„Potpada li moja tvrtka pod NIS2?" To je prvo pitanje koje si postavlja svaki direktor nakon što čuje za novu kibernetičku regulativu. Odgovor ovisi o tri faktora: djelatnosti, veličini i posebnim iznimkama. Mnoga hrvatska poduzeća pogrešno zaključe da ih NIS2 ne obuhvaća, dok su zapravo obveznici s punim opsegom regulatornih zahtjeva.
U ovom vodiču detaljno objašnjavamo kriterije kategorizacije: svih 18 sektora s konkretnim primjerima hrvatskih tvrtki, pragove veličine, automatske iznimke i postupak samoprocjene. Za širi pregled NIS2 direktive i svih obveza, pogledajte naš kompletni NIS2 vodič za hrvatska poduzeća.
Sažetak i ključne točke
- NIS2 pokriva 18 sektora razvrstanih u dvije skupine: visoka kritičnost i ostali kritični sektori.
- Organizacije se razvrstavaju u ključne ili važne subjekte prema djelatnosti i veličini.
- Glavni kriteriji veličine: ≥250 zaposlenika ili >50M EUR prometa (ključni), ≥50 zaposlenika ili >10M EUR (važni).
- Postoje iznimke: neki subjekti su automatski ključni neovisno o veličini.
- Kategorizaciju u Hrvatskoj provodi ZSIS na temelju popisa koji je trebao biti dovršen do travnja 2025.
- Pogrešna samoprocjena ne oslobađa od obveza, provjerite svoj status stručnom analizom.
Sadržaj
- Zašto je kategorizacija važna?
- Dvije kategorije subjekata
- Sektori visoke kritičnosti (Prilog I)
- Ostali kritični sektori (Prilog II)
- Kriteriji veličine
- Automatski ključni subjekti: iznimke
- Kako provesti samoprocjenu
- Kategorizacija u Hrvatskoj: uloga ZSIS-a
- Razlike u obvezama: ključni vs važni subjekti
- Najčešće pogreške pri kategorizaciji
- FAQ
- Zaključak
Zašto je kategorizacija važna?
Kategorizacija nije samo administrativna formalnost. Od nje ovise:
| Aspekt | Utjecaj kategorizacije |
|---|---|
| Razina nadzora | Ključni subjekti podliježu proaktivnom nadzoru; važni reaktivnom |
| Visina kazni | Do 10M EUR / 2% prometa za ključne; do 7M EUR / 1,4% za važne |
| Opseg obveza | Ključni subjekti imaju strože zahtjeve za izvješćivanje i reviziju |
| Rokovi prijave | Jednaki za obje kategorije (24h / 72h / 1 mjesec), ali nadzor se razlikuje |
| Odgovornost uprave | Osobna odgovornost članova uprave u obje kategorije |
Važno: Organizacija koja pogrešno zaključi da ne potpada pod NIS2 nije time oslobođena obveza. Ako regulator utvrdi da jest obuhvaćena, primjenjuju se sve obveze retroaktivno, uključujući kazne za neusklađenost.
Dvije kategorije subjekata
NIS2 razlikuje ključne subjekte (engl. essential entities) i važne subjekte (engl. important entities). Oba tipa imaju sigurnosne obveze, ali razlikuju se u razini nadzora i kaznama.
