ISO 27001 certifikat: Kompletni vodič za hrvatska poduzeća 2026.
21. kolovoza 2025.
Ažurirano: 22. veljače 2026.
22 min čitanja
Kibernetička sigurnost
ISO 27001 najpriznatiji je međunarodni standard za upravljanje informacijskom sigurnošću. Za hrvatska poduzeća koja žele zaštititi poslovne podatke, ispuniti zahtjeve regulatora i steći povjerenje klijenata, ovaj certifikat postaje nužnost, a ne luksuz. U ovom vodiču objašnjavamo sve korake — od razumijevanja zahtjeva standarda do uspješne certifikacije.
Sažetak i ključne točke
ISO 27001 je međunarodni standard za sustav upravljanja informacijskom sigurnošću (ISMS).
Posljednja verzija je ISO/IEC 27001:2022 s ažuriranim sigurnosnim kontrolama.
Certifikacija traje u prosjeku 6–12 mjeseci, ovisno o veličini organizacije.
Standard zahtijeva 93 kontrole raspoređene u 4 kategorije (Annex A).
Certifikat vrijedi 3 godine, uz godišnje nadzorne audite.
NIS2 i GDPR ne zahtijevaju ISO 27001, ali ga regulatori i klijenti sve češće očekuju.
ISO/IEC 27001 međunarodni je standard koji propisuje zahtjeve za uspostavu, provedbu, održavanje i poboljšavanje sustava upravljanja informacijskom sigurnošću (engl. Information Security Management System — ISMS).
Standard ne propisuje koje tehnologije koristiti, već zahtijeva sustavni pristup upravljanju rizicima koji ugrožavaju povjerljivost, cjelovitost i dostupnost informacija.
Pojam
Značenje
ISMS
Sustav upravljanja informacijskom sigurnošću — skup politika, procesa i kontrola
Annex A
Popis sigurnosnih kontrola koje organizacija primjenjuje prema procjeni rizika
Podijelite članak
Trebate pomoć s usklađenošću?
Kontaktirajte nas za besplatne konzultacije
Izjava o primjenjivosti (SoA)
Dokument koji navodi koje kontrole se primjenjuju i zašto
Certifikacijsko tijelo
Akreditirana organizacija koja provodi audit i izdaje certifikat
Nadzorni audit
Godišnji audit koji potvrđuje da ISMS i dalje funkcionira
Tko izdaje standard? ISO 27001 zajednički izdaju Međunarodna organizacija za normizaciju (ISO) i Međunarodno elektrotehničko povjerenstvo (IEC). U Hrvatskoj ga distribuira HZN (Hrvatski zavod za norme).
Zašto je ISO 27001 važan za hrvatska poduzeća?
Poslovni razlozi
Razlog
Objašnjenje
Povjerenje klijenata
Certifikat dokazuje da ozbiljno pristupate zaštiti podataka
Natječaji i javna nabava
Sve više naručitelja traži ISO 27001 kao uvjet
Regulatorna usklađenost
Pomaže pri ispunjavanju zahtjeva NIS2 i GDPR-a
Smanjenje rizika
Sustavni pristup smanjuje vjerojatnost i utjecaj sigurnosnih incidenata
Konkurentska prednost
Razlikuje vas od konkurenata koji nemaju formalni ISMS
Pristup EU tržištima
Mnogi europski partneri zahtijevaju certifikat
Tko posebno treba ISO 27001?
IT tvrtke i pružatelji SaaS usluga — klijenti očekuju dokazanu sigurnost
Financijske institucije — regulatorni zahtjevi i osjetljivi podaci
Zdravstvene organizacije — zaštita medicinskih podataka
Tvrtke u opskrbnom lancu velikih korporacija — zahtjev partnera
Organizacije pod NIS2 direktivom — pomaže u usklađivanju
ISO 27001:2022 — što je novo?
Posljednja verzija standarda objavljena je u listopadu 2022. i donosi značajne promjene u strukturi sigurnosnih kontrola.
11 novih (npr. prijetnje u oblaku, filtriranje weba, sigurno kodiranje)
Rok za prijelaz
—
Do 31. listopada 2025.
11 novih kontrola u verziji 2022
Obavještavanje o prijetnjama (Threat intelligence)
Sigurnost informacija u oblaku
Pripravnost za kontinuitet poslovanja
Fizički nadzor sigurnosti
Upravljanje konfiguracijom
Brisanje informacija
Maskiranje podataka
Sprječavanje curenja podataka (DLP)
Praćenje aktivnosti
Filtriranje weba
Sigurno kodiranje
Važno: Organizacije certificirane po verziji 2013. morale su prijeći na verziju 2022. do 31. listopada 2025. Nove certifikacije provode se isključivo prema verziji 2022.
