NIS2 direktiva (Direktiva EU 2022/2555) je najvažniji europski zakonodavni okvir za kibernetičku sigurnost. Hrvatska je među prvima u EU transponirala NIS2 kroz Zakon o kibernetičkoj sigurnosti (NN 14/24), koji je stupio na snagu 15. veljače 2024. godine. U ovom vodiču objašnjavamo sve što hrvatska poduzeća trebaju znati o NIS2.
Što je NIS2 Direktiva?
Direktiva (EU) 2022/2555 Europskog parlamenta i Vijeća od 14. prosinca 2022. godine, poznata kao NIS2 (Network and Information Security Directive 2), predstavlja sveobuhvatni okvir za postizanje visoke zajedničke razine kibernetičke sigurnosti u cijeloj Europskoj uniji.
NIS2 zamjenjuje prethodnu NIS direktivu (Direktiva EU 2016/1148) i donosi značajna proširenja:
- Prošireni opseg - više sektora i subjekata
- Strože obveze - konkretnije sigurnosne mjere
- Veće kazne - usklađene s GDPR pristupom
- Lanac opskrbe - obveze za dobavljače
- Prijava incidenata - kraći rokovi
Zašto je NIS2 nastao?
Kibernetički napadi postaju sve sofisticiraniji i češći. Prema podacima ENISA-e (Europske agencije za kibernetičku sigurnost):
- Ransomware napadi porasli su za 150% u posljednjih 5 godina
- Kritična infrastruktura sve je češća meta napada
- Lanci opskrbe postali su glavna točka ranjivosti
- Nedosljedna primjena NIS1 direktive stvarala je "sigurnosne rupe"
Zakon o kibernetičkoj sigurnosti u Hrvatskoj
Republika Hrvatska transponirala je NIS2 direktivu kroz Zakon o kibernetičkoj sigurnosti objavljen u Narodnim novinama br. 14/24. Zakon je stupio na snagu 15. veljače 2024. godine.
Ključne odredbe Zakona
Prema članku 1. Zakona, njime se uređuju:
- Postupci i mjere za postizanje visoke zajedničke razine kibernetičke sigurnosti
- Kriteriji za kategorizaciju ključnih i važnih subjekata
- Zahtjevi kibernetičke sigurnosti za ključne i važne subjekte
- Nadležna tijela u području kibernetičke sigurnosti i njihove ovlasti
- Stručni nadzor nad provedbom zahtjeva kibernetičke sigurnosti
- Prekršajne odredbe i kazne
Nadležna tijela u Hrvatskoj
| Tijelo | Uloga |
|---|---|
| Ministarstvo pravosuđa, uprave i digitalne transformacije | Koordinacija nacionalne politike kibernetičke sigurnosti |
| Zavod za sigurnost informacijskih sustava (ZSIS) | Operativna provedba i nadzor |
| CERT.hr | Nacionalni CSIRT (Computer Security Incident Response Team) |
| HAKOM | Nadzor za telekomunikacijski sektor |
| HNB | Nadzor za financijski sektor |
Tko mora biti usklađen s NIS2?
NIS2 direktiva razlikuje ključne subjekte (essential entities) i važne subjekte (important entities).
Sektori visoke kritičnosti (Prilog I NIS2)
Ovi sektori smatraju se ključnima za funkcioniranje društva i gospodarstva:
| # | Sektor | Podsektori |
|---|---|---|
| 1 | Energetika | Električna energija, nafta, plin, centralizirano grijanje/hlađenje, vodik |
| 2 | Promet | Zračni, željeznički, vodeni, cestovni promet |
| 3 | Bankarstvo | Kreditne institucije |
| 4 | Infrastruktura financijskih tržišta | Mjesta trgovanja, središnje druge ugovorne strane |
| 5 | Zdravstvo | Pružatelji zdravstvene zaštite, referentni laboratoriji, proizvođači lijekova i medicinskih proizvoda |
| 6 | Voda za piće | Dobavljači i distributeri vode za ljudsku potrošnju |
| 7 | Otpadne vode | Prikupljanje, odvodnja i pročišćavanje otpadnih voda |
| 8 | Digitalna infrastruktura | IXP-ovi, DNS pružatelji, TLD registri, pružatelji usluga računalstva u oblaku, podatkovni centri, CDN-ovi, pružatelji usluga povjerenja |
| 9 | Upravljanje IKT uslugama (B2B) | Pružatelji upravljanih usluga, pružatelji upravljanih sigurnosnih usluga |
| 10 | Javna uprava | Tijela središnje i regionalne vlasti |
| 11 | Svemir | Operatori zemaljske infrastrukture |
Ostali kritični sektori (Prilog II NIS2)
Ovi sektori smatraju se važnima:
| # | Sektor | Podsektori |
|---|---|---|
| 1 | Poštanske i kurirske usluge | Pružatelji poštanskih usluga |
| 2 | Gospodarenje otpadom | Tvrtke za prikupljanje i obradu otpada |
| 3 | Kemikalije | Proizvodnja, distribucija kemijskih tvari |
| 4 | Hrana | Proizvodnja, prerada i distribucija hrane |
| 5 | Proizvodnja | Medicinski uređaji, računala, elektronika, strojevi, vozila |
| 6 | Digitalni pružatelji usluga | Online tržišta, tražilice, platforme društvenih mreža |
| 7 | Istraživanje | Istraživačke organizacije |
Kriteriji za kategorizaciju
Subjekt se smatra ključnim ako:
- Pripada sektoru visoke kritičnosti (Prilog I), I
- Ima više od 250 zaposlenika ILI godišnji promet > 50 mil. EUR ILI bilancu > 43 mil. EUR
Subjekt se smatra važnim ako:
- Pripada bilo kojem sektoru (Prilog I ili II), I
- Ima više od 50 zaposlenika ILI godišnji promet > 10 mil. EUR
Iznimke: Neovisno o veličini, određeni subjekti automatski su ključni (npr. pružatelji DNS usluga, TLD registri, kvalificirani pružatelji usluga povjerenja).
