Koliko košta NIS2 usklađenost u Hrvatskoj 2026.? Stvarni troškovi, kazne i usporedba alata
Sveobuhvatni istraživački izvještaj o stvarnim troškovima usklađenosti s NIS2 / Zakonom o kibernetičkoj sigurnosti za hrvatska poduzeća u 2026.: od procjene jaza do ISO 27001 certifikacije, kibernetičkog osiguranja i cijene neusklađenosti.
Zakonodavni okvir i kazne: ZoKS i NIS2 u Hrvatskoj
Zakon o kibernetičkoj sigurnosti (ZoKS, NN 14/2024) stupio je na snagu 15. veljače 2024. i prenosi Direktivu (EU) 2022/2555 (NIS2) u hrvatsko zakonodavstvo. Provedbena Uredba o kibernetičkoj sigurnosti (NN 135/2024) donesena je 21. studenog 2024. i razrađuje kriterije kategorizacije, mjere zaštite i postupak izvještavanja o incidentima. Nadležno tijelo za kibernetičku sigurnost je NCSC-HR unutar SOA-e, dok za financijski sektor nadzor vrši HNB, a za telekomunikacije HAKOM. Ključni subjekti (Prilog I) podliježu proaktivnom nadzoru i višim kaznama, važni subjekti (Prilog II) reaktivnom nadzoru. Hrvatska je proširila opseg izvan NIS2 minimuma – uključuje lokalne samouprave s više od 50.000 stanovnika, obrazovni sustav i posrednike e-računa bez obzira na veličinu.
| Kategorija | Broj zaposlenika / prihod | Maksimalna kazna (EUR) | Alternativa (% globalnog prihoda) | Vrsta nadzora | Revizijski ciklus (HR specifično) |
|---|---|---|---|---|---|
| Ključni subjekt (essential entity) | ≥250 zaposlenika ILI ≥50 mil. EUR prihoda (Prilog I sektor) | 10.000.000 EUR | 2% globalnog godišnjeg prihoda (što je veće) | Proaktivni / ex-ante | Obvezna revizija svake 2 godine (Art. 51–57 ZoKS) |
| Važni subjekt (important entity) | ≥50 zaposlenika ILI ≥10 mil. EUR prihoda (Prilog II sektor) | 7.000.000 EUR | 1,4% globalnog godišnjeg prihoda (što je veće) | Reaktivni / ex-post | Samoprocjena svake 2 godine; revizija na zahtjev |
| Odgovorna fizička osoba | Rukovodna odgovornost (čl. 20 NIS2) | 250 – 3.000 EUR (prekršaj) | Osobna odgovornost; privremena zabrana rukovođenja | Izvršna razina | Kontinuirano |
| Javni sektor | Svi subjekti javne uprave u opsegu | Izuzet od novčanih kazni | — | Obvezujuće korektivne direktive | Samoprocjena + revizija na zahtjev |
Izvor: OpenKRITIS – EU NIS2 u Hrvatskoj (detaljni zakonski pregled)
Stvarni troškovi usklađenosti: godišnji budžet po veličini poduzeća i stavci troška
Ne postoji jedinstvena hrvatska studija troška NIS2 usklađenosti u javnoj domeni. Donje tablice sintetiziraju EU referentne točke iz Kopexa (regulatorni utjecaj procjena), Secfixa, VisionCompliance (Zagreb), Axipro i usporednih tržišta, prilagođene za Hrvatsku uzimajući u obzir da lokalni konzultanti naplaćuju 40–60% manje od zapadnoeuropskih kolega. Procjene troška konzultantske angažiranosti od 80–2.500 EUR/dan (EU raspon) treba prilagoditi lokalnoj stvarnosti: 400–1.200 EUR/dan za iskusnog konzultanta u RH. Godišnji operativni troškovi su tekući – ZoKS zahtijeva kontinuirano upravljanje rizicima, a ne jednokratni projekt.
