„Imamo ISO 27001. Znači li to da smo usklađeni s NIS2?" Ovo je pitanje koje najčešće čujemo od hrvatskih poduzeća. Kratki odgovor: pokriveni ste oko 70 do 80%, ali preostale praznine mogu vas koštati milijune.
ISO 27001 certifikat pruža odličnu osnovu: ISMS, procjena rizika, kontrole i interni auditi već postoje. Ali NIS2 ide dalje: propisuje obveznu prijavu incidenata u 24 sata, uvodi osobnu odgovornost uprave i zahtijeva detaljniju sigurnost lanca opskrbe. U ovom vodiču detaljno mapiramo svih 10 NIS2 područja na ISO 27001:2022 kontrole, identificiramo točne praznine i dajemo plan za njihovo zatvaranje. Za širi pregled NIS2, pogledajte kompletni NIS2 vodič.
Sažetak i ključne točke
- ISO 27001 pokriva oko 70 do 80% NIS2 zahtjeva za upravljanje rizicima (članak 21.).
- Najveće praznine su: prijava incidenata u 24h, osobna odgovornost uprave, sigurnost lanca opskrbe i NIS2-specifično izvješćivanje.
- ISO 27001 certifikat nije zakonski obvezan prema NIS2, ali ENISA ga preporučuje kao referentni okvir.
- Organizacije s postojećim ISO 27001 imaju značajnu prednost: treba im gap analiza, ne potpuna izgradnja sustava.
- Gap analiza između ISO 27001 i NIS2 ključni je prvi korak za certificirane organizacije.
Sadržaj
- ISO 27001 vs NIS2: temeljne razlike
- Mapiranje: NIS2 članak 21. i ISO 27001 kontrole
- Gdje ISO 27001 pokriva NIS2
- Praznine: što ISO 27001 ne pokriva
- Prijava incidenata: ključna razlika
- Odgovornost uprave: NIS2 nadilazi ISO
- Sigurnost lanca opskrbe
- Kako provesti gap analizu
- Koristi ISO 27001 certifikata za NIS2
- Smjernice ENISA-e
- FAQ
- Zaključak
ISO 27001 vs NIS2: temeljne razlike
| Aspekt | ISO 27001 | NIS2 |
|---|---|---|
| Vrsta | Dobrovoljni međunarodni standard | Obvezujuća EU direktiva |
| Izdavač | ISO/IEC | Europski parlament i Vijeće |
| Opseg | Sve organizacije (bilo koja veličina, sektor) | 18 sektora, srednja i velika poduzeća |
| Fokus | Sustav upravljanja informacijskom sigurnošću (ISMS) | Kibernetička sigurnost mrežnih i informacijskih sustava |
| Kazne | Nema (gubitak certifikata) | Do 10M EUR ili 2% globalnog prometa |
| Prijava incidenata | Ne propisuje rokove prema regulatoru | 24h + 72h + 1 mjesec prema CERT.hr |
| Odgovornost uprave | Zahtijeva predanost uprave | Osobna odgovornost, moguća zabrana funkcije |
| Certifikacija | Treća strana (certifikacijsko tijelo) | Nema certifikacije: nadzor regulatora |
| Lako opskrbe | A.5.19-A.5.23 (upravljanje dobavljačima) | Eksplicitni zahtjevi za cijeli lanac opskrbe |
| Verzija | ISO/IEC 27001:2022 | Direktiva (EU) 2022/2555 |
Ključna razlika: ISO 27001 je okvir upravljanja: govori KAKO izgraditi sustav sigurnosti. NIS2 je regulatorni zahtjev: propisuje ŠTO morate učiniti pod prijetnjom kazne. Idealno ih koristite zajedno: ISO 27001 kao metodologiju, NIS2 kao minimalni obvezni standard.
