Odgovori na 25 najčešće postavljanih pitanja hrvatskih tvrtki obuhvaćenih zakonom o kibernetičkoj sigurnosti.
NIS2 je direktiva Europskog parlamenta i Vijeća EU 2022/2555 o sigurnosti mrežnih i informacijskih sustava — druga razina europskih zahtjeva za kibernetičku sigurnost, usvojena u prosincu 2022. Direktiva se sama po sebi ne primjenjuje izravno na tvrtke — morala je biti prenesena u nacionalno pravo.
Zakon o kibernetičkoj sigurnosti je hrvatski zakon koji implementira NIS2 u hrvatskom pravnom poretku. Njime se uređuju obveze operatora ključnih usluga i važnih subjekata u Republici Hrvatskoj. To je zakon koji obvezuje hrvatske tvrtke — ne izravno direktiva.
Praktična razlika: nacionalni zakon može sadržavati strože odredbe od minimuma NIS2 (hrvatsko pravo može nametati dodatne obveze). Za tumačenje nacionalnih propisa konzultirajte SOA-u ili MVEP.
Hrvatski zakon kojim se prenosi NIS2 direktiva stupio je na snagu 1. siječnja 2024. godine. Rok za samoprocjenu subjekata je 1. listopada 2026. Puni tehnički zahtjevi stupaju na snagu 1. siječnja 2027.
Procjene govore o otprilike 2 000 hrvatskih subjekata koji moraju ispuniti zahtjeve NIS2 — što je otprilike 5 puta više nego što je obuhvaćao stari zakon (prije NIS2). Porast je rezultat proširenja definicije "kritičnih sektora" i snižavanja praga veličine tvrtki obuhvaćenih regulacijom.
Ključni subjekti (Essential Entities): velike tvrtke (250+ zaposlenika ili promet >50 mil. EUR) iz sektora Priloga I (energetika, promet, bankarstvo, zdravstvo, voda, digitalna infrastruktura, javna uprava, svemirski sektor). Podliježu aktivnim nadzorom — nadzorno tijelo provodi revizije na vlastitu inicijativu. Kazne: do 10 mil. EUR ili 2% prometa.
Važni subjekti (Important Entities): srednje tvrtke iz Priloga I ili tvrtke bilo koje veličine iz Priloga II (poštanske usluge, proizvodnja, kemikalije, hrana, digitalne usluge). Podliježu reaktivnom nadzoru — revizija samo nakon incidenta ili pritužbe. Kazne: do 7 mil. EUR ili 1,4% prometa.
Tehnički zahtjevi su slični za obje kategorije — razlikuje se intenzitet nadzora i visina kazni.
Da, načelno. Mikropoduzeća (manje od 10 zaposlenika i godišnji promet ispod 2 mil. EUR) te mala poduzeća (manje od 50 zaposlenika i promet ispod 10 mil. EUR) isključena su iz područja primjene NIS2.
Važne iznimke: male tvrtke mogu podlijegati NIS2 ako su: jedini pružatelj kritične usluge u Hrvatskoj; pružatelji usluga povjerenja (kvalificirani elektronički potpisi); registri naziva domena; pružatelji DNS usluga; ili ih nadzorno tijelo proglasi ključnima zbog utjecaja na sigurnost.
Rok za samoprocjenu istječe 1. listopada 2026. Do tog datuma svaki subjekt obuhvaćen NIS2 mora:
Izostanak registracije do 1. listopada 2026. može rezultirati administrativnom kaznom.
Potpuna tehnička usklađenost (provedene mjere upravljanja rizicima, procedure, ISMS) zahtijeva se do 1. siječnja 2027. Vanjska revizija kibernetičke sigurnosti za ključne subjekte zahtijeva se do 1. siječnja 2028.
Zakon zahtijeva imenovanje osobe ili tima odgovornog za upravljanje kibernetičkom sigurnošću. Ne mora nužno biti CISO s punim radnim vremenom — to može biti:
Ključno je formalno imenovanje te uloge u dokumentaciji i njezino stvarno obavljanje.
NIS2 zahtijeva trostupanjsku prijavu kibernetičkih incidenata:
Prijava se odnosi samo na ozbiljne incidente koji imaju znatan utjecaj na kontinuitet usluga — ne na svaki sigurnosni alert.
