NIS2-HR.eu

Koliko košta NIS2 usklađenost u Hrvatskoj 2026.? Stvarni troškovi, kazne i usporedba alata

Sveobuhvatni istraživački izvještaj o stvarnim troškovima usklađenosti s NIS2 / Zakonom o kibernetičkoj sigurnosti za hrvatska poduzeća u 2026.: od procjene jaza do ISO 27001 certifikacije, kibernetičkog osiguranja i cijene neusklađenosti.

8.000 – 10.000 subjekata
Procijenjeni broj hrvatskih organizacija koje potpadaju pod Zakon o kibernetičkoj sigurnosti (ZoKS) – masivno proširenje s ~1.000 subjekata pod prethodnom NIS1 regulativom.
Copla – NIS2 direktiva u Hrvatskoj
do 10.000.000 EUR
Maksimalna novčana kazna za ključne subjekte (ili 2% globalnog godišnjeg prihoda, ovisno o tome što je veće). Za važne subjekte: do 7.000.000 EUR ili 1,4% prihoda. Fizičke osobe-odgovorne osobe kazne se kreću od 250 € do 3.000 €.
OpenKRITIS – EU NIS2 u Hrvatskoj
1. listopada 2026.
Datum stupanja na snagu ZoKS-a za nova prava i obveze prema ECSO praćenju transpozicije, dok je sam Zakon na snazi od 15. veljače 2024. (NN 14/2024), a provedbena Uredba od studenog 2024. (NN 135/2024).
ECSO NIS2 Transposition Tracker
4,88 milijuna USD
Globalni prosječni trošak jednog incidenta povrede podataka prema IBM-ovom izvještaju za 2026. godinu – iznos koji bi bankrotirao većinu hrvatskih MSP-ova. Za Europu procjena iznosi ~4,9 milijuna EUR prema IBM izvješću za 2024.
Kymatio – IBM Cost of Data Breach 2026 analiza
34% MSP-ova
Udio malih i srednjih europskih poduzeća koja neće biti u mogućnosti zatražiti budžet koji im je potreban za postizanje NIS2 usklađenosti, prema Puppet istraživanju.
Puppet – NIS2 Blog
60–80%
Udio NIS2 zahtjeva koji se pokriva postojećim ISO 27001 ISMS-om – što ISO 27001 certifikaciju čini najefikasnijim putem za usklađenost u Hrvatskoj, gdje ZoKS eksplicitno upućuje na ISO 27001/2 kao referentni okvir.
Ctrl Alt Grow – ISO 27001 u Hrvatskoj 2026.
40–60% niže
Niže konzultantske naknade za ISO 27001 projekt angažiranjem hrvatskog ili poljskog konzultanta u usporedbi s konzultantima iz Zapadne Europe, prema VisionCompliance koji nudi fiksne pakete iz Zagreba.
VisionCompliance – ISO 27001 Cost Guide 2026 (Zagreb)
250.000 – 2.000.000 EUR
Prosječni trošak jednog ransomware incidenta za srednje poduzeće u Europi (IT oporavak, forenzika, krizna komunikacija, pravni savjet, zastoj poslovanja) – prema SecurityToday / Allianz Commercial podacima za 2025./2026.
SecurityToday – Cyber Insurance 2026

Zakonodavni okvir i kazne: ZoKS i NIS2 u Hrvatskoj

Zakon o kibernetičkoj sigurnosti (ZoKS, NN 14/2024) stupio je na snagu 15. veljače 2024. i prenosi Direktivu (EU) 2022/2555 (NIS2) u hrvatsko zakonodavstvo. Provedbena Uredba o kibernetičkoj sigurnosti (NN 135/2024) donesena je 21. studenog 2024. i razrađuje kriterije kategorizacije, mjere zaštite i postupak izvještavanja o incidentima. Nadležno tijelo za kibernetičku sigurnost je NCSC-HR unutar SOA-e, dok za financijski sektor nadzor vrši HNB, a za telekomunikacije HAKOM. Ključni subjekti (Prilog I) podliježu proaktivnom nadzoru i višim kaznama, važni subjekti (Prilog II) reaktivnom nadzoru. Hrvatska je proširila opseg izvan NIS2 minimuma – uključuje lokalne samouprave s više od 50.000 stanovnika, obrazovni sustav i posrednike e-računa bez obzira na veličinu.

