Brzi pregled: NIS2 direktiva ukratko
| Aspekt | Detalji |
|---|---|
| Što je NIS2 | EU direktiva o kibernetičkoj sigurnosti koja zamjenjuje NIS1 |
| Koga obuhvaća | Ključni i važni subjekti u 18 sektora |
| Glavni zahtjevi | Upravljanje rizicima, prijava incidenata, sigurnost lanca opskrbe |
| Rok za prijenos | 17. listopada 2024. (u nacionalno zakonodavstvo) |
| Kazne | Do 10M€ ili 2% godišnjeg prometa za ključne subjekte |
| Nadležno tijelo u HR | CERT i sektorski regulatori |
Sadržaj
- Što je NIS2 direktiva
- Zašto je NIS2 važan za Hrvatsku
- Tko mora poštivati NIS2
- Glavne obveze prema NIS2
- Rokovi i kazne
- 6 koraka do NIS2 usklađenosti
- Najčešće greške pri implementaciji
- Zaključak i sljedeći koraci
Izvršni sažetak
NIS2 (Network and Information Security Directive 2) predstavlja najznačajniju reformu EU zakonodavstva o kibernetičkoj sigurnosti od 2016. godine. Direktiva zamjenjuje prethodnu NIS direktivu i proširuje obveze na znatno veći broj organizacija.
Zašto je ovo važno sada? Rok za prijenos direktive u nacionalno zakonodavstvo bio je 17. listopada 2024. Hrvatske tvrtke koje spadaju u kategorije ključnih ili važnih subjekata moraju biti usklađene ili riskirati značajne kazne.
Zlatno pravilo NIS2: Kibernetička sigurnost više nije samo IT pitanje—to je odgovornost uprave. Direktiva eksplicitno propisuje osobnu odgovornost članova uprave za neusklađenost.
Ovaj vodič namijenjen je direktorima, IT voditeljima, službenicima za usklađenost i svima koji trebaju razumjeti utjecaj NIS2 na hrvatsko poslovanje.
Što je NIS2 direktiva
NIS2 (Direktiva (EU) 2022/2555) je europska direktiva koja uspostavlja jedinstvene standarde kibernetičke sigurnosti za kritičnu infrastrukturu i ključne usluge u EU.
Ključne promjene u odnosu na NIS1
| Aspekt | NIS1 (2016) | NIS2 (2022) |
|---|---|---|
| Obuhvat | 7 sektora | 18 sektora |
| Broj subjekata | ~500 u HR | ~3.000+ u HR |
| Upravljanje | Nije specificirano | Eksplicitna odgovornost uprave |
| Kazne | Nije harmonizirano | Do 10M€ / 2% prometa |
| Prijava incidenata | 72 sata | 24h rano upozorenje + 72h izvješće |
| Lanac opskrbe | Nije regulirano | Obvezna procjena rizika |
Zašto je EU donijela NIS2
Broj kibernetičkih napada u EU porastao je za 300% između 2019. i 2023. godine. Prosječna šteta od ransomware napada iznosi 4,5 milijuna eura. NIS1 direktiva pokazala se nedovoljnom jer je obuhvaćala premali broj organizacija i nije imala usklađene sankcije.
Ključna statistika: 60% malih i srednjih poduzeća u EU doživjelo je kibernetički napad u posljednje dvije godine. NIS2 proširuje zaštitu na ovaj segment.
Zašto je NIS2 važan za Hrvatsku
Hrvatska kao članica EU mora prenijeti NIS2 direktivu u nacionalno zakonodavstvo. Zakon o kibernetičkoj sigurnosti operatora ključnih usluga i davatelja digitalnih usluga (NN 64/2018) mora biti zamijenjen novim zakonom usklađenim s NIS2.
Utjecaj na hrvatsko gospodarstvo
- Procijenjeni broj obveznika: 3.000+ organizacija (u usporedbi s ~500 prema NIS1)
- Novi sektori: Javna uprava, poštanske usluge, upravljanje otpadom, proizvodnja hrane
- Srednja i velika poduzeća: Automatski obuhvaćeni ako djeluju u reguliranim sektorima
Nadležna tijela u Hrvatskoj
| Tijelo | Uloga |
|---|---|
| CERT (Nacionalni CERT) | Koordinacija, prijava incidenata |
| HAKOM | Sektor elektroničkih komunikacija |
| HANFA | Financijski sektor |
| Ministarstvo zdravstva | Zdravstveni sektor |
| Sektorski regulatori | Specifični zahtjevi po sektoru |
Tko mora poštivati NIS2
NIS2 razlikuje dvije kategorije subjekata: ključne subjekte i važne subjekte. Razlika utječe na razinu nadzora i visinu kazni.
