NIS2 i DORA: Razlike, preklapanja i usklađivanje za financijski sektor
28. listopada 2025.
Ažurirano: 22. veljače 2026.
20 min čitanja
Kibernetička sigurnost
Banka mora ispuniti NIS2. Ista banka mora ispuniti i DORA-u. Znači li to dvostruke troškove i dva paralelna sustava usklađivanja? Ne — ako razumijete kako se ova dva propisa ukrštavaju.
DORA (Uredba EU 2022/2554) djeluje kao lex specialis za financijski sektor, što znači da u područjima koja detaljno uređuje ima prednost pred NIS2. Ali NIS2 pokriva šira područja (fizička sigurnost, opća odgovornost uprave) koja DORA ne dotiče. U ovom vodiču razlažemo točno koji propis se primjenjuje u kojem području, kako uskladiti prijave incidenata prema oba okvira i što DORA-in TLPT testiranje znači za vašu instituciju. Za širi pregled NIS2, pogledajte kompletni NIS2 vodič.
Sažetak i ključne točke
DORA je lex specialis za financijski sektor — ima prednost pred NIS2 u područjima koja uređuje.
NIS2 pokriva šire sigurnosne obveze, DORA se fokusira na digitalnu operativnu otpornost.
Financijski subjekti moraju ispuniti DORA zahtjeve u cijelosti + NIS2 zahtjeve koje DORA ne pokriva.
Kritični IKT pružatelji usluga financijskom sektoru podliježu izravnom EU nadzoru prema DORA.
DORA zahtijeva TLPT testiranje (Threat-Led Penetration Testing) za značajne financijske institucije.
U Hrvatskoj, HNB nadzire financijski sektor za NIS2, dok DORA uključuje i HANFA-u.
DORA (Digital Operational Resilience Act — Uredba EU 2022/2554) europski je regulatorni okvir koji propisuje zahtjeve za digitalnu operativnu otpornost financijskog sektora. Uredba je stupila na snagu 17. siječnja 2025.
Podijelite članak
Trebate pomoć s usklađenošću?
Kontaktirajte nas za besplatne konzultacije
Aspekt
Detalj
Puni naziv
Uredba (EU) 2022/2554 o digitalnoj operativnoj otpornosti financijskog sektora
Vrsta propisa
Uredba — izravno primjenjiva u svim državama članicama (bez transpozicije)
Testiranje digitalne operativne otpornosti — uključujući TLPT
Upravljanje rizicima trećih strana — IKT outsourcing i dobavljači
Razmjena informacija — o kibernetičkim prijetnjama između financijskih subjekata
NIS2 vs DORA — temeljne razlike
Aspekt
NIS2
DORA
Vrsta propisa
Direktiva (zahtijeva transpoziciju)
Uredba (izravno primjenjiva)
Opseg
18 sektora (uključujući financije)
Isključivo financijski sektor + IKT pružatelji
Fokus
Kibernetička sigurnost mrežnih sustava
Digitalna operativna otpornost
Mjere
10 minimalnih područja (čl. 21.)
5 detaljnih stupova
Testiranje
„Procjena učinkovitosti" (općenito)
TLPT — specifični zahtjevi za pentest
IKT dobavljači
Sigurnost lanca opskrbe (općenito)
Detaljan okvir za upravljanje trećim stranama + EU nadzor
Prijava incidenata
24h + 72h + 1 mjesec
Slično, ali s detaljnijim klasifikacijskim kriterijima
Nadzor
Nacionalna tijela (ZSIS, HNB)
Nacionalna tijela + ESA-e (EBA, ESMA, EIOPA)
Kazne
Do 10M EUR ili 2% prometa
Nacionalno definirane + sankcije za IKT pružatelje
Princip lex specialis
NIS2 članak 4. izričito predviđa da sektorski propisi koji su barem jednako strogi kao NIS2 imaju prednost. DORA je identificirana kao takav propis za financijski sektor.
Što to znači u praksi?
Područje
Koji propis se primjenjuje?
Upravljanje IKT rizicima
DORA (detaljniji zahtjevi)
Prijava IKT incidenata
DORA (specifičnija klasifikacija)
Testiranje otpornosti
DORA (zahtijeva TLPT)
Upravljanje IKT dobavljačima
DORA (detaljniji okvir + EU nadzor)
Opća sigurnost mrežnih sustava
NIS2 (širi opseg izvan IKT)
Odgovornost uprave
NIS2 čl. 20. (DORA također propisuje, ali NIS2 je eksplicitniji)
Sigurnost fizičke infrastrukture
NIS2 (DORA fokusirana na IKT)
Razmjena informacija
DORA (specifičan okvir)
Ključno pravilo: DORA ima prednost u svemu što izričito uređuje. NIS2 se primjenjuje za područja koja DORA ne pokriva ili pokriva manje detaljno. U praksi, financijski subjekti moraju ispuniti DORA u cijelosti i NIS2 za preostale obveze.