KategorijaBroj zaposlenika / prihodMaksimalna kazna (EUR)Alternativa (% globalnog prihoda)Vrsta nadzoraRevizijski ciklus (HR specifično)
Ključni subjekt (essential entity)≥250 zaposlenika ILI ≥50 mil. EUR prihoda (Prilog I sektor)10.000.000 EUR2% globalnog godišnjeg prihoda (što je veće)Proaktivni / ex-anteObvezna revizija svake 2 godine (Art. 51–57 ZoKS)
Važni subjekt (important entity)≥50 zaposlenika ILI ≥10 mil. EUR prihoda (Prilog II sektor)7.000.000 EUR1,4% globalnog godišnjeg prihoda (što je veće)Reaktivni / ex-postSamoprocjena svake 2 godine; revizija na zahtjev
Odgovorna fizička osobaRukovodna odgovornost (čl. 20 NIS2)250 – 3.000 EUR (prekršaj)Osobna odgovornost; privremena zabrana rukovođenjaIzvršna razinaKontinuirano
Javni sektorSvi subjekti javne uprave u opseguIzuzet od novčanih kazniObvezujuće korektivne direktiveSamoprocjena + revizija na zahtjev

Izvor: OpenKRITIS – EU NIS2 u Hrvatskoj (detaljni zakonski pregled)

Stvarni troškovi usklađenosti: godišnji budžet po veličini poduzeća i stavci troška

Ne postoji jedinstvena hrvatska studija troška NIS2 usklađenosti u javnoj domeni. Donje tablice sintetiziraju EU referentne točke iz Kopexa (regulatorni utjecaj procjena), Secfixa, VisionCompliance (Zagreb), Axipro i usporednih tržišta, prilagođene za Hrvatsku uzimajući u obzir da lokalni konzultanti naplaćuju 40–60% manje od zapadnoeuropskih kolega. Procjene troška konzultantske angažiranosti od 80–2.500 EUR/dan (EU raspon) treba prilagoditi lokalnoj stvarnosti: 400–1.200 EUR/dan za iskusnog konzultanta u RH. Godišnji operativni troškovi su tekući – ZoKS zahtijeva kontinuirano upravljanje rizicima, a ne jednokratni projekt.

Stavka troškaMalo poduzeće (50–249 zap.)Srednje poduzeće (250–499 zap.)Veliko poduzeće (≥500 zap.)Napomena / izvor
Procjena jaza (gap assessment) + inicijalni audit2.000 – 8.000 EUR5.000 – 15.000 EUR10.000 – 30.000 EURAxipro / Secureframe / Steerlab (2026); HR konzultanti ~40-60% niže od EU prosjeka
GRC / compliance softver (godišnja pretplata)3.000 – 10.000 EUR/god (Secfix, Sprinto starter)8.000 – 25.000 EUR/god (Vanta, Drata mid-market)20.000 – 80.000 EUR/god (Vanta enterprise, Drata enterprise)Orbiq GRC Buyers Guide 2026; Sprinto blog (Drata pricing 2026); SOC2Auditors.org
Edukacija zaposlenika (kibernetička higijena, čl. 21(2)(g))1.000 – 5.000 EUR/god3.000 – 15.000 EUR/god10.000 – 40.000 EUR/godSprinto blog; ISO 27001 cost guides (Cibersafety, Secureframe) – €2.000–8.000 tipično za MSP
Penetracijski test (godišnji, preporučen)5.500 – 12.000 EUR/god12.000 – 30.000 EUR/god30.000 – 80.000 EUR/godSecfix: €6.000–12.000 za mala poduzeća; Axipro: $4.000–15.000 scoped external pentest; Drata: od $4.000
ISO 27001 certifikacija (jednokt. priprema + revizija 1. godine)15.000 – 40.000 EUR40.000 – 100.000 EUR100.000 – 300.000 EURVisionCompliance Zagreb (2026); Cibersafety EU; Secfix (HR konzultant 40-60% niže od EU max)
ISO 27001 nadzorne revizije (godišnje, od 2. godine)3.000 – 8.000 EUR/god6.000 – 15.000 EUR/god15.000 – 40.000 EUR/godSecureframe (surveillance = 40-60% initial audit fee); Sprinto blog
Kibernetičko osiguranje (godišnja premija)3.000 – 8.000 EUR/god8.000 – 25.000 EUR/god25.000 – 150.000+ EUR/godSecurityToday: €3.000–25.000 za 50–250 zap.; viši sektori (zdravstvo, fin.) +50% tržišnog prosjeka
Interne radne sate (FTE udio ili vCISO)0,25–0,5 FTE ekvivalent0,5–1,5 FTE ekvivalent1–3 FTE (CISO + tim)Kopexa: interni CISO ekonomski opravdan tek od ~200 zap.; Secfix: vCISO model za MSP
UKUPNO – jednokt. implementacijski trošak (1. god.)15.000 – 50.000 EUR50.000 – 150.000 EUR150.000 – 500.000 EURKopexa Bundestag cost assessment (DE prosjek €70k); Deloitte NIS2 Survey: €50k–€300k za MSP; Secfix
UKUPNO – godišnji tekući trošak (od 2. god.)8.000 – 25.000 EUR/god25.000 – 60.000 EUR/god60.000 – 200.000+ EUR/godKopexa: €30.000 prosječni godišnji operativni trošak (DE prosjek za sve veličine); Secfix konzultantska procjena