Članak 21. NIS2 direktive zahtijeva najmanje:
ISMS alati pokrivaju sve te zahtjeve — usporedi alate →
Ne oslobađa u potpunosti, ali znatno olakšava ispunjavanje zahtjeva. ISO 27001 i NIS2 imaju preklapajuće područje primjene — procjenjuje se da tvrtka s certifikatom ISO 27001 ispunjava oko 80–85% tehničkih zahtjeva NIS2.
Preostalih 15–20% su elementi specifični za NIS2: procedure prijave incidenata javnim tijelima, procjena sigurnosti opskrbnog lanca prema kriterijima NIS2, registracija u registar subjekata. Posjedovanje ISO 27001 može ublažiti kazne i pozitivno ga ocjenjuju nadzorna tijela.
Ne, ne postoji zakonska obveza kupnje određenog softvera. NIS2 zahtijeva ispunjavanje tehničkih i proceduralnih zahtjeva — ne propisuje kako tvrtka treba upravljati tim procesom.
U praksi će velike tvrtke (ključni subjekti) trebati GRC alat za upravljanje dokumentacijom, dokazima i praćenjem — ručno upravljanje nije realno s 50+ kontrola. Mali važni subjekti mogu početi s besplatnim planom Reglyze ili Microsoft Purview. Usporedi mogućnosti →
ISMS (Information Security Management System) je sustav upravljanja informacijskom sigurnošću — skup politika, procedura, procesa i kontrola za upravljanje rizicima kibernetičke sigurnosti. Standard koji definira ISMS je ISO/IEC 27001.
NIS2 ne zahtijeva certifikaciju prema ISO 27001, ali zahtijeva provedbu elemenata ISMS-a (sigurnosne politike, upravljanje rizicima, procedure za incidente). Alati poput Reglyze, Secfix ili ISMS.online automatiziraju izgradnju i održavanje ISMS-a posebno prilagođenog za NIS2.
Troškovi provedbe znatno se razlikuju ovisno o pristupu i veličini tvrtke:
Trošak revizije ISO 27001 (neobavezno, ali korisno) je dodatnih €8 000–25 000 ovisno o revizorskoj tvrtki.
Ne — NIS2 ne zahtijeva korištenje hrvatskih dobavljača softvera. Možete koristiti alate iz bilo koje zemlje EU-a ili izvan EU-a, pod uvjetom da se podaci obrađuju u skladu s GDPR-om.
Ipak, vrijedi obratiti pažnju na: lokaciju pohrane podataka (EU ili izvan EU-a), tehničku podršku na hrvatskom jeziku, poznavanje hrvatskih propisa od strane dobavljača. Za specifičnosti hrvatskog tržišta savjetujte se s MVEP-om ili SOA-om. Pogledaj usporedbu →
Za male tvrtke (važni subjekt, 50–100 zaposlenika) preporučujemo krenuti od:
Koristi kalkulator NIS2 → da najprije provjeriš koji tip subjekta odgovara tvojoj tvrtki.
Alati sa sjedištem i obradom podataka u EU-u:
Alati iz SAD-a (Vanta, Drata, Sprinto) i UK-a (ISMS.online) mogu obrađivati podatke izvan EU-a — provjeri njihov DPA (Data Processing Agreement) i SCC-ove prije kupnje. Microsoft Purview obrađuje podatke u Azure regijama — može se konfigurirati EU Data Boundary.
Ključni subjekti:
Važni subjekti:
Nadzorna tijela mogu izricati kazne za: izostanak registracije, nedostatak ISMS-a, neprijavljivanje incidenata, neispunjavanje tehničkih zahtjeva. Prve kazne očekuju se nakon isteka prijelaznog razdoblja (nakon 1. siječnja 2027.).
Nadzor nad provedbom NIS2 u Hrvatskoj provode različita tijela ovisno o sektoru:
Ključni subjekti podliježu aktivnim revizijama na inicijativu tijela. Važni subjekti podliježu reaktivnom nadzoru (nakon incidenta ili pritužbe).
Da. NIS2 (čl. 20.) nameće rukovodstvu (direktor, uprava, nadzorni odbor) obvezu odobravanja i nadzora mjera upravljanja rizicima kibernetičke sigurnosti. U slučaju ozbiljnih incidenata koji su rezultat nemara, tijela mogu:
Niste pronašli odgovor? Provjerite naše detaljne recenzije alata ili koristite kalkulator NIS2.
Pokreni kalkulator NIS2 →Niste sigurni podliježe li vaša tvrtka NIS2? Besplatan kviz traje 2 minute.
Odgovori na kviz →