemske (NCSC-NL) objavio je detaljne smjernice za organizacije koje ulaze u obuhvat NIS2. Nizozemski pristup stavlja naglasak na samoocjenu — tvrtke moraju same utvrditi spadaju li pod direktivu, provesti gap analizu i dokumentirati korake usklađenosti. NCSC-NL posebno naglašava potrebu za suradnjom unutar sektora i razmjenom informacija o prijetnjama, što je praksa koju bi hrvatske tvrtke mogle preuzeti kroz postojeće sektorske udruge.
Belgija: Pionirska transpozicija
Belgija je bila jedna od prvih država članica koja je transponirala NIS2 u nacionalno zakonodavstvo putem svog Zakona o kibernetičkoj sigurnosti iz travnja 2024. Centre for Cybersecurity Belgium (CCB) preuzeo je ključnu koordinacijsku ulogu. Belgijski model uveo je sustav CyberFundamentals Framework — set praktičnih sigurnosnih mjera prilagođenih veličini i rizičnosti organizacije, podijeljen u tri razine (Basic, Important, Essential). Ovaj pristup olakšava manjim organizacijama da znaju što točno moraju učiniti, bez pretjerane birokratizacije.
Italija: Agencija ACN i sektorska koordinacija
Italija je kroz svoju Nacionalnu agenciju za kibernetičku sigurnost (ACN) razvila sustav sektorske koordinacije koji uključuje obveznu registraciju subjekata na digitalnoj platformi. ACN je objavio tehničke smjernice koje se oslanjaju na postojeći talijanski okvir za kibernetičku sigurnost (Framework Nazionale per la Cybersicurezza), čime je olakšao prijelaz tvrtkama koje su već pratile nacionalne standarde. Za Hrvatsku je ovo relevantan primjer jer pokazuje kako se postojeći nacionalni okviri mogu iskoristiti kao temelj za NIS2 usklađenost, umjesto kretanja od nule.
Talijanski pristup je posebno zanimljiv jer je ACN uspostavio i poseban program podrške za mala i srednja poduzeća — sa smjernicama pisanim jednostavnim jezikom, besplatnim alatima za samoprocjenu i radionicama koje organiziraju po regijama. Ovo je model koji bi Hrvatska mogla razmotriti s obzirom na sličnu gospodarsku strukturu s velikim udjelom malih i srednjih poduzeća.
Što Hrvatska može naučiti
Zajednička nit svih europskih primjera jasna je: proaktivnost se isplati. Tvrtke koje ne čekaju formalne inspekcije nego počinju s usklađenosti odmah — čak i prije potpunog prijenosa u nacionalno zakonodavstvo — imaju bolju sigurnosnu poziciju, manje troškove i manje stresa kad inspekcija dođe. Također, većina država koristi postojeće okvire (ISO 27001, nacionalni standardi) kao osnovu, pa tvrtke koje već imaju neku razinu usklađenosti ne kreću ispočetka.
Konkretne lekcije za hrvatske tvrtke:
- Registracija će biti obvezna. Svi europski modeli uključuju obvezu samoidentifikacije i registracije. Pripremite podatke o svojoj organizaciji, sektoru djelovanja i kontakt osobama unaprijed.
- Sektorska suradnja ubrzava usklađenost. Nizozemski model razmjene informacija unutar sektora pokazao se učinkovitim. Hrvatske sektorske udruge i komore mogle bi igrati sličnu ulogu u koordinaciji i dijeljenju iskustava.
- Stepenasti pristup pomaže. Belgijski CyberFundamentals Framework pokazuje da je razumno strukturirati zahtjeve prema razini rizika organizacije, umjesto primjene jednakog standarda na sve.
- Postojeći standardi su vaš oslonac. Talijanski pristup dokazuje da se tvrtke koje već prate priznate standarde (ISO 27001, NIST CSF) mogu osloniti na njih kao polazišnu točku, umjesto da grade sustav usklađenosti od nule.