| Stavka troška | Malo poduzeće (50–249 zap.) | Srednje poduzeće (250–499 zap.) | Veliko poduzeće (≥500 zap.) | Napomena / izvor |
|---|---|---|---|---|
| Procjena jaza (gap assessment) + inicijalni audit | 2.000 – 8.000 EUR | 5.000 – 15.000 EUR | 10.000 – 30.000 EUR | Axipro / Secureframe / Steerlab (2026); HR konzultanti ~40-60% niže od EU prosjeka |
| GRC / compliance softver (godišnja pretplata) | 3.000 – 10.000 EUR/god (Secfix, Sprinto starter) | 8.000 – 25.000 EUR/god (Vanta, Drata mid-market) | 20.000 – 80.000 EUR/god (Vanta enterprise, Drata enterprise) | Orbiq GRC Buyers Guide 2026; Sprinto blog (Drata pricing 2026); SOC2Auditors.org |
| Edukacija zaposlenika (kibernetička higijena, čl. 21(2)(g)) | 1.000 – 5.000 EUR/god | 3.000 – 15.000 EUR/god | 10.000 – 40.000 EUR/god | Sprinto blog; ISO 27001 cost guides (Cibersafety, Secureframe) – €2.000–8.000 tipično za MSP |
| Penetracijski test (godišnji, preporučen) | 5.500 – 12.000 EUR/god | 12.000 – 30.000 EUR/god | 30.000 – 80.000 EUR/god | Secfix: €6.000–12.000 za mala poduzeća; Axipro: $4.000–15.000 scoped external pentest; Drata: od $4.000 |
| ISO 27001 certifikacija (jednokt. priprema + revizija 1. godine) | 15.000 – 40.000 EUR | 40.000 – 100.000 EUR | 100.000 – 300.000 EUR | VisionCompliance Zagreb (2026); Cibersafety EU; Secfix (HR konzultant 40-60% niže od EU max) |
| ISO 27001 nadzorne revizije (godišnje, od 2. godine) | 3.000 – 8.000 EUR/god | 6.000 – 15.000 EUR/god | 15.000 – 40.000 EUR/god | Secureframe (surveillance = 40-60% initial audit fee); Sprinto blog |
| Kibernetičko osiguranje (godišnja premija) | 3.000 – 8.000 EUR/god | 8.000 – 25.000 EUR/god | 25.000 – 150.000+ EUR/god | SecurityToday: €3.000–25.000 za 50–250 zap.; viši sektori (zdravstvo, fin.) +50% tržišnog prosjeka |
| Interne radne sate (FTE udio ili vCISO) | 0,25–0,5 FTE ekvivalent | 0,5–1,5 FTE ekvivalent | 1–3 FTE (CISO + tim) | Kopexa: interni CISO ekonomski opravdan tek od ~200 zap.; Secfix: vCISO model za MSP |
| UKUPNO – jednokt. implementacijski trošak (1. god.) | 15.000 – 50.000 EUR | 50.000 – 150.000 EUR | 150.000 – 500.000 EUR | Kopexa Bundestag cost assessment (DE prosjek €70k); Deloitte NIS2 Survey: €50k–€300k za MSP; Secfix |
| UKUPNO – godišnji tekući trošak (od 2. god.) | 8.000 – 25.000 EUR/god | 25.000 – 60.000 EUR/god | 60.000 – 200.000+ EUR/god | Kopexa: €30.000 prosječni godišnji operativni trošak (DE prosjek za sve veličine); Secfix konzultantska procjena |
Troškovi po sektoru i preporučeni alati za hrvatska poduzeća
ZoKS je proširio opseg regulacije na 18+ sektora, s posebnim naglaskom na sektor koji Hrvatska dodaje izvan NIS2 minimuma: obrazovanje, lokalna samouprava i posrednici e-računa. Trošak usklađenosti značajno varira po sektoru zbog kompleksnosti IT/OT sustava, regulatornog preklapanja (npr. DORA za financije, MDR za medicinske uređaje) i kritičnosti podataka. Alati navedeni u nastavku verificirani su kao dostupni za EU/HR tržište prema javno dostupnim izvorima do lipnja 2026.
