Sigurnosni program i rizik21. lipnja 2026. · 12 min čitanja

NIS2 ili DORA: koji se propis odnosi na vas?

Dva EU propisa o kibernetičkoj sigurnosti preklapaju se, ali nisu isto. NIS2 je širok, DORA je specijalist za financije. Evo kako prepoznati koji vas obvezuje.
Zastava Europske unije uz dva regulatorna dokumenta na stolu, koji predstavljaju NIS2 i DORA-u.

Kratki odgovor je da NIS2 i DORA nisu dva propisa između kojih birate. To su dva različita EU zakona s različitim opsegom, a mnoge regulirane tvrtke istovremeno potpadaju pod oba. DORA se odnosi na financijske subjekte i njihove ključne ICT pružatelje. NIS2 se odnosi na operatore ključnih i važnih usluga u puno širem skupu sektora. Ako vodite banku, osiguravatelja, platnu instituciju ili pružatelja usluga povezanih s kriptoimovinom, DORA je vaš primarni okvir digitalne otpornosti. Ako vodite bolnicu, energetsko poduzeće, pružatelja usluga u oblaku, proizvodnu tvrtku ili tijelo javne uprave, NIS2 je zakon koji vas imenuje.

Pišemo iz perspektive inženjera koji vode testiranje i grade sigurnosni program i rizik iza ovih propisa, a ne kao pravnici koji čitaju zakonske tekstove iz daljine. U nastavku objašnjavamo što svaki propis pokriva, kako se razlikuju po pravnoj snazi i opsegu, kako prepoznati koji se odnosi na vas i kako posao izgleda u praksi.

Što je NIS2

NIS2 je Direktiva (EU) 2022/2555. Zamjenjuje izvornu direktivu iz 2016. te proširuje i sektore u opsegu i strogost zahtjeva. Kao direktiva, ne primjenjuje se izravno. Svaka država članica prenosi je u nacionalno pravo, a taj nacionalni tekst je ono što obvezuje vašu organizaciju. U Hrvatskoj je to Zakon o kibernetičkoj sigurnosti, koji definira obveznike, obveze i nadležna tijela. Direktiva postavlja minimum, a nacionalna provedba može ići i dalje.

NIS2 dijeli obveznike na ključne i važne subjekte. Ta razlika određuje koliko vas strogo nadzire regulator i koliko visoke mogu biti kazne, ali su osnovne sigurnosne obveze slične. Zakon je usmjeren na mjere upravljanja rizikom, prijavu incidenata, sigurnost lanca opskrbe i odgovornost uprave. Popis sektora, pragove veličine i rokove za prijavu razrađujemo u tekstu o Zakonu o kibernetičkoj sigurnosti i NIS2, a stranica o NIS2 usklađenosti pokazuje kako direktivu pretvaramo u kontrole koje možete testirati.

Što je DORA

DORA je Uredba (EU) 2022/2554, Akt o digitalnoj operativnoj otpornosti. Na snazi je od siječnja 2025. Riječ uredba ovdje je važna. Za razliku od direktive, uredba se primjenjuje izravno u svakoj državi članici s istim tekstom. Nema nacionalnog prenošenja koje mijenja sadržaj. Pravila koja čitate u DORA-i, zajedno s regulatornim tehničkim standardima, jednako obvezuju financijski subjekt u Zagrebu, Frankfurtu i Dublinu. U Hrvatskoj nadzor nad financijskim subjektima provode HANFA i Hrvatska narodna banka, ovisno o vrsti subjekta.

DORA cilja financijski sektor i njegov ICT lanac opskrbe. Operativnu otpornost gradi na pet stupova: upravljanje ICT rizikom, klasifikacija i prijava ICT incidenata, testiranje digitalne operativne otpornosti, upravljanje rizikom trećih strana i razmjena informacija. Stup testiranja je mjesto na kojem DORA ide dalje od većine ranijih financijskih pravila, jer za najznačajnije subjekte traži testiranje vođeno prijetnjama (TLPT). Obveze razlažemo u tekstu o DORA-i za financijske institucije, a stranica o DORA usklađenosti povezuje svaki stup s konkretnim angažmanima.

Direktiva i uredba: zašto pravni oblik mijenja vaš plan

Najveća strukturna razlika je pravni oblik i ima praktične posljedice za planiranje. Uredba je jedinstvena i izravno primjenjiva. Direktiva ovisi o nacionalnom pravu. To utječe na tri stvari: gdje tražite obvezujući tekst, koliko se razlika susrećete među državama i koliko su vam obveze predvidive kroz vrijeme.