Troškovi usklađenosti
Jedno od najčešćih pitanja koje primamo od klijenata jest: "Koliko će nas usklađenost s NIS2 koštati?" Odgovor ovisi o veličini organizacije, trenutnoj razini sigurnosne zrelosti i sektoru u kojem djelujete.
Procjena troškova po veličini organizacije
Mala poduzeća (50–100 zaposlenika):
- Gap analiza i procjena rizika: 5.000 – 15.000 EUR
- Izrada dokumentacije (politike, procedure, planovi): 8.000 – 20.000 EUR
- Tehničke mjere (MFA, SIEM, backup rješenja): 10.000 – 30.000 EUR
- Edukacija zaposlenika: 3.000 – 8.000 EUR
- Vanjski audit i savjetovanje: 5.000 – 15.000 EUR
- Ukupno: 30.000 – 90.000 EUR
Srednja poduzeća (100–250 zaposlenika):
- Gap analiza i procjena rizika: 15.000 – 35.000 EUR
- Izrada i revizija dokumentacije: 20.000 – 50.000 EUR
- Tehničke mjere (napredniji SIEM, SOC kapaciteti, segmentacija mreže): 40.000 – 120.000 EUR
- Edukacija i certifikacija osoblja: 10.000 – 25.000 EUR
- Vanjski audit i penetracijsko testiranje: 15.000 – 40.000 EUR
- Ukupno: 100.000 – 270.000 EUR
Velika poduzeća (250+ zaposlenika):
- Sveobuhvatna procjena rizika i gap analiza: 30.000 – 80.000 EUR
- Kompletni sigurnosni okvir s dokumentacijom: 50.000 – 150.000 EUR
- Tehničke mjere (SOC, SIEM, EDR, upravljanje ranjivostima): 100.000 – 500.000 EUR
- Program edukacije i podizanja svijesti: 20.000 – 60.000 EUR
- Vanjski auditi, penetracijska testiranja, certifikacije: 30.000 – 100.000 EUR
- Ukupno: 230.000 – 890.000 EUR
Skriveni troškovi koje tvrtke zanemaruju
Osim očitih troškova, postoji niz stavki koje organizacije redovito propuštaju uračunati u budžet:
- Vrijeme zaposlenika. Implementacija NIS2 zahtijeva značajno angažiranje postojećeg osoblja — od IT-ja i pravne službe do uprave. To je vrijeme koje ne provode na redovnim zadacima.
- Organizacijske promjene. Novi procesi zahtijevaju prilagodbu radnih navika. Uvođenje obveznog MFA-a, novih procedura za rad s podacima ili procesa odobravanja pristupa izaziva otpor i zahtijeva vrijeme za usvajanje.
- Troškovi dokumentacije. Izrada kvalitetnih sigurnosnih politika, procedura i planova nije jednokratna aktivnost — dokumentacija mora biti živa i ažurirana.
- Troškovi nadzora dobavljača. Procjena rizika ključnih dobavljača, pregovaranje sigurnosnih klauzula u ugovorima i periodične provjere zahtijevaju resurse koje mnogi ne planiraju unaprijed.