| Sektor (ZoKS Prilog I/II) | Kategorija (ključni/važni) | Procijenjeni godišnji trošak usklađenosti (MSP) | Posebni izazovi / regulatorno preklapanje | Preporučeni alati / rješenja |
|---|---|---|---|---|
| Energetika (el. energija, plin, nafta) | Ključni (Prilog I) | 50.000 – 200.000 EUR/god | OT/IT konvergencija, fizička sigurnost, SCADA sustavi, bijenalni audit obvezan | Bitdefender GravityZone (endpoint/OT zaštita), Acronis (backup & DR), GRC: Vanta ili Drata |
| Zdravstvo (bolnice, klinike, med. uređaji) | Ključni (Prilog I) | 40.000 – 150.000 EUR/god | GDPR + NIS2 preklapanje, medicinski uređaji (MDR), visoki trošak proboja ($7,42M IBM 2025) | 1Password / Bitwarden (upravljanje pristupom), Bitdefender GravityZone, ISO 27001 certifikacija preporučena |
| Digitalna infrastruktura i IKT usluge | Ključni/Važni (Prilog I/II) | 20.000 – 80.000 EUR/god | Visoka izloženost lancu dobave, cloud specifike, DORA za fin. IKT, čl. 5.23 ISO 27001 | Reglyze ili Secfix (GRC automation za DACH/EU MSP), NordLayer (mrežna sigurnost), Vanta/Sprinto |
| Promet i logistika | Ključni (Prilog I) | 30.000 – 100.000 EUR/god | OT sustavi, HRV-specifično: javni prijevoz dodan kao podsektor | Acronis Cyber Protect (backup), Bitdefender GravityZone, GRC: ISMS.online ili ComplyCloud |
| Prehrambena industrija i prerađivačka industrija | Važni (Prilog II) | 15.000 – 60.000 EUR/god | Upravljanje lancem dobave, dokumentacija dobavljača, samoprocjena svake 2 godine | Sprinto (brza implementacija za cloud-native MSP), 1Password (upravljanje pristupom), Bitwarden Teams |
| Javna uprava (lokalna, >50.000 st.) | Ključni (HR dodatak, izvan EU NIS2 minimuma) | 10.000 – 40.000 EUR/god | Izuzeti od novčanih kazni ali podliježu obvezujućim korektivnim direktivama; ograničeni proračuni | ISMS.online (dokumentacijski sustav), ComplyCloud (GRC), Bitwarden (open-source opcija) |
| Obrazovanje (HR specifično, Prilog II) | Važni (HR dodatak) | 8.000 – 30.000 EUR/god | Hrvatska dodaje obrazovanje izvan EU NIS2 minimuma; MSP-razina institucija, niski proračuni | Secfix (automation za MSP), NordLayer (mrežna segmentacija), Bitwarden (cost-effective) |
Izvor: Deloitte – Navigating NIS2 Compliance (whitepaper, ožujak 2026.)
Cijena neusklađenosti vs. cijena usklađenosti – analiza troška-koristi
Ključno pitanje za hrvatska poduzeća nije 'možemo li si priuštiti usklađenost?' nego 'možemo li si priuštiti neusklađenost?'. Usporedba troška jednog ransomware incidenta (250.000 – 2.000.000 EUR za srednje poduzeće) s troškovima usklađenosti (15.000 – 150.000 EUR godišnje) jasno govori u korist investicije u sigurnost. Europska tržišta kibernetičkog osiguranja vrednovala su se na 1,51 milijardu USD u 2025. i rastu po CAGR od 17,12%, no samo ~10% MSP-ova ima kibernetičku policu – što ih ostavlja bez zaštite upravo u trenutku kad je najviše trebaju. Tvrtke s verificiranim sigurnosnim mjerama (MFA, EDR, testirani incident response plan) ostvaruju bolje uvjete osiguranja, što znači da ulaganje u NIS2 usklađenost direktno snižava premiju.