  • DORA vam daje jedno pravilo. Financijska grupa koja posluje u više država EU-a može izgraditi jedinstven program otpornosti i primijeniti ga dosljedno, jer se uredba i njezini tehnički standardi ne mijenjaju od države do države.
  • NIS2 vam daje više pravila. Multinacionalka pod NIS2 mora provjeriti svaku nacionalnu provedbu, jer se pragovi, obveze registracije, portali za prijavu i razine kazni razlikuju među državama članicama.
  • DORA sadrži detaljne regulatorne tehničke standarde koji propisuju kako posao obaviti, što smanjuje rizik tumačenja, ali podiže ljestvicu za dokaze.
  • NIS2 ostavlja više prostora nacionalnim tijelima da definiraju pojedinosti, pa smjernice vašeg lokalnog regulatora postaju primarni izvor, a ne fusnota.
  • Za grupe koje potpadaju pod oba zakona, praktičan potez je graditi prema strožem standardu jednom, a zatim iste dokaze mapirati na oba režima, što je pristup koji primjenjujemo na GRC angažmanima.

Kako prepoznati koji se odnosi na vas

Krenite od onoga čime se vaša organizacija bavi, ne od propisa koji bi vam bio draži. DORA se određuje prema financijskoj djelatnosti. NIS2 prema sektoru i veličini. Postavite ova pitanja redom i obično ćete brzo doći do pravog odgovora.

  • Jeste li financijski subjekt kako ga DORA definira, primjerice kreditna institucija, platna institucija, institucija za elektronički novac, investicijsko društvo, osiguravatelj, reosiguravatelj ili pružatelj usluga povezanih s kriptoimovinom? Ako da, DORA se primjenjuje.
  • Jeste li ICT pružatelj o kojem ovise financijski subjekti, primjerice cloud platforma, pružatelj analitike podataka ili ključni dobavljač softvera? Ako da, DORA vas doseže kroz odredbe o trećim stranama, a najkritičniji pružatelji podliježu izravnom nadzoru.
  • Poslujete li u NIS2 sektoru poput energetike, prometa, bankarstva, zdravstva, vode, digitalne infrastrukture, upravljanja ICT uslugama, javne uprave, poštanskih usluga, gospodarenja otpadom, proizvodnje ili istraživanja? Ako da, provjerite pragove veličine.
  • Zadovoljavate li prag veličine, u pravilu srednji ili veliki subjekt, dakle najmanje 50 zaposlenih ili više od 10 milijuna eura prometa, uz pojedine subjekte u opsegu bez obzira na veličinu zbog kritičnosti? Ako da, NIS2 se vjerojatno primjenjuje.
  • Primjenjuju li se oba istovremeno, primjerice banka koja je ujedno dio financijske tržišne infrastrukture? Ako da, pročitajte sljedeći odjeljak, jer zakon kaže kako se ta dva odnose.

Kad se primjenjuju oba: pravilo lex specialis

Financijski subjekti često se pojavljuju i u opsegu DORA-e i na popisu NIS2 sektora, jer su bankarstvo i financijska tržišna infrastruktura imenovani i u NIS2. EU je predvidio to preklapanje. DORA djeluje kao lex specialis za upravljanje ICT rizikom u financijskom sektoru. Jednostavno rečeno, ondje gdje DORA pokriva neku temu za financijski subjekt, njezina specifična pravila imaju prednost pred općenitijim zahtjevima NIS2 za istu temu. Ne primjenjujete oba skupa pravila o ICT riziku i incidentima dvaput.

NIS2 i DORA znatno se preklapaju. Za većinu reguliranih tvrtki praktičan zadatak je izgraditi jedan program čije kontrole i dokazi zadovoljavaju oba.

Gdje se propisi poklapaju

Unatoč različitom pravnom obliku i opsegu, oba režima traže mnoge iste stvari, jer su oba utemeljena na zdravom sigurnosnom inženjerstvu. Ako gradite stvaran program, a ne program na papiru, većina vašeg rada vrijedi za oba.

  • Oba traže upravljanje i odgovornost na vrhu, s upravom koja odobrava mjere rizika, razumije izloženost i može odgovarati za propuste.
  • Oba traže strukturirano upravljanje rizikom, koje pokriva popis imovine, kontrolu pristupa, enkripciju, upravljanje ranjivostima i kontinuitet poslovanja.
  • Oba propisuju prijavu incidenata u zadanom roku, s ranom obavijesti i detaljnijim izvještajima, pa vaš proces detekcije i odgovora mora brzo davati činjenice kroz detekciju i odgovor na incidente.
  • Oba stavljaju sigurnost lanca opskrbe i trećih strana u središte, jer napadači do reguliranih tvrtki dolaze preko dobavljača.
  • Oba očekuju testiranje umjesto tvrdnji, zbog čega ofenzivno testiranje i kontinuirana provjera čine jezgru svakog ozbiljnog odgovora na bilo koji od ova dva zakona.