Godišnji troškovi održavanja
Osim početnih ulaganja, organizacije moraju planirati godišnje troškove održavanja usklađenosti koji tipično iznose 20–30% početnog ulaganja. To uključuje:
- Redovite revizije i ažuriranje dokumentacije
- Obnovu licenci za sigurnosne alate
- Kontinuiranu edukaciju zaposlenika
- Godišnja penetracijska testiranja
- Troškove prijave i upravljanja incidentima
- Nadogradnju i zamjenu zastarjele opreme
Trošak neusklađenosti: Zašto se usklađenost isplati
Usporedimo troškove usklađenosti s potencijalnim troškovima neusklađenosti:
| Stavka | Trošak |
|---|---|
| Kazna (ključni subjekt) | Do 10.000.000 EUR ili 2% prometa |
| Kazna (važni subjekt) | Do 7.000.000 EUR ili 1,4% prometa |
| Prosječna šteta od ransomware napada | 4.500.000 EUR (IBM, 2023.) |
| Zastoj poslovanja (prosječno trajanje) | 22 dana (Coveware, 2023.) |
| Reputacijska šteta | Neizmjerna — gubitak klijenata, partnera, tržišne pozicije |
| Troškovi pravne obrane | 50.000 – 500.000 EUR (ovisno o složenosti) |
| Osobna odgovornost uprave | Suspenzija s funkcije |
| Troškovi obavještavanja pogođenih osoba | Značajni za velika curenja podataka |
Kada se zbroje svi potencijalni troškovi, ulaganje u usklađenost postaje očita poslovna odluka, a ne samo regulatorna obveza. Za prosječnu srednju tvrtku, trošak usklađenosti predstavlja 1–3% godišnjeg prometa jednokratno, dok potencijalna kazna može iznositi 2% prometa svake godine dok traje neusklađenost, uz rizik od napada koji može višestruko premašiti te iznose.
Primjer iz prakse: Srednje poduzeće u energetskom sektoru
Za ilustraciju, pogledajmo tipičan scenarij srednje tvrtke u energetskom sektoru s oko 150 zaposlenika i godišnjim prometom od 30 milijuna eura.
Početno stanje: tvrtka ima osnovnu IT sigurnost (antivirus, firewall, backup), ali nema formalizirane sigurnosne politike, nema definirani proces odgovora na incidente i nikada nije provedena procjena rizika prema priznatoj metodologiji.
Godina 1 — Uspostava (procijenjeni trošak: 180.000 EUR):
- Angažiranje vanjskog savjetnika za gap analizu i vođenje projekta: 40.000 EUR
- Izrada svih potrebnih politika i procedura: 30.000 EUR
- Implementacija SIEM rješenja i pojačanog monitoringa: 50.000 EUR
- Uvođenje MFA na svim kritičnim sustavima: 15.000 EUR
- Procjena rizika dobavljača i revizija ugovora: 15.000 EUR
- Program edukacije svih zaposlenika i uprave: 15.000 EUR
- Penetracijsko testiranje i prvi audit: 15.000 EUR
Godišnji troškovi održavanja (od godine 2): 45.000–60.000 EUR
Ovaj iznos od 180.000 EUR u prvoj godini zvuči značajno, ali potrebno ga je staviti u kontekst. Za tvrtku s prometom od 30 milijuna eura, to je 0,6% godišnjeg prometa — jednokratno. Potencijalna kazna od 2% prometa iznosila bi 600.000 EUR, a prosječna šteta od uspješnog ransomware napada 4,5 milijuna eura. Omjer ulaganja i potencijalne štete jednoznačno govori u korist usklađenosti.
Optimizacija troškova
Nekoliko strategija može značajno smanjiti troškove usklađenosti:
- Iskoristite postojeće okvire. Ako već imate ISO 27001, značajan dio zahtjeva već ispunjavate. NIS2 i ISO 27001 preklapaju se u oko 70% zahtjeva.
- Fazni pristup. Ne morate sve implementirati odjednom. Prioritizirajte prema riziku — najprije kritične sustave i procese, zatim ostalo.
- Zajednička nabava. Sektorske udruge mogu organizirati zajedničku nabavu sigurnosnih rješenja i usluga savjetovanja po povoljnijim cijenama.
- Automatizirajte gdje je moguće. Alati za upravljanje usklađenošću, automatsko prikupljanje dokaza i kontinuirani monitoring smanjuju ljudske resurse potrebne za održavanje.
- Angažirajte stručnjake ciljano. Ne trebate vanjskog savjetnika za sve — identificirajte područja gdje vam nedostaje interna stručnost (procjena rizika, penetracijska testiranja, izrada politika) i angažirajte stručnjake samo za ta područja.
