Prilog I — bitni subjekt

NIS2/ZKS za središnje i lokalne vlasti u Hrvatskoj — obveze i compliance do 2026.

Ovaj vodič je namijenjen stručnjacima za sigurnost i IT rukovoditeljima u najvećim javnim institucijama, lokalnim samoupravama i agencijama koje pružaju digitalne e-usluge građanima. Saznajte koje su obveze obvezatne, kako se provjeravaju i kako se mogu automatizirane.

NIS2/ZKS obvezuje sve središnje vladine institucije, ministarstva, vjerojatno i veliki broj lokalnih samouprava i javnih agencija koje pružaju digitalne usluge. Nema minimalnog praga veličine — jednom kada institucija upravlja e-vladom ili kritičnom infrastrukturom, obvezna je.

Ključne obveze NIS2 za ovaj sektor

Obvezno otkriće i izvješćivanje sigurnosnih incidenata

Čim dođe do incidenta koji narušava dostupnost e-usluga ili baza podataka, javna institucija mora odmah upoznati nadležnu vlast i SOA. Izvješće mora sadržavati opis incidenta, vremensku liniju, zahvaćene sustavne i mjerene radnje. Kašnjenja u izvješćivanju mogu dovesti do novčanih sankcija.

Zaštita e-vladinih portala i baza podataka građana

Svi sustavi koji čuvaju ili obrađuju osobne podatke građana — od registra, preko sustava za javne nabave do e-portalâ — moraju biti zaštićeni od cyber napada. To uključuje enkripciju, kontrolu pristupa, redovite penetracijske testove i sigurnosne audite najmanje godišnje.

Sigurnost lanaca nabave za vladine softverske dobavljače

Javne institucije moraju zahtijevati od svojih softverskih dobavljača i integratorâ potvrdu o njihovim sigurnosnim standardima i certifikacijama. Ugovori moraju sadržavati klauzule o sigurnosnim zahtjevima, pravima provjere i obvezama izvještavanja o vulnerabilnostima.

Obavezna sigurnosna obuka i podizanje svijesti zaposlenika

Svi djelatnici javnih institucija moraju godišnje proći formalnu obuku o cyber sigurnosti, phishing napadima i zaštiti podataka. Institucije moraju voditi dokumentaciju o završenoj obuci i praćenju ishoda. Nedovoljna obuka zaposlenika često je korijen većine sigurnosnih incidenata.

Centralizirana inventura IT imovine i upravljanje vulnerabilnostima

Institucije moraju voditi i redovito ažurirati popis svih kritičnih IT sustava, aplikacija, servera i mrežne opreme. Za svaku komponentu mora biti poznat proizvođač, verzija softvera i status sigurnosnih zakrpa. Svi poznat i aktivni sigurnosni nedostaci moraju biti zakrpljeni u rokom od 30 dana.

Tipični nedostaci usklađenosti u ovom sektoru

Preporučeni alati za ovaj sektor

Secfix secfix.com

Provjeri alat →
ISMS.online isms.online

Provjeri alat →
ComplyCloud complycloud.eu

Provjeri alat →

Često postavljana pitanja

Moraju li sve lokalne samouprave biti u NIS2/ZKS compliance?

Samo veće lokalne samouprave koje pružaju digitalne e-usluge ili upravljaju kritičnom infrastrukturom su obuhvaćene. Centralne vladine institucije su obvezatno obuhvaćene bez iznimke. Najbolje je da se s SOA provjerite je li vaša institucija identificirana kao bitni subjekt.

Koja je kazna ako ne izvijestimo incident u roku?

Kašnjenja u izvješćivanju mogu rezultirati novčanom kaznom do 50 000 EUR ili 2 % godišnjeg prihoda institucije, ovisno o značaju incidenta. Teži incidenti ili ponovljeni propusti mogu rezultirati i većim kaznama. Preporučuje se da institucije ustave formalnu proceduru incident response-a s jasnim rokovima izvješćivanja.

Do kada trebam biti u potpunoj NIS2 compliance?

Rok za NIS2 compliance je 18. listopada 2026. godine. Sve obveze iz Priloha I moraju biti na snazi do tog datuma — uključujući incident reporting, zaštitu e-usluga, obuku zaposlenika i upravljanje lancem nabave. Manjkanja u compliance-u nakon tog roka izlažu instituciju nadzoru i kaznama.

Provjerite zahtjeve za vašu organizaciju

SOA/NIS2 · Hrvatska · 2026

Pokrenuti kalkulator →