Gdje se razlikuje stvarni posao

Okviri se najviše razilaze u stupu testiranja i u detaljnosti tehničkih standarda. DORA je izričita i propisuje testiranje otpornosti. Traži program testiranja za sve financijske subjekte, a za one označene kao značajne traži testiranje vođeno prijetnjama (TLPT), oblikovano prema okviru TIBER-EU. To testiranje vode obavještajni podaci, simulira stvarne protivnike i cilja produkcijske sustave pod kontroliranim uvjetima. To je puno bliže red team vježbi nego skeniranju s popisom.

NIS2 traži sigurnosne mjere razmjerne riziku i testiranje, ali je manje propisan o obliku. U oba slučaja razlika između vjerodostojnog i krhkog programa svodi se na to provodite li stvarno protivničko testiranje ili se zadovoljavate automatskim skeniranjem. Tu razliku objašnjavamo u tekstu o procjeni ranjivosti i penetracijskom testiranju, a naša usluga ofenzivne sigurnosti isporučuje testiranje vođeno prijetnjama koje DORA traži od značajnih subjekata.

Kako posao izgleda korak po korak

Koji god se zakon primjenjuje, put od obveze do dokaza slijedi sličan slijed. Vodimo ga kao program, ne kao jednokratnu grozničavu pripremu pred reviziju, jer svaki korak daje ulaze koje sljedeći treba.

  • Opseg i primjenjivost, gdje potvrđujemo koji vas zakon ili zakoni obvezuju, utvrđujemo klasifikaciju subjekta i mapiramo mjerodavni nacionalni propis za NIS2 ili primjenjive tehničke standarde za DORA-u.
  • Procjena nedostataka u odnosu na odabrani skup kontrola, usporedbom trenutnog stanja sa zakonskim zahtjevima i s priznatim temeljem kao što je ISO/IEC 27001:2022.
  • Plan otklanjanja, gdje prioritiziramo popravke prema stvarnom riziku, slažemo ih prema rokovima i dodjeljujemo vlasnike kako program ne bi stao nakon izvještaja.
  • Tehnička provjera kroz penetracijsko testiranje i testiranje vođeno prijetnjama, uključujući testiranje web aplikacija, sigurnost API-ja i procjenu sigurnosti u oblaku.
  • Spremnost na incidente, gdje uvježbavamo rok za prijavu i potvrđujemo da ranu obavijest možete dati unutar tražene satnice.
  • Slaganje dokaza i trajni nadzor, gdje pakiramo dokumentaciju za regulatore i za sljedeći ciklus, jer nijedan zakon ne tretira usklađenost kao jednokratan događaj.

Veza s ISO 27001 i SOC 2

Ni NIS2 ni DORA ne imenuju određeni certifikat koji morate imati, ali oba nagrađuju tvrtke koje već vode priznat sustav upravljanja. ISO/IEC 27001:2022 blisko se mapira na očekivanja upravljanja rizikom u oba zakona, a postojeći certifikat daje velik dio dokaza o upravljanju i kontrolama koje možete ponovno iskoristiti. Tu vezu razrađujemo u tekstu o ISO 27001 u Hrvatskoj i na stranici o ISO 27001 usklađenosti. SOC 2 pomaže drugačije: nije EU režim, ali njegovi kriteriji daju dokaze trećih strana na koje se financijski subjekti i njihovi dobavljači oslanjaju za DORA-ine zahtjeve o lancu opskrbe, što pokrivamo u tekstu o SOC 2.

Česte pogreške

Propusti koje najčešće viđamo nisu egzotični. Dolaze iz tretiranja ovih zakona kao vježbe dokumentacije umjesto kao sigurnosnog programa.