- Iskoristite besplatne resurse. ENISA, CERT.hr i Europska komisija objavljuju besplatne smjernice, predloške i alate za samoprocjenu koji mogu znatno smanjiti troškove početne faze usklađenosti.
Najčešće greške
Na temelju iskustva rada s organizacijama koje prolaze kroz proces usklađenosti s regulativom kibernetičke sigurnosti, identificirali smo sedam najčešćih pogrešaka. Izbjegavanje ovih zamki može vam uštedjeti mjesece zakašnjenja i značajne resurse.
Tretiranje NIS2 kao IT projekta
NIS2 nije projekt za IT odjel. Članak 20 eksplicitno zahtijeva da uprava odobri mjere i nadzire provedbu. Tvrtke koje delegiraju NIS2 samo IT-ju riskiraju da uprava bude zatečena kad dođe inspekcija.
Rješenje: multidisciplinarni tim koji uključuje upravu, pravnu službu, IT i operacije.
Ignoriranje lanca opskrbe
Fokus samo na vlastite sustave nije dovoljan. Napad na dobavljača kompromitira i vašu organizaciju. SolarWinds incident iz 2020. pogodio je preko 18.000 organizacija upravo kroz lanac opskrbe.
Rješenje: program upravljanja rizicima dobavljača s procjenama i ugovornim obvezama.
Nedovoljna edukacija zaposlenika
95% kibernetičkih incidenata uključuje ljudsku grešku. NIS2 eksplicitno zahtijeva "prakse kibernetičke higijene i obuku". Najčešći vektor napada su phishing napadi koji ciljaju zaposlenike, ne sustave.
Rješenje: kontinuirani program edukacije s redovitim osvježavanjem i simulacijama phishing napada.
Formalna usklađenost bez stvarne sigurnosti
Pisanje politika bez implementacije kontrola. Regulatori provjeravaju učinkovitost, ne količinu dokumentacije. Prvi ozbiljan incident razotkrije ovaj pristup.
Rješenje: mjerljive mjere s redovitim testiranjem učinkovitosti.
Nepripremljenost za prijavu u 24 sata
24 sata za rano upozorenje je vrlo kratak rok. Bez unaprijed definiranih procesa i kontakata, nećete ga ispoštovati.
Rješenje: definirani proces eskalacije, imenovane odgovorne osobe, kontakti CERT-a dostupni 24/7, redovite simulacije.
Oslanjanje na zastarjelu infrastrukturu
Mnoge hrvatske tvrtke još uvijek koriste sustave i opremu koja je bila moderna prije desetak ili više godina. Zastarjeli operativni sustavi bez sigurnosnih zakrpa, mrežna oprema bez podrške proizvođača i aplikacije koje više ne primaju ažuriranja predstavljaju ozbiljne ranjivosti. NIS2 u članku 21(2)(e) zahtijeva sigurnost u nabavi, razvoju i održavanju mrežnih i informacijskih sustava, uključujući upravljanje ranjivostima i njihovo otkrivanje.
Problem je posebno izražen u industrijskim okruženjima — SCADA sustavi i industrijski kontroleri u energetici, vodoopskrbi i proizvodnji nerijetko rade na platformama koje su odavno bez podrške. Zamjena tih sustava zahtijeva vrijeme i sredstva, ali odgoda povećava rizik.
Rješenje: napravite inventuru sve IT i OT opreme, identificirajte sustave bez aktivne podrške i zakrpa, izradite plan zamjene ili kompenzacijskih kontrola (segmentacija mreže, pojačani monitoring) za sustave koji se ne mogu odmah zamijeniti.