Izvor: Kopexa – NIS2 Costs 2026: Consulting vs. Software

Troškovi po sektoru i preporučeni alati za hrvatska poduzeća

ZoKS je proširio opseg regulacije na 18+ sektora, s posebnim naglaskom na sektor koji Hrvatska dodaje izvan NIS2 minimuma: obrazovanje, lokalna samouprava i posrednici e-računa. Trošak usklađenosti značajno varira po sektoru zbog kompleksnosti IT/OT sustava, regulatornog preklapanja (npr. DORA za financije, MDR za medicinske uređaje) i kritičnosti podataka. Alati navedeni u nastavku verificirani su kao dostupni za EU/HR tržište prema javno dostupnim izvorima do lipnja 2026.

Sektor (ZoKS Prilog I/II)Kategorija (ključni/važni)Procijenjeni godišnji trošak usklađenosti (MSP)Posebni izazovi / regulatorno preklapanjePreporučeni alati / rješenja
Energetika (el. energija, plin, nafta)Ključni (Prilog I)50.000 – 200.000 EUR/godOT/IT konvergencija, fizička sigurnost, SCADA sustavi, bijenalni audit obvezanBitdefender GravityZone (endpoint/OT zaštita), Acronis (backup & DR), GRC: Vanta ili Drata
Zdravstvo (bolnice, klinike, med. uređaji)Ključni (Prilog I)40.000 – 150.000 EUR/godGDPR + NIS2 preklapanje, medicinski uređaji (MDR), visoki trošak proboja ($7,42M IBM 2025)1Password / Bitwarden (upravljanje pristupom), Bitdefender GravityZone, ISO 27001 certifikacija preporučena
Digitalna infrastruktura i IKT uslugeKljučni/Važni (Prilog I/II)20.000 – 80.000 EUR/godVisoka izloženost lancu dobave, cloud specifike, DORA za fin. IKT, čl. 5.23 ISO 27001Reglyze ili Secfix (GRC automation za DACH/EU MSP), NordLayer (mrežna sigurnost), Vanta/Sprinto
Promet i logistikaKljučni (Prilog I)30.000 – 100.000 EUR/godOT sustavi, HRV-specifično: javni prijevoz dodan kao podsektorAcronis Cyber Protect (backup), Bitdefender GravityZone, GRC: ISMS.online ili ComplyCloud
Prehrambena industrija i prerađivačka industrijaVažni (Prilog II)15.000 – 60.000 EUR/godUpravljanje lancem dobave, dokumentacija dobavljača, samoprocjena svake 2 godineSprinto (brza implementacija za cloud-native MSP), 1Password (upravljanje pristupom), Bitwarden Teams
Javna uprava (lokalna, >50.000 st.)Ključni (HR dodatak, izvan EU NIS2 minimuma)10.000 – 40.000 EUR/godIzuzeti od novčanih kazni ali podliježu obvezujućim korektivnim direktivama; ograničeni proračuniISMS.online (dokumentacijski sustav), ComplyCloud (GRC), Bitwarden (open-source opcija)
Obrazovanje (HR specifično, Prilog II)Važni (HR dodatak)8.000 – 30.000 EUR/godHrvatska dodaje obrazovanje izvan EU NIS2 minimuma; MSP-razina institucija, niski proračuniSecfix (automation za MSP), NordLayer (mrežna segmentacija), Bitwarden (cost-effective)

Izvor: Deloitte – Navigating NIS2 Compliance (whitepaper, ožujak 2026.)

