NIS2 kategorizacija: Tko su obveznici i kako se razvrstati?
21. veljače 2026.
Ažurirano: 22. veljače 2026.
20 min čitanja
Kibernetička sigurnost
„Potpada li moja tvrtka pod NIS2?" — to je prvo pitanje koje si postavlja svaki direktor nakon što čuje za novu kibernetičku regulativu. Odgovor ovisi o tri faktora: djelatnosti, veličini i posebnim iznimkama. Mnoga hrvatska poduzeća pogrešno zaključe da ih NIS2 ne obuhvaća, dok su zapravo obveznici s punim opsegom regulatornih zahtjeva.
U ovom vodiču detaljno objašnjavamo kriterije kategorizacije — svih 18 sektora s konkretnim primjerima hrvatskih tvrtki, pragove veličine, automatske iznimke i postupak samoprocjene. Za širi pregled NIS2 direktive i svih obveza, pogledajte naš kompletni NIS2 vodič za hrvatska poduzeća.
Sažetak i ključne točke
NIS2 pokriva 18 sektora razvrstanih u dvije skupine: visoka kritičnost i ostali kritični sektori.
Organizacije se razvrstavaju u ključne ili važne subjekte prema djelatnosti i veličini.
Glavni kriteriji veličine: ≥250 zaposlenika ili >50M EUR prometa (ključni), ≥50 zaposlenika ili >10M EUR (važni).
Postoje iznimke — neki subjekti su automatski ključni neovisno o veličini.
Kategorizaciju u Hrvatskoj provodi ZSIS na temelju popisa koji je trebao biti dovršen do travnja 2025.
Pogrešna samoprocjena ne oslobađa od obveza — provjerite svoj status stručnom analizom.
Do 10M EUR / 2% prometa za ključne; do 7M EUR / 1,4% za važne
Opseg obveza
Ključni subjekti imaju strože zahtjeve za izvješćivanje i reviziju
Rokovi prijave
Jednaki za obje kategorije (24h / 72h / 1 mjesec), ali nadzor se razlikuje
Odgovornost uprave
Osobna odgovornost članova uprave u obje kategorije
Važno: Organizacija koja pogrešno zaključi da ne potpada pod NIS2 nije time oslobođena obveza. Ako regulator utvrdi da jest obuhvaćena, primjenjuju se sve obveze retroaktivno — uključujući kazne za neusklađenost.
Dvije kategorije subjekata
NIS2 razlikuje ključne subjekte (engl. essential entities) i važne subjekte (engl. important entities). Oba tipa imaju sigurnosne obveze, ali razlikuju se u razini nadzora i kaznama.
Obilježje
Ključni subjekt
Važni subjekt
Sektori
Prilog I (visoka kritičnost)
Prilog I ili Prilog II
Veličina
Velika poduzeća (≥250 zaposlenika ili >50M EUR)
Srednja poduzeća (≥50 zaposlenika ili >10M EUR)
Nadzor
Proaktivni (redovite revizije)
Reaktivni (nakon incidenta ili prijave)
Kazne
Do 10M EUR ili 2% globalnog prometa
Do 7M EUR ili 1,4% globalnog prometa
Posebne mjere
Moguća zabrana obavljanja funkcije za upravu
Novčane kazne i obvezujuće upute
Sektori visoke kritičnosti (Prilog I)
Ovih 11 sektora čini jezgru NIS2 regulacije. Velike organizacije u ovim sektorima automatski su ključni subjekti:
Ovih 7 sektora obuhvaća dodatne djelatnosti. Organizacije u ovim sektorima razvrstavaju se kao važni subjekti:
#
Sektor
Podsektori
Primjeri u Hrvatskoj
1
Poštanske i kurirske usluge
Pružatelji poštanskih usluga
HP, DPD, GLS, DHL
2
Gospodarenje otpadom
Prikupljanje i obrada
Čistoća, ZGOS
3
Kemikalije
Proizvodnja i distribucija
Petrokemija, