Ova stranica je namijenjena srednje velikim tvrtkama (50-249 zaposlenih) u financijskom, energetskom, zdravstvenom i logističkom sektoru koje su klasificirane kao važni entiteti prema Prilogu II Direktive NIS2. Saznajte koje su obveze obavezne i kako ih učinkovito implementirati.
Tvrtke s 50-249 zaposlenih koje pružaju neophodne usluge u reguliranim sektorima (financijski, energetski, zdravstveni, promet, voda, javna uprava) spadaju pod Prilog II NIS2 Direktive. Trebate se sami procijeniti služi li vaša djelatnost kritičnoj infrastrukturi i je li prekid vašeg rada značajno utjecao bi na društvo. Ako je odgovor pozitivan, obvezni ste primjenjivati zahtjeve važnih entiteta od rujna 2026.
Morate provesti samoprocjenu da odredite zadovoljavate li kriterije važnog entiteta prema Prilogu II. Dokumentirajte fizičku lokaciju svojih operacija, broj korisnika koje služite i procjenu utjecaja prekida vaših usluga. Rezultat samoprocjene pošaljite nadležnoj Agenciji za cybersigurnost i privatnost do propisanog roka.
Implementirajte višefaktorsku autentifikaciju na svim poslovnim e-mail računima i sustavima oblaka, redovito ažurirajte sve operacijske sustave i aplikacije, i uspostavite kontrolu pristupa na principu najmanje potrebne razine. Za tvrtke od 50-249 zaposlenih preporučuje se centralizirano upravljanje lozinkama i redovite edukacije zaposlenih o cybersigurnosti.
Uspostavite sustav redovnog stvaranja sigurnosnih kopija (najmanje dnevno za kritične podatke) i najmanje dva puta godišnje testirajte mogućnost potpunog oporavka podataka. Sigurnosne kopije trebaju biti fizički odvojene od glavnog sustava i zaštićene lozinkama ili enkripcijom.
Razvijte pisanu proceduru za detektiranje, analizu i prijavu značajnih incidentata koji mogu utjecati na dostupnost ili integritet vaših usluga. Incidente koji značajno utječu na pružanje neophodne usluge trebate prijaviti Agenciji za cybersigurnost i privatnost u roku od 24 sata, s detaljnom analizom nakon 72 sata.
Dokumentirajte i usvojite politiku cybersigurnosti koja pokriva procese za upravljanje rizikom, odgovore na incidente i kontinuitet poslovanja. Definirajte uloge i odgovornosti, uključujući imenovanje osobe zadužene za cybersigurnost, i provedite godišnje redovito osposobljavanje zaposlenih.
Trebate provesti samoprocjenu koja evaluira: (1) je li vaša tvrtka dio kritične infrastrukture (financije, energija, zdravstvo, promet), (2) koliko korisnika zavisi od vaših usluga, (3) bi li prekid vaših operacija značajno utjecao na društvo. Ako je odgovor na sva tri pitanja potvrdan, vjerojatno spadate pod Prilog II. Preporučujemo da rezultat samoprocjene potvrdi vanjski konzultant prije nego što kontaktirate Agenciju.
Svi važni entiteti trebaju biti u punoj usklađenosti s NIS2 zahtjevima do 17. rujna 2026. Osnovne mjere (MFA, redovne kopije, politika) trebate implementirati čim prije jer su osnova za sve ostale sigurnosne aktivnosti. Preporučujemo da počnete sa samoprocjenom i planiranjem do kraja 2024.
Agencija za cybersigurnost i privatnost može nametnuti upravne kazne do 10 milijuna EUR ili do 2% godišnjeg svjetskog prometa (ovisno što je veće) za tvrtke koje ne ispunjavaju osnovne zahtjeve. Dodatno, ako kao važan entitet ne prijavite značajan incident u roku od 24 sata, kaznene mjere su još strože. Redovito dokumentiranje vaših napora na usklađenosti je ključno za smanjenje rizika.