Nedostatak redovitih testiranja
Organizacije koje implementiraju sigurnosne mjere, ali ih nikad ne testiraju, žive u lažnom osjećaju sigurnosti. NIS2 u članku 21(2)(f) eksplicitno zahtijeva ocjenu učinkovitosti mjera upravljanja kibernetičkim rizicima. Sigurnosna politika koja nije testirana u praksi jednako je beskorisna kao da ne postoji.
Ovo uključuje više razina testiranja: tehničko testiranje (penetracijski testovi, skeniranje ranjivosti), procesno testiranje (simulacije incidenata, vježbe oporavka) i organizacijsko testiranje (provjera jesu li zaposlenici svjesni svojih uloga u slučaju incidenta). Tvrtke koje rade penetracijska testiranja jednom godišnje, a ostatak vremena se oslanjaju na pretpostavku da "sve radi" — izlažu se nepotrebnom riziku.
Rješenje: uspostavite kalendar testiranja — penetracijska testiranja najmanje jednom godišnje (a idealno kvartalno za kritične sustave), simulacije incidenata dva puta godišnje, provjere backupa mjesečno i simulacije phishing napada kvartalno. Dokumentirajte rezultate i pratite poboljšanja kroz vrijeme.
Kontrolna lista za NIS2 usklađenost
Koristite ovu kontrolnu listu kao polazišnu točku za praćenje napretka usklađenosti. Svaki zadatak trebao bi imati jasno definirane odgovorne osobe i realne rokove prilagođene vašoj organizaciji. Preporučujemo da ovu listu prilagodite specifičnostima svog sektora i veličine organizacije, te da je redovito revidirate kako projekt napreduje.
| Zadatak | Odgovoran | Rok | Status |
|---|---|---|---|
| Utvrditi obuhvaćenost (ključni/važni subjekt) | Uprava + pravna služba | Odmah | ☐ |
| Provesti gap analizu prema članku 21 | IT + usklađenost | 30 dana | ☐ |
| Imenovati odgovornu osobu za NIS2 | Uprava | 30 dana | ☐ |
| Izraditi plan usklađenosti s rokovima | Projektni tim | 60 dana | ☐ |
| Implementirati tehničke mjere | IT odjel | 90 dana | ☐ |
| Uspostaviti proces prijave incidenata | IT + pravna služba | 60 dana | ☐ |
| Provesti procjenu rizika dobavljača | Nabava + IT | 90 dana | ☐ |
| Educirati zaposlenike i upravu | HR + IT | 60 dana | ☐ |
| Dokumentirati sve mjere | Usklađenost | Kontinuirano | ☐ |
| Provesti prvi audit | Eksterna revizija | 6 mjeseci | ☐ |
| Uspostaviti proces upravljanja ranjivostima | IT odjel | 90 dana | ☐ |
| Implementirati MFA na svim kritičnim sustavima | IT odjel | 60 dana | ☐ |
| Provesti inventuru IT i OT imovine | IT + operacije | 30 dana | ☐ |
| Izraditi plan komunikacije za incidente | Komunikacije + IT | 60 dana | ☐ |
| Revidirati ugovore s ključnim dobavljačima | Pravna služba + nabava | 90 dana | ☐ |
Napomena: Ova lista pokriva temeljne korake. Ovisno o sektoru i specifičnostima vaše organizacije, mogu postojati dodatni zahtjevi koje propisuju sektorski regulatori (HAKOM, HANFA i drugi).
Zaključak
NIS2 direktiva nije regulativa koju hrvatske tvrtke mogu ignorirati ili odgađati. Rok za transpoziciju je prošao, obveze su na snazi, a regulatori će postupno pojačavati nadzor — kao što vidimo iz iskustava Njemačke, Belgije i drugih europskih zemalja.
Evo ključnih koraka koje trebate poduzeti odmah:
Utvrdite jeste li obuhvaćeni. Provjerite veličinu organizacije i sektor djelovanja prema kriterijima iz direktive. Ako imate 50+ zaposlenika ili promet iznad 10 milijuna eura i djelujete u jednom od 18 sektora — obuhvaćeni ste.