Koje su obveze prema NIS2?
1. Mjere upravljanja rizicima kibernetičke sigurnosti
Ključni i važni subjekti moraju poduzeti tehničke, operativne i organizacijske mjere za upravljanje rizicima. Minimalno moraju uključivati:
- Politike analize rizika i sigurnosti informacijskih sustava
- Postupanje s incidentima - otkrivanje, odgovor, oporavak
- Kontinuitet poslovanja - upravljanje sigurnosnim kopijama, oporavak od katastrofe
- Sigurnost lanca opskrbe - uključujući sigurnosne aspekte odnosa s dobavljačima
- Sigurnost nabave, razvoja i održavanja mreža i sustava
- Politike i postupke za procjenu učinkovitosti mjera
- Osnovne prakse kibernetičke higijene i obuka zaposlenika
- Kriptografija i enkripcija gdje je primjenjivo
- Sigurnost ljudskih resursa - kontrole pristupa, upravljanje imovinom
- Višefaktorska autentifikacija i sigurne komunikacije
2. Prijava incidenata
NIS2 uvodi stroži režim prijave kibernetičkih incidenata:
| Faza | Rok | Sadržaj |
|---|---|---|
| Rano upozorenje | 24 sata | Osnovna obavijest o incidentu |
| Obavijest o incidentu | 72 sata | Ažurirane informacije, početna procjena |
| Završno izvješće | 1 mjesec | Detaljna analiza, uzroci, mjere ublažavanja |
Značajan incident je incident koji:
- Uzrokuje ili može uzrokovati ozbiljan operativni poremećaj ili financijsku štetu
- Utječe ili može utjecati na druge fizičke ili pravne osobe
3. Odgovornost uprave
NIS2 uvodi osobnu odgovornost članova uprave:
- Uprava mora odobriti mjere upravljanja rizicima
- Uprava mora nadzirati provedbu mjera
- Članovi uprave moraju pohađati obuku iz kibernetičke sigurnosti
- Mogu biti osobno odgovorni za neusklađenost
4. Registracija i evidencije
Subjekti moraju:
- Registrirati se kod nadležnog tijela
- Voditi evidencije o incidentima
- Dokumentirati mjere upravljanja rizicima
- Čuvati evidencije određeno vrijeme
Kazne i sankcije
NIS2 uvodi značajne kazne, usklađene s GDPR pristupom:
Za ključne subjekte:
- Do 10 milijuna EUR ili
- Do 2% ukupnog godišnjeg prometa na svjetskoj razini
- (primjenjuje se veći iznos)
Za važne subjekte:
- Do 7 milijuna EUR ili
- Do 1,4% ukupnog godišnjeg prometa na svjetskoj razini
- (primjenjuje se veći iznos)
Dodatne mjere:
- Privremene suspenzije certifikata
- Zabrana obavljanja upravljačkih funkcija
- Javna objava odluka o kršenju
Kako postići usklađenost?
1. Inicijalna procjena (Gap Analysis)
- Utvrdite pripada li vaša organizacija NIS2 opsegu
- Identificirajte koje ste kategorije (ključni/važni subjekt)
- Procijenite trenutno stanje kibernetičke sigurnosti
- Identificirajte nedostatke u odnosu na zahtjeve
2. Uspostava okvira upravljanja
- Definirajte uloge i odgovornosti
- Osigurajte angažman uprave
- Uspostavite odbor/tim za kibernetičku sigurnost
- Definirajte politike i procedure
3. Upravljanje rizicima
- Provedite procjenu rizika
- Identificirajte kritičnu imovinu
- Definirajte mjere ublažavanja
- Implementirajte kontrole
4. Tehničke mjere
- Implementirajte višefaktorsku autentifikaciju
- Osigurajte enkripciju podataka
- Uspostavite sustav za otkrivanje prijetnji
- Implementirajte sigurnosne kopije
5. Plan za incidente
- Definirajte procedure za otkrivanje i odgovor
- Uspostavite komunikacijske kanale
- Pripremite predloške za prijavu
- Testirajte planove redovito
6. Lanac opskrbe
- Identificirajte kritične dobavljače
- Procijenite njihove sigurnosne prakse
- Uključite sigurnosne klauzule u ugovore
- Pratite usklađenost dobavljača
Vremenska crta implementacije
| Datum | Događaj |
|---|---|
| 14. prosinca 2022. | Donošenje NIS2 direktive |
| 16. siječnja 2023. | Stupanje na snagu direktive |
| 15. veljače 2024. | Stupanje na snagu hrvatskog Zakona o kibernetičkoj sigurnosti |
| 17. listopada 2024. | Rok za transpoziciju u svim državama članicama |
| 17. travnja 2025. | Rok za popis ključnih i važnih subjekata |
| 17. listopada 2027. | Prva revizija i preispitivanje direktive |
NIS2 vs GDPR: Ključne razlike i sinergije
| Aspekt | GDPR | NIS2 |
|---|---|---|
| Fokus | Osobni podaci | Mrežni i informacijski sustavi |
| Opseg | Svi koji obrađuju osobne podatke | Određeni sektori i veličine |
| Kazne | Do 4% prometa | Do 2% prometa |
| Prijava | 72 sata | 24h + 72h + 1 mjesec |
| Sinergija | Povrede podataka mogu biti i kibernetički incidenti |
FAQ: Često postavljana pitanja
Mora li moja tvrtka biti usklađena s NIS2?
Ako poslujete u jednom od 18 definiranih sektora i ispunjavate kriterije veličine (>50 zaposlenika ili >10M EUR prometa), vjerojatno da. Provedite detaljnu procjenu.
Koji je rok za usklađivanje?
Hrvatski Zakon o kibernetičkoj sigurnosti je već na snazi od 15. veljače 2024. Trebali biste što prije započeti s aktivnostima usklađivanja.
Što ako nisam siguran pripada li moja tvrtka opsegu NIS2?
Kontaktirajte nadležno tijelo (Zavod za sigurnost informacijskih sustava) ili angažirajte stručnjake za procjenu.
Kako NIS2 utječe na moje dobavljače?
Morate procijeniti sigurnosne prakse svojih ključnih dobavljača i uključiti sigurnosne zahtjeve u ugovore.
Mogu li koristiti postojeće ISO 27001 certifikate?
ISO 27001 je odlična osnova i pomaže u ispunjavanju mnogih NIS2 zahtjeva, ali nije automatski dovoljan. Potrebna je analiza specifičnih NIS2 zahtjeva.
Tko provodi nadzor u Hrvatskoj?
Zavod za sigurnost informacijskih sustava (ZSIS) je glavno nadležno tijelo, uz sektorske regulatore (HAKOM, HNB).
Zaključak
NIS2 direktiva predstavlja značajan korak naprijed u podizanju razine kibernetičke sigurnosti u EU. Za hrvatska poduzeća u obuhvaćenim sektorima, usklađivanje s Zakonom o kibernetičkoj sigurnosti više nije opcija - to je zakonska obveza.
Ključne poruke:
- Provjerite opseg - utvrdite primjenjuje li se NIS2 na vašu organizaciju
- Angažirajte upravu - NIS2 uvodi osobnu odgovornost
- Započnite sada - zakon je već na snazi
- Razmišljajte šire - uključite lanac opskrbe
- Dokumentirajte sve - evidencije su ključne za dokazivanje usklađenosti
Povezani članci
- GDPR vodič za Hrvatsku - Zaštita podataka zahtjevi
- DORA uredba - digitalna otpornost - Financijski sektor zahtjevi
- Upravljanje incidentima - 72-satna obavijest prema NIS2
Stručna pomoć
Trebate pomoć s NIS2 usklađivanjem?
Vision Compliance nudi sveobuhvatne usluge procjene i implementacije NIS2 zahtjeva. Naši stručnjaci pomoći će vam razumjeti vaše obveze i izgraditi robustan program kibernetičke sigurnosti.
- Kibernetička sigurnost i NIS2 usluge - Stručna NIS2 podrška
- Upravljanje incidentima - Priprema za prijavu incidenata
- Zakažite besplatne konzultacije
Izvori: EUR-Lex (Direktiva EU 2022/2555), Zakon.hr (NN 14/24), Ministarstvo pravosuđa, uprave i digitalne transformacije RH