| Scenarij | Procijenjeni trošak / izloženost | Tko plaća | Izvor |
|---|---|---|---|
| Prosječni globalni trošak proboja podataka (IBM 2025/2026) | 4,44 – 4,88 milijuna USD (globalno); ~4,9 mil. EUR (Europa) | Poduzeće (IT oporavak, forenzika, pravo, obavještavanje, GDPR kazna) | IBM Cost of Data Breach Report 2025; Kymatio analiza 2026 |
| Prosječni ransomware incident – MSP (Europa) | 250.000 – 2.000.000 EUR | Poduzeće (kibernetičko osiguranje ako postoji polica) | SecurityToday / Allianz Commercial 2026 |
| Maksimalna NIS2 kazna – ključni subjekt | do 10.000.000 EUR ili 2% globalnog prihoda | Poduzeće (novčana kazna regulatora); menadžment osobno | ZoKS čl. 100; OpenKRITIS HR NIS2 pregled |
| Maksimalna NIS2 kazna – važni subjekt | do 7.000.000 EUR ili 1,4% globalnog prihoda | Poduzeće; raspon 5.000 – 7.000.000 EUR (čl. 102 ZoKS) | OpenKRITIS – EU NIS2 u Hrvatskoj |
| Osobna kazna odgovorne osobe | 250 – 3.000 EUR po prekršaju + privremena zabrana rukovođenja | Fizička osoba (direktor, CISO) | OpenKRITIS; ZoKS čl. 102–103 |
| Medijalni trošak incidenta za europski MSP (sve kategorije) | ~55.000 EUR (IT sanacija + zastoj + pravo + potencijalna GDPR/NIS2 kazna) | Poduzeće | CyQuant SME cybersecurity 2025 podaci |
| Godišnja premija kibernetičkog osiguranja – MSP (50–250 zap.) | 3.000 – 25.000 EUR/god | Poduzeće (investicija u zaštitu); NIS2-usklađene tvrtke plaćaju manje | SecurityToday Cyber Insurance 2026 |
| Godišnji tekući trošak NIS2 usklađenosti – malo poduzeće | 8.000 – 25.000 EUR/god | Poduzeće (softver + audit + edukacija + osiguranje) | Kopexa NIS2 Costs 2026; Secfix ISO 27001 cost guide |
| Omjer troška usklađenosti vs. medijalni trošak incidenta (MSP) | Usklađenost: ~1x | Incident: ~2–7x (bez kazne) | Zaključak: usklađenost je značajno jeftinija od incidenta | Sinteza: CyQuant €55k incident vs. Kopexa €8–25k/god usklađenost |
Izvor: ZeroDayInsights Substack – NIS2 i europski MSP: od tereta do prednosti
Izvori
- NCSC-HR – NIS2 transpozicija (službena stranica)
- Zakon.hr – Zakon o kibernetičkoj sigurnosti (NN 14/2024, pročišćeni tekst)
- Europska komisija – NIS2 implementacija u Hrvatskoj
- ECSO – NIS2 Directive Transposition Tracker
- OpenKRITIS – EU NIS2 u Hrvatskoj (detalji zakona, kazne, revizije)
- Copla – NIS2 direktiva: propisi i implementacija u Hrvatskoj
- Arhivix – Hrvatski ZoKS (NIS2): 8.000 organizacija mora biti usklađeno
- Ctrl Alt Grow – ISO 27001 u Hrvatskoj 2026.: priprema, Annex A, interni audit
- VisionCompliance Zagreb – ISO 27001 Certification Cost Guide 2026
- VisionCompliance – NIS2 direktiva u Hrvatskoj: vodič za obveznike 2026
- Presido.hr – Zakon o kibernetičkoj sigurnosti (praktični pregled)
- Cyberday.ai – Zakon o kibernetičkoj sigurnosti (okvir kontrola)
- Span.eu – Zakon o kibernetičkoj sigurnosti – primjena NIS2 direktive u Hrvatskoj
- Deloitte – Navigating NIS2 Compliance (whitepaper, ožujak 2026.)