Mapiranje: NIS2 članak 21. i ISO 27001 kontrole
Članak 21. NIS2 propisuje 10 minimalnih područja upravljanja rizicima. Evo kako se mapiraju na ISO 27001:2022:
| # | NIS2 čl. 21. zahtjev | ISO 27001:2022 kontrole | Pokrivenost |
|---|---|---|---|
| 1 | Politike analize rizika i sigurnosti informacijskih sustava | Klauzule 6.1, 8.2, 8.3 + A.5.1 | Potpuna |
| 2 | Postupanje s incidentima | A.5.24-A.5.28 | Djelomična: nema NIS2 rokova |
| 3 | Kontinuitet poslovanja i krizno upravljanje | A.5.29-A.5.30 | Potpuna |
| 4 | Sigurnost lanca opskrbe | A.5.19-A.5.23 | Djelomična: NIS2 ide dalje |
| 5 | Sigurnost nabave, razvoja i održavanja sustava | A.8.25-A.8.34 | Potpuna |
| 6 | Procjena učinkovitosti mjera | Klauzula 9 (praćenje, mjerenje, audit) | Potpuna |
| 7 | Kibernetička higijena i obuka | A.6.3 + A.6.8 | Potpuna |
| 8 | Kriptografija i enkripcija | A.8.24 | Potpuna |
| 9 | Sigurnost ljudskih resursa i kontrola pristupa | A.6.1-A.6.8, A.5.15-A.5.18, A.8.2-A.8.5 | Potpuna |
| 10 | Višefaktorska autentifikacija i sigurne komunikacije | A.8.5 + A.8.20-A.8.22 | Potpuna |
Rezultat mapiranja
- Potpuno pokriveno: 7 od 10 područja
- Djelomično pokriveno: 2 od 10 (postupanje s incidentima, lanac opskrbe)
- Nije pokriveno ISO-om: NIS2-specifični zahtjevi (rokovi prijave, odgovornost uprave, registracija kod regulatora)
Gdje ISO 27001 pokriva NIS2
Upravljanje rizicima (temeljni zahtjev)
ISO 27001 klauzule 6.1 i 8.2 zahtijevaju sustavnu procjenu rizika: identifikaciju prijetnji, ranjivosti i utjecaja. Ovo je potpuno usklađeno s NIS2 zahtjevom za politike analize rizika.
Kontinuitet poslovanja
Kontrole A.5.29 (planiranje kontinuiteta) i A.5.30 (testiranje planova) odgovaraju NIS2 zahtjevu za kontinuitet poslovanja, upravljanje sigurnosnim kopijama i oporavak od katastrofe.
Tehničke sigurnosne mjere
ISO 27001:2022 Annex A kontrole za kriptografiju (A.8.24), kontrolu pristupa (A.8.2-A.8.5), mrežnu sigurnost (A.8.20-A.8.22) i upravljanje ranjivostima (A.8.8) pokrivaju tehničke zahtjeve NIS2.
Edukacija i kibernetička higijena
Kontrola A.6.3 (svijest o sigurnosti) i A.6.8 (prijava sigurnosnih događaja) odgovaraju NIS2 zahtjevu za obuku zaposlenika i prakse kibernetičke higijene.
Procjena učinkovitosti
ISO 27001 klauzula 9 (praćenje, mjerenje, analiza, vrednovanje i interni audit) izravno odgovara NIS2 zahtjevu za procjenu učinkovitosti sigurnosnih mjera.
Praznine: što ISO 27001 ne pokriva
1. Rokovi prijave incidenata regulatoru
ISO 27001 zahtijeva upravljanje incidentima (A.5.24-A.5.28), ali ne propisuje rokove prijave nadležnom tijelu. NIS2 zahtijeva rano upozorenje u 24 sata, detaljnu obavijest u 72 sata i završno izvješće u 1 mjesec.
2. Osobna odgovornost uprave
ISO 27001 zahtijeva predanost uprave (klauzula 5), ali ne predviđa osobne sankcije za članove uprave. NIS2 uvodi osobnu odgovornost, uključujući mogućnost zabrane obavljanja upravljačkih funkcija.
3. Registracija i komunikacija s regulatorom
NIS2 zahtijeva registraciju kod nadležnog tijela (ZSIS u Hrvatskoj), redovito izvješćivanje i suradnju s nacionalnim CSIRT timom (CERT.hr). ISO 27001 nema ekvivalentni zahtjev.
4. Specifični zahtjevi za lanac opskrbe
Iako ISO 27001 pokriva upravljanje dobavljačima (A.5.19-A.5.23), NIS2 ide dalje: zahtijeva procjenu ukupne kvalitete proizvoda i kibernetičkih praksi dobavljača, uključujući postupke razvoja softvera.
5. Obavezna obuka uprave
NIS2 eksplicitno zahtijeva da članovi uprave pohađaju obuku iz kibernetičke sigurnosti. ISO 27001 A.6.3 pokriva opću svijest zaposlenika, ali ne propisuje specifičnu obuku za upravu.
Prijava incidenata: ključna razlika
Ovo je najkritičnija praznina za organizacije koje se oslanjaju samo na ISO 27001:
| Aspekt | ISO 27001 | NIS2 |
|---|---|---|
| Interna prijava | Da (A.5.24) | Da |
| Klasifikacija incidenata | Da (A.5.25) | Da + definicija "značajnog incidenta" |
| Odgovor i oporavak | Da (A.5.26) | Da |
| Prijava regulatoru | Ne propisuje | Obavezna: CERT.hr / ZSIS |
| Rok ranog upozorenja | - | 24 sata |
| Rok detaljne obavijesti | - | 72 sata |
| Završno izvješće | - | 1 mjesec |
| Predlošci prijave | - | Prema CERT.hr smjernicama |
Što trebate učiniti: Proširite ISO 27001 procedure za upravljanje incidentima s NIS2-specifičnim koracima: definirajte kriterije "značajnog incidenta", pripremite predloške za CERT.hr, odredite odgovornu osobu za prijavu i testirajte postupak kroz simulacije.
