NIS2 direktiva: Kompletni vodič za hrvatska poduzeća (Q2 2026.)
14. kolovoza 2025.
Ažurirano: 30. travnja 2026.
22 min čitanja
Kibernetička sigurnost
NIS2 direktiva (Direktiva EU 2022/2555) najvažniji je europski zakonodavni okvir za kibernetičku sigurnost koji pokriva 18 sektora. Hrvatska je među prvima transponirala NIS2 kroz Zakon o kibernetičkoj sigurnosti (NN 14/24), na snazi od 15. veljače 2024. Kazne dosežu do 10 milijuna EUR ili 2% globalnog prometa, uz osobnu odgovornost članova uprave.
Ključne činjenice
NIS2 pokriva 18 sektora i uključuje značajno više organizacija nego prethodna direktiva.
Hrvatski Zakon o kibernetičkoj sigurnosti već je na snazi od 15. veljače 2024.
Kibernetičke incidente potrebno je prijaviti u 24 sata (rano upozorenje) i 72 sata (detaljna obavijest).
Kazne dosežu do 10 milijuna EUR ili 2% globalnog prometa za ključne subjekte.
NIS2 uvodi osobnu odgovornost članova uprave za kibernetičku sigurnost.
Stanje primjene u Hrvatskoj 2026. — gdje smo nakon dvije godine
Hrvatski Zakon o kibernetičkoj sigurnosti (NN 14/24) na snazi je od 15. veljače 2024. — što znači da je sada (Q2 2026.) na snazi više od 26 mjeseci. NIS2 direktiva više nije nadolazeća obveza, već aktivni regulatorni režim pod nadzorom SOA-e (Sigurnosno-obavještajna agencija) i Centra za kibernetičku sigurnost (CKS).
Što se promijenilo u 2026.
Tematski nadzori SOA-e i CKS-a — prema javnim godišnjim izvješćima oba tijela, 2026. donosi prve (energetika, zdravstvo, digitalna infrastruktura). Važni subjekti za sada se kontroliraju — kroz incidente, prijave i pritužbe.
Podijelite članak
Trebate pomoć s usklađenošću?
Kontaktirajte nas za besplatne konzultacije
proaktivne nadzore ključnih subjekata
reaktivno
Popis ključnih i važnih subjekata zaključen — rok od 17. travnja 2025. je istekao. Hrvatska je dovršila prvu fazu identifikacije obveznika; subjekti koji se nisu samoprijavili izlažu se kaznama za propust prijave.
Prvi javno objavljeni značajni incidenti pod NIS2 režimom u Hrvatskoj — tijekom 2025. CKS je primio nekoliko desetaka prijava značajnih kibernetičkih incidenata; 24-satni rok ranog upozorenja pokazao se kao najveća operativna prepreka u financijskom sektoru i zdravstvu.
Provedbena uredba HAKOM za telekomunikacijski sektor — finalizirana tijekom 2025., propisuje detaljne obveze za pružatelje elektroničkih komunikacijskih usluga.
Smjernice ENISA-e za sigurnost lanca opskrbe (čl. 21(2)(d)) finalizirane su tijekom 2025. — više nema "čekamo smjernice" izgovora.
Što ovo znači za hrvatske subjekte
Ako još niste dovršili gap analizu i okvir upravljanja kibernetičkim rizicima, više niste rani — riskirate prvi val izrečenih mjera. SOA i CKS u prvim nadzorima izriču naloge za otklanjanje nedostataka u određenom roku; subjekti koji propuste te rokove izlažu se kaznama do 10 milijuna eura ili 2% globalnog godišnjeg prometa (ključni subjekti) odnosno do 7 milijuna eura ili 1,4% prometa (važni subjekti).
Praktični savjet: Tri najčešća nedostatka koja regulatori traže u nadzoru: (1) nedokumentiran okvir upravljanja rizicima IKT-a, (2) nepostojanje 24-satne procedure za rano upozorenje incidenta, (3) neažuriran inventar IKT dobavljača i sigurnosnih kontrola u lancu opskrbe.
Što je NIS2 direktiva?
NIS2 (Network and Information Security Directive 2) ili Direktiva (EU) 2022/2555 sveobuhvatni je EU okvir za kibernetičku sigurnost donesen 14. prosinca 2022. Zamjenjuje prethodnu NIS direktivu, proširuje opseg na 18 sektora, uvodi strože obveze, kraće rokove prijave incidenata (24 sata) i kazne do 2% globalnog prometa.
