Ovaj vodič je namijenjen stručnjacima za sigurnost i IT rukovoditeljima u najvećim javnim institucijama, lokalnim samoupravama i agencijama koje pružaju digitalne e-usluge građanima. Saznajte koje su obveze obvezatne, kako se provjeravaju i kako se mogu automatizirane.
NIS2/ZKS obvezuje sve središnje vladine institucije, ministarstva, vjerojatno i veliki broj lokalnih samouprava i javnih agencija koje pružaju digitalne usluge. Nema minimalnog praga veličine — jednom kada institucija upravlja e-vladom ili kritičnom infrastrukturom, obvezna je.
Čim dođe do incidenta koji narušava dostupnost e-usluga ili baza podataka, javna institucija mora odmah upoznati nadležnu vlast i SOA. Izvješće mora sadržavati opis incidenta, vremensku liniju, zahvaćene sustavne i mjerene radnje. Kašnjenja u izvješćivanju mogu dovesti do novčanih sankcija.
Svi sustavi koji čuvaju ili obrađuju osobne podatke građana — od registra, preko sustava za javne nabave do e-portalâ — moraju biti zaštićeni od cyber napada. To uključuje enkripciju, kontrolu pristupa, redovite penetracijske testove i sigurnosne audite najmanje godišnje.
Javne institucije moraju zahtijevati od svojih softverskih dobavljača i integratorâ potvrdu o njihovim sigurnosnim standardima i certifikacijama. Ugovori moraju sadržavati klauzule o sigurnosnim zahtjevima, pravima provjere i obvezama izvještavanja o vulnerabilnostima.
Svi djelatnici javnih institucija moraju godišnje proći formalnu obuku o cyber sigurnosti, phishing napadima i zaštiti podataka. Institucije moraju voditi dokumentaciju o završenoj obuci i praćenju ishoda. Nedovoljna obuka zaposlenika često je korijen većine sigurnosnih incidenata.
Institucije moraju voditi i redovito ažurirati popis svih kritičnih IT sustava, aplikacija, servera i mrežne opreme. Za svaku komponentu mora biti poznat proizvođač, verzija softvera i status sigurnosnih zakrpa. Svi poznat i aktivni sigurnosni nedostaci moraju biti zakrpljeni u rokom od 30 dana.
Samo veće lokalne samouprave koje pružaju digitalne e-usluge ili upravljaju kritičnom infrastrukturom su obuhvaćene. Centralne vladine institucije su obvezatno obuhvaćene bez iznimke. Najbolje je da se s SOA provjerite je li vaša institucija identificirana kao bitni subjekt.
Kašnjenja u izvješćivanju mogu rezultirati novčanom kaznom do 50 000 EUR ili 2 % godišnjeg prihoda institucije, ovisno o značaju incidenta. Teži incidenti ili ponovljeni propusti mogu rezultirati i većim kaznama. Preporučuje se da institucije ustave formalnu proceduru incident response-a s jasnim rokovima izvješćivanja.
Rok za NIS2 compliance je 18. listopada 2026. godine. Sve obveze iz Priloha I moraju biti na snazi do tog datuma — uključujući incident reporting, zaštitu e-usluga, obuku zaposlenika i upravljanje lancem nabave. Manjkanja u compliance-u nakon tog roka izlažu instituciju nadzoru i kaznama.