NIS2 i ISO 27001: Usporedba, razlike i mapiranje zahtjeva
21. veljače 2026.
Ažurirano: 22. veljače 2026.
20 min čitanja
Kibernetička sigurnost
„Imamo ISO 27001 — znači li to da smo usklađeni s NIS2?" Ovo je pitanje koje najčešće čujemo od hrvatskih poduzeća. Kratki odgovor: pokriveni ste oko 70–80%, ali preostale praznine mogu vas koštati milijune.
ISO 27001 certifikat pruža odličnu osnovu — ISMS, procjena rizika, kontrole i interni auditi već postoje. Ali NIS2 ide dalje: propisuje obveznu prijavu incidenata u 24 sata, uvodi osobnu odgovornost uprave i zahtijeva detaljniju sigurnost lanca opskrbe. U ovom vodiču detaljno mapiramo svih 10 NIS2 područja na ISO 27001:2022 kontrole, identificiramo točne praznine i dajemo plan za njihovo zatvaranje. Za širi pregled NIS2, pogledajte kompletni NIS2 vodič.
Sažetak i ključne točke
ISO 27001 pokriva oko 70–80% NIS2 zahtjeva za upravljanje rizicima (članak 21.).
Najveće praznine su: prijava incidenata u 24h, osobna odgovornost uprave, sigurnost lanca opskrbe i NIS2-specifično izvješćivanje.
ISO 27001 certifikat nije zakonski obvezan prema NIS2, ali ENISA ga preporučuje kao referentni okvir.
Organizacije s postojećim ISO 27001 imaju značajnu prednost — treba im gap analiza, ne potpuna izgradnja sustava.
Gap analiza između ISO 27001 i NIS2 ključni je prvi korak za certificirane organizacije.
Sustav upravljanja informacijskom sigurnošću (ISMS)
Kibernetička sigurnost mrežnih i informacijskih sustava
Kazne
Nema (gubitak certifikata)
Do 10M EUR ili 2% globalnog prometa
Prijava incidenata
Ne propisuje rokove prema regulatoru
24h + 72h + 1 mjesec prema CERT.hr
Odgovornost uprave
Zahtijeva predanost uprave
Osobna odgovornost, moguća zabrana funkcije
Certifikacija
Treća strana (certifikacijsko tijelo)
Nema certifikacije — nadzor regulatora
Lako opskrbe
A.5.19–A.5.23 (upravljanje dobavljačima)
Eksplicitni zahtjevi za cijeli lanac opskrbe
Verzija
ISO/IEC 27001:2022
Direktiva (EU) 2022/2555
Ključna razlika: ISO 27001 je okvir upravljanja — govori KAKO izgraditi sustav sigurnosti. NIS2 je regulatorni zahtjev — propisuje ŠTO morate učiniti pod prijetnjom kazne. Idealno ih koristite zajedno: ISO 27001 kao metodologiju, NIS2 kao minimalni obvezni standard.
