NIS2 direktiva: Što hrvatska poduzeća moraju znati u 2026

Brzi pregled: NIS2 direktiva ukratko

Aspekt	Detalji
Što je NIS2	EU direktiva o kibernetičkoj sigurnosti koja zamjenjuje NIS1
Koga obuhvaća	Ključni i važni subjekti u 18 sektora
Glavni zahtjevi	Upravljanje rizicima, prijava incidenata, sigurnost lanca opskrbe
Rok za prijenos	17. listopada 2024. (u nacionalno zakonodavstvo)
Kazne	Do 10M€ ili 2% godišnjeg prometa za ključne subjekte
Nadležno tijelo u HR	CERT i sektorski regulatori

---

1. Što je NIS2 direktiva
2. Zašto je NIS2 važan za Hrvatsku
3. Tko mora poštivati NIS2
4. Glavne obveze prema NIS2
5. Rokovi i kazne
6. 6 koraka do NIS2 usklađenosti
7. Najčešće greške pri implementaciji
8. Zaključak i sljedeći koraci

---

NIS2 (Network and Information Security Directive 2) predstavlja najznačajniju reformu EU zakonodavstva o kibernetičkoj sigurnosti od 2016. godine. Direktiva zamjenjuje prethodnu NIS direktivu i proširuje obveze na znatno veći broj organizacija.

Zašto je ovo važno sada? Rok za prijenos direktive u nacionalno zakonodavstvo bio je 17. listopada 2024. Hrvatske tvrtke koje spadaju u kategorije ključnih ili važnih subjekata moraju biti usklađene ili riskirati značajne kazne.

Zlatno pravilo NIS2: Kibernetička sigurnost više nije samo IT pitanje—to je odgovornost uprave. Direktiva eksplicitno propisuje osobnu odgovornost članova uprave za neusklađenost.

Ovaj vodič namijenjen je direktorima, IT voditeljima, službenicima za usklađenost i svima koji trebaju razumjeti utjecaj NIS2 na hrvatsko poslovanje.

---

NIS2 (Direktiva (EU) 2022/2555) je europska direktiva koja uspostavlja jedinstvene standarde kibernetičke sigurnosti za kritičnu infrastrukturu i ključne usluge u EU.

Ključne promjene u odnosu na NIS1

Aspekt	NIS1 (2016)	NIS2 (2022)
Obuhvat	7 sektora	18 sektora
Broj subjekata	~500 u HR	~3.000+ u HR
Upravljanje	Nije specificirano	Eksplicitna odgovornost uprave
Kazne	Nije harmonizirano	Do 10M€ / 2% prometa
Prijava incidenata	72 sata	24h rano upozorenje + 72h izvješće
Lanac opskrbe	Nije regulirano	Obvezna procjena rizika

Zašto je EU donijela NIS2

Broj kibernetičkih napada u EU porastao je za 300% između 2019. i 2023. godine. Prosječna šteta od ransomware napada iznosi 4,5 milijuna eura. NIS1 direktiva pokazala se nedovoljnom jer je obuhvaćala premali broj organizacija i nije imala usklađene sankcije.

Ključna statistika: 60% malih i srednjih poduzeća u EU doživjelo je kibernetički napad u posljednje dvije godine. NIS2 proširuje zaštitu na ovaj segment.

---

Hrvatska kao članica EU mora prenijeti NIS2 direktivu u nacionalno zakonodavstvo. Zakon o kibernetičkoj sigurnosti operatora ključnih usluga i davatelja digitalnih usluga (NN 64/2018) mora biti zamijenjen novim zakonom usklađenim s NIS2.

Utjecaj na hrvatsko gospodarstvo

• Procijenjeni broj obveznika: 3.000+ organizacija (u usporedbi s ~500 prema NIS1)
• Novi sektori: Javna uprava, poštanske usluge, upravljanje otpadom, proizvodnja hrane
• Srednja i velika poduzeća: Automatski obuhvaćeni ako djeluju u reguliranim sektorima

Nadležna tijela u Hrvatskoj

Tijelo	Uloga
CERT (Nacionalni CERT)	Koordinacija, prijava incidenata
HAKOM	Sektor elektroničkih komunikacija
HANFA	Financijski sektor
Ministarstvo zdravstva	Zdravstveni sektor
Sektorski regulatori	Specifični zahtjevi po sektoru

---

NIS2 razlikuje dvije kategorije subjekata: ključne subjekte i važne subjekte. Razlika utječe na razinu nadzora i visinu kazni.

