NIS2 direktiva u Hrvatskoj 2026

Q: Koji je rok za usklađivanje?

Hrvatski Zakon o kibernetičkoj sigurnosti već je na snazi od 15. veljače 2024. Ako ste obuhvaćeni, trebali ste već započeti s usklađivanjem. Ako niste, započnite odmah.

NIS2 direktiva (Direktiva EU 2022/2555) najvažniji je europski zakonodavni okvir za kibernetičku sigurnost koji pokriva 18 sektora. Hrvatska je među prvima transponirala NIS2 kroz Zakon o kibernetičkoj sigurnosti (NN 14/24), na snazi od 15. veljače 2024. Kazne dosežu do 10 milijuna EUR ili 2% globalnog prometa, uz osobnu odgovornost članova uprave.

Ključne činjenice

NIS2 pokriva 18 sektora i uključuje značajno više organizacija nego prethodna direktiva.
Hrvatski Zakon o kibernetičkoj sigurnosti već je na snazi od 15. veljače 2024.
Kibernetičke incidente potrebno je prijaviti u 24 sata (rano upozorenje) i 72 sata (detaljna obavijest).
Kazne dosežu do 10 milijuna EUR ili 2% globalnog prometa za ključne subjekte.
NIS2 uvodi osobnu odgovornost članova uprave za kibernetičku sigurnost.

Sadržaj

Stanje primjene u Hrvatskoj 2026.
Što je NIS2 direktiva?
Zašto je NIS2 donesen?
Zakon o kibernetičkoj sigurnosti u Hrvatskoj
Tko mora biti usklađen?
Obveze prema NIS2
Prijava kibernetičkih incidenata
Odgovornost uprave
Kazne i sankcije
Kako postići usklađenost: 6 koraka
NIS2 vs GDPR: razlike i sinergije
Vremenska crta implementacije
Česta pitanja
Zaključak

Stanje primjene u Hrvatskoj 2026.: gdje smo nakon dvije godine

Hrvatski Zakon o kibernetičkoj sigurnosti (NN 14/24) na snazi je od 15. veljače 2024. To znači da je sada (Q2 2026.) na snazi više od 26 mjeseci. NIS2 direktiva više nije nadolazeća obveza, već aktivni regulatorni režim pod nadzorom SOA-e (Sigurnosno-obavještajna agencija) i Centra za kibernetičku sigurnost (CKS).

Što se promijenilo u 2026.

Tematski nadzori SOA-e i CKS-a: prema javnim godišnjim izvješćima oba tijela, 2026. donosi prve proaktivne nadzore ključnih subjekata (energetika, zdravstvo, digitalna infrastruktura). Važni subjekti za sada se kontroliraju reaktivno, kroz incidente, prijave i pritužbe.
Popis ključnih i važnih subjekata zaključen: rok od 17. travnja 2025. je istekao. Hrvatska je dovršila prvu fazu identifikacije obveznika; subjekti koji se nisu samoprijavili izlažu se kaznama za propust prijave.
Prvi javno objavljeni značajni incidenti pod NIS2 režimom u Hrvatskoj: tijekom 2025. CKS je primio nekoliko desetaka prijava značajnih kibernetičkih incidenata; 24-satni rok ranog upozorenja pokazao se kao najveća operativna prepreka u financijskom sektoru i zdravstvu.
Provedbena uredba HAKOM za telekomunikacijski sektor finalizirana je tijekom 2025., propisuje detaljne obveze za pružatelje elektroničkih komunikacijskih usluga.
Smjernice ENISA-e za sigurnost lanca opskrbe (čl. 21(2)(d)) finalizirane su tijekom 2025. Više nema "čekamo smjernice" izgovora.