NIS2 donosi značajna proširenja u odnosu na prethodnu direktivu:
Prošireni opseg — pokriva 18 sektora umjesto dosadašnjih 7
Strože obveze — konkretnije sigurnosne mjere s jasnim minimumima
Veće kazne — usklađene s GDPR pristupom, do 2% globalnog prometa
Lanac opskrbe — prve obveze za dobavljače u EU kibernetičkoj regulativi
Kraći rokovi prijave — 24 sata za rano upozorenje o incidentu
Ključna statistika
Prema podacima ENISA-e, ransomware napadi porasli su za 150% u posljednjih 5 godina, a kritična infrastruktura postala je primarna meta napada. NIS2 je izravan odgovor EU na ovu eskalaciju prijetnji.
Zašto je NIS2 donesen?
Prethodna NIS direktiva iz 2016. bila je prvi EU zakon o kibernetičkoj sigurnosti, ali je imala značajne nedostatke — nedosljedna primjena među državama članicama, preuzak opseg i nedovoljno odvraćajuće kazne.
U međuvremenu, prijetnje su se dramatično promijenile:
Ransomware epidemija. Napadi poput WannaCry, NotPetya i Colonial Pipeline pokazali su koliko kritična infrastruktura može biti ranjiva.
Napadi na lance opskrbe. SolarWinds incident iz 2020. demonstrirao je kako kompromitacija jednog dobavljača može ugroziti tisuće organizacija.
Geopolitički kontekst. Rat u Ukrajini pojačao je kibernetičke prijetnje za europsku infrastrukturu, osobito u energetskom i telekomunikacijskom sektoru.
Nedosljedna zaštita. Razlike u provedbi NIS1 među državama članicama stvarale su sigurnosne praznine koje su napadači aktivno iskorištavali.
Ključni pokazatelji prijetnji
150% — Porast ransomware napada u posljednjih 5 godina
18 — Broj sektora koje NIS2 pokriva (dvostruko više od NIS1)
24h — Novi rok za rano upozorenje o incidentu (skraćeno sa 72h)
€10M — Maksimalna kazna za ključne subjekte
Zakon o kibernetičkoj sigurnosti u Hrvatskoj
Republika Hrvatska transponirala je NIS2 direktivu kroz Zakon o kibernetičkoj sigurnosti objavljen u Narodnim novinama br. 14/24. Zakon je stupio na snagu 15. veljače 2024., čime je Hrvatska postala jedna od prvih zemalja EU koje su provele NIS2.
Ključne odredbe Zakona
Prema članku 1. Zakona, njime se uređuju:
Postupci i mjere za postizanje visoke zajedničke razine kibernetičke sigurnosti
Kriteriji za kategorizaciju ključnih i važnih subjekata
Zahtjevi kibernetičke sigurnosti za ključne i važne subjekte
Nadležna tijela i njihove ovlasti
Stručni nadzor nad provedbom zahtjeva
Prekršajne odredbe i kazne
Nadležna tijela u Hrvatskoj
Tijelo
Uloga
Sektor
Ministarstvo pravosuđa, uprave i digitalne transformacije
Koordinacija nacionalne politike
Svi sektori
Zavod za sigurnost informacijskih sustava (ZSIS)
Operativna provedba i nadzor
Većina sektora
CERT.hr
Nacionalni CSIRT
Odgovor na incidente
HAKOM
Sektorski regulator
Telekomunikacije
HNB
Sektorski regulator
Financijski sektor
Važno
ZSIS je glavno nadležno tijelo za većinu subjekata. Međutim, financijski sektor potpada pod nadzor HNB-a, a telekomunikacijski pod HAKOM. Provjerite koji je regulator nadležan za vašu organizaciju prije pokretanja aktivnosti usklađivanja.
Tko mora biti usklađen s NIS2?
NIS2 razlikuje ključne subjekte (essential entities) i važne subjekte (important entities). Razlika utječe na razinu nadzora i visinu potencijalnih kazni.
Sektori visoke kritičnosti (Prilog I) — 11 sektora
Energetika, promet, bankarstvo, financijska tržišta, zdravstvo, voda za piće, otpadne vode, digitalna infrastruktura, upravljanje IKT uslugama (B2B), javna uprava i svemir. Velike organizacije u ovim sektorima automatski su ključni subjekti.
Ostali kritični sektori (Prilog II) — 7 sektora
Poštanske i kurirske usluge, gospodarenje otpadom, kemikalije, hrana, proizvodnja (medicinski uređaji, elektronika, strojevi, vozila), digitalni pružatelji usluga i istraživačke organizacije. Organizacije u ovim sektorima razvrstavaju se kao važni subjekti.