Cijena neusklađenosti vs. cijena usklađenosti – analiza troška-koristi

Ključno pitanje za hrvatska poduzeća nije 'možemo li si priuštiti usklađenost?' nego 'možemo li si priuštiti neusklađenost?'. Usporedba troška jednog ransomware incidenta (250.000 – 2.000.000 EUR za srednje poduzeće) s troškovima usklađenosti (15.000 – 150.000 EUR godišnje) jasno govori u korist investicije u sigurnost. Europska tržišta kibernetičkog osiguranja vrednovala su se na 1,51 milijardu USD u 2025. i rastu po CAGR od 17,12%, no samo ~10% MSP-ova ima kibernetičku policu – što ih ostavlja bez zaštite upravo u trenutku kad je najviše trebaju. Tvrtke s verificiranim sigurnosnim mjerama (MFA, EDR, testirani incident response plan) ostvaruju bolje uvjete osiguranja, što znači da ulaganje u NIS2 usklađenost direktno snižava premiju.

ScenarijProcijenjeni trošak / izloženostTko plaćaIzvor
Prosječni globalni trošak proboja podataka (IBM 2025/2026)4,44 – 4,88 milijuna USD (globalno); ~4,9 mil. EUR (Europa)Poduzeće (IT oporavak, forenzika, pravo, obavještavanje, GDPR kazna)IBM Cost of Data Breach Report 2025; Kymatio analiza 2026
Prosječni ransomware incident – MSP (Europa)250.000 – 2.000.000 EURPoduzeće (kibernetičko osiguranje ako postoji polica)SecurityToday / Allianz Commercial 2026
Maksimalna NIS2 kazna – ključni subjektdo 10.000.000 EUR ili 2% globalnog prihodaPoduzeće (novčana kazna regulatora); menadžment osobnoZoKS čl. 100; OpenKRITIS HR NIS2 pregled
Maksimalna NIS2 kazna – važni subjektdo 7.000.000 EUR ili 1,4% globalnog prihodaPoduzeće; raspon 5.000 – 7.000.000 EUR (čl. 102 ZoKS)OpenKRITIS – EU NIS2 u Hrvatskoj
Osobna kazna odgovorne osobe250 – 3.000 EUR po prekršaju + privremena zabrana rukovođenjaFizička osoba (direktor, CISO)OpenKRITIS; ZoKS čl. 102–103
Medijalni trošak incidenta za europski MSP (sve kategorije)~55.000 EUR (IT sanacija + zastoj + pravo + potencijalna GDPR/NIS2 kazna)PoduzećeCyQuant SME cybersecurity 2025 podaci
Godišnja premija kibernetičkog osiguranja – MSP (50–250 zap.)3.000 – 25.000 EUR/godPoduzeće (investicija u zaštitu); NIS2-usklađene tvrtke plaćaju manjeSecurityToday Cyber Insurance 2026
Godišnji tekući trošak NIS2 usklađenosti – malo poduzeće8.000 – 25.000 EUR/godPoduzeće (softver + audit + edukacija + osiguranje)Kopexa NIS2 Costs 2026; Secfix ISO 27001 cost guide
Omjer troška usklađenosti vs. medijalni trošak incidenta (MSP)Usklađenost: ~1x | Incident: ~2–7x (bez kazne)Zaključak: usklađenost je značajno jeftinija od incidentaSinteza: CyQuant €55k incident vs. Kopexa €8–25k/god usklađenost

Izvor: ZeroDayInsights Substack – NIS2 i europski MSP: od tereta do prednosti

Citirajte ovaj izvještaj: NIS2-HR.eu, "Koliko košta NIS2 usklađenost u Hrvatskoj 2026.? Stvarni troškovi, kazne i usporedba alata", 2026-06-25. https://nis2-hr.eu/report-troskovi-nis2.html — slobodno korištenje uz navođenje izvora i poveznicu.
Metodologija: Podaci su prikupljeni pretraživanjem javno dostupnih izvora između 20. i 25. lipnja 2026., uključujući službenu zakonodavnu dokumentaciju (NCSC-HR, Narodne novine, Europska komisija), izvješća analitičkih kuća (Deloitte, IBM, Kopexa, Secfix, Axipro, VisionCompliance), praćenja transpozicije EU direktiva (ECSO, OpenKRITIS) te cjenovnih listova dobavljača GRC alata (Vanta, Drata, Sprinto, Secfix). Svaki broj ima pripisani izvorni URL. Tamo gdje hrvatska podatkovna točka nije bila dostupna, korišteni su EU/DACH prosjeci iz usporedivih tržišta (Austrija, Slovenija, Češka) uz jasnu napomenu. Napomena: konkretni troškovni podaci za Hrvatsku su rijetki u javnoj domeni; iznosi su izvedeni iz certificiranih EU izvora i lokalnih konzultantskih indikatora (npr. VisionCompliance Zagreb).

Izvori