Kriteriji za klasifikaciju
Ključni subjekti (Essential Entities):
- Veliki subjekti (250+ zaposlenika ILI promet >50M€ ILI bilanca >43M€)
- Djeluju u sektorima visoke kritičnosti (Prilog I direktive)
- Podliježu proaktivnom nadzoru
Važni subjekti (Important Entities):
- Srednji subjekti (50+ zaposlenika ILI promet >10M€ ILI bilanca >10M€)
- Djeluju u drugim kritičnim sektorima (Prilog II direktive)
- Podliježu reaktivnom nadzoru
18 obuhvaćenih sektora
Sektori visoke kritičnosti (Prilog I):
| Sektor | Primjeri subjekata |
|---|---|
| Energetika | HEP, INA, distributori plina |
| Promet | Zračne luke, luke, željeznice |
| Bankarstvo | Banke, kreditne institucije |
| Financijska tržišta | Burze, središnji depozitoriji |
| Zdravstvo | Bolnice, laboratoriji, proizvođači lijekova |
| Vodoopskrba | Komunalna poduzeća |
| Digitalna infrastruktura | Data centri, DNS operateri, cloud provideri |
| ICT upravljanje | Managed service provideri |
| Javna uprava | Tijela državne uprave |
| Svemir | Satelitski operateri |
Drugi kritični sektori (Prilog II):
| Sektor | Primjeri subjekata |
|---|---|
| Poštanske usluge | HP, kurirske službe |
| Upravljanje otpadom | Komunalna poduzeća |
| Kemikalije | Proizvođači, distributeri |
| Hrana | Proizvođači, veliki distributeri |
| Proizvodnja | Medicinska oprema, strojevi, vozila |
| Digitalni pružatelji | Online platforme, tražilice |
| Istraživanje | Istraživačke organizacije |
Kako utvrditi obuhvaćenost
┌─────────────────────────────────────────────────────────────┐
│ JESAM LI OBUHVAĆEN NIS2? │
├─────────────────────────────────────────────────────────────┤
│ │
│ 1. Djelujem li u jednom od 18 sektora? │
│ └─ NE → Nisam obuhvaćen │
│ └─ DA → Nastavite na pitanje 2 │
│ │
│ 2. Imam li 50+ zaposlenika ILI promet >10M€? │
│ └─ NE → Vjerojatno nisam obuhvaćen* │
│ └─ DA → Obuhvaćen sam NIS2 direktivom │
│ │
│ 3. Imam li 250+ zaposlenika ILI promet >50M€? │
│ └─ NE → Važni subjekt │
│ └─ DA → Ključni subjekt │
│ │
│ *Iznimke: DNS operateri, TLD registri, qualificed trust │
│ service provideri - obuhvaćeni bez obzira na veličinu │
└─────────────────────────────────────────────────────────────┘
Glavne obveze prema NIS2
NIS2 propisuje konkretne mjere koje organizacije moraju implementirati. Članak 21 direktive navodi minimalne tehničke i organizacijske mjere.
10 obveznih mjera kibernetičke sigurnosti
Politike analize rizika i sigurnosti informacijskih sustava
- Dokumentirana metodologija procjene rizika
- Redovite revizije (minimalno godišnje)
Postupanje s incidentima
- Definirani procesi detekcije, analize i odgovora
- Tim za odgovor na incidente (CSIRT)
Kontinuitet poslovanja i upravljanje krizama
- Planovi kontinuiteta poslovanja
- Backup strategija i testiranje oporavka
Sigurnost lanca opskrbe
- Procjena rizika dobavljača
- Sigurnosni zahtjevi u ugovorima
Sigurnost u nabavi, razvoju i održavanju sustava
- Sigurni razvojni procesi (DevSecOps)
- Upravljanje ranjivostima
Politike i postupci za ocjenu učinkovitosti mjera
- Redoviti auditi i penetracijska testiranja
- KPI-jevi za kibernetičku sigurnost
Prakse kibernetičke higijene i obuka
- Obvezna edukacija zaposlenika
- Programi svijesti o sigurnosti
Politike korištenja kriptografije
- Standardi enkripcije podataka
- Upravljanje ključevima
Sigurnost ljudskih resursa i kontrola pristupa
- Provjere zaposlenika
- Načelo najmanjih privilegija
Višefaktorska autentifikacija (MFA)
- MFA za sve kritične sustave
- Sigurna komunikacija
Checkpoint sigurnosti: Članak 20 NIS2 eksplicitno navodi da članovi upravljačkih tijela moraju odobriti mjere upravljanja rizicima i nadzirati njihovu provedbu. Uprava je osobno odgovorna.