Kriteriji za kategorizaciju
Ključni subjekt: Prilog I + ≥250 zaposlenika ILI promet >€50M
Važni subjekt: Prilog I ili II + ≥50 zaposlenika ILI promet >€10M
Određeni subjekti su automatski ključni neovisno o veličini (DNS pružatelji, TLD registri, pružatelji usluga povjerenja)
Ključni i važni subjekti moraju poduzeti tehničke, operativne i organizacijske mjere za upravljanje rizicima. NIS2 propisuje 10 minimalnih područja:
Politike analize rizika i sigurnosti informacijskih sustava
Postupanje s incidentima — otkrivanje, odgovor, oporavak
Kontinuitet poslovanja — sigurnosne kopije, oporavak od katastrofe, krizno upravljanje
Sigurnost lanca opskrbe — uključujući sigurnosne aspekte odnosa s dobavljačima
Sigurnost nabave, razvoja i održavanja mreža i informacijskih sustava
Politike i postupci za procjenu učinkovitosti mjera upravljanja rizicima
Osnovne prakse kibernetičke higijene i obuka zaposlenika
Kriptografija i enkripcija gdje je primjenjivo
Sigurnost ljudskih resursa — kontrole pristupa, upravljanje imovinom
Višefaktorska autentifikacija (MFA) i sigurne komunikacije
Imate ISO 27001? Certifikat pokriva oko 70–80% NIS2 zahtjeva za upravljanje rizicima, ali postoje značajne praznine (prijava incidenata, odgovornost uprave, lanac opskrbe). Pogledajte detaljnu analizu: NIS2 i ISO 27001: Usporedba i mapiranje zahtjeva
🤝 Trebate NIS2 konzultanta za vašu organizaciju?
Vision Compliance pruža NIS2 gap analizu, plan implementacije, dokumentaciju za nadzor SOA-e i CKS-a te edukaciju uprave o osobnoj odgovornosti prema čl. 20. NIS2 savjetovanje i usklađenost →
Prijava kibernetičkih incidenata
NIS2 uvodi trofazni sustav prijave koji je znatno stroži od prethodne direktive:
Faza
Rok
Sadržaj
Primatelj
Rano upozorenje
24 sata
Osnovna obavijest — je li incident uzrokovan nezakonitim djelovanjem, može li imati prekogranični učinak
CERT.hr / nadležno tijelo
Obavijest o incidentu
72 sata
Ažurirane informacije, početna procjena ozbiljnosti i učinka, indikatori kompromitacije
Uzrokuje ili može uzrokovati ozbiljan operativni poremećaj usluge ili financijsku štetu
Utječe ili može utjecati na druge fizičke ili pravne osobe uzrokujući znatnu materijalnu ili nematerijalnu štetu
Zlatno pravilo
Kad ste u nedoumici trebate li prijaviti incident — prijavite. Neprijavljivanje značajnog incidenta povlači visoke kazne, dok prijava manjeg incidenta nema negativnih posljedica. Bolje je prijaviti "previše" nego premalo.
Odgovornost uprave
NIS2 uvodi osobnu odgovornost članova uprave za kibernetičku sigurnost. Uprava mora odobriti sigurnosne mjere, nadzirati provedbu, pohađati obaveznu obuku i može biti osobno kažnjena za neusklađenost — uključujući privremenu zabranu obavljanja upravljačkih funkcija.
Detaljni vodič za direktore: Za konkretne obveze uprave, zabrane funkcije, D&O osiguranje i korake zaštite — pogledajte NIS2 kazne i osobna odgovornost uprave
Kazne i sankcije
NIS2 uvodi dvostupanjski sustav kazni — do €10 milijuna ili 2% globalnog prometa za ključne subjekte i do €7 milijuna ili 1,4% za važne subjekte (primjenjuje se veći iznos). Osim novčanih kazni, moguće su privremene suspenzije, zabrana obavljanja upravljačkih funkcija, javne objave kršenja i obvezujuće upute regulatora.
Detaljni vodič o kaznama: Za konkretne scenarije, izračune kazni po veličini tvrtke, osobnu odgovornost uprave i usporedbu s GDPR kaznama — pogledajte NIS2 kazne i osobna odgovornost uprave
Kako postići usklađenost
Korak 1: Inicijalna procjena (Gap Analysis)
Utvrdite pripada li vaša organizacija NIS2 opsegu
Identificirajte kategoriju — ključni ili važni subjekt
Procijenite trenutno stanje kibernetičke sigurnosti
Identificirajte nedostatke u odnosu na 10 minimalnih područja
Korak 2: Uspostava okvira upravljanja
Definirajte uloge i odgovornosti (uključujući upravu)
Osigurajte angažman i obuku uprave
Uspostavite odbor ili tim za kibernetičku sigurnost
Definirajte politike i procedure
Korak 3: Upravljanje rizicima
Provedite sveobuhvatnu procjenu rizika
Identificirajte kritičnu imovinu i sustave
Definirajte mjere ublažavanja za identificirane rizike
Povrede osobnih podataka uzrokovane kibernetičkim incidentom podliježu objema regulativama istovremeno. To znači paralelnu prijavu — AZOP-u u roku od 72 sata za GDPR i CERT.hr-u u roku od 24 sata za NIS2.