Mapiranje: NIS2 članak 21. i ISO 27001 kontrole
Članak 21. NIS2 propisuje 10 minimalnih područja upravljanja rizicima. Evo kako se mapiraju na ISO 27001:2022:
#
NIS2 čl. 21. — zahtjev
ISO 27001:2022 kontrole
Pokrivenost
1
Politike analize rizika i sigurnosti informacijskih sustava
Klauzule 6.1, 8.2, 8.3 + A.5.1
Potpuna
2
Postupanje s incidentima
A.5.24–A.5.28
Djelomična — nema NIS2 rokova
3
Kontinuitet poslovanja i krizno upravljanje
A.5.29–A.5.30
Potpuna
4
Sigurnost lanca opskrbe
A.5.19–A.5.23
Djelomična — NIS2 ide dalje
5
Sigurnost nabave, razvoja i održavanja sustava
A.8.25–A.8.34
Potpuna
6
Procjena učinkovitosti mjera
Klauzula 9 (praćenje, mjerenje, audit)
Potpuna
7
Kibernetička higijena i obuka
A.6.3 + A.6.8
Potpuna
8
Kriptografija i enkripcija
A.8.24
Potpuna
9
Sigurnost ljudskih resursa i kontrola pristupa
A.6.1–A.6.8, A.5.15–A.5.18, A.8.2–A.8.5
Potpuna
10
Višefaktorska autentifikacija i sigurne komunikacije
A.8.5 + A.8.20–A.8.22
Potpuna
Rezultat mapiranja
Potpuno pokriveno: 7 od 10 područja
Djelomično pokriveno: 2 od 10 (postupanje s incidentima, lanac opskrbe)
Nije pokriveno ISO-om: NIS2-specifični zahtjevi (rokovi prijave, odgovornost uprave, registracija kod regulatora)
Gdje ISO 27001 pokriva NIS2
Upravljanje rizicima (temeljni zahtjev)
ISO 27001 klauzule 6.1 i 8.2 zahtijevaju sustavnu procjenu rizika — identifikaciju prijetnji, ranjivosti i utjecaja. Ovo je potpuno usklađeno s NIS2 zahtjevom za politike analize rizika.
Kontinuitet poslovanja
Kontrole A.5.29 (planiranje kontinuiteta) i A.5.30 (testiranje planova) odgovaraju NIS2 zahtjevu za kontinuitet poslovanja, upravljanje sigurnosnim kopijama i oporavak od katastrofe.
Tehničke sigurnosne mjere
ISO 27001:2022 Annex A kontrole za kriptografiju (A.8.24), kontrolu pristupa (A.8.2–A.8.5), mrežnu sigurnost (A.8.20–A.8.22) i upravljanje ranjivostima (A.8.8) pokrivaju tehničke zahtjeve NIS2.
Edukacija i kibernetička higijena
Kontrola A.6.3 (svijest o sigurnosti) i A.6.8 (prijava sigurnosnih događaja) odgovaraju NIS2 zahtjevu za obuku zaposlenika i prakse kibernetičke higijene.
Procjena učinkovitosti
ISO 27001 klauzula 9 (praćenje, mjerenje, analiza, vrednovanje i interni audit) izravno odgovara NIS2 zahtjevu za procjenu učinkovitosti sigurnosnih mjera.
Praznine: što ISO 27001 ne pokriva
1. Rokovi prijave incidenata regulatoru
ISO 27001 zahtijeva upravljanje incidentima (A.5.24–A.5.28), ali ne propisuje rokove prijave nadležnom tijelu. NIS2 zahtijeva rano upozorenje u 24 sata, detaljnu obavijest u 72 sata i završno izvješće u 1 mjesec.
2. Osobna odgovornost uprave
ISO 27001 zahtijeva predanost uprave (klauzula 5), ali ne predviđa osobne sankcije za članove uprave. NIS2 uvodi osobnu odgovornost, uključujući mogućnost zabrane obavljanja upravljačkih funkcija.
3. Registracija i komunikacija s regulatorom
NIS2 zahtijeva registraciju kod nadležnog tijela (ZSIS u Hrvatskoj), redovito izvješćivanje i suradnju s nacionalnim CSIRT timom (CERT.hr). ISO 27001 nema ekvivalentni zahtjev.
4. Specifični zahtjevi za lanac opskrbe
Iako ISO 27001 pokriva upravljanje dobavljačima (A.5.19–A.5.23), NIS2 ide dalje — zahtijeva procjenu ukupne kvalitete proizvoda i kibernetičkih praksi dobavljača, uključujući postupke razvoja softvera.
5. Obavezna obuka uprave
NIS2 eksplicitno zahtijeva da članovi uprave pohađaju obuku iz kibernetičke sigurnosti. ISO 27001 A.6.3 pokriva opću svijest zaposlenika, ali ne propisuje specifičnu obuku za upravu.