Što ovo znači za hrvatske subjekte

Ako još niste dovršili gap analizu i okvir upravljanja kibernetičkim rizicima, više niste rani. Riskirate prvi val izrečenih mjera. SOA i CKS u prvim nadzorima izriču naloge za otklanjanje nedostataka u određenom roku; subjekti koji propuste te rokove izlažu se kaznama do 10 milijuna eura ili 2% globalnog godišnjeg prometa (ključni subjekti) odnosno do 7 milijuna eura ili 1,4% prometa (važni subjekti).

Praktični savjet: Tri najčešća nedostatka koja regulatori traže u nadzoru: (1) nedokumentiran okvir upravljanja rizicima IKT-a, (2) nepostojanje 24-satne procedure za rano upozorenje incidenta, (3) neažuriran inventar IKT dobavljača i sigurnosnih kontrola u lancu opskrbe.

Što je NIS2 direktiva?

NIS2 (Network and Information Security Directive 2) ili Direktiva (EU) 2022/2555 sveobuhvatni je EU okvir za kibernetičku sigurnost donesen 14. prosinca 2022. Zamjenjuje prethodnu NIS direktivu, proširuje opseg na 18 sektora, uvodi strože obveze, kraće rokove prijave incidenata (24 sata) i kazne do 2% globalnog prometa.

NIS2 donosi značajna proširenja u odnosu na prethodnu direktivu:

Prošireni opseg: pokriva 18 sektora umjesto dosadašnjih 7
Strože obveze: konkretnije sigurnosne mjere s jasnim minimumima
Veće kazne: usklađene s GDPR pristupom, do 2% globalnog prometa
Lanac opskrbe: prve obveze za dobavljače u EU kibernetičkoj regulativi
Kraći rokovi prijave: 24 sata za rano upozorenje o incidentu

Ključna statistika

Prema podacima ENISA-e, ransomware napadi porasli su za 150% u posljednjih 5 godina, a kritična infrastruktura postala je primarna meta napada. NIS2 je izravan odgovor EU na ovu eskalaciju prijetnji.

Zašto je NIS2 donesen?

Prethodna NIS direktiva iz 2016. bila je prvi EU zakon o kibernetičkoj sigurnosti, ali je imala značajne nedostatke: nedosljedna primjena među državama članicama, preuzak opseg i nedovoljno odvraćajuće kazne.

U međuvremenu, prijetnje su se dramatično promijenile:

Ransomware epidemija. Napadi poput WannaCry, NotPetya i Colonial Pipeline pokazali su koliko kritična infrastruktura može biti ranjiva.

Napadi na lance opskrbe. SolarWinds incident iz 2020. demonstrirao je kako kompromitacija jednog dobavljača može ugroziti tisuće organizacija.

Geopolitički kontekst. Rat u Ukrajini pojačao je kibernetičke prijetnje za europsku infrastrukturu, osobito u energetskom i telekomunikacijskom sektoru.

Nedosljedna zaštita. Razlike u provedbi NIS1 među državama članicama stvarale su sigurnosne praznine koje su napadači aktivno iskorištavali.

Ključni pokazatelji prijetnji

150%: Porast ransomware napada u posljednjih 5 godina

18: Broj sektora koje NIS2 pokriva (dvostruko više od NIS1)

24h: Novi rok za rano upozorenje o incidentu (skraćeno sa 72h)

€10M: Maksimalna kazna za ključne subjekte

Zakon o kibernetičkoj sigurnosti u Hrvatskoj

Republika Hrvatska transponirala je NIS2 direktivu kroz Zakon o kibernetičkoj sigurnosti objavljen u Narodnim novinama br. 14/24. Zakon je stupio na snagu 15. veljače 2024., čime je Hrvatska postala jedna od prvih zemalja EU koje su provele NIS2.