Financijski sektor? Ako ste banka, investicijsko društvo ili IKT pružatelj financijskom sektoru, pogledajte NIS2 i DORA: Razlike, preklapanja i usklađivanje — DORA kao lex specialis ima prednost nad NIS2 u područjima koja uređuje.
Vremenska crta provedbe
Datum
Događaj
14. prosinca 2022.
Donošenje NIS2 direktive
16. siječnja 2023.
Stupanje na snagu direktive
15. veljače 2024.
Stupanje na snagu hrvatskog Zakona o kibernetičkoj sigurnosti
17. listopada 2024.
Rok za transpoziciju u svim državama članicama EU
17. travnja 2025.
Rok za popis ključnih i važnih subjekata (dovršeno)
2025.–2026.
Prvi tematski nadzori SOA-e i CKS-a; finalizacija ENISA smjernica za lanac opskrbe
17. listopada 2027.
Prva revizija i preispitivanje direktive od strane Komisije
Česta pitanja
Mora li moja tvrtka biti usklađena s NIS2?
Ako poslujete u jednom od 18 definiranih sektora i ispunjavate kriterije veličine (>50 zaposlenika ili >€10M prometa), vjerojatno da. Preporučujemo stručnu procjenu jer postoje iznimke u oba smjera — neki mali subjekti su automatski ključni, a neki veliki mogu biti izvan opsega.
Koji je rok za usklađivanje?
Hrvatski Zakon o kibernetičkoj sigurnosti već je na snazi od 15. veljače 2024. Ako ste obuhvaćeni, trebali ste već započeti s usklađivanjem. Ako niste — započnite odmah.
Kako NIS2 utječe na moje dobavljače?
Morate procijeniti sigurnosne prakse ključnih dobavljača, uključiti sigurnosne zahtjeve u ugovore i pratiti njihovu usklađenost. NIS2 eksplicitno traži upravljanje rizicima u lancu opskrbe.
Mogu li koristiti postojeći ISO 27001 certifikat?
ISO 27001 je odlična osnova i pokriva većinu zahtjeva za upravljanje rizicima. Međutim, NIS2 ima specifične zahtjeve (prijava incidenata u 24h, odgovornost uprave, sigurnost lanca opskrbe) koji nadilaze ISO 27001. Potrebna je gap analiza.
Tko provodi nadzor u Hrvatskoj?
ZSIS je glavno nadležno tijelo za većinu sektora. HAKOM nadzire telekomunikacijski sektor, a HNB financijski sektor.
Što ako nisam siguran pripada li moja organizacija opsegu?
Kontaktirajte Zavod za sigurnost informacijskih sustava (ZSIS) ili angažirajte stručnjake za NIS2 procjenu koji mogu analizirati vašu situaciju.
Zaključak
NIS2 direktiva i hrvatski Zakon o kibernetičkoj sigurnosti predstavljaju temeljnu promjenu u pristupu kibernetičkoj sigurnosti u EU. Za hrvatska poduzeća u obuhvaćenim sektorima usklađivanje više nije izbor, nego zakonska obveza s ozbiljnim kaznama za nepoštivanje.
Strateški zaključci za 2026.
Provjerite opseg odmah. Utvrdite pripada li vaša organizacija NIS2 režimu — kriteriji su širi nego što mnogi očekuju.
Angažirajte upravu. NIS2 uvodi osobnu odgovornost — to više nije samo zadaća IT odjela.
Počnite s gap analizom. Zakon je na snazi — svaki dan odlaganja povećava rizik.
Uključite dobavljače. Lanac opskrbe je nova dimenzija kibernetičke sigurnosti koju NIS2 eksplicitno traži.
Dokumentirajte sve. Evidencije su ključne za dokazivanje usklađenosti pred regulatorom.
Robert Lozo, mag. iur., partner je u Vision Complianceu specijaliziran za usklađenost s EU regulativom. Savjetuje organizacije o GDPR-u, NIS2, AI Actu i financijskoj regulativi te izrađuje dokumentaciju spremnu za reviziju i planove usklađenosti u reguliranim industrijama.