Prijava incidenata — ključna razlika
Ovo je najkritičnija praznina za organizacije koje se oslanjaju samo na ISO 27001:
Aspekt
ISO 27001
NIS2
Interna prijava
Da (A.5.24)
Da
Klasifikacija incidenata
Da (A.5.25)
Da + definicija "značajnog incidenta"
Odgovor i oporavak
Da (A.5.26)
Da
Prijava regulatoru
Ne propisuje
Obavezna — CERT.hr / ZSIS
Rok ranog upozorenja
—
24 sata
Rok detaljne obavijesti
—
72 sata
Završno izvješće
—
1 mjesec
Predlošci prijave
—
Prema CERT.hr smjernicama
Što trebate učiniti: Proširite ISO 27001 procedure za upravljanje incidentima s NIS2-specifičnim koracima — definirajte kriterije "značajnog incidenta", pripremite predloške za CERT.hr, odredite odgovornu osobu za prijavu i testirajte postupak kroz simulacije.
Odgovornost uprave — NIS2 nadilazi ISO
ISO 27001 (klauzula 5)
NIS2 (članak 20.)
Uprava demonstrira predanost
Uprava odobrava mjere upravljanja rizicima
Uprava osigurava resurse
Uprava nadzire provedbu mjera
Uprava definira politiku
Uprava pohađa obaveznu obuku
Nema osobnih sankcija
Osobna odgovornost za neusklađenost
—
Moguća zabrana obavljanja funkcije
Praktična implikacija: Članovi uprave trebaju razumjeti NIS2 zahtjeve na osobnoj razini. Preporučujemo formalni program obuke uprave koji obuhvaća NIS2 obveze, rokove prijave i osobnu odgovornost.
Sigurnost lanca opskrbe
NIS2 članak 21(2)(d) propisuje mjere koje ISO 27001 samo djelomično pokriva:
Pregledajte svih 10 područja iz članka 21. NIS2 i označite koje kontrole iz vašeg ISMS-a ih pokrivaju.
Korak 2: Identifikacija praznina
Fokusirajte se na pet ključnih praznina:
Procedure prijave incidenata s NIS2 rokovima
Formalizirana odgovornost i obuka uprave
Prošireni zahtjevi za lanac opskrbe
Registracija kod nadležnog tijela
NIS2-specifična dokumentacija
Korak 3: Prioritizacija i plan zatvaranja praznina
Praznina
Prioritet
Procijenjeno trajanje
Prijava incidenata (24h/72h)
Kritično
2–4 tjedna
Odgovornost i obuka uprave
Visoko
1–2 tjedna
Registracija kod ZSIS-a
Visoko
1 tjedan
Proširenje zahtjeva za dobavljače
Srednje
4–8 tjedana
Dokumentacija NIS2 usklađenosti
Srednje
2–4 tjedna
Korak 4: Provedba i testiranje
Implementirajte nedostajuće kontrole, ažurirajte postojeće procedure i provedite testiranje (osobito simulacije prijave incidenata u roku od 24 sata).
Koristi ISO 27001 certifikata za NIS2
Unatoč prazninama, ISO 27001 pruža značajnu prednost organizacijama koje se usklađuju s NIS2:
Gotov okvir upravljanja — ISMS već postoji; treba ga samo proširiti
Procjena rizika — metodologija i rezultati izravno su primjenjivi
Dokumentacija — politike, procedure i zapisi već postoje
Kultura sigurnosti — zaposlenici su navikli na sigurnosne prakse
Interni audit — mehanizam provjere već funkcionira
Kredibilitet pred regulatorom — ISO 27001 certifikat pokazuje ozbiljnost pristupa
Brža usklađenost — procjena za certificirane organizacije: 2–3 mjeseca vs 6–12 za necertificirane
Smjernice ENISA-e
Europska agencija za kibernetičku sigurnost (ENISA) objavila je smjernice o odnosu ISO 27001 i NIS2:
ISO 27001 se preporučuje kao referentni okvir za provedbu NIS2 mjera
Certifikat ne zamjenjuje NIS2 usklađenost, ali olakšava dokazivanje
ENISA potiče nacionalna tijela da uzmu u obzir postojeće ISO certifikate pri ocjeni usklađenosti
Preporuča se korištenje i ISO 27002:2022 za detaljne smjernice o provedbi kontrola
FAQ
Je li ISO 27001 dovoljan za NIS2 usklađenost?