Uključite upravu od prvog dana. Ovo nije IT projekt. Uprava mora razumjeti svoje obveze prema članku 20, odobriti mjere i aktivno nadzirati provedbu. Osobna odgovornost direktora nije teorija — to je zakonska obveza.
Provedite gap analizu. Usporedite trenutno stanje sa zahtjevima članka 21. Ako već imate ISO 27001 ili drugi sigurnosni okvir, mnogo toga već pokrivate. Fokusirajte se na praznine.
Uspostavite proces prijave incidenata. Rok od 24 sata za rano upozorenje zahtijeva unaprijed definirane procedure, imenovane odgovorne osobe i testirane komunikacijske kanale s CERT-om.
Ne zaboravite lanac opskrbe. Procijenite sigurnosnu zrelost ključnih dobavljača i uključite sigurnosne zahtjeve u ugovore.
Investirajte u ljude. Edukacija zaposlenika i uprave nije jednokratna aktivnost nego kontinuirani proces. Redovite simulacije i osvježavanje znanja ključni su za smanjenje ljudske pogreške kao glavnog vektora napada.
Testirajte, testirajte, testirajte. Politike i procedure vrijede samo onoliko koliko funkcioniraju u praksi. Redovita testiranja — od penetracijskih testova do simulacija incidenata — jedini su način da potvrdite da vaše mjere doista štite organizaciju.
Usklađenost s NIS2 nije samo trošak — to je ulaganje u otpornost i sigurnost vašeg poslovanja. Tvrtke koje pristupaju ovom procesu strateški, s podrškom uprave i jasnim planom, ne samo da ispunjavaju regulatorne zahtjeve nego grade jači temelj za poslovanje u sve nepredvidljivijem digitalnom okruženju.
Konačno, nemojte gledati na NIS2 kao na teret nego kao na priliku. Organizacije koje ozbiljno pristupe kibernetičkoj sigurnosti imaju konkurentsku prednost — kod klijenata koji sve više brinu o sigurnosti svojih podataka, kod partnera koji traže pouzdane dobavljače i kod regulatora koji favoriziraju proaktivan pristup. U digitalnoj ekonomiji, sigurnost nije trošak — sigurnost je preduvjet za povjerenje, a povjerenje je temelj svakog posla.
Često postavljana pitanja
Odgovori na najčešća pitanja koja primamo od hrvatskih tvrtki o NIS2 direktivi. Ako ne pronađete odgovor na svoje pitanje, kontaktirajte nas — rado ćemo pomoći.
Tko u Hrvatskoj nadzire provedbu NIS2?
Nacionalni CERT koordinira na razini države, dok sektorski regulatori (HAKOM, HANFA, Ministarstvo zdravstva) nadziru specifične sektore. Važno je napomenuti da organizacija može biti pod nadzorom više regulatora istovremeno ako djeluje u više obuhvaćenih sektora. Preporučujemo da identificirate svog primarnog regulatora i uspostavite komunikacijski kanal prije nego što to postane hitno.
Što ako moja tvrtka ima manje od 50 zaposlenika?
Načelno niste obuhvaćeni, osim ako djelujete kao DNS operater, TLD registar ili pružatelj kvalificiranih usluga povjerenja. U tim slučajevima ste obuhvaćeni bez obzira na veličinu. Također, ako ste dobavljač organizaciji koja jest obuhvaćena NIS2, očekujte da će i od vas tražiti dokaze o sigurnosnim mjerama — indirektni utjecaj direktive širi se daleko izvan formalnog kruga obveznika.
Može li uprava osobno odgovarati?
