Kibernetička sigurnost više nije samo IT problem - za tisuće hrvatskih tvrtki sada je zakonska obveza uz koju ide i osobna odgovornost. NIS2 direktiva, prenesena u Zakon o kibernetičkoj sigurnosti, određuje tko je obveznik i što mora učiniti. Evo režima jednostavno objašnjenog.
Jeste li obveznik?
Hrvatska je bila jedna od samo četiri države EU-a koje su NIS2 prenijele na vrijeme (Zakon o kibernetičkoj sigurnosti, NN 14/2024, na snazi od veljače 2024.). Obveznike dijeli u dvije kategorije:
- Ključni subjekti - veći operateri u kritičnim sektorima: 250+ zaposlenih ili 50M+ EUR prometa.
- Važni subjekti - srednji operateri: 50+ zaposlenih ili 10M+ EUR prometa.
- Neki sektori - telekomi, DNS, usluge povjerenja, oblak - obveznici su neovisno o veličini.
Sektori obuhvaćaju energetiku, promet, bankarstvo, zdravstvo, vodu, digitalnu infrastrukturu, javnu upravu, proizvodnju i hranu. Ako njima isporučujete, očekujte i pitanja o sigurnosti opskrbnog lanca.
Što traži članak 21.
Zakon propisuje okvirno deset osnovnih mjera upravljanja rizikom koje svaki obveznik mora uvesti:
- analizu rizika i politike informacijske sigurnosti;
- postupanje s incidentima i kontinuitet poslovanja uz sigurnosne kopije;
- sigurnost opskrbnog lanca;
- enkripciju i kontrolu pristupa;
- višefaktorsku autentifikaciju i edukaciju zaposlenika o higijeni sigurnosti.
To se uvelike preklapa s temeljima iz našeg vodiča o kibernetičkoj sigurnosti i Vašim GDPR obvezama - napravite jednom, zadovoljite oboje.
Prijava i osobna odgovornost
Incidenti slijede strog rokovnik: rano upozorenje u 24 sata, obavijest u 72 sata te završno izvješće u roku od mjesec dana, sve preko nacionalnog CSIRT-a i JISKB portala. Rok teče od trenutka kada saznate, ne kada završite istragu.
Ključno: uprava je osobno odgovorna. Mora odobriti mjere, nadzirati ih i proći edukaciju. Kazne dosežu 10M EUR ili 2% prometa za ključne subjekte i 7M EUR ili 1,4% za važne, a regulatori mogu suspendirati rukovoditelje kod trajnog nepoštivanja.
Što se mijenja
Prijedlog Europske komisije iz siječnja 2026. olakšao bi obveze manjim tvrtkama i uveo jedinstveni portal EU-a za prijave - ali to je prijedlog, a ne zakon, s usvajanjem očekivanim oko 2027. Gradite za današnja pravila; smjer kretanja ih samo ublažava, a iste kontrole ionako štite softver za reguliranu industriju.
Ovaj članak je opća informacija, a ne pravni savjet. Provedba NIS2 još se razvija; točne obveze i opseg potvrdite s kvalificiranim pravnikom.
Često postavljana pitanja
Je li moja tvrtka obveznik NIS2? Ako imate 50+ zaposlenih ili 10M+ EUR prometa i poslujete u navedenom sektoru, vjerojatno da. Neki sektori, poput telekoma i oblaka, obveznici su pri svakoj veličini.
Koja je razlika između ključnih i važnih subjekata? Oboje moraju ispuniti iste sigurnosne mjere. Ključni subjekti podliježu strožem nadzoru i višim kaznama; podjela ovisi o veličini i kritičnosti sektora.
Koliko brzo moram prijaviti incident? Rano upozorenje u 24 sata, obavijest u 72 sata i završno izvješće u roku od mjesec dana, sve preko nacionalnog CSIRT-a i JISKB portala.
Može li uprava biti osobno kažnjena? Da. Uprava mora odobriti i nadzirati mjere te može biti osobno odgovorna, uz mogućnost suspenzije rukovoditelja kod trajnog nepoštivanja.
Povezani članci
- Kibernetička sigurnost za male i srednje tvrtke
- GDPR i softver po mjeri
- Softver za reguliranu industriju
Trebate pomoć s usklađivanjem s NIS2?
Mapiramo Vaše sustave na mjere iz članka 21., gradimo kontrolu pristupa, zapisivanje i sigurnosne kopije te postavljamo tijek prijave incidenata - da usklađenost postane dio Vašeg softvera, a ne fascikl na polici.
Javite nam se na [email protected] ili putem obrasca na našoj stranici.