| Obilježje | Ključni subjekt | Važni subjekt |
|---|---|---|
| Sektori | Prilog I (visoka kritičnost) | Prilog I ili Prilog II |
| Veličina | Velika poduzeća (≥250 zaposlenika ili >50M EUR) | Srednja poduzeća (≥50 zaposlenika ili >10M EUR) |
| Nadzor | Proaktivni (redovite revizije) | Reaktivni (nakon incidenta ili prijave) |
| Kazne | Do 10M EUR ili 2% globalnog prometa | Do 7M EUR ili 1,4% globalnog prometa |
| Posebne mjere | Moguća zabrana obavljanja funkcije za upravu | Novčane kazne i obvezujuće upute |
Sektori visoke kritičnosti (Prilog I)
Ovih 11 sektora čini jezgru NIS2 regulacije. Velike organizacije u ovim sektorima automatski su ključni subjekti:
| # | Sektor | Podsektori | Primjeri u Hrvatskoj |
|---|---|---|---|
| 1 | Energetika | Električna energija, nafta, plin, centralizirano grijanje, vodik | HEP, INA, Plinacro |
| 2 | Promet | Zračni, željeznički, vodeni, cestovni | Croatia Airlines, HŽ, Jadrolinija, HAC |
| 3 | Bankarstvo | Kreditne institucije | Sve banke s dozvolom HNB-a |
| 4 | Financijska tržišta | Mjesta trgovanja, središnje druge ugovorne strane | Zagrebačka burza, SKDD |
| 5 | Zdravstvo | Bolnice, laboratoriji, proizvođači lijekova | KBC-ovi, Pliva, Belupo |
| 6 | Voda za piće | Dobavljači i distributeri | Vodoopskrbna poduzeća |
| 7 | Otpadne vode | Prikupljanje, odvodnja, pročišćavanje | Komunalna poduzeća |
| 8 | Digitalna infrastruktura | DNS, TLD registri, cloud, podatkovni centri, CDN | CARNet (.hr), cloud pružatelji |
| 9 | IKT usluge (B2B) | Upravljane usluge, upravljane sigurnosne usluge (MSSP) | IT tvrtke s B2B upravljanim uslugama |
| 10 | Javna uprava | Središnja i regionalna tijela vlasti | Ministarstva, agencije, županije |
| 11 | Svemir | Operatori zemaljske infrastrukture | - |
Ostali kritični sektori (Prilog II)
Ovih 7 sektora obuhvaća dodatne djelatnosti. Organizacije u ovim sektorima razvrstavaju se kao važni subjekti:
| # | Sektor | Podsektori | Primjeri u Hrvatskoj |
|---|---|---|---|
| 1 | Poštanske i kurirske usluge | Pružatelji poštanskih usluga | HP, DPD, GLS, DHL |
| 2 | Gospodarenje otpadom | Prikupljanje i obrada | Čistoća, ZGOS |
| 3 | Kemikalije | Proizvodnja i distribucija | Petrokemija, kemijska industrija |
| 4 | Hrana | Proizvodnja, prerada, distribucija | Podravka, Vindija, Konzum (distribucija) |
| 5 | Proizvodnja | Medicinski uređaji, elektronika, strojevi, vozila | Proizvođači medicinskih uređaja, elektronike |
| 6 | Digitalni pružatelji usluga | Online tržišta, tražilice, platforme društvenih mreža | Njuškalo, domaće platforme |
| 7 | Istraživanje | Istraživačke organizacije | Instituti, sveučilišta (ako su identificirani) |
Napomena: Organizacija iz Priloga II može biti razvrstana i kao ključni subjekt ako ispunjava kriterije veličine za ključne subjekte (>250 zaposlenika ili >50M EUR).
Kriteriji veličine
NIS2 koristi EU definiciju veličine poduzeća (Preporuka Komisije 2003/361/EZ):
| Kategorija | Zaposlenici | Godišnji promet | Bilanca |
|---|---|---|---|
| Mikro poduzeće | manje od 10 | ≤2M EUR | ≤2M EUR |
| Malo poduzeće | manje od 50 | ≤10M EUR | ≤10M EUR |
| Srednje poduzeće | manje od 250 | ≤50M EUR | ≤43M EUR |
| Veliko poduzeće | ≥250 | >50M EUR | >43M EUR |
Kako se kriteriji primjenjuju na NIS2?
