Prilog I — Bitna institucija

NIS2 (Zakon o kibernetskoj sigurnosti) za hrvatske banke i institucije — Obveze od 2026.

Strane odluke za glavne časnike sigurnosti i NIS timove u bankama i institucijama s nacionalnim bankarskim nadzorom. Saznajte kako usklađiti ICT upravljanje rizicima, incident reporting i treće strane s NIS2 okvirima do jeseni 2026.

Fizičke i pravne osobe koje obavljaju pružanje bankarskih usluga pod nadzorom Hrvatske narodne banke, uključujući banke s dozvolom, štedionice i institucije za kratkročne obveze. U obzir dolaze sve institucije koje kotiraju na vijestima kao važne za financijsku stabilnost ili imaju sredstva veću od određenih pragova koje je postavila HNB.

Ključne obveze NIS2 za ovaj sektor

Okvir upravljanja ICT rizicima i dokumentacija

Institucije moraju uspostaviti dokumentirani okvir upravljanja ICT rizicima (ICT RMF) koji pokriva identifikaciju, procjenu, mjere zaštite i praćenje rizika. Okvir mora biti integriran u cjelokupnu strategiju upravljanja rizicima institucije. Dokumentacija mora biti dostupna regulatorima i nadzornom tijelu (SOA/HNB) tijekom revizija.

Godišnje testiranje penetracije i procjene ranjivosti

Institucije trebaju provesti najmanje jednom godišnje testiranje penetracije koje provode nepristrane trećih strana specijalizirane za bankarsku sigurnost. Svi kritični sustavi (posebno core banking platforme) moraju biti obuhvaćeni. Rezultati i remedijacijski planovi moraju biti dostupni nadzornom timu i uključeni u godišnji izvještaj.

Incident reporting nadzoraču i nacionalnom CSIRT-u

Institucije moraju izvijestiti SOA/HNB i Hrvatski CSIRT o većim incidentima kibernetske sigurnosti u dogovorenim vremenskim okvirima (obično 24-72 sata, ovisno o vrsti incidenta). Izvještaji moraju sadržavati detaljnu klasifikaciju incidenta, utjecaj na sustave, korisničke podatke i financijske usluge. Institucije trebaju održavati revidirane logove svih incident poziva.

Due diligence za ICT davatelje usluga i sigurnosni ugovori

Prije potpisivanja ugovora s vanjskim davateljima ICT usluga (fintech partnerima, cloud davateljima, procesatorima podataka) institucije trebaju provesti formalnu procjenu sigurnosti koja uključuje audit infrastrukture, certifikate sigurnosti (ISO 27001) i procjenu rizika. Ugovori moraju sadržavati eksplicitne klauzule o pravima pristupa, incident reporting i pravima regulatora da provjeravaju infrastrukturu davatelja.

Usklađenost s DORA okvirom za banke

NIS2 obveze za banke su apsorbirane u DORA (Uredba o otpornosti ICT sektora financijskih usluga). Institucije trebaju zadovoljiti DORA zahtjeve za upravljanje ICT rizicima, incident reporting i testiranje otpornosti (ITT). DORA je strožija od NIS2 za bankarski sektor i ima prioritet u slučaju konflikta zahtjeva.

Tipični nedostaci usklađenosti u ovom sektoru

Preporučeni alati za ovaj sektor

Vanta vanta.com

Provjeri alat →
Secfix secfix.com

Provjeri alat →
Drata drata.com

Provjeri alat →

Često postavljana pitanja

Koja je razlika između NIS2 i DORA zahtjeva za hrvatske banke?

NIS2 je okvir za sve bitne institucije, ali DORA (Uredba EU 2022/2554) zamjenjuje NIS2 specifične zahtjeve za financijski sektor i strožija je. DORA je obvezan za sve institucije s dozvolom HNB-a od 17. siječnja 2025. Institucije trebaju zadovoljiti DORA zahtjeve jer oni imaju prioritet; NIS2 obveze se primjenjuju samo ako DORA ne pokriva određeni aspekt (npr. fizička sigurnost lokacija).

Koliko često trebam provesti penetracijske testove i mogu li ich obaviti interno?

Minimum je jednom godišnje, ali preporučuje se dvaputa godišnje za kritične sustave. Testiranje MORA biti obavljeno od strane nepristrane treće strane specijalizirane za bankarsku sigurnost — interno testiranje nije dovoljno za nadzorne zahtjeve. Rezultati moraju biti dokumentirani s detaljnim remedijacijskim planom i dostupni nadzornom timu.

Koji su penali ako ne izvijestim incident HNB/CSIRT-u u dogovorenoj vremenskoj rokovi?

Kršenja DORA izvještavanja mogu rezultirati novčanom kaznom do 10% godišnje bruto poslovne dohodka institucije (ili do 6 milijuna EUR, što je veće). Za NIS2, kazne mogu doseći do 5% godišnjih prihoda. HNB i SOA redovito provjeravaju incident logove tijekom nadzornih inspekcija i nezabilježeni incidenti koje je treća strana poznavala predstavljaju poseban rizik za regulaciju.

Provjerite zahtjeve za vašu organizaciju

SOA/NIS2 · Hrvatska · 2026

Pokrenuti kalkulator →