Raptoric Journal/Sigurnosni program i rizik
Sigurnosni program i rizik10. lipnja 2026. · 11 min čitanja

NIS2 i Zakon o kibernetičkoj sigurnosti: tko je obveznik i odakle krenuti

NIS2 podiže razinu sigurnosti u 18 sektora i odgovornost prebacuje na upravu. U Hrvatskoj se primjenjuje kroz Zakon o kibernetičkoj sigurnosti. Evo tko je obveznik i što vam je činiti.
Autor
R
Raptoric, program i rizik
Podijelite
LinkedInX / TwitterCopy link

NIS2 je direktiva Europske unije koja podiže razinu kibernetičke sigurnosti u cijeloj Uniji. Puni naziv je Direktiva (EU) 2022/2555. U Hrvatskoj se primjenjuje kroz Zakon o kibernetičkoj sigurnosti, koji prenosi obveze direktive u domaće pravo i određuje nadležna tijela. Ako vaša tvrtka posluje u energetici, prometu, zdravstvu, financijama, vodoopskrbi, digitalnoj infrastrukturi, javnoj upravi ili proizvodnji važnih proizvoda, velika je vjerojatnost da ste obveznik. Ovaj tekst objašnjava tko potpada pod propis, koje obveze imate i odakle krenuti tako da uloženo vrijeme i novac stvarno smanje rizik.

Pitanje koje nam najčešće postavljaju glasi ovako: jesmo li mi obveznik i što sad moramo napraviti. Odgovor ima dva dijela. Prvo provjeravate spadate li u sektore koje propis pokriva i jeste li dovoljno veliki da vas obveze obvezuju. Drugo, ako jeste, uspostavljate mjere upravljanja rizicima, prijavljujete se nadležnom tijelu i uvodite postupak prijave incidenata u zadanim rokovima. Mi u Raptoricu radimo upravo taj posao. Otkrivamo gdje su vaši stvarni propusti i pomažemo da usklađenost pretvorite u stvarnu sigurnost, a ne samo u dokumentaciju.

Što je NIS2 i kako se veže uz hrvatski zakon

NIS2 je nasljednik prve NIS direktive iz 2016. godine. Stara direktiva pokrivala je uzak krug operatora ključnih usluga i ostavljala državama članicama puno prostora za vlastito tumačenje. Rezultat je bila neujednačena zaštita diljem Unije. NIS2 širi opseg na više sektora, pooštrava obveze i uvodi izravnu odgovornost upravljačkih tijela. Direktiva sama po sebi ne obvezuje tvrtke izravno. Obvezuje države članice da donesu nacionalne zakone. Hrvatska je to učinila Zakonom o kibernetičkoj sigurnosti, koji je temelj za sve daljnje obveze na našem tržištu.

Za razumijevanje cijele slike važno je razlikovati direktivu od uredbe. Uredba se primjenjuje izravno u svim državama, primjer je DORA, Uredba (EU) 2022/2554. Direktiva traži prijenos u nacionalno pravo, pa za konkretne rokove, pragove i kazne uvijek gledate hrvatski Zakon o kibernetičkoj sigurnosti i prateće propise. Ako želite širi uvod u to gdje krenuti s kibernetičkom sigurnošću prije nego uđete u detalje propisa, pogledajte naš tekst o tome odakle krenuti s kibernetičkom sigurnošću.

Tko je obveznik: sektori i veličina tvrtke

NIS2 dijeli obveznike u dvije skupine. Prva su subjekti od posebne važnosti, ranije nazivani ključni subjekti. Druga su važni subjekti. Razlika nije u tome moraju li se uskladiti, nego u intenzitetu nadzora i visini mogućih kazni. Subjekti od posebne važnosti podliježu strožem nadzoru i kontrolama unaprijed, dok se važni subjekti uglavnom nadziru naknadno, nakon dojave ili incidenta. Pripadnost skupini ovisi o kombinaciji sektora u kojem poslujete i veličine vaše tvrtke.