Ne, ISO 27001 sam po sebi nije dovoljan. Pokriva oko 70–80% zahtjeva, ali praznine (prijava incidenata, osobna odgovornost uprave, prošireni zahtjevi za lanac opskrbe) moraju se zatvoriti dodatnim mjerama.
Hoće li regulator blaže postupati prema certificiranim organizacijama?
NIS2 ne propisuje blaže postupanje, ali u praksi ISO 27001 certifikat dokazuje sustavni pristup sigurnosti. ENISA preporučuje da nacionalna tijela uzmu u obzir postojeće certifikate. U Hrvatskoj, konačna praksa ZSIS-a tek se uspostavlja.
Trebam li održavati i ISO 27001 i NIS2 usklađenost paralelno?
Ako ste certificirani po ISO 27001, preporučujemo da proširite postojeći ISMS umjesto izgradnje zasebnog sustava za NIS2. Jedan integrirani sustav lakše je održavati i dokazuje usklađenost s oba okvira.
Koji je ISO 27001 obavezan — verzija 2013 ili 2022?
Za NIS2 usklađenost relevantna je verzija 2022 koja uključuje nove kontrole (npr. sigurnost u oblaku, prijetnje u okruženju). Prijelaz s verzije 2013 trebao je biti dovršen do listopada 2025.
Postoji li ISO standard specifično za NIS2?
Ne postoji specifični ISO standard za NIS2. Međutim, kombinacija ISO 27001 (ISMS), ISO 27002 (kontrole), ISO 22301 (kontinuitet poslovanja) i ISO 27035 (upravljanje incidentima) pokriva gotovo sve NIS2 zahtjeve.
Zaključak
ISO 27001 i NIS2 nisu konkurentni okviri — oni su komplementarni. ISO 27001 pruža metodologiju i strukturu, NIS2 propisuje minimalne zahtjeve pod prijetnjom kazne. Organizacije koje imaju ISO 27001 certifikat kreću s ogromnom prednošću, ali moraju zatvoriti specifične NIS2 praznine — osobito u prijavi incidenata, odgovornosti uprave i sigurnosti lanca opskrbe.
Ključne preporuke: (1) Provedite gap analizu između postojećeg ISMS-a i NIS2 zahtjeva. (2) Priorizirajte prijavu incidenata — to je najkritičnija praznina. (3) Formalizirajte odgovornost i obuku uprave. (4) Proširite zahtjeve za lanac opskrbe. (5) Integrirajte NIS2 zahtjeve u postojeći ISMS umjesto izgradnje paralelnog sustava.
Trebate gap analizu ISO 27001 vs NIS2? Vision Compliance provodi stručnu analizu praznina i priprema plan usklađivanja prilagođen vašoj organizaciji. Zakažite besplatnu konzultaciju i utvrdite koliko ste daleko od pune NIS2 usklađenosti.
Izvori: ISO/IEC 27001:2022, ISO/IEC 27002:2022, Direktiva (EU) 2022/2555 (NIS2), ENISA NIS2 smjernice, Zakon o kibernetičkoj sigurnosti (NN 14/24)
Robert Lozo·Partner·mag. iur.
Robert Lozo, mag. iur., partner je u Vision Complianceu specijaliziran za usklađenost s EU regulativom. Savjetuje organizacije o GDPR-u, NIS2, AI Actu i financijskoj regulativi te izrađuje dokumentaciju spremnu za reviziju i planove usklađenosti u reguliranim industrijama.