Tko podliježe kojoj regulativi?
Financijski subjekti
Vrsta subjekta
NIS2
DORA
Napomena
Kreditne institucije (banke)
Da (ključni)
Da
DORA primarno, NIS2 dopunski
Investicijska društva
Da (ključni)
Da
DORA primarno
Društva za osiguranje
Moguće (važni)
Da
DORA primarno
Platne institucije
Moguće (važni)
Da
DORA primarno
Kreditne unije
Ovisi o veličini
Da
DORA se primjenjuje proporcionalno
Središnje druge ugovorne strane
Da (ključni)
Da
Oba u cijelosti
IKT pružatelji usluga financijskom sektoru
Vrsta pružatelja
NIS2
DORA
Napomena
Kritični IKT pružatelji (označeni od ESA-e)
Moguće
Da + izravni EU nadzor
Najstroži režim
Ostali IKT pružatelji fin. sektoru
Moguće (ako su MSSP)
Da (ugovorni zahtjevi)
NIS2 ako su u opsegu po sektoru
Cloud pružatelji
Da (digitalna infrastruktura)
Da (ako su kritični)
Dvostruka obveza
Područja preklapanja
1. Upravljanje rizicima
Oba propisa zahtijevaju sustavni pristup upravljanju rizicima, ali DORA je detaljnija za IKT rizike:
NIS2 čl. 21.
DORA čl. 5–16
Podudarnost
Politike analize rizika
Okvir upravljanja IKT rizicima
Visoka
Postupanje s incidentima
Upravljanje IKT incidentima
Visoka (DORA detaljnija)
Kontinuitet poslovanja
IKT kontinuitet i oporavak
Visoka (DORA detaljnija)
Sigurnost lanca opskrbe
Upravljanje IKT trećim stranama
Srednja (DORA značajno detaljnija)
Kriptografija i enkripcija
Dio IKT sigurnosnih mjera
Potpuna
MFA i kontrola pristupa
Dio IKT sigurnosnih mjera
Potpuna
2. Prijava incidenata
Oba propisa zahtijevaju prijavu značajnih incidenata, ali s razlikama u rokovima i klasifikaciji:
Čl. 13. — specifični programi obuke i komunikacije
Praktična implikacija: Ako ispunite sve DORA zahtjeve za upravljanje IKT rizicima, ispunili ste i NIS2 zahtjeve za to područje. Obratno ne vrijedi — NIS2 usklađenost ne garantira DORA usklađenost jer DORA ide dublje.
Prijava incidenata — usporedba
NIS2 klasifikacija
Incident je „značajan" ako:
Uzrokuje ili može uzrokovati ozbiljan operativni poremećaj
Utječe na druge fizičke ili pravne osobe s materijalnom štetom
DORA klasifikacija (detaljnija)
DORA propisuje kvantitativne kriterije za klasifikaciju značajnih incidenata:
Kriterij
Prag
Broj pogođenih klijenata
Definirani pragovi prema ESA tehničkim standardima
Trajanje prekida
Definirani vremenski pragovi
Geografski opseg
Prekogranični utjecaj
Gubitak podataka
Količina i osjetljivost
Ekonomski utjecaj
Financijski gubitak iznad praga
Kritičnost pogođenih usluga
Platni sustavi, tržišna infrastruktura
Harmonizacija prijave
Za financijske subjekte, praksa bi trebala biti:
Prijaviti prema DORA — HNB/HANFA (primarna obveza)
Prijaviti i prema NIS2 — CERT.hr u roku od 24h ako je primjenjivo
Koristiti jedinstven interni postupak koji ispunjava zahtjeve oba propisa
Testiranje otpornosti — DORA TLPT
Osnovno testiranje (svi DORA subjekti)
Svi financijski subjekti moraju provoditi redovito testiranje:
Ovo je područje s najvećom razlikom između NIS2 i DORA:
Aspekt
NIS2
DORA
Opseg
„Sigurnost lanca opskrbe" (općenito)
Detaljan okvir za IKT outsourcing
Registar
Ne zahtijeva
Obavezan registar svih IKT ugovora
Ugovorni zahtjevi
Općenite sigurnosne klauzule
Detaljne obvezne klauzule (čl. 30.)