Struktura standarda
ISO 27001 sadrži 10 poglavlja (klauzula), od kojih su klauzule 4–10 obvezne:
Klauzula
Naslov
Opis
4
Kontekst organizacije
Razumijevanje organizacije, zainteresiranih strana i opsega ISMS-a
5
Vodstvo
Predanost uprave, politika informacijske sigurnosti, uloge i odgovornosti
6
Planiranje
Procjena rizika, plan obrade rizika, sigurnosni ciljevi
Politike, uloge, upravljanje imovinom, kontrola pristupa, upravljanje dobavljačima
Ljudske
8
Provjera prije zaposlenja, edukacija, disciplinski postupak, odgovornosti pri prestanku rada
Fizičke
14
Sigurnosne zone, zaštita opreme, čisti stol i zaslon, sigurno uklanjanje medija
Tehnološke
34
Kriptografija, mrežna sigurnost, sigurnost aplikacija, upravljanje ranjivostima, praćenje događaja
Napomena: Organizacija ne mora primijeniti sve 93 kontrole. Na temelju procjene rizika odabiru se kontrole relevantne za organizaciju i dokumentiraju u Izjavi o primjenjivosti (SoA).
Koraci do certifikacije
Faza 1 — Priprema (2–4 mjeseca)
Odluka uprave — osigurajte podršku i resurse na najvišoj razini
Definiranje opsega — odredite koje dijelove organizacije ISMS pokriva
Procjena trenutnog stanja (gap analiza) — usporedite postojeće prakse s ISO 27001 zahtjevima
Imenovanje voditelja projekta — osoba odgovorna za provedbu
Faza 2 — Provedba (3–6 mjeseci)
Procjena rizika — identificirajte prijetnje, ranjivosti i utjecaje na informacijsku imovinu
Plan obrade rizika — definirajte mjere za smanjenje rizika na prihvatljivu razinu
Izrada dokumentacije — politike, procedure, zapisi, SoA
Primjena kontrola — tehničke i organizacijske mjere iz Annexa A
Edukacija zaposlenika — podizanje svijesti i obuka za specifične uloge
Faza 3 — Provjera (1–2 mjeseca)
Interni audit — neovisna provjera usklađenosti ISMS-a sa standardom
Odabir certifikacijskog tijela — mora biti akreditirano (u Hrvatskoj: HAA)
Audit faze 1 — pregled dokumentacije i spremnosti
Audit faze 2 — provjera provedbe na licu mjesta
Izdavanje certifikata — ako nema značajnih nesukladnosti
Ukupno trajanje: 6–12 mjeseci za većinu organizacija. Velike organizacije ili one s niskom početnom zrelošću mogu trebati i do 18 mjeseci.
Troškovi certifikacije
Troškovi ovise o veličini organizacije, složenosti i trenutnoj razini sigurnosti.
Stavka
Mala tvrtka (do 50 zaposlenih)
Srednja tvrtka (50–250)
Velika organizacija (250+)
Konzultantska pomoć
5.000–15.000 EUR
15.000–40.000 EUR
40.000–100.000+ EUR
Certifikacijski audit
3.000–6.000 EUR
6.000–15.000 EUR
15.000–30.000+ EUR
Tehnička rješenja
2.000–10.000 EUR
10.000–30.000 EUR
30.000–100.000+ EUR
Edukacija
1.000–3.000 EUR
3.000–8.000 EUR
8.000–20.000 EUR
Godišnji nadzorni audit
2.000–4.000 EUR
4.000–8.000 EUR
8.000–15.000 EUR
Savjet: Troškove promatrajte kao ulaganje. Jedan ozbiljniji sigurnosni incident može koštati višestruko više od ukupne certifikacije. Prosječni trošak povrede podataka u EU iznosi preko 4 milijuna EUR.
ISO 27001 i NIS2
NIS2 direktiva (transponirana u Hrvatskoj kroz Zakon o kibernetičkoj sigurnosti, NN 14/24) zahtijeva od ključnih i važnih subjekata provedbu mjera za upravljanje rizicima kibernetičke sigurnosti.
Važno: ISO 27001 certifikat nije zakonski obvezan prema NIS2, ali pokriva veliku većinu zahtjeva. ENISA i nacionalna tijela preporučuju ga kao referentni okvir za usklađivanje. Više o NIS2: NIS2 direktiva — vodič za hrvatska poduzeća.
ISO 27001 i GDPR
ISO 27001 i GDPR imaju komplementarne ciljeve — zaštita podataka zahtijeva informacijsku sigurnost.
GDPR zahtjev (čl.)
ISO 27001 kontrola
Tehničke i organizacijske mjere (čl. 32.)
Annex A — cjelokupni skup kontrola
Procjena učinka (DPIA) (čl. 35.)
