Prilog I — Obveznik od posebnog značaja

NIS2 zahtjevi za zračne luke, željeznice i operatere javnog prometa u Hrvatskoj — Priprema do 2026

Ova stranica je namenjena operaterima javnog prometa, upraviteljima luka i operaterima voznih parkova koji su klasificirani kao obveznici prema Zakonu o kibernetskoj sigurnosti. Saznajte konkretne obveze, tipske nedostatke i praktične korake za postizanje sukladnosti do roka od 31. prosinca 2025.

Pod ovaj sektor spadaju operator javnog zračnog prometa sa 50 ili više zaposlenih, upravljač željezničke infrastrukture, upravljač cestovne infrastrukture od nacionalnog značaja, pomorski prijevoznik s flotom većom od 5 plovila te operator luke koji obavlja sigurnosne funkcije. Obaveza se primjenjuje na sve subjekte na ovim poslovima neovisno o veličini ako zadovoljavaju strateške kritike za nacionalnu sigurnost.

Ključne obveze NIS2 za ovaj sektor

Sigurnost operacijskih i informacijskih sustava kritične važnosti

Morate establecirati i održavati tehničke i organizacijske mjere zaštite za sustave kao što su sustavi za koordinaciju zračnog prometa, booking sustavi, sustavi upravljanja flotom i rezervacijske platforme. Ove mjere moraju uključiti šifriranje podataka u prijenosu i mirovanju, autentifikaciju s više čimbenika za kritične sustave te kontinuirani monitoring pristupa i aktivnosti. Redovito testiranje penetracijom i procjena ranjivosti moraju se provesti najmanje godišnje za sve sustave s mogućnošću utjecaja na sigurnost putnika ili prekid graničnog prometa.

Izvještavanje incidenata i alatke za rani odziv

Svi incidenati s utjecajem na sigurnost putnika, dostupnost rezervacijskih sustava ili prekid mednarodnog prometa moraju se prijaviti Hrvatskom zavodskom za zaštitu i spašavanje i Ministarstvu unutarnjih poslova bez nepotrebnog odgode, najkasnije 72 sata nakon otkrivanja. Morate dokumentirati sve incidenate, njihove uzroke, primjenjene mjere i naučene lekcije. Za operacijske sustave koji su kritični za javni prijevoz, uspostavljanje redundancije i plan kontinuiteta poslovanja s RTO-om od najviše 4 sata je obvezno.

Upravljanje rizicima u lancu opskrbe i kritična programska rješenja

Morate provesti due diligence procjenu svih dobavljača kritične infrastrukture, posebno za avionu elektroniku, sigurnosno kritično softver i sustave upravljanja flotom. Ugovori s dobavljačima moraju sadržavati klauzule o cyber sigurnosti, obavezi obavijesti o incidentima i pravima pristupa sustava za reviziju. Provedite najmanje godišnju reviziju izvora rizika u lancu opskrbe i održavajte registar svih vanjskih sustava povezanih s vašim kritičnim operacijama.

Obuka zaposlenika u kibernetskoj sigurnosti i upravljanje identitetima

Svi zaposlenici, posebno oni koji upravljaju operacijskim sustavima, rezervacijama i flom, moraju proći formalnu obuku iz cyber sigurnosti najmanje dva puta godišnje. Obuka mora pokrivati prepoznavanje phishing napada, sigurne prakse s lozinkama, izvještavanje o sumnjivim aktivnostima i proceduru u slučaju incidenata. Morate uspostaviti sustav upravljanja pristupa s principom najmanje privilegije, redovitim pregledima dozvola i obaveznom deaktivacijom računa u roku od 24 sata nakon odlaska zaposlenika.

Monitoring i detekcija anomalija na granici IT/OT sustava

Za operatere voznih parkova i željeznice, morate uspostaviti kontinuirani monitoring na svim točkama gdje se IT sustavi (booking, logistika) povezuju s operacijskim tehnologijama (vozila, sustavi upravljanja). Primijenite rješenja za detektiranje anomalija koja mogu identificirati neobične aktivnosti kao što su neovlašteni pristupi, pokušaji konfiguracije ili upozorenja o kompromitaciji. Svi Event logy trebaju se čuvati najmanje 180 dana i redovito analizirati za znakove kompromitacije.

Tipični nedostaci usklađenosti u ovom sektoru

Preporučeni alati za ovaj sektor

Secfix secfix.com

Provjeri alat →
ISMS.online isms.online

Provjeri alat →
Vanta vanta.com

Provjeri alat →

Često postavljana pitanja

Koji točno sustavi se smatraju 'kritičnim operacijskim sustavima' za železnički operator ili upravitelj luke?

Kritični operacijski sustavi su oni čiji prekid utječe na sigurnost putnika ili prekida međunarodni prijevoz: za željeznice to su sustavi upravljanja signalizacijom, kretanjem vlakova i prijevoznim rasporedom; za luke to su sustavi za kontrolu pristupa, upravljanje teretom i koordinaciju lučkih operacija; za zračne luke sustavi za upravljanje parkiralištima, sortiranjem prtljage i ATC koordinacijom. Sve te sustave morate mapirati i prioritizirati prema procjeni utjecaja na sigurnost i kontinuitet.

Koliko često trebam provesti testiranje penetracijom i procjenu ranjivosti svojih sustava?

Zakon o kibernetskoj sigurnosti zahtjeva najmanje godišnju procjenu ranjivosti za sve sustave, ali za kritične operacijske sustave preporučuje se polugodišnja ili čak tromjesečna procjena. Testiranje penetracijom trebate provesti najmanje godišnje za sve sustave s mogućnošću utjecaja na javni prijevoz, a nakon značajnih tehnoloških promjena trebalo bi da ga obavite i ranije.

Koja je kazna ako kao operator javnog prometa ne postanu sukladan NIS2 do 31. prosinca 2025?

Prema Zakonu o kibernetskoj sigurnosti, obveznici koji ne postanu sukladni riskiraju novčanu kaznu od 50.000 do 500.000 kuna te izdavanja nalog za uspostavljanje sukladnosti u temelje koje institucije nadzora mogu provesti nadzor. Dodatno, ako nesukladnost rezultira incidentom koji pravi štetu ili prekid javnog prometa, primjenjuju se strože kazne i mogućnost obustavе djelovanja.

Provjerite zahtjeve za vašu organizaciju

SOA/NIS2 · Hrvatska · 2026

Pokrenuti kalkulator →