Procjena rizika
Da (općenita)
Da + specifična procjena koncentracijskog rizika
Izlazna strategija
Ne zahtijeva
Obavezna izlazna strategija za kritične usluge
EU nadzor
Ne
Da — ESA-e izravno nadziru kritične IKT pružatelje
Kritični IKT pružatelji — EU nadzor
DORA uvodi revolucionarni koncept — izravni EU nadzor nad kritičnim IKT pružateljima:
Europska nadzorna tijela (EBA, ESMA, EIOPA) označavaju kritične pružatelje
Imenovani vodeći nadzornik (Lead Overseer) za svakog kritičnog pružatelja
Ovlasti uključuju inspekcije, preporuke i sankcije
Primjer: Veliki cloud pružatelji (AWS, Azure, GCP) koji pružaju usluge europskim bankama
Nadzor u Hrvatskoj
Tijelo
NIS2 nadležnost
DORA nadležnost
HNB
Nadzor banaka i kreditnih institucija za NIS2
Nadzor banaka za DORA
HANFA
—
Nadzor investicijskih društava, osiguravatelja
ZSIS
Koordinacija NIS2 za ostale sektore
—
CERT.hr
Prijem prijava incidenata
Koordinacija za IKT incidente
ESA-e
—
Nadzor kritičnih IKT pružatelja
Za banke u Hrvatskoj: HNB je nadležan za oba propisa. Usklađujte komunikaciju i izvješćivanje prema HNB-u za obje regulatorne obveze. Za investicijska društva i osiguravatelje, HANFA preuzima DORA nadzor.
FAQ
Ako ispunim DORA, jesam li automatski usklađen s NIS2?
Djelomično. DORA pokriva većinu NIS2 zahtjeva za financijski sektor, ali NIS2 ima dodatne zahtjeve — osobito eksplicitniju odgovornost uprave (čl. 20.) i šire sigurnosne mjere izvan IKT-a. Potrebna je gap analiza.
Jesam li kao IT tvrtka koja pruža usluge bankama obvezan prema DORA?
Ako pružate IKT usluge financijskim subjektima, DORA se na vas primjenjuje neizravno — kroz ugovorne zahtjeve vaših financijskih klijenata. Ako vas ESA-e označe kao kritičnog pružatelja, izravno ste podvrgnuti EU nadzoru.
Treba li banka prijaviti isti incident i prema NIS2 i DORA?
U praksi, jedna prijava prema HNB-u trebala bi pokriti oba zahtjeva. HNB kao nadležno tijelo za financijski sektor prima prijave prema obje regulatorne osnove. Koordinirajte s HNB-om specifične zahtjeve za format i sadržaj prijave.
Koliko košta TLPT testiranje?
TLPT prema TIBER-EU okviru košta od 50.000 do 300.000 EUR ovisno o opsegu i veličini institucije. Uključuje angažman Threat Intelligence tima, Red teama i White teama tijekom 3–6 mjeseci.
Primjenjuje li se DORA na kreditne unije?
Da, ali s načelom proporcionalnosti — zahtjevi se prilagođavaju veličini i složenosti institucije. Male kreditne unije nemaju istu razinu obveza kao sistemski važne banke.
Zaključak
NIS2 i DORA nisu suprotstavljeni propisi — oni su komplementarni slojevi regulatorne zaštite. Za financijski sektor, DORA je primarni okvir (lex specialis) s detaljnijim zahtjevima za IKT otpornost, dok NIS2 pruža širi kontekst kibernetičke sigurnosti. Organizacije koje uspješno integriraju oba okvira postiglat će višu razinu sigurnosti i regulatorne usklađenosti.
Ključne preporuke: (1) Počnite s DORA usklađivanjem jer je detaljnija i izravno primjenjiva. (2) Provedite NIS2 gap analizu za područja koja DORA ne pokriva. (3) Uspostavite jedinstveni sustav upravljanja sigurnošću koji ispunjava oba okvira. (4) Koordinirajte izvješćivanje prema HNB-u/HANFA-i za obje obveze. (5) Za značajne institucije — planirajte TLPT testiranje prema TIBER-EU okviru.
Trebate pomoć s usklađivanjem NIS2 i DORA? Vision Compliance nudi integrirani pristup — procjenjujemo vaš status prema oba okvira i izrađujemo plan usklađivanja koji pokriva sve regulatorne obveze. Zakažite besplatnu konzultaciju.
Robert Lozo, mag. iur., partner je u Vision Complianceu specijaliziran za usklađenost s EU regulativom. Savjetuje organizacije o GDPR-u, NIS2, AI Actu i financijskoj regulativi te izrađuje dokumentaciju spremnu za reviziju i planove usklađenosti u reguliranim industrijama.