- Ključni subjekt: Veliko poduzeće u sektoru visoke kritičnosti (Prilog I)
- Važni subjekt: Srednje poduzeće u sektoru visoke kritičnosti (Prilog I) ILI srednje ili veliko poduzeće u ostalom kritičnom sektoru (Prilog II)
- Izvan opsega: Mala i mikro poduzeća (u pravilu), osim iznimaka
| Veličina | Prilog I (visoka kritičnost) | Prilog II (ostali kritični) |
|---|---|---|
| Veliko (≥250 ili >50M) | Ključni subjekt | Važni subjekt (ili ključni) |
| Srednje (≥50 ili >10M) | Važni subjekt | Važni subjekt |
| Malo (manje od 50 i ≤10M) | Izvan opsega* | Izvan opsega* |
| Mikro (manje od 10 i ≤2M) | Izvan opsega* | Izvan opsega* |
*Osim iznimaka navedenih u sljedećem odjeljku.
Upozorenje o povezanim poduzećima: Ako je vaša tvrtka dio veće grupe, kriteriji veličine mogu se računati na razini cijele grupe. Tvrtka s 30 zaposlenika koja je podružnica korporacije s 500 zaposlenika može biti obuhvaćena NIS2.
Automatski ključni subjekti: iznimke
Određeni subjekti su automatski ključni neovisno o veličini. NIS2 članak 3. definira sljedeće iznimke:
| Vrsta subjekta | Razlog automatske kategorizacije |
|---|---|
| Kvalificirani pružatelji usluga povjerenja | Kritična uloga u digitalnom identitetu i e-potpisu |
| TLD registri (.hr) | Funkcioniranje nacionalne domene |
| DNS pružatelji usluga | Kritična internetska infrastruktura |
| Pružatelji javnih elektroničkih komunikacijskih mreža | Temeljna komunikacijska infrastruktura |
| Tijela javne uprave središnje razine | Funkcioniranje države |
| Subjekti koje država posebno identificira | Specifični nacionalni rizici |
| Subjekti identificirani kao kritični prema CER direktivi | Fizička kritična infrastruktura |
Primjer: Mala tvrtka s 15 zaposlenika koja pruža DNS hosting usluge automatski je ključni subjekt. Kriterij veličine ne vrijedi za nju. Podliježe punom opsegu NIS2 obveza uključujući kazne do 10M EUR.
Kako provesti samoprocjenu
Korak 1: Identificirajte svoju djelatnost
Pregledajte Prilog I i Prilog II NIS2 direktive (ili Zakon o kibernetičkoj sigurnosti). Utvrdite pripada li vaša primarna djelatnost nekom od 18 sektora.
Korak 2: Provjerite veličinu poduzeća
Izračunajte tri kriterija na razini grupe (ako ste dio veće grupacije):
- Broj zaposlenika (ekvivalent punog radnog vremena)
- Godišnji promet
- Ukupna bilanca
Korak 3: Provjerite iznimke
Utvrdite primjenjuje li se neka od automatskih kategorizacija na vaše poduzeće, čak i ako ste mali ili mikro subjekt.
Korak 4: Odredite kategoriju
Na temelju koraka 1 do 3 utvrdite jeste li ključni subjekt, važni subjekt ili izvan opsega NIS2.
Korak 5: Dokumentirajte analizu
Zabilježite temelje za svoju procjenu. Ako regulator zatraži obrazloženje, trebat ćete dokumentiranu analizu.
Savjet: Ako ste u nedoumici, pretpostavite da ste obuhvaćeni. Troškovi usklađivanja daleko su manji od kazni za neusklađenost. Konzultirajte ZSIS ili angažirajte stručnjake za konačnu potvrdu.