- Kopexa – NIS2 Costs 2026: Consulting vs. Software (Bundestag impact assessment reference)
- Secfix – How much does ISO 27001 cost and how long does it take? (pentest, GRC pricing)
- Secureframe – ISO 27001 Certification Cost (gap analysis, consultant rates)
- Cibersafety – Cost of ISO 27001 Certification (EU, EUR figures 2025/2026)
- Axipro – ISO 27001 Certification Cost in 2026: Full Breakdown
- Steerlab – How Much Does ISO 27001 Certification Cost? (mid-market, enterprise)
- Drata – ISO 27001 Certification Cost (penetration testing, internal audit)
- Sprinto – Drata Pricing 2026 (Drata, Vanta, Sprinto starting prices)
- Orbiq – NIS2 Software 2026 EU Buyer's Guide (Vanta, Drata, Secfix pricing ranges)
- Orbiq – GRC Software Buyer's Guide 2026 (mid-market $15k–$40k/god)
- usecure – Top 10 NIS2 Compliance Tools for 2026 (Vanta, Drata, Sprinto usporedba)
- SOC2Auditors.org – SOC 2 Compliance Software 2026 (startup/growth/enterprise tier pricing)
- Guptadeepak.com – Top 5 GRC Platforms 2026: Vanta vs Drata vs Sprinto (Sprinto $8k–20k)
- SecurityToday – Cyber Insurance 2026: What Companies Need to Know (premije €3k–25k za MSP)
- Digital-Chiefs.de – Cyber Insurance 2026: Premiums, Coverage, CFO Calculation (10% SME penetration)
- MarketDataForecast – Europe Cyber Insurance Market 2026–2034 ($1,51B u 2025., CAGR 17,12%)
- SentinelOne – 30 Cyber Insurance Statistics 2026 (89% org. treba veći budžet za NIS2)
- CyQuant – SME cybersecurity 2025 (medijalni trošak incidenta ~€55k za MSP)
- IBM – Cost of a Data Breach Report 2025 (globalni prosjek $4,44M)
- Kymatio – Cost of Data Breach 2026: The Human Risk Factor (IBM 2026 baseline $4,88M)
- ZeroDayInsights – NIS2 i europski MSP: od tereta do prednosti (Deloitte survey; IBM €4,9M Europa)
- Smart Integrity Platform – NIS2 Compliance: Complete 2026 Guide (kazne, sektori, rok)
- Securance – NIS2 Directive Explained 2026 (ključni vs. važni, kazne)
- Legiscope – NIS2 Essential vs Important Entities Explained (33% essential, 67% important EU procjena)
- Glocert – NIS2 Applicability: Essential vs Important Entities (size thresholds, fines)
- Puppet – NIS2: Compliance Requirements, Deadline (34% SME neće dobiti budžet)
- FundingBox – New EU cybersecurity rules hit European SMEs (CYSSDE EU funding do €200k)
- ISC2 – EU CSA2 and NIS2 Updates: Proposals and ISC2 Response (siječanj 2026. amandmani)
- Kiteworks – How Much Does NIS2 Compliance Really Cost? (underestimation pattern)
- Ropes & Gray – The EU's NIS2 Directive Is in Force (Hrvatska među prvim usklađenima)
- DataFence – IBM Cost of Data Breach 2025 Analysis ($4,44M global, $10,22M US)
- Scrut.io – ISO 27001 Penetration Testing: Scope, Controls, Cost
- Sprinto – ISO 27001 Certification Cost (training $25/user; $15k/session)
- EasyCyberProtection – Best NIS2 Software for Belgian SMEs 2026 (EU SME GRC pricing)