Rokovi i kazne
Ključni rokovi
| Datum | Događaj |
|---|---|
| 16.01.2023. | NIS2 stupio na snagu |
| 17.10.2024. | Rok za prijenos u nacionalno zakonodavstvo |
| 17.04.2025. | Rok za identifikaciju ključnih i važnih subjekata |
| Kontinuirano | Obveza prijave incidenata |
Režim prijave incidenata
NIS2 uvodi strože vremenske okvire za prijavu kibernetičkih incidenata:
| Faza | Rok | Sadržaj |
|---|---|---|
| Rano upozorenje | 24 sata | Obavijest o sumnji na incident |
| Početno izvješće | 72 sata | Detalji o incidentu i procjena |
| Međuizvješće | Na zahtjev | Ažuriranje statusa |
| Završno izvješće | 1 mjesec | Potpuna analiza i poduzete mjere |
Struktura kazni
Za ključne subjekte:
- Do 10 milijuna eura ili 2% ukupnog godišnjeg prometa na svjetskoj razini (što je veće)
Za važne subjekte:
- Do 7 milijuna eura ili 1,4% ukupnog godišnjeg prometa na svjetskoj razini (što je veće)
Dodatne sankcije:
- Privremena zabrana obavljanja funkcije članovima uprave
- Javna objava kršenja
- Obvezne korektivne mjere
Upozorenje: Za razliku od GDPR-a, NIS2 eksplicitno omogućuje osobnu odgovornost članova uprave. Direktori mogu biti privremeno suspendirani s funkcije.
6 koraka do NIS2 usklađenosti
Korak 1: Procjena obuhvaćenosti
Cilj: Utvrditi spadate li pod NIS2 i u koju kategoriju.
Aktivnosti:
- Provjerite sektore u kojima djelujete
- Analizirajte financijske pokazatelje i broj zaposlenika
- Konzultirajte pravne savjetnike za granične slučajeve
Ishod: Pisana procjena s klasifikacijom (ključni/važni/nije obuhvaćen)
Korak 2: Gap analiza
Cilj: Identificirati razlike između trenutnog stanja i NIS2 zahtjeva.
Aktivnosti:
- Mapiranje postojećih sigurnosnih kontrola
- Usporedba s 10 obveznih mjera iz članka 21
- Procjena zrelosti po svakoj mjeri
Ishod: Izvješće o nedostacima s prioritizacijom
Korak 3: Plan usklađenosti
Cilj: Definirati put do usklađenosti s rokovima i odgovornostima.
Aktivnosti:
- Određivanje prioriteta na temelju rizika
- Alokacija resursa (ljudi, budžet, tehnologija)
- Definiranje mjerljivih ciljeva i KPI-jeva
Ishod: Projektni plan usklađenosti odobren od uprave
Korak 4: Implementacija mjera
Cilj: Provesti tehničke i organizacijske mjere.
Aktivnosti:
- Razvoj/ažuriranje politika i procedura
- Implementacija tehničkih kontrola
- Edukacija zaposlenika i uprave
Ishod: Dokumentirane i funkcionalne sigurnosne mjere
Korak 5: Uspostava procesa prijave incidenata
Cilj: Osigurati sposobnost prijave incidenata u propisanim rokovima.
Aktivnosti:
- Definiranje procesa detekcije i eskalacije
- Uspostava komunikacijskih kanala s CERT-om
- Testiranje procesa kroz simulacije
Ishod: Funkcionalni proces prijave incidenata
Korak 6: Kontinuirano poboljšanje
Cilj: Održavati usklađenost i unaprjeđivati sigurnosnu zrelost.
Aktivnosti:
- Redoviti auditi i penetracijska testiranja
- Praćenje prijetnji i ranjivosti
- Ažuriranje procjena rizika
Ishod: Kultura kontinuiranog poboljšanja sigurnosti
Trebate edukaciju zaposlenika o kibernetičkoj sigurnosti? Pregledajte naše online tečajeve koji pokrivaju NIS2 zahtjeve, upravljanje incidentima i sigurnosnu svijest zaposlenika.
Najčešće greške pri implementaciji
1. Tretiranje NIS2 kao IT projekta
Problem: Mnoge organizacije delegiraju NIS2 isključivo IT odjelu.
Zašto je to greška: NIS2 eksplicitno zahtijeva uključenost uprave. Članak 20 propisuje da upravljačka tijela moraju odobriti mjere i nadzirati provedbu.
Rješenje: Formirajte multidisciplinarni tim koji uključuje upravu, pravnu službu, IT i operacije.
2. Ignoriranje lanca opskrbe
Problem: Fokus samo na vlastite sustave bez procjene dobavljača.