Veličinski prag je presudan. U pravilu pod propis potpadaju srednje i velike tvrtke. Srednja tvrtka ima najmanje pedeset zaposlenih ili godišnji promet i bilancu iznad deset milijuna eura. Velika tvrtka prelazi dvjesto pedeset zaposlenih ili četrdeset i tri milijuna eura bilance. Postoje iznimke gdje veličina nije bitna, primjerice za pružatelje javnih elektroničkih komunikacijskih mreža, registre vršnih domena ili određene subjekte javne uprave. Te iznimke ulove i manje organizacije koje bi inače ispale ispod praga.

  • Sektori visoke kritičnosti obuhvaćaju energetiku, promet, bankarstvo, infrastrukturu financijskog tržišta, zdravstvo, vodu za piće, otpadne vode, digitalnu infrastrukturu, upravljanje uslugama informacijsko komunikacijske tehnologije i svemir.
  • Ostali kritični sektori obuhvaćaju poštanske i kurirske usluge, gospodarenje otpadom, proizvodnju i distribuciju kemikalija, proizvodnju i distribuciju hrane, proizvodnju određenih važnih proizvoda, pružatelje digitalnih usluga i istraživačke organizacije.
  • Veličinski prag u pravilu znači srednje i velike tvrtke, dok mikro i mali subjekti najčešće ostaju izvan obveza, osim u izričito propisanim iznimkama.
  • Određeni subjekti potpadaju pod propis bez obzira na veličinu, poput pružatelja javnih komunikacijskih mreža, registara domena i kvalificiranih pružatelja usluga povjerenja.
  • Subjekti javne uprave mogu biti obveznici neovisno o tržišnim kriterijima, ovisno o ulozi i razini na kojoj djeluju.

Lanac opskrbe je dodatni izvor obveza koji se lako previdi. Čak i ako sami niste obveznik, vaš naručitelj koji jest obveznik prenijet će dio zahtjeva na vas kroz ugovore. Dobavljači softvera, pružatelji upravljanih usluga i tehnološki partneri sve češće moraju dokazati svoju sigurnost da bi ostali u igri. Zato preporučujemo da provjerite status čak i ako mislite da ste premali.

Koje obveze nosi propis

Srž propisa su mjere upravljanja rizicima kibernetičke sigurnosti. Zakon traži da uvedete tehničke, operativne i organizacijske mjere primjerene riziku kojem ste izloženi. To nije popis kućica koje označite i zaboravite. To je sustav koji morate održavati, testirati i poboljšavati. Mjere moraju pokrivati cijeli životni ciklus, od analize rizika do oporavka nakon incidenta. Drugi velik blok obveza odnosi se na prijavu incidenata, gdje su rokovi kratki i precizni.

  • Politike analize rizika i sigurnosti informacijskih sustava temelj su cijelog sustava i polazište za sve ostale mjere.
  • Postupanje s incidentima obuhvaća otkrivanje, obradu i prijavu, uključujući ranu dojavu u roku od dvadeset i četiri sata te potpuniju prijavu u roku od sedamdeset i dva sata.
  • Kontinuitet poslovanja i upravljanje krizama zahtijevaju sigurnosne kopije, planove oporavka i jasno definirane odgovornosti tijekom prekida.
  • Sigurnost lanca opskrbe znači procjenu rizika dobavljača i ugovorne zahtjeve prema partnerima koji imaju pristup vašim sustavima.
  • Higijena kibernetičke sigurnosti i osposobljavanje zaposlenika obuhvaćaju osnovne mjere poput upravljanja zakrpama, kontrole pristupa i redovite edukacije.
  • Kriptografija, višefaktorska autentikacija i sigurna komunikacija zaokružuju skup tehničkih mjera koje propis izričito navodi.

Posebno ističemo odgovornost uprave. NIS2 traži da upravljačka tijela odobre mjere upravljanja rizicima i nadziru njihovu provedbu. Članovi uprave moraju proći osposobljavanje i mogu osobno odgovarati za propuste. To je velika promjena u odnosu na ranije razdoblje kada se sigurnost smatrala isključivo tehničkim pitanjem. Sada je to pitanje upravljanja na najvišoj razini.

Kako izgleda put do usklađenosti korak po korak

Usklađivanje provodimo u jasno odvojenim fazama. Svaka faza daje konkretan rezultat i smanjuje rizik da kasnije otkrijete velik propust. Cilj nije proizvesti dokumentaciju radi dokumentacije. Cilj je izgraditi sustav koji stvarno funkcionira kada se dogodi napad. Redoslijed je važan jer svaka faza priprema temelj za sljedeću.