  • Pretpostavka da morate odabrati jedan zakon, a zatim ignoriranje drugog, dok financijski subjekt u NIS2 sektoru zapravo mora pomiriti oba kroz pravilo lex specialis.
  • Čitanje teksta direktive za NIS2 umjesto hrvatskog Zakona o kibernetičkoj sigurnosti, čime promašujete pragove, obveze registracije i kazne koje vas stvarno obvezuju.
  • Kupnja automatskog skeniranja i nazivanje toga testiranjem otpornosti, dok značajni subjekti pod DORA-om trebaju testiranje vođeno prijetnjama.
  • Tretiranje rizika trećih strana kao upitnika, dok napadači do vas dolaze preko dobavljača, a oba režima stavljaju sigurnost lanca opskrbe u središte.
  • Propušten rok za prijavu incidenta jer detekcija i eskalacija nikada nisu uvježbane, što tehnički incident pretvara i u regulatorni propust.

Gdje mi pomažemo

Najprije vam pomažemo odgovoriti na pitanje primjenjivosti, a zatim izgraditi jedan program koji zadovoljava zakone koji vas obvezuju. To znači potvrdu opsega, mapiranje obveza na kontrole koje se mogu testirati, provođenje ofenzivnog testiranja i testiranja otpornosti koje oba režima očekuju te slaganje dokaza koji izdrže pred regulatorom. Počnite s našom GRC uslugom za upravljanje i mapiranje, a uparite je s ofenzivnim testiranjem za provjeru. Ako želite jasnu sliku koji vas zakon obvezuje i koliko bi program stajao, dogovorite uvodni razgovor.

Česta pitanja

Zamjenjuje li DORA NIS2 za banke?
Ne u potpunosti. DORA djeluje kao specifično pravilo za upravljanje ICT rizikom i otpornost u financijskom sektoru, pa njezini detaljni zahtjevi imaju prednost pred općenitima iz NIS2 za te teme. Banke i dalje moraju razumjeti kako se usklađuju nacionalna tijela za NIS2 i financijski nadzornici poput HANFA-e i HNB-a. U praksi gradite DORA program do pune dubine i s pravnim timom potvrdite kako se primjenjuje iznimka za financijski sektor.
Mi smo SaaS tvrtka, ne banka. Jesmo li obveznici?
Možda jeste obveznici oba propisa, ovisno o tome čime se bavite i koga poslužujete. Ako pružate ICT usluge o kojima ovise financijski subjekti, dosežu vas DORA-ine odredbe o trećim stranama, a najkritičniji pružatelji podliježu izravnom nadzoru. Ako potpadate pod NIS2 sektor poput digitalne infrastrukture ili upravljanja ICT uslugama i zadovoljavate prag veličine, NIS2 se primjenjuje neovisno o financijskim klijentima.
Koji je rok za prijavu incidenta?
Oba režima koriste postupni model s ranom obavijesti i detaljnijim izvještajima, ali se točni rokovi i kanali za prijavu razlikuju među dvama zakonima i, za NIS2, među državama članicama. Inženjerski je zaključak isti bez obzira na broj sati: kratki rok ne možete ispuniti ako proces detekcije i eskalacije nije uvježban, a činjenice spremne.
Hoće li nas ISO 27001 certifikat učiniti usklađenima?
Vodi vas daleko na području upravljanja i dokaza o kontrolama, ali nije zamjena ni za jedan zakon. ISO/IEC 27001:2022 blisko se mapira na očekivanja upravljanja rizikom, pa postojeći certifikat omogućuje ponovno korištenje velikog dijela posla. I dalje morate riješiti specifične stavke, osobito DORA-in propisan stup testiranja i prijavu incidenata te nacionalne posebnosti prijenosa NIS2.
Koliko često moramo testirati?
Oba zakona očekuju testiranje na redovitoj osnovi, a ne jednom. Za značajne subjekte pod DORA-om, testiranje vođeno prijetnjama provodi se u višegodišnjem ciklusu definiranom okvirom, dok se šire testiranje otpornosti odvija češće. Zdrava praksa pod oba režima je kontinuirana provjera promjena uz dublje povremeno protivničko testiranje, kako bi vaši dokazi uvijek bili aktualni.

Izvori

  1. 1Europski parlament i Vijeće. Direktiva (EU) 2022/2555 (NIS2). EUR-Lex, 2022. Poveznica
  2. 2Europski parlament i Vijeće. Uredba (EU) 2022/2554 (Akt o digitalnoj operativnoj otpornosti, DORA). EUR-Lex, 2022. Poveznica
  3. 3Hrvatski sabor. Zakon o kibernetičkoj sigurnosti. Narodne novine, 2024. Poveznica
Povezana usluga
Sigurnosni program i rizik
Želite li ovakvu provjeru na vlastitim sustavima?
Naš tim definirat će opseg posla s vama u 30-minutnom razgovoru.
Dogovorite razgovor