Zašto je to greška: NIS2 eksplicitno zahtijeva sigurnost lanca opskrbe. Napad preko dobavljača može kompromitirati vašu organizaciju.
Rješenje: Implementirajte program upravljanja rizicima treće strane s procjenama i ugovornim obvezama.
3. Nedovoljna edukacija zaposlenika
Problem: Tehnički fokus bez ulaganja u ljudski faktor.
Zašto je to greška: 95% kibernetičkih incidenata uključuje ljudsku grešku. NIS2 zahtijeva "prakse kibernetičke higijene i obuku".
Rješenje: Implementirajte kontinuirani program edukacije s redovitim osvježavanjem i testiranjem.
4. Formalno ispunjavanje bez stvarne sigurnosti
Problem: Pisanje politika bez stvarne implementacije kontrola.
Zašto je to greška: Regulatori će provjeravati učinkovitost, ne samo dokumentaciju. Incident će razotkriti formalni pristup.
Rješenje: Implementirajte mjere s mjerljivim učinkom i redovito testirajte učinkovitost.
5. Podcjenjivanje rokova za prijavu incidenata
Problem: Nepripremljenost za prijavu incidenta u 24 sata.
Zašto je to greška: 24 sata za rano upozorenje je vrlo kratak rok. Bez pripremljenih procesa, propustit ćete ga.
Rješenje: Definirajte proces, odredite odgovorne osobe, testirajte kroz simulacije i imajte kontakte CERT-a pri ruci.
Zaključak i sljedeći koraci
NIS2 direktiva predstavlja značajnu promjenu u regulatornom okviru kibernetičke sigurnosti u EU. Za hrvatska poduzeća, to znači:
Ključne poruke:
- Prošireni obuhvat: Tisuće hrvatskih tvrtki sada ima zakonske obveze kibernetičke sigurnosti
- Odgovornost uprave: Članovi uprave osobno odgovaraju za neusklađenost
- Stroge kazne: Do 10M€ ili 2% prometa za ključne subjekte
- Kratki rokovi: 24 sata za prijavu sumnje na incident
Što učiniti sada:
- Utvrdite obuhvaćenost — Provjerite spadate li pod NIS2
- Napravite gap analizu — Identificirajte nedostatke
- Educirajte upravu — Osigurajte razumijevanje odgovornosti
- Pokrenite projekt usklađenosti — Ne čekajte inspekciju
Započnite s edukacijom o kibernetičkoj sigurnosti
CompliQuest nudi online tečajeve koji pokrivaju NIS2 zahtjeve, upravljanje kibernetičkim rizicima i sigurnosnu svijest zaposlenika. Naši tečajevi pomažu organizacijama ispuniti zahtjev za "prakse kibernetičke higijene i obuku" iz članka 21 NIS2 direktive.
Pregledajte naše tečajeve kibernetičke sigurnosti | Kontaktirajte nas
Često postavljana pitanja (FAQ)
Što je NIS2 direktiva?
NIS2 (Network and Information Security Directive 2) je EU direktiva o kibernetičkoj sigurnosti koja zamjenjuje prethodnu NIS direktivu iz 2016. Proširuje obveze na 18 sektora i uvodi strože kazne do 10 milijuna eura ili 2% globalnog prometa.
Tko mora poštivati NIS2 u Hrvatskoj?
NIS2 obuhvaća ključne i važne subjekte u 18 sektora: energetika, promet, bankarstvo, zdravstvo, pitka voda, digitalna infrastruktura, javna uprava, proizvodnja, poštanske usluge i drugi. Kriterij veličine: 50+ zaposlenika ili promet >10 milijuna eura.
Koje su kazne za neusklađenost s NIS2?
Za ključne subjekte: do 10 milijuna eura ili 2% ukupnog godišnjeg prometa. Za važne subjekte: do 7 milijuna eura ili 1,4% prometa. Dodatno, članovi uprave mogu biti osobno odgovorni.
Do kada se treba uskladiti s NIS2?
Rok za prijenos direktive u nacionalno zakonodavstvo bio je 17. listopada 2024. Hrvatske tvrtke u obuhvaćenim sektorima moraju već sada biti usklađene.
Što NIS2 zahtijeva od tvrtki?
Ključne obveze uključuju: upravljanje kibernetičkim rizicima, prijavu incidenata unutar 24-72 sata, sigurnost lanca opskrbe, kontinuitet poslovanja, i edukaciju zaposlenika o kibernetičkoj sigurnosti.
Dodatni resursi
Ovaj članak služi kao informativni vodič i ne predstavlja pravni savjet. Za specifične situacije konzultirajte pravne stručnjake.