Kriteriji za klasifikaciju

Ključni subjekti (Essential Entities):

• Veliki subjekti (250+ zaposlenika ILI promet >50M€ ILI bilanca >43M€)
• Djeluju u sektorima visoke kritičnosti (Prilog I direktive)
• Podliježu proaktivnom nadzoru

Važni subjekti (Important Entities):

• Srednji subjekti (50+ zaposlenika ILI promet >10M€ ILI bilanca >10M€)
• Djeluju u drugim kritičnim sektorima (Prilog II direktive)
• Podliježu reaktivnom nadzoru

18 obuhvaćenih sektora

Sektori visoke kritičnosti (Prilog I):

Sektor	Primjeri subjekata
Energetika	HEP, INA, distributori plina
Promet	Zračne luke, luke, željeznice
Bankarstvo	Banke, kreditne institucije
Financijska tržišta	Burze, središnji depozitoriji
Zdravstvo	Bolnice, laboratoriji, proizvođači lijekova
Vodoopskrba	Komunalna poduzeća
Digitalna infrastruktura	Data centri, DNS operateri, cloud provideri
ICT upravljanje	Managed service provideri
Javna uprava	Tijela državne uprave
Svemir	Satelitski operateri

Drugi kritični sektori (Prilog II):

Sektor	Primjeri subjekata
Poštanske usluge	HP, kurirske službe
Upravljanje otpadom	Komunalna poduzeća
Kemikalije	Proizvođači, distributeri
Hrana	Proizvođači, veliki distributeri
Proizvodnja	Medicinska oprema, strojevi, vozila
Digitalni pružatelji	Online platforme, tražilice
Istraživanje	Istraživačke organizacije

Kako utvrditi obuhvaćenost

┌─────────────────────────────────────────────────────────────┐
│              JESAM LI OBUHVAĆEN NIS2?                       │
├─────────────────────────────────────────────────────────────┤
│                                                             │
│  1. Djelujem li u jednom od 18 sektora?                     │
│     └─ NE → Nisam obuhvaćen                                 │
│     └─ DA → Nastavite na pitanje 2                          │
│                                                             │
│  2. Imam li 50+ zaposlenika ILI promet >10M€?               │
│     └─ NE → Vjerojatno nisam obuhvaćen*                     │
│     └─ DA → Obuhvaćen sam NIS2 direktivom                   │
│                                                             │
│  3. Imam li 250+ zaposlenika ILI promet >50M€?              │
│     └─ NE → Važni subjekt                                   │
│     └─ DA → Ključni subjekt                                 │
│                                                             │
│  *Iznimke: DNS operateri, TLD registri, qualificed trust    │
│   service provideri - obuhvaćeni bez obzira na veličinu     │
└─────────────────────────────────────────────────────────────┘

---

NIS2 propisuje konkretne mjere koje organizacije moraju implementirati. Članak 21 direktive navodi minimalne tehničke i organizacijske mjere.

10 obveznih mjera kibernetičke sigurnosti

1. Politike analize rizika i sigurnosti informacijskih sustava

   • Dokumentirana metodologija procjene rizika
   • Redovite revizije (minimalno godišnje)

2. Postupanje s incidentima

   • Definirani procesi detekcije, analize i odgovora
   • Tim za odgovor na incidente (CSIRT)

3. Kontinuitet poslovanja i upravljanje krizama

   • Planovi kontinuiteta poslovanja
   • Backup strategija i testiranje oporavka

4. Sigurnost lanca opskrbe

   • Procjena rizika dobavljača
   • Sigurnosni zahtjevi u ugovorima

5. Sigurnost u nabavi, razvoju i održavanju sustava

   • Sigurni razvojni procesi (DevSecOps)
   • Upravljanje ranjivostima

6. Politike i postupci za ocjenu učinkovitosti mjera

   • Redoviti auditi i penetracijska testiranja
   • KPI-jevi za kibernetičku sigurnost

7. Prakse kibernetičke higijene i obuka

   • Obvezna edukacija zaposlenika
   • Programi svijesti o sigurnosti

8. Politike korištenja kriptografije

   • Standardi enkripcije podataka
   • Upravljanje ključevima

9. Sigurnost ljudskih resursa i kontrola pristupa

   • Provjere zaposlenika
   • Načelo najmanjih privilegija

10. Višefaktorska autentifikacija (MFA)

    • MFA za sve kritične sustave
    • Sigurna komunikacija

Checkpoint sigurnosti: Članak 20 NIS2 eksplicitno navodi da članovi upravljačkih tijela moraju odobriti mjere upravljanja rizicima i nadzirati njihovu provedbu. Uprava je osobno odgovorna.