Klauzula 6 — procjena rizika
Evidencija aktivnosti obrade (čl. 30.)
A.5.9–A.5.13 — upravljanje imovinom
Prijava povrede podataka (čl. 33.)
A.5.24–A.5.28 — upravljanje incidentima
Prava ispitanika (čl. 15.–22.)
A.5.10–A.5.12 — klasifikacija i rukovanje
Ugovori s izvršiteljima (čl. 28.)
A.5.19–A.5.23 — upravljanje dobavljačima
ISO 27001 ne garantira GDPR usklađenost, ali značajno smanjuje rizik neusklađenosti. Za cjelovitu zaštitu podataka: GDPR vodič za Hrvatsku.
Najčešće pogreške
1. ISMS postoji samo na papiru
Dokumentacija bez stvarne primjene neće proći certifikacijski audit i ne štiti organizaciju.
2. Nedovoljna uključenost uprave
Bez podrške s vrha, ISMS nema resurse ni autoritet za provedbu promjena.
3. Previše kontrola bez procjene rizika
Primjena svih 93 kontrole „za svaki slučaj" stvara nepotrebnu složenost. Standard zahtijeva pristup temeljen na riziku.
4. Jednokratni projekt umjesto kontinuiranog procesa
ISO 27001 zahtijeva kontinuirano poboljšavanje. ISMS koji se ažurira samo pred audit neće biti učinkovit.
5. Zanemarivanje ljudskog faktora
Tehničke kontrole bez edukacije zaposlenika ostavljaju najčešći vektor napada nezaštićenim.
Certifikat vrijedi 3 godine od izdavanja. Tijekom tog razdoblja provode se godišnji nadzorni auditi (obično u 12. i 24. mjesecu). Nakon 3 godine potreban je recertifikacijski audit.
Je li ISO 27001 obvezan u Hrvatskoj?
Nije zakonski obvezan za većinu organizacija. Međutim, NIS2 (Zakon o kibernetičkoj sigurnosti) zahtijeva mjere koje ISO 27001 pokriva, a mnogi javni i privatni naručitelji ga traže kao uvjet suradnje.
Mogu li se certificirati i male tvrtke?
Da. Standard je primjenjiv na organizacije svih veličina. Opseg i složenost ISMS-a prilagođavaju se veličini i rizicima organizacije.
Koja je razlika između ISO 27001 i ISO 27002?
ISO 27001 propisuje zahtjeve za ISMS i osnova je za certifikaciju. ISO 27002 pruža detaljne smjernice za provedbu kontrola iz Annexa A. Certifikacija se provodi isključivo prema ISO 27001.
Trebam li konzultanta?
Nije obavezno, ali je preporučljivo, osobito za organizacije bez iskustva s ISO standardima. Konzultant ubrzava proces i smanjuje rizik neuspjeha na auditu.
Koji su akreditirani certifikacijski uredi u Hrvatskoj?
Certifikacijska tijela moraju biti akreditirana od strane HAA (Hrvatska akreditacijska agencija) ili ekvivalentnog tijela u EU. Među poznatijima koji djeluju u Hrvatskoj su Bureau Veritas, TÜV, SGS, DNV i Lloyd's Register.
Zaključak
ISO 27001 nije samo certifikat na zidu — to je sustavni pristup zaštiti informacija koji donosi mjerljive poslovne koristi. U okolini gdje NIS2 zahtijeva konkretne sigurnosne mjere, gdje klijenti traže dokaz o sigurnosti i gdje kibernetičke prijetnje rastu, ISO 27001 postaje standard koji hrvatska poduzeća ne mogu ignorirati.
Ključne poruke: (1) Počnite s procjenom rizika i gap analizom. (2) Osigurajte podršku uprave. (3) Prilagodite opseg svojoj organizaciji. (4) Planirajte 6–12 mjeseci za provedbu. (5) Gledajte na certifikaciju kao kontinuirani proces, ne jednokratni projekt.
Trebate pomoć s ISO 27001? Vision Compliance nudi usluge kibernetičke sigurnosti uključujući pripremu za certifikaciju, procjenu rizika i izgradnju ISMS-a. Zakažite besplatnu konzultaciju i saznajte kako možemo pomoći vašoj organizaciji.
Izvori: ISO/IEC 27001:2022, ENISA, HAA, NIS2 direktiva (EU 2022/2555), Zakon o kibernetičkoj sigurnosti (NN 14/24)
Robert Lozo, mag. iur., partner je u Vision Complianceu specijaliziran za usklađenost s EU regulativom. Savjetuje organizacije o GDPR-u, NIS2, AI Actu i financijskoj regulativi te izrađuje dokumentaciju spremnu za reviziju i planove usklađenosti u reguliranim industrijama.