  • Prvo utvrđujemo jeste li obveznik i u koju skupinu spadate, analizom sektora, veličine i uloge u lancu opskrbe.
  • Zatim radimo analizu nedostataka, gdje uspoređujemo postojeće stanje s onim što propis traži i sastavljamo popis prioriteta.
  • Slijedi popis imovine i analiza rizika, jer ne možete zaštititi ono čega niste svjesni da posjedujete.
  • Nakon toga uvodimo tehničke i organizacijske mjere, od kontrole pristupa i upravljanja zakrpama do planova oporavka i prijave incidenata.
  • Provjeravamo otpornost kroz penetracijsko testiranje i procjenu ranjivosti, čime potvrđujemo da mjere stvarno drže.
  • Na kraju uspostavljamo praćenje, prijavu i redovitu reviziju, jer usklađenost nije jednokratan projekt nego trajno stanje.

Tijekom cijelog puta naglasak stavljamo na dokaze. Nadzorno tijelo neće prihvatiti tvrdnju da ste sigurni. Tražit će dokumentaciju, rezultate testiranja i zapise o incidentima. Zato gradimo sustav koji proizvodi dokaze sam od sebe, kroz logove, izvještaje i redovite preglede. Naš pristup upravljanju rizicima i usklađenosti detaljnije opisujemo na stranici usluga upravljanja, rizika i usklađenosti.

NIS2 i sustav upravljanja informacijskom sigurnošću

Najpraktičniji način da ispunite zahtjeve NIS2 je da uspostavite sustav upravljanja informacijskom sigurnošću, poznat kao ISMS. Norma ISO/IEC 27001:2022 daje okvir koji se gotovo savršeno preklapa s onim što propis traži. Verzija iz 2022. godine donosi devedeset i tri kontrole organizirane u četiri teme, organizacijske, ljudske, fizičke i tehnološke. Tko ima dobro postavljen ISMS, taj je velik dio NIS2 obveza već pokrio. Detaljan vodič za uvođenje norme u domaćem kontekstu nalazi se u tekstu o ISO 27001 u Hrvatskoj.

ISMS nije obvezan po slovu zakona, ali je iznimno koristan. Daje vam strukturu, mjerljive ciljeve i mehanizam stalnog poboljšanja. Akreditirana certifikacijska tijela mogu izdati certifikat koji vrijedi kao snažan dokaz usklađenosti prema naručiteljima i nadzornim tijelima. Ako planirate i certifikaciju i NIS2 usklađenost, isplati se voditi ih kao jedan projekt. Pristup ISMS opisujemo i na stranici usluga vezanih uz ISO 27001.

Usklađenost koja postoji samo na papiru ne zaustavlja nijedan napad. Otkrivamo propuste prije napadača i pretvaramo zahtjeve propisa u stvarnu otpornost.

NIS2, DORA i druge regulatorne obveze

NIS2 nije jedini propis koji vas može obvezivati. Financijske institucije podliježu DORA-i, Uredbi (EU) 2022/2554, koja je na snazi od siječnja 2025. godine. DORA je uredba, dakle primjenjuje se izravno, i ima prednost pred NIS2 za financijski sektor u području operativne otpornosti. Banke pod nadzorom HNB-a te osiguravatelji i investicijska društva pod nadzorom Hanfe moraju ozbiljno shvatiti oba okvira i jasno razgraničiti gdje koji vrijedi. Detaljnije o tome pišemo u tekstu o DORA-i za financijske institucije.

Za organizacije koje posluju s međunarodnim klijentima u igru ulaze i drugi okviri. SOC 2 se temelji na Trust Services kriterijima i čest je zahtjev američkih naručitelja. Tvrtke koje razvijaju ili koriste sustave umjetne inteligencije moraju pratiti i Akt o umjetnoj inteligenciji, jer sigurnost AI sustava postaje zasebno regulatorno područje. Sve te okvire moguće je voditi zajedno tako da se kontrole dijele i ne radi isti posao više puta. Više o pojedinim okvirima nalazi se na stranicama o NIS2 i DORA-i.