---

Ključni rokovi

Datum	Događaj
16.01.2023.	NIS2 stupio na snagu
17.10.2024.	Rok za prijenos u nacionalno zakonodavstvo
17.04.2025.	Rok za identifikaciju ključnih i važnih subjekata
Kontinuirano	Obveza prijave incidenata

Režim prijave incidenata

NIS2 uvodi strože vremenske okvire za prijavu kibernetičkih incidenata:

Faza	Rok	Sadržaj
Rano upozorenje	24 sata	Obavijest o sumnji na incident
Početno izvješće	72 sata	Detalji o incidentu i procjena
Međuizvješće	Na zahtjev	Ažuriranje statusa
Završno izvješće	1 mjesec	Potpuna analiza i poduzete mjere

Struktura kazni

Za ključne subjekte:

• Do 10 milijuna eura ili 2% ukupnog godišnjeg prometa na svjetskoj razini (što je veće)

Za važne subjekte:

• Do 7 milijuna eura ili 1,4% ukupnog godišnjeg prometa na svjetskoj razini (što je veće)

Dodatne sankcije:

• Privremena zabrana obavljanja funkcije članovima uprave
• Javna objava kršenja
• Obvezne korektivne mjere

Upozorenje: Za razliku od GDPR-a, NIS2 eksplicitno omogućuje osobnu odgovornost članova uprave. Direktori mogu biti privremeno suspendirani s funkcije.

---

Korak 1: Procjena obuhvaćenosti

Cilj: Utvrditi spadate li pod NIS2 i u koju kategoriju.

Aktivnosti:

• Provjerite sektore u kojima djelujete
• Analizirajte financijske pokazatelje i broj zaposlenika
• Konzultirajte pravne savjetnike za granične slučajeve

Ishod: Pisana procjena s klasifikacijom (ključni/važni/nije obuhvaćen)

Korak 2: Gap analiza

Cilj: Identificirati razlike između trenutnog stanja i NIS2 zahtjeva.

Aktivnosti:

• Mapiranje postojećih sigurnosnih kontrola
• Usporedba s 10 obveznih mjera iz članka 21
• Procjena zrelosti po svakoj mjeri

Ishod: Izvješće o nedostacima s prioritizacijom

Korak 3: Plan usklađenosti

Cilj: Definirati put do usklađenosti s rokovima i odgovornostima.

Aktivnosti:

• Određivanje prioriteta na temelju rizika
• Alokacija resursa (ljudi, budžet, tehnologija)
• Definiranje mjerljivih ciljeva i KPI-jeva

Ishod: Projektni plan usklađenosti odobren od uprave

Korak 4: Implementacija mjera

Cilj: Provesti tehničke i organizacijske mjere.

Aktivnosti:

• Razvoj/ažuriranje politika i procedura
• Implementacija tehničkih kontrola
• Edukacija zaposlenika i uprave

Ishod: Dokumentirane i funkcionalne sigurnosne mjere

Korak 5: Uspostava procesa prijave incidenata

Cilj: Osigurati sposobnost prijave incidenata u propisanim rokovima.

Aktivnosti:

• Definiranje procesa detekcije i eskalacije
• Uspostava komunikacijskih kanala s CERT-om
• Testiranje procesa kroz simulacije

Ishod: Funkcionalni proces prijave incidenata

Korak 6: Kontinuirano poboljšanje

Cilj: Održavati usklađenost i unaprjeđivati sigurnosnu zrelost.

Aktivnosti:

• Redoviti auditi i penetracijska testiranja
• Praćenje prijetnji i ranjivosti
• Ažuriranje procjena rizika

Ishod: Kultura kontinuiranog poboljšanja sigurnosti

---

Trebate edukaciju zaposlenika o kibernetičkoj sigurnosti? Pregledajte naše online tečajeve koji pokrivaju NIS2 zahtjeve, upravljanje incidentima i sigurnosnu svijest zaposlenika.

---

1. Tretiranje NIS2 kao IT projekta

Problem: Mnoge organizacije delegiraju NIS2 isključivo IT odjelu.

Zašto je to greška: NIS2 eksplicitno zahtijeva uključenost uprave. Članak 20 propisuje da upravljačka tijela moraju odobriti mjere i nadzirati provedbu.

Rješenje: Formirajte multidisciplinarni tim koji uključuje upravu, pravnu službu, IT i operacije.

2. Ignoriranje lanca opskrbe

Problem: Fokus samo na vlastite sustave bez procjene dobavljača.

Zašto je to greška: NIS2 eksplicitno zahtijeva sigurnost lanca opskrbe. Napad preko dobavljača može kompromitirati vašu organizaciju.