Odgovornost uprave: NIS2 nadilazi ISO
| ISO 27001 (klauzula 5) | NIS2 (članak 20.) |
|---|---|
| Uprava demonstrira predanost | Uprava odobrava mjere upravljanja rizicima |
| Uprava osigurava resurse | Uprava nadzire provedbu mjera |
| Uprava definira politiku | Uprava pohađa obaveznu obuku |
| Nema osobnih sankcija | Osobna odgovornost za neusklađenost |
| - | Moguća zabrana obavljanja funkcije |
Praktična implikacija: Članovi uprave trebaju razumjeti NIS2 zahtjeve na osobnoj razini. Preporučujemo formalni program obuke uprave koji obuhvaća NIS2 obveze, rokove prijave i osobnu odgovornost.
Sigurnost lanca opskrbe
NIS2 članak 21(2)(d) propisuje mjere koje ISO 27001 samo djelomično pokriva:
| Zahtjev | ISO 27001 | NIS2 |
|---|---|---|
| Politika upravljanja dobavljačima | A.5.19 Da | Da |
| Sigurnosni zahtjevi u ugovorima | A.5.20 Da | Da |
| Upravljanje IKT lancem opskrbe | A.5.21 Da | Da + širi opseg |
| Praćenje dobavljača | A.5.22 Da | Da |
| Procjena kvalitete proizvoda dobavljača | Nije eksplicitno | Obavezno |
| Procjena kibernetičkih praksi dobavljača | Djelomično | Obavezno |
| Postupci razvoja softvera dobavljača | Nije eksplicitno | Obavezno |
| Koordinirano otkrivanje ranjivosti | Nije eksplicitno | Obavezno |
Više o sigurnosti lanca opskrbe: NIS2 sigurnost opskrbnog lanca: zahtjevi za dobavljače.
Kako provesti gap analizu
Korak 1: Mapiranje postojećeg ISMS-a na NIS2
Pregledajte svih 10 područja iz članka 21. NIS2 i označite koje kontrole iz vašeg ISMS-a ih pokrivaju.
Korak 2: Identifikacija praznina
Fokusirajte se na pet ključnih praznina:
- Procedure prijave incidenata s NIS2 rokovima
- Formalizirana odgovornost i obuka uprave
- Prošireni zahtjevi za lanac opskrbe
- Registracija kod nadležnog tijela
- NIS2-specifična dokumentacija
Korak 3: Prioritizacija i plan zatvaranja praznina
| Praznina | Prioritet | Procijenjeno trajanje |
|---|---|---|
| Prijava incidenata (24h/72h) | Kritično | 2 do 4 tjedna |
| Odgovornost i obuka uprave | Visoko | 1 do 2 tjedna |
| Registracija kod ZSIS-a | Visoko | 1 tjedan |
| Proširenje zahtjeva za dobavljače | Srednje | 4 do 8 tjedana |
| Dokumentacija NIS2 usklađenosti | Srednje | 2 do 4 tjedna |
Korak 4: Provedba i testiranje
Implementirajte nedostajuće kontrole, ažurirajte postojeće procedure i provedite testiranje (osobito simulacije prijave incidenata u roku od 24 sata).
Koristi ISO 27001 certifikata za NIS2
Unatoč prazninama, ISO 27001 pruža značajnu prednost organizacijama koje se usklađuju s NIS2:
- Gotov okvir upravljanja: ISMS već postoji; treba ga samo proširiti
- Procjena rizika: metodologija i rezultati izravno su primjenjivi
- Dokumentacija: politike, procedure i zapisi već postoje
- Kultura sigurnosti: zaposlenici su navikli na sigurnosne prakse
- Interni audit: mehanizam provjere već funkcionira
- Kredibilitet pred regulatorom: ISO 27001 certifikat pokazuje ozbiljnost pristupa
- Brža usklađenost: procjena za certificirane organizacije: 2 do 3 mjeseca vs 6 do 12 za necertificirane
Smjernice ENISA-e
Europska agencija za kibernetičku sigurnost (ENISA) objavila je smjernice o odnosu ISO 27001 i NIS2:
- ISO 27001 se preporučuje kao referentni okvir za provedbu NIS2 mjera
- Certifikat ne zamjenjuje NIS2 usklađenost, ali olakšava dokazivanje
- ENISA potiče nacionalna tijela da uzmu u obzir postojeće ISO certifikate pri ocjeni usklađenosti
- Preporuča se korištenje i ISO 27002:2022 za detaljne smjernice o provedbi kontrola
FAQ
Pokriva li ISO 27001 sve NIS2 zahtjeve?