Najčešće pogreške i znakovi upozorenja

Kroz rad vidimo da se iste pogreške ponavljaju. Najveća je odgađanje. Tvrtke čekaju službeni dopis nadzornog tijela umjesto da same provjere status. Druga česta pogreška je pretvaranje usklađenosti u administrativnu vježbu. Rezultat je niz politika koje nitko ne primjenjuje i koje ne odgovaraju stvarnom stanju sustava. Treća pogreška je zanemarivanje lanca opskrbe, gdje najveći rizik često dolazi izvana, kroz dobavljače s pristupom vašim podacima.

  • Tretiranje propisa kao jednokratnog projekta umjesto kao trajnog sustava koji se održava i poboljšava.
  • Kupnja sigurnosnih alata bez procjene rizika, pa organizacija plaća tehnologiju koja ne rješava njezine stvarne prijetnje.
  • Izostanak testiranja, gdje se mjere uvedu na papiru ali se nikad ne provjeri drže li pod stvarnim napadom.
  • Neuključivanje uprave, čime se gubi odgovornost na najvišoj razini koju propis izričito traži.
  • Zanemarivanje prijave incidenata, gdje organizacija propusti kratke rokove jer postupak nije unaprijed uvježban.
  • Kopiranje tuđih politika bez prilagodbe, pa dokumentacija opisuje sustav koji u stvarnosti ne postoji.

Znak upozorenja na koji posebno pazimo je nesklad između dokumentacije i stvarnog stanja. Ako politika kaže da se zakrpe primjenjuju u roku od sedam dana, a u praksi serveri mjesecima čekaju ažuriranje, taj jaz je upravo ono što nadzorno tijelo i napadač najprije pronađu. Zato uvijek inzistiramo na provjeri kroz testiranje. Razliku između površne i temeljite provjere objašnjavamo u tekstu o procjeni ranjivosti i penetracijskom testiranju.

Koliko traje i koliko košta

Trošak i trajanje ovise o polazištu. Tvrtka koja već ima uspostavljen ISMS i redovito testira sustave doći će do usklađenosti puno brže od one koja kreće od nule. Okvirno, analiza nedostataka traje nekoliko tjedana. Uvođenje mjera i izgradnja sustava upravljanja kreću se od nekoliko mjeseci do godine dana, ovisno o veličini i složenosti. Penetracijsko testiranje i procjena ranjivosti su zasebne aktivnosti koje se ponavljaju, u pravilu jednom godišnje i nakon svake veće promjene sustava.

Najveći dio truda nije jednokratan. Održavanje sustava, praćenje prijetnji, redovite revizije i osposobljavanje zaposlenika traju koliko i tvrtka. Zato preporučujemo da trošak gledate kao stalnu stavku, sličnu osiguranju, a ne kao jednokratan izdatak. Dobro postavljen sustav s vremenom postaje jeftiniji jer smanjuje broj incidenata i ubrzava odgovor kada se incident ipak dogodi. O tome kako odabrati partnera koji neće naplatiti previše za premalo pišemo u tekstu o odabiru partnera za penetracijsko testiranje.

Kako Raptoric pomaže

Mi smo neovisna tvrtka koju vode iskusni inženjeri. Ne prodajemo alate i nismo vezani uz nijednog proizvođača, pa vam preporučujemo samo ono što stvarno smanjuje rizik. Radimo tri stvari koje se nadovezuju jedna na drugu. Prvo procijenimo gdje ste i što propis traži od vas. Drugo, izgradimo i uvedemo mjere zajedno s vašim timom. Treće, napadnemo vaše sustave kontrolirano, kroz ofenzivno testiranje i Red Team vježbe, da dokažemo drže li mjere pod pritiskom.

Pokrivamo i specifična područja koja propisi sve više traže. Testiramo sigurnost aplikacija prema OWASP smjernicama kroz usluge sigurnosti aplikacija, uspostavljamo otkrivanje i odgovor na prijetnje kroz usluge nadzora i odgovora te procjenjujemo sigurnost AI sustava, uključujući napade poput umetanja uputa. Cijeli ciklus usklađenosti vodimo kao jedinstven projekt kroz usluge upravljanja, rizika i usklađenosti, tako da NIS2, ISO 27001 i druge okvire ne radite triput nego jednom.