Ključne odredbe Zakona

Prema članku 1. Zakona, njime se uređuju:

Postupci i mjere za postizanje visoke zajedničke razine kibernetičke sigurnosti
Kriteriji za kategorizaciju ključnih i važnih subjekata
Zahtjevi kibernetičke sigurnosti za ključne i važne subjekte
Nadležna tijela i njihove ovlasti
Stručni nadzor nad provedbom zahtjeva
Prekršajne odredbe i kazne

Nadležna tijela u Hrvatskoj

Tijelo	Uloga	Sektor
Ministarstvo pravosuđa, uprave i digitalne transformacije	Koordinacija nacionalne politike	Svi sektori
Zavod za sigurnost informacijskih sustava (ZSIS)	Operativna provedba i nadzor	Većina sektora
CERT.hr	Nacionalni CSIRT	Odgovor na incidente
HAKOM	Sektorski regulator	Telekomunikacije

Važno

ZSIS je glavno nadležno tijelo za većinu subjekata. Međutim, financijski sektor potpada pod nadzor HNB-a, a telekomunikacijski pod HAKOM. Provjerite koji je regulator nadležan za vašu organizaciju prije pokretanja aktivnosti usklađivanja.

Tko mora biti usklađen s NIS2?

NIS2 razlikuje ključne subjekte (essential entities) i važne subjekte (important entities). Razlika utječe na razinu nadzora i visinu potencijalnih kazni.

Sektori visoke kritičnosti (Prilog I): 11 sektora

Energetika, promet, bankarstvo, financijska tržišta, zdravstvo, voda za piće, otpadne vode, digitalna infrastruktura, upravljanje IKT uslugama (B2B), javna uprava i svemir. Velike organizacije u ovim sektorima automatski su ključni subjekti.

Ostali kritični sektori (Prilog II): 7 sektora

Poštanske i kurirske usluge, gospodarenje otpadom, kemikalije, hrana, proizvodnja (medicinski uređaji, elektronika, strojevi, vozila), digitalni pružatelji usluga i istraživačke organizacije. Organizacije u ovim sektorima razvrstavaju se kao važni subjekti.

Kriteriji za kategorizaciju

Ključni subjekt: Prilog I + ≥250 zaposlenika ILI promet >€50M
Važni subjekt: Prilog I ili II + ≥50 zaposlenika ILI promet >€10M
Određeni subjekti su automatski ključni neovisno o veličini (DNS pružatelji, TLD registri, pružatelji usluga povjerenja)

Detaljni vodič za kategorizaciju: Za potpuni pregled svih 18 sektora s primjerima hrvatskih tvrtki, kriterijima veličine, iznimkama i postupkom samoprocjene pogledajte NIS2 kategorizacija: Tko su obveznici i kako se razvrstati?

Obveze prema NIS2

Mjere upravljanja rizicima kibernetičke sigurnosti

Ključni i važni subjekti moraju poduzeti tehničke, operativne i organizacijske mjere za upravljanje rizicima. NIS2 propisuje 10 minimalnih područja:

Politike analize rizika i sigurnosti informacijskih sustava
Postupanje s incidentima: otkrivanje, odgovor, oporavak
Kontinuitet poslovanja: sigurnosne kopije, oporavak od katastrofe, krizno upravljanje
Sigurnost lanca opskrbe: uključujući sigurnosne aspekte odnosa s dobavljačima
Sigurnost nabave, razvoja i održavanja mreža i informacijskih sustava
Politike i postupci za procjenu učinkovitosti mjera upravljanja rizicima
Osnovne prakse kibernetičke higijene i obuka zaposlenika
Kriptografija i enkripcija gdje je primjenjivo
Sigurnost ljudskih resursa: kontrole pristupa, upravljanje imovinom
Višefaktorska autentifikacija (MFA) i sigurne komunikacije

Imate ISO 27001? Certifikat pokriva oko 70 do 80% NIS2 zahtjeva za upravljanje rizicima, ali postoje značajne praznine (prijava incidenata, odgovornost uprave, lanac opskrbe). Pogledajte detaljnu analizu: NIS2 i ISO 27001: Usporedba i mapiranje zahtjeva

Trebate NIS2 konzultanta? Vision Compliance provodi NIS2 gap analizu, izrađuje plan provedbe i dokumentaciju za nadzor SOA-e i CKS-a te educira upravu o osobnoj odgovornosti. NIS2 savjetovanje i usklađenost →

Prijava kibernetičkih incidenata

NIS2 uvodi trofazni sustav prijave koji je znatno stroži od prethodne direktive:

Faza	Rok	Sadržaj	Primatelj
Rano upozorenje	24 sata	Osnovna obavijest: je li incident uzrokovan nezakonitim djelovanjem, može li imati prekogranični učinak	CERT.hr / nadležno tijelo
Obavijest o incidentu	72 sata	Ažurirane informacije, početna procjena ozbiljnosti i učinka, indikatori kompromitacije	CERT.hr / nadležno tijelo
Završno izvješće	1 mjesec	Detaljna analiza, temeljni uzroci, poduzete mjere ublažavanja, prekogranični učinak

Što je "značajan incident"?

Incident se smatra značajnim ako:

Uzrokuje ili može uzrokovati ozbiljan operativni poremećaj usluge ili financijsku štetu
Utječe ili može utjecati na druge fizičke ili pravne osobe uzrokujući znatnu materijalnu ili nematerijalnu štetu

Zlatno pravilo

Kad ste u nedoumici trebate li prijaviti incident, prijavite. Neprijavljivanje značajnog incidenta povlači visoke kazne, dok prijava manjeg incidenta nema negativnih posljedica. Bolje je prijaviti "previše" nego premalo.

Odgovornost uprave

NIS2 uvodi osobnu odgovornost članova uprave za kibernetičku sigurnost. Uprava mora odobriti sigurnosne mjere, nadzirati provedbu, pohađati obaveznu obuku i može biti osobno kažnjena za neusklađenost, uključujući privremenu zabranu obavljanja upravljačkih funkcija.

Detaljni vodič za direktore: Za konkretne obveze uprave, zabrane funkcije, D&O osiguranje i korake zaštite pogledajte NIS2 kazne i osobna odgovornost uprave

Kazne i sankcije

NIS2 uvodi dvostupanjski sustav kazni: do €10 milijuna ili 2% globalnog prometa za ključne subjekte i do €7 milijuna ili 1,4% za važne subjekte (primjenjuje se veći iznos). Osim novčanih kazni, moguće su privremene suspenzije, zabrana obavljanja upravljačkih funkcija, javne objave kršenja i obvezujuće upute regulatora.

Detaljni vodič o kaznama: Za konkretne scenarije, izračune kazni po veličini tvrtke, osobnu odgovornost uprave i usporedbu s GDPR kaznama pogledajte NIS2 kazne i osobna odgovornost uprave

Kako postići usklađenost

Korak 1: Inicijalna procjena (Gap Analysis)

Utvrdite pripada li vaša organizacija NIS2 opsegu
Identificirajte kategoriju: ključni ili važni subjekt
Procijenite trenutno stanje kibernetičke sigurnosti
Identificirajte nedostatke u odnosu na 10 minimalnih područja

Korak 2: Uspostava okvira upravljanja

Definirajte uloge i odgovornosti (uključujući upravu)
Osigurajte angažman i obuku uprave
Uspostavite odbor ili tim za kibernetičku sigurnost
Definirajte politike i procedure

Korak 3: Upravljanje rizicima

Provedite sveobuhvatnu procjenu rizika
Identificirajte kritičnu imovinu i sustave
Definirajte mjere ublažavanja za identificirane rizike
Primijenite tehničke i organizacijske kontrole

Korak 4: Tehničke mjere

Primijenite višefaktorsku provjeru identiteta (MFA)
Osigurajte šifriranje podataka u prijenosu i pohrani
Uspostavite sustav za otkrivanje i praćenje prijetnji
Uspostavite sigurnosne kopije s testiranim postupkom oporavka

Korak 5: Plan za incidente

Definirajte procedure za otkrivanje, klasifikaciju i eskalaciju
Uspostavite komunikacijske kanale s CERT.hr i nadležnim tijelom
Pripremite predloške za prijavu u sve tri faze (24h, 72h, 1 mjesec)
Testirajte planove redovito kroz simulacije

Korak 6: Lanac opskrbe

Identificirajte kritične dobavljače i ovisnosti
Procijenite njihove sigurnosne prakse i usklađenost
Uključite sigurnosne klauzule u ugovore
Uspostavite kontinuirano praćenje usklađenosti dobavljača

NIS2 vs GDPR: ključne razlike i sinergije

Aspekt	GDPR	NIS2
Fokus	Zaštita osobnih podataka	Sigurnost mrežnih i informacijskih sustava
Opseg	Svi koji obrađuju osobne podatke	Određeni sektori i veličine subjekata
Maksimalna kazna	€20M ili 4% prometa	€10M ili 2% prometa
Prijava incidenta	72 sata (AZOP)	24h + 72h + 1 mjesec (CERT.hr)

Povrede osobnih podataka uzrokovane kibernetičkim incidentom podliježu objema regulativama istovremeno. To znači paralelnu prijavu: AZOP-u u roku od 72 sata za GDPR i CERT.hr-u u roku od 24 sata za NIS2.

Financijski sektor? Ako ste banka, investicijsko društvo ili IKT pružatelj financijskom sektoru, pogledajte NIS2 i DORA: Razlike, preklapanja i usklađivanje. DORA kao lex specialis ima prednost nad NIS2 u područjima koja uređuje.

Vremenska crta provedbe

Datum	Događaj
14. prosinca 2022.	Donošenje NIS2 direktive
16. siječnja 2023.	Stupanje na snagu direktive
15. veljače 2024.	Stupanje na snagu hrvatskog Zakona o kibernetičkoj sigurnosti
17. listopada 2024.	Rok za transpoziciju u svim državama članicama EU
17. travnja 2025.	Rok za popis ključnih i važnih subjekata (dovršeno)
2025. do 2026.	Prvi tematski nadzori SOA-e i CKS-a; finalizacija ENISA smjernica za lanac opskrbe

Česta pitanja

Mora li moja tvrtka biti usklađena s NIS2?

Ako poslujete u jednom od 18 definiranih sektora i ispunjavate kriterije veličine (>50 zaposlenika ili >€10M prometa), vjerojatno da. Preporučujemo stručnu procjenu jer postoje iznimke u oba smjera: neki mali subjekti su automatski ključni, a neki veliki mogu biti izvan opsega.

Koji je rok za usklađivanje?

Hrvatski Zakon o kibernetičkoj sigurnosti već je na snazi od 15. veljače 2024. Ako ste obuhvaćeni, trebali ste već započeti s usklađivanjem. Ako niste, započnite odmah.

Kako NIS2 utječe na moje dobavljače?

Morate procijeniti sigurnosne prakse ključnih dobavljača, uključiti sigurnosne zahtjeve u ugovore i pratiti njihovu usklađenost. NIS2 eksplicitno traži upravljanje rizicima u lancu opskrbe.

Mogu li koristiti postojeći ISO 27001 certifikat?

ISO 27001 je odlična osnova i pokriva većinu zahtjeva za upravljanje rizicima. Međutim, NIS2 ima specifične zahtjeve (prijava incidenata u 24h, odgovornost uprave, sigurnost lanca opskrbe) koji nadilaze ISO 27001. Potrebna je gap analiza.

Tko provodi nadzor u Hrvatskoj?

ZSIS je glavno nadležno tijelo za većinu sektora. HAKOM nadzire telekomunikacijski sektor, a HNB financijski sektor.

Što ako nisam siguran pripada li moja organizacija opsegu?

Kontaktirajte Zavod za sigurnost informacijskih sustava (ZSIS) ili angažirajte stručnjake za NIS2 procjenu koji mogu analizirati vašu situaciju.

Koliko košta NIS2 usklađivanje?

Trošak ovisi o veličini organizacije, broju sustava u opsegu i postojećoj razini sigurnosti. Gap analiza i plan provedbe obično su fiksni paket. Provedba mjera naplaćuje se prema opsegu. Najveći trošak nije savjetovanje. Kazna za neusklađenost doseže 10 milijuna eura ili 2% prometa. Zatražite procjenu opsega.

Što uključuje NIS2 gap analiza?

Gap analiza utvrđuje pripadate li NIS2 opsegu i razvrstava vas kao ključni ili važni subjekt. Uspoređuje vaše stanje s 10 obveznih područja upravljanja rizicima. Rezultat je popis nedostataka s prioritetima i rokovima. To je temelj plana provedbe i dokaz nastojanja pred regulatorom.

Kako odabrati NIS2 konzultanta?

Tražite tim koji pokriva pravnu i tehničku stranu: razvrstavanje subjekta, okvir upravljanja rizicima, proceduru prijave incidenta i sigurnost lanca opskrbe. Provjerite reference u vašem sektoru i certifikate poput ISO 27001 Lead Auditor, CISSP i CIPP/E. Zakažite razgovor.

Zaključak

NIS2 direktiva i hrvatski Zakon o kibernetičkoj sigurnosti predstavljaju temeljnu promjenu u pristupu kibernetičkoj sigurnosti u EU. Za hrvatska poduzeća u obuhvaćenim sektorima usklađivanje više nije izbor, nego zakonska obveza s ozbiljnim kaznama za nepoštivanje.

Strateški zaključci za 2026.

Provjerite opseg odmah. Utvrdite pripada li vaša organizacija NIS2 režimu. Kriteriji su širi nego što mnogi očekuju.

Angažirajte upravu. NIS2 uvodi osobnu odgovornost. To više nije samo zadaća IT odjela.

Počnite s gap analizom. Zakon je na snazi. Svaki dan odlaganja povećava rizik.

Uključite dobavljače. Lanac opskrbe je nova dimenzija kibernetičke sigurnosti koju NIS2 eksplicitno traži.

Dokumentirajte sve. Evidencije su ključne za dokazivanje usklađenosti pred regulatorom.

Povezani članci

NIS2 kategorizacija: Tko su obveznici i kako se razvrstati?: Provjerite potpada li vaša organizacija pod NIS2
NIS2 kazne i osobna odgovornost uprave: Sankcije do 10 mil. EUR i obveze direktora
NIS2 i ISO 27001: Usporedba i mapiranje zahtjeva: Kako iskoristiti ISO certifikat za NIS2 usklađenost

Trebate pomoć s NIS2 usklađivanjem?

Vision Compliance provodi procjenu i provedbu NIS2 zahtjeva:

NIS2 gap analiza: procjena trenutnog stanja i popis nedostataka s prioritetima
Izrada okvira upravljanja: politike, procedure i dokumentacija usklađena sa Zakonom
Obuka uprave: program edukacije prilagođen članovima uprave i njihovoj osobnoj odgovornosti
Plan za incidente: procedure i predlošci za prijavu CERT.hr-u u rokovima 24/72 sata
Procjena lanca opskrbe: evaluacija sigurnosnih praksi ključnih dobavljača

Zakažite besplatne konzultacije →

Izvori:

POVEZANA USLUGA

O AUTORU

Robert Lozo

Partner · CIPP/E · CIPM · CISM

Robert savjetuje organizacije o GDPR-u, NIS2, EU AI Actu i financijskoj regulativi, isporučuje dokumentaciju spremnu za reviziju i programe usklađenosti u reguliranim industrijama.