Kategorizacija u Hrvatskoj: uloga ZSIS-a
Postupak popisa obveznika
Prema hrvatskom Zakonu o kibernetičkoj sigurnosti, Zavod za sigurnost informacijskih sustava (ZSIS) vodi postupak identifikacije i popisa ključnih i važnih subjekata.
| Faza | Opis | Rok |
|---|---|---|
| Samoidentifikacija | Organizacije same procjenjuju potpada li njihova djelatnost pod NIS2 | Odmah po stupanju Zakona na snagu |
| Popis subjekata | ZSIS sastavlja nacionalni popis ključnih i važnih subjekata | Travanj 2025. |
| Obavijest | ZSIS obavještava subjekte o njihovom statusu | Nakon završetka popisa |
| Ažuriranje | Popis se redovito preispituje i ažurira | Kontinuirano |
Što ako niste na popisu?
Ako ZSIS nije identificirao vašu organizaciju, to ne znači automatski da niste obuhvaćeni. Regulativa se primjenjuje na temelju objektivnih kriterija (djelatnost + veličina), ne samo na temelju popisa.
Razlike u obvezama: ključni vs važni subjekti
Obje kategorije moraju ispuniti 10 minimalnih sigurnosnih područja iz članka 21. NIS2. Razlike su u nadzoru:
| Aspekt | Ključni subjekti | Važni subjekti |
|---|---|---|
| Sigurnosne mjere | Svih 10 minimalnih područja | Svih 10 minimalnih područja |
| Prijava incidenata | 24h + 72h + 1 mjesec | 24h + 72h + 1 mjesec |
| Vrsta nadzora | Proaktivni: redovite revizije | Reaktivni: nakon incidenta ili dojave |
| Redovite revizije | Da, bez posebnog povoda | Ne, samo po potrebi |
| Kazne | Do 10M EUR ili 2% prometa | Do 7M EUR ili 1,4% prometa |
| Zabrana funkcije | Moguća za članove uprave | Samo novčane kazne |
| Javna objava kršenja | Da | Da |
Detaljnije o kaznama i odgovornosti uprave: NIS2 kazne i osobna odgovornost uprave.
Najčešće pogreške pri kategorizaciji
1. „Mi smo premali za NIS2"
Mnoga poduzeća pretpostavljaju da ih NIS2 ne obuhvaća jer imaju manje od 250 zaposlenika. Kriterij za važne subjekte je samo 50 zaposlenika ili 10M EUR prometa. Uz to, iznimke za automatski ključne subjekte ne poznaju donju granicu veličine.
2. Ignoriranje kriterija na razini grupe
Ako je vaša tvrtka podružnica većeg koncerna, veličina se računa na razini grupe. Tvrtka s 20 zaposlenika može biti obuhvaćena ako je njena matična tvrtka velika.
3. Fokus samo na primarnu djelatnost
Ako vaša tvrtka uz primarnu djelatnost pruža i usluge iz NIS2 sektora (npr. IT tvrtka koja pruža upravljane sigurnosne usluge), ta sekundarna djelatnost može vas obuhvatiti.
4. Čekanje na obavijest od ZSIS-a
NIS2 se primjenjuje na temelju objektivnih kriterija. Čekati da vas netko obavijesti nije strategija usklađivanja. Provedite samoprocjenu odmah.
5. Pogrešno tumačenje podsektora
„Proizvodnja" u Prilogu II obuhvaća samo specifične podsektore (medicinski uređaji, elektronika, strojevi, vozila), ne svu proizvodnju. Pažljivo provjerite podsektor, ne samo sektor.
FAQ
Kako znam je li moja tvrtka NIS2 obveznik?
Provjerite pripadate li jednom od 18 sektora i prelazite li pragove veličine: 50 zaposlenika ili 10 milijuna eura prometa. Postoje iznimke u oba smjera. Sigurnu procjenu daje stručno razvrstavanje. Provjerite svoj status.
Što ako se nismo samoprijavili na vrijeme?
Rok za popis ključnih i važnih subjekata je istekao. Propust prijave izlaže vas kaznama. Prijavite se bez odgode i pokrenite gap analizu. Pravovremeno nastojanje ublažava rizik nadzora.
Tko provodi razvrstavanje subjekta?