Česta pitanja

Kako da brzo provjerim jesmo li obveznik?

Provjerite tri stvari redom. Prvo, spadate li u sektor koji NIS2 pokriva, od energetike i zdravstva do digitalne infrastrukture i proizvodnje. Drugo, jeste li srednja ili velika tvrtka prema broju zaposlenih i prometu. Treće, postoji li iznimka koja vas obvezuje bez obzira na veličinu, poput uloge u javnim komunikacijskim mrežama. Ako ste u pokrivenom sektoru i prelazite veličinski prag, gotovo sigurno ste obveznik. Mi to potvrdimo formalnom procjenom u nekoliko dana.

Što ako smo premali za NIS2 ali radimo s velikim klijentima?

Tada vas obveze najčešće stignu kroz lanac opskrbe. Vaš klijent koji je obveznik mora procijeniti rizik svojih dobavljača i prenijet će zahtjeve na vas ugovorom. U praksi to znači da ćete morati dokazati sigurnost čak i ako sami formalno niste obveznik. Mnoge tvrtke u toj situaciji odluče uspostaviti ISMS i certificirati se po ISO 27001 jer to rješava većinu ugovornih zahtjeva odjednom.

Koliki su rokovi za prijavu incidenta?

Rokovi su kratki i stupnjeviti. Ranu dojavu morate poslati u roku od dvadeset i četiri sata od saznanja za značajan incident. Potpuniju prijavu s procjenom ozbiljnosti i naravi incidenta šaljete u roku od sedamdeset i dva sata. Konačno izvješće slijedi kasnije, u pravilu u roku od mjesec dana. Zato je nužno unaprijed uvježbati postupak prijave, jer pod stresom stvarnog incidenta nemate vremena improvizirati.

Trebamo li ISO 27001 certifikat za usklađenost s NIS2?

Ne, certifikat nije zakonska obveza. Međutim, vrlo je koristan. ISO 27001 daje strukturu koja pokriva veliku većinu NIS2 zahtjeva i certifikat izdan od akreditiranog tijela vrijedi kao snažan dokaz prema nadzornim tijelima i naručiteljima. Ako ionako gradite sustav upravljanja, isplati se ići do certifikacije i tako jednim projektom riješiti više obveza.

Tko u tvrtki je odgovoran za usklađenost?

Odgovornost je na upravljačkom tijelu. NIS2 izričito traži da uprava odobri mjere upravljanja rizicima, nadzire njihovu provedbu i prođe osposobljavanje. Članovi uprave mogu osobno odgovarati za teže propuste. Operativno provođenje obično vodi voditelj informacijske sigurnosti ili imenovana osoba, ali krajnja odgovornost ostaje na vrhu organizacije i ne može se delegirati na način koji oslobađa upravu.

Što ako se ne uskladimo na vrijeme?

Posljedice su ozbiljne. Zakon predviđa upravne kazne koje za subjekte od posebne važnosti mogu doseći visoke iznose vezane uz godišnji promet, slično rasponu koji poznajemo iz zaštite podataka. Osim novčanih kazni, nadzorno tijelo može naložiti mjere, obustaviti određene aktivnosti i objaviti propust. Veći rizik od same kazne često je stvarni incident koji se dogodi jer mjere nisu uvedene, pa preporučujemo da usklađenost ne odgađate.

NIS2 i Zakon o kibernetičkoj sigurnosti nisu samo administrativni teret. Oni su prilika da izgradite sustav koji stvarno štiti vaše poslovanje. Najbolji prvi korak je trezvena procjena gdje ste sada i što vam nedostaje. Pogledajte našu stranicu o uslugama upravljanja, rizika i usklađenosti i dogovorite razgovor o opsegu. Reći ćemo vam jasno jeste li obveznik, što vas čeka i kako da uloženo vrijeme pretvorite u stvarnu sigurnost, a ne u dokumentaciju koja nikoga ne štiti.

Želite li ovakvu provjeru na vlastitim sustavima?
Iskusni inženjer definirat će opseg posla s vama u 30-minutnom razgovoru.
Dogovorite razgovor
Nastavite čitati
Svi tekstovi →