Ne u potpunosti. ISO 27001 pokriva oko 70 do 80 posto mjera upravljanja rizicima. NIS2 dodaje prijavu incidenta u 24 sata, odgovornost uprave i sigurnost lanca opskrbe. Te praznine zatvara gap analiza. Premostite razlike.
Trebamo li ISO 27001 certifikat za NIS2?
Certifikat nije zakonski uvjet, ali je snažan temelj i dokaz pred regulatorom. Ako ga već imate, iskoristite ga i nadogradite na NIS2 zahtjeve. Ako ga nemate, ISMS prema ISO 27001 ubrzava usklađivanje.
Koliko traje premošćivanje razlika ISO prema NIS2?
Za organizaciju s urednim ISMS-om gap analiza i plan obično traju nekoliko tjedana. Provedba dodatnih mjera ovisi o opsegu. Najduže traje uspostava procedure prijave i upravljanja lancem opskrbe.
Je li ISO 27001 dovoljan za NIS2 usklađenost?
Ne, ISO 27001 sam po sebi nije dovoljan. Pokriva oko 70 do 80% zahtjeva, ali praznine (prijava incidenata, osobna odgovornost uprave, prošireni zahtjevi za lanac opskrbe) moraju se zatvoriti dodatnim mjerama.
Hoće li regulator blaže postupati prema certificiranim organizacijama?
NIS2 ne propisuje blaže postupanje, ali u praksi ISO 27001 certifikat dokazuje sustavni pristup sigurnosti. ENISA preporučuje da nacionalna tijela uzmu u obzir postojeće certifikate. U Hrvatskoj, konačna praksa ZSIS-a tek se uspostavlja.
Trebam li održavati i ISO 27001 i NIS2 usklađenost paralelno?
Ako ste certificirani po ISO 27001, preporučujemo da proširite postojeći ISMS umjesto izgradnje zasebnog sustava za NIS2. Jedan integrirani sustav lakše je održavati i dokazuje usklađenost s oba okvira.
Koji je ISO 27001 obavezan: verzija 2013 ili 2022?
Za NIS2 usklađenost relevantna je verzija 2022 koja uključuje nove kontrole (npr. sigurnost u oblaku, prijetnje u okruženju). Prijelaz s verzije 2013 trebao je biti dovršen do listopada 2025.
Postoji li ISO standard specifično za NIS2?
Ne postoji specifični ISO standard za NIS2. Međutim, kombinacija ISO 27001 (ISMS), ISO 27002 (kontrole), ISO 22301 (kontinuitet poslovanja) i ISO 27035 (upravljanje incidentima) pokriva gotovo sve NIS2 zahtjeve.
Zaključak
ISO 27001 i NIS2 nisu konkurentni okviri. Oni su komplementarni. ISO 27001 pruža metodologiju i strukturu, NIS2 propisuje minimalne zahtjeve pod prijetnjom kazne. Organizacije koje imaju ISO 27001 certifikat kreću s ogromnom prednošću, ali moraju zatvoriti specifične NIS2 praznine, osobito u prijavi incidenata, odgovornosti uprave i sigurnosti lanca opskrbe.
Ključne preporuke: (1) Provedite gap analizu između postojećeg ISMS-a i NIS2 zahtjeva. (2) Priorizirajte prijavu incidenata, to je najkritičnija praznina. (3) Formalizirajte odgovornost i obuku uprave. (4) Proširite zahtjeve za lanac opskrbe. (5) Integrirajte NIS2 zahtjeve u postojeći ISMS umjesto izgradnje paralelnog sustava.
Trebate gap analizu ISO 27001 vs NIS2? Vision Compliance provodi stručnu analizu praznina i priprema plan usklađivanja prilagođen vašoj organizaciji. Zakažite besplatnu konzultaciju i utvrdite koliko ste daleko od pune NIS2 usklađenosti.
Povezani članci
- NIS2 direktiva: Kompletni vodič za hrvatska poduzeća: Sve o NIS2 obvezama, rokovima i kaznama
- ISO 27001 certifikat: Kompletni vodič: Koraci do certifikacije i upravljanje sigurnošću
- NIS2 kategorizacija: Tko su obveznici?: Utvrđivanje statusa i razvrstavanja po NIS2
Izvori: ISO/IEC 27001:2022, ISO/IEC 27002:2022, Direktiva (EU) 2022/2555 (NIS2), ENISA NIS2 smjernice, Zakon o kibernetičkoj sigurnosti (NN 14/24)
Robert Lozo, mag. iur., partner je u Vision Complianceu specijaliziran za usklađenost s EU regulativom. Savjetuje organizacije o GDPR-u, NIS2, AI Actu i financijskoj regulativi te izrađuje dokumentaciju spremnu za reviziju i planove usklađenosti u reguliranim industrijama.