Da, i to je jedna od najznačajnijih novina NIS2 u odnosu na prethodnu direktivu. Članak 20 NIS2 propisuje da članovi upravljačkih tijela moraju odobriti mjere upravljanja kibernetičkim rizicima i nadzirati njihovu provedbu. Moraju također proći odgovarajuću obuku kako bi stekli dovoljno znanja za prepoznavanje rizika i procjenu praksi upravljanja kibernetičkom sigurnošću. U slučaju neusklađenosti, nadležna tijela mogu izreći privremenu zabranu obavljanja upravljačkih funkcija. Ovo se odnosi na sve članove uprave, ne samo na one koji su formalno zaduženi za IT ili sigurnost.
Koliko vremena trebam za usklađenost?
Ovisi o trenutnom stanju sigurnosne zrelosti. Za organizaciju koja već ima ISO 27001 certifikat i dokumentirane procese, usklađenost može trajati 2-3 mjeseca jer je većina temelja već postavljena. Za organizaciju koja kreće od nule — bez formaliziranih politika, bez procesa odgovora na incidente i bez procjene rizika — realan rok je 6-12 mjeseci intenzivnog rada. Ključ je početi odmah i ne čekati "savršen trenutak" jer ga neće biti.
Kako se NIS2 odnosi prema DORA regulativi?
DORA (Digital Operational Resilience Act) je specifična za financijski sektor i smatra se lex specialis u odnosu na NIS2. Ako ste financijska institucija (banka, osiguravajuće društvo, investicijski fond, platna institucija), DORA ima prednost jer postavlja specifičnije zahtjeve za vaš sektor. Međutim, NIS2 se primjenjuje na sve ono što DORA izričito ne pokriva. U praksi, financijske institucije moraju biti svjesne obiju regulativa i osigurati da nemaju praznine u usklađenosti. Ako ste ICT pružatelj usluga financijskom sektoru, DORA vas također obuhvaća kroz okvir nadzora kritičnih ICT pružatelja treće strane.
Moram li prijaviti svaki kibernetički incident?
Ne. Obveza prijave odnosi se na incidente koji značajno utječu na pružanje usluga ili koji mogu uzrokovati znatnu materijalnu ili nematerijalnu štetu. Mali incidenti bez značajnog utjecaja ne zahtijevaju formalnu prijavu CERT-u, ali ih trebate dokumentirati interno — i to detaljno. Interna dokumentacija svih incidenata, pa i manjih, služi kao dokaz vašeg upravljanja incidentima i može biti zatražena tijekom nadzornih provjera. Također, serija manjih incidenata može ukazivati na sustavni problem koji zahtijeva pažnju.
Koliko košta usklađenost s NIS2?
Troškovi znatno variraju ovisno o veličini i zrelosti organizacije. Za mala poduzeća (50–100 zaposlenika) realni raspon je 30.000–90.000 EUR, za srednja 100.000–270.000 EUR, a za velika poduzeća 230.000–890.000 EUR. Ključni faktor je koliko sigurnosnih mjera već imate — tvrtke s postojećim ISO 27001 certifikatom imaju značajno niže troškove jer se zahtjevi preklapaju u oko 70%.
Kakav je odnos NIS2 i ISO 27001?
ISO 27001 je međunarodni standard za upravljanje informacijskom sigurnošću koji pokriva velik dio zahtjeva NIS2 direktive. Organizacije koje već posjeduju ISO 27001 certifikat imaju snažnu osnovu za usklađenost — procjenu rizika, dokumentirane politike, kontrole pristupa i upravljanje incidentima. Međutim, NIS2 uvodi dodatne zahtjeve koje ISO 27001 ne pokriva u potpunosti: obveznu prijavu incidenata u 24 sata nadležnom CERT-u, specifične zahtjeve za sigurnost lanca opskrbe, osobnu odgovornost uprave i strože zahtjeve za kontinuitet poslovanja. Preporučujemo da ISO 27001 koristite kao temelj, a zatim napravite gap analizu za NIS2-specifične zahtjeve.
Što se događa ako nisam usklađen za vrijeme prijelaznog razdoblja?