Rješenje: Implementirajte program upravljanja rizicima treće strane s procjenama i ugovornim obvezama.

3. Nedovoljna edukacija zaposlenika

Problem: Tehnički fokus bez ulaganja u ljudski faktor.

Zašto je to greška: 95% kibernetičkih incidenata uključuje ljudsku grešku. NIS2 zahtijeva "prakse kibernetičke higijene i obuku".

Rješenje: Implementirajte kontinuirani program edukacije s redovitim osvježavanjem i testiranjem.

4. Formalno ispunjavanje bez stvarne sigurnosti

Problem: Pisanje politika bez stvarne implementacije kontrola.

Zašto je to greška: Regulatori će provjeravati učinkovitost, ne samo dokumentaciju. Incident će razotkriti formalni pristup.

Rješenje: Implementirajte mjere s mjerljivim učinkom i redovito testirajte učinkovitost.

5. Podcjenjivanje rokova za prijavu incidenata

Problem: Nepripremljenost za prijavu incidenta u 24 sata.

Zašto je to greška: 24 sata za rano upozorenje je vrlo kratak rok. Bez pripremljenih procesa, propustit ćete ga.

Rješenje: Definirajte proces, odredite odgovorne osobe, testirajte kroz simulacije i imajte kontakte CERT-a pri ruci.

---

NIS2 direktiva predstavlja značajnu promjenu u regulatornom okviru kibernetičke sigurnosti u EU. Za hrvatska poduzeća, to znači:

Ključne poruke:

• Prošireni obuhvat: Tisuće hrvatskih tvrtki sada ima zakonske obveze kibernetičke sigurnosti
• Odgovornost uprave: Članovi uprave osobno odgovaraju za neusklađenost
• Stroge kazne: Do 10M€ ili 2% prometa za ključne subjekte
• Kratki rokovi: 24 sata za prijavu sumnje na incident

Što učiniti sada:

1. Utvrdite obuhvaćenost — Provjerite spadate li pod NIS2
2. Napravite gap analizu — Identificirajte nedostatke
3. Educirajte upravu — Osigurajte razumijevanje odgovornosti
4. Pokrenite projekt usklađenosti — Ne čekajte inspekciju

---

Započnite s edukacijom o kibernetičkoj sigurnosti

CompliQuest nudi online tečajeve koji pokrivaju NIS2 zahtjeve, upravljanje kibernetičkim rizicima i sigurnosnu svijest zaposlenika. Naši tečajevi pomažu organizacijama ispuniti zahtjev za "prakse kibernetičke higijene i obuku" iz članka 21 NIS2 direktive.

Pregledajte naše tečajeve kibernetičke sigurnosti | Kontaktirajte nas

---

Što je NIS2 direktiva?

NIS2 (Network and Information Security Directive 2) je EU direktiva o kibernetičkoj sigurnosti koja zamjenjuje prethodnu NIS direktivu iz 2016. Proširuje obveze na 18 sektora i uvodi strože kazne do 10 milijuna eura ili 2% globalnog prometa.

Tko mora poštivati NIS2 u Hrvatskoj?

NIS2 obuhvaća ključne i važne subjekte u 18 sektora: energetika, promet, bankarstvo, zdravstvo, pitka voda, digitalna infrastruktura, javna uprava, proizvodnja, poštanske usluge i drugi. Kriterij veličine: 50+ zaposlenika ili promet >10 milijuna eura.

Koje su kazne za neusklađenost s NIS2?

Za ključne subjekte: do 10 milijuna eura ili 2% ukupnog godišnjeg prometa. Za važne subjekte: do 7 milijuna eura ili 1,4% prometa. Dodatno, članovi uprave mogu biti osobno odgovorni.

Do kada se treba uskladiti s NIS2?

Rok za prijenos direktive u nacionalno zakonodavstvo bio je 17. listopada 2024. Hrvatske tvrtke u obuhvaćenim sektorima moraju već sada biti usklađene.

Što NIS2 zahtijeva od tvrtki?

Ključne obveze uključuju: upravljanje kibernetičkim rizicima, prijavu incidenata unutar 24-72 sata, sigurnost lanca opskrbe, kontinuitet poslovanja, i edukaciju zaposlenika o kibernetičkoj sigurnosti.

---

Dodatni resursi

• Tekst NIS2 direktive (EUR-Lex)
• ENISA NIS2 smjernice
• Nacionalni CERT Hrvatska

---

Ovaj članak služi kao informativni vodič i ne predstavlja pravni savjet. Za specifične situacije konzultirajte pravne stručnjake.