Razvrstavanje je vaša odgovornost kao subjekta. Možete ga provesti sami ili uz konzultanta koji poznaje sektorske kriterije i iznimke. Pogrešno razvrstavanje znači pogrešan opseg mjera. Zatražite razvrstavanje.
Jesam li obvezan ako imam točno 50 zaposlenika?
NIS2 se primjenjuje na subjekte koji su barem „srednje poduzeće" prema EU definiciji (Preporuka 2003/361/EZ). Budući da su mala poduzeća definirana kao ona s manje od 50 zaposlenika, poduzeće s točno 50 zaposlenika više nije malo. Ono je srednje i jest obuhvaćeno NIS2 po kriteriju veličine (ako djeluje u obuhvaćenom sektoru). Provjerite i ostale iznimke.
Jesu li neprofitne organizacije obuhvaćene?
NIS2 ne razlikuje profitne i neprofitne subjekte. Ako neprofitna organizacija djeluje u obuhvaćenom sektoru i ispunjava kriterije veličine (npr. velika bolnica), obuhvaćena je jednako kao i komercijalna tvrtka.
Kako utječe promjena veličine poduzeća?
Ako vaše poduzeće preraste prag (npr. prijeđe 50 zaposlenika), postajete obveznik NIS2. ZSIS redovito preispituje popis. Preporučujemo praćenje kriterija i proaktivnu pripremu ako ste blizu praga.
Što ako se ne slažem s kategorizacijom ZSIS-a?
Zakon predviđa mogućnost prigovora na kategorizaciju. Morate podnijeti obrazloženi prigovor ZSIS-u u propisanom roku. Do rješenja prigovora, obveze se i dalje primjenjuju.
Obuhvaća li NIS2 i tvrtke izvan EU?
NIS2 se primjenjuje na subjekte koji pružaju usluge unutar EU, neovisno o sjedištu. Ako imate sjedište izvan EU ali pružate obuhvaćene usluge u Hrvatskoj, morate imenovati predstavnika u EU.
Zaključak
Kategorizacija prema NIS2 direktivi prvi je i temeljni korak u procesu usklađivanja. Pogrešna procjena (bilo da organizacija zaključi da nije obuhvaćena kada jest, ili se svrsta u pogrešnu kategoriju) može rezultirati značajnim kaznama i regulatornim mjerama.
Ključne preporuke: (1) Provedite sustavnu samoprocjenu koristeći tri kriterija: djelatnost, veličina i iznimke. (2) Dokumentirajte analizu kao dokaz regulatoru. (3) Uzmite u obzir kriterije na razini grupe. (4) Ne čekajte obavijest ZSIS-a, djelujte proaktivno. (5) Ako ste u nedoumici, pretpostavite da ste obuhvaćeni i angažirajte stručnjake.
Trebate pomoć s kategorizacijom? Vision Compliance provodi stručnu procjenu NIS2 statusa za hrvatska poduzeća. Utvrđujemo vašu kategoriju, identificiramo obveze i pripremamo plan usklađivanja. Zakažite besplatnu konzultaciju i riješite nedoumice.
Povezani članci
- NIS2 direktiva: Kompletni vodič za hrvatska poduzeća: Obveze, sektori i rokovi usklađivanja
- NIS2 kazne i osobna odgovornost uprave: Sankcije i obveze članova uprave
- NIS2 i ISO 27001: Usporedba i mapiranje zahtjeva: Kako ISO certifikat pomaže u NIS2 usklađenosti
Izvori: Direktiva (EU) 2022/2555 (NIS2), Zakon o kibernetičkoj sigurnosti (NN 14/24), Preporuka Komisije 2003/361/EZ, ENISA NIS2 smjernice, ZSIS
Robert Lozo, mag. iur., partner je u Vision Complianceu specijaliziran za usklađenost s EU regulativom. Savjetuje organizacije o GDPR-u, NIS2, AI Actu i financijskoj regulativi te izrađuje dokumentaciju spremnu za reviziju i planove usklađenosti u reguliranim industrijama.