Dok nacionalno zakonodavstvo nije u potpunosti doneseno i provedeno, formalne kazne teško da će biti izrečene jer nedostaje pravni okvir za njihovo izricanje. Međutim, to ne znači da možete mirno čekati. Prvo, rok za transpoziciju je prošao u listopadu 2024. i Hrvatska kasni s provedbom, ali zakon može biti donesen bilo kada — i kad se to dogodi, regulatori neće dati dodatni prijelazni rok. Drugo, direktiva je jasna u pogledu obveza, pa se očekuje da se organizacije pripremaju. Treće — i najvažnije — kibernetički napadi ne čekaju regulatore. Organizacija koja nije poduzela osnovne sigurnosne mjere izložena je stvarnom riziku, neovisno o stanju regulacije.
Jesu li pružatelji usluga u oblaku (cloud provideri) obuhvaćeni NIS2?
Da. Pružatelji usluga računalstva u oblaku izričito su navedeni u Prilogu I direktive kao dio sektora digitalne infrastrukture i spadaju u kategoriju ključnih subjekata. To uključuje IaaS, PaaS i SaaS pružatelje. Važno je napomenuti: činjenica da vaš cloud provider mora biti usklađen s NIS2 ne oslobađa vas vaše odgovornosti. Vi ste i dalje odgovorni za sigurnost podataka i sustava koje imate u oblaku, za konfiguraciju sigurnosnih postavki i za procjenu rizika tog dobavljača. Model dijeljene odgovornosti (shared responsibility model) u oblaku znači da provider osigurava infrastrukturu, ali vi osiguravate sve što je na njoj.
Trebate pomoć s NIS2 usklađenošću? CompliQuest nudi programe edukacije zaposlenika i uprave prilagođene zahtjevima NIS2 direktive. Pogledajte NIS2 edukaciju ili kontaktirajte nas za besplatnu procjenu vaših potreba.
Povezani članci
- Kritična infrastruktura i NIS2: Tko mora biti usklađen - detaljan pregled svih 18 sektora i kriterija klasifikacije
- Kibernetička sigurnost: Vodič za zaposlenike - praktični materijal za ispunjenje zahtjeva za edukacijom iz članka 21
- Phishing napadi: Kako prepoznati i zaštititi se - najčešći vektor napada i kako ga spriječiti
Ovi materijali mogu vam pomoći u ispunjavanju specifičnih zahtjeva iz članka 21 NIS2 direktive, posebno u području edukacije zaposlenika i podizanja svijesti o kibernetičkim prijetnjama.
Izvori
- NIS2 direktiva - puni tekst (EUR-Lex)
- ENISA Threat Landscape 2023
- ENISA NIS2 smjernice i podržavajući materijali
- European Commission — NIS2 Directive Factsheet
- IBM Cost of a Data Breach Report 2023
- Nacionalni CERT Hrvatska
- CERT.hr — Godišnje izvješće o stanju kibernetičke sigurnosti
- Narodne novine — Zakon o kibernetičkoj sigurnosti
- BSI — NIS2 smjernice za Njemačku (NIS2UmsuCG)
- CCB — CyberFundamentals Framework (Belgija)
- NIST Cybersecurity Framework — referentni okvir na koji se oslanjaju mnoge europske smjernice
- ACN — Agenzia per la Cybersicurezza Nazionale (Italija)
Ovaj članak služi kao informativni vodič i ne predstavlja pravni savjet. Za specifične situacije konzultirajte pravne stručnjake specijalizirane za kibernetičku sigurnost i regulativu EU.
Članak se redovito ažurira kako bi odražavao najnovije promjene u regulatornom okruženju. Posljednje ažuriranje: 29. ožujka 2026.
Imate iskustvo s NIS2 usklađenošću u svojoj organizaciji? Podijelite ga s nama na info@compliquest.com — vaše iskustvo može pomoći drugima.