Prilog I — bitni subjekt

NIS2 zahtjevi za elektrodistribuciju, operatore mreža, distribuatore plina i toplinarce u Hrvatskoj

Ova stranica namijenjena je operatorima kritične energetske infrastrukture u Hrvatskoj koji moraju zadovoljiti obveze NIS2 regulacije. Saznajte kakve sigurnosne mjere trebate primjenjivati na OT/ICS sustavima i kako izbjegnuti tipične greške u compliance-u.

Kao bitni subjekt NIS2 regulacije kvalificiraju se proizvođači električne energije, operatori prenosnih i distribucijskih mreža, distributeri prirodnog plina, operatori sistema za daljinsko grijanje i dobavljači goriva čiji prekid rada ima značajan utjecaj na stabilnost energetskog sustava ili sigurnost ljudske populacije u Hrvatskoj. U pravilu se radi o srednjim i većim subjektima koji upravljaju kritičnom infrastrukturom.

Ključne obveze NIS2 za ovaj sektor

Sigurnost OT/ICS i SCADA sustava

Mora se osigurati tehnička i organizacijska zaštita sustava za upravljanje proizvodnjom i distribucijom energije, uključujući SCADA, PLC i industrijske kontrolne sustave. Sistemi trebaju biti fizički i logički odvojeni od korporativnih IT mreža, s jasnom segmentacijom i mogućnosti nadzora u realnom vremenu. Preporučuje se primjena kontrola pristupa, enkripcije komunikacija i redovitih sigurnosnih provjera.

Izvještavanje o incidentima s potencijalnim prekograničnim utjecajem

Operatori su obvezni izvijestiti Sigurnosno-analitički centar (SAC) i nadležne nacionalne vlasti o sigurnosnim incidentima koji mogu utjecati na stabilnost energetskog sustava ili imati prekogranični utjecaj. Izvještaj mora biti podnesen u propisanom roku s detaljima o vrsti incidenta, zahvaćenim sustavima i primijenjenim mjerama za oporavak.

Sigurnost dobavnog lanca za hardver i firmware

Potrebno je uspostaviti proces evaluacije rizika za sve kritične dobavljače mrežne opreme, SCADA komponenti i industrijskih sustava. Trebaju se provjeravati sigurnosni standardi dobavljača, njihova dostupnost sigurnosnih zakrpa, povremeni sigurnosni audit i jasni ugovori sa zahtjevima za brzo obavijestiti o odkrivenim ranjivostima.

Fizička sigurnost transformatorskih stanica i energetskih objekata kombinirana s cyber nadzor om

Transformatorske stanice i kritični energetski objekti trebaju biti zaštićeni fizičkim kontrolama pristupa, video nadzor om i detektorima neovlaštenih pokušaja pristupa. Istovremeno se mora primijeniti cyber nadzor fizičkog sloja — logiranje pristupa, praćenje anomalija i integracija signala s IT sustavima za detekciju napada.

Upravljanje pristupima i sigurnosna edukacija zaposlenika

Svi zaposlenici s pristupom OT sustavima moraju proći redovitu sigurnosnu obuku. Potrebno je uspostaviti sustav upravljanja privilegijama, s detaljnom kontrolom pristupa temeljem principa najmanje potrebne ovlasti. Trebaju se redovito provjeravati i dokumentirati sve promjene pristupa osobitom pažnjom na udaljenipristup i zaduživanje vanjskih izvoditelja.

Tipični nedostaci usklađenosti u ovom sektoru

Preporučeni alati za ovaj sektor

Secfix secfix.com

Provjeri alat →
Vanta vanta.com

Provjeri alat →
ISMS.online isms.online

Provjeri alat →

Često postavljana pitanja

Koji su minimalni zahtjevi za sigurnost SCADA sustava prema NIS2 u Hrvatskoj?

Minimalno se zahtjeva segmentacija SCADA mreže od korporativnog IT-a, šifriranje svih komunikacija, kontrola pristupa s jakim autentifikacijom, nadzor anomalija u realnom vremenu i redovite sigurnosne testove penetracijskog tipa. Svi uređaji trebaju biti inventorizirani, sa verzijama softvera i zakrpama praćenim i ažuriranim prema rasporedu.

Koliko vremena imam za izvještavanje o sigurnosnom incidentu s prekograničnim utjecajem?

Prema NIS2 regulaciji, incidenti s potencijalnim prekograničnim utjecajem trebaju biti prijavljeni Sigurnosno-analitičkom centru (SAC) u roku od 72 sata od otkrivanja. Za incidente koji direktno utječu na stabilnost mreže ili proizvodnju, SAC može zahtijevati puno brža izvještavanja u satu ili manjoj mjeri vremena.

Koje su kazne za neispunjavanje NIS2 zahtjeva u Hrvatskoj?

Novčane kazne za bitne subjekte mogu dosegnuti do 10 milijuna eura ili 2% godišnjeg prometa (ovisno što je veće) za ozbiljne povrede. Za manje povrede primjenjuju se nižje kazne, ali redoviti nadzor i auditi od strane regulatora znate da su obvezni do 2026. godine.

Provjerite zahtjeve za vašu organizaciju

SOA/NIS2 · Hrvatska · 2026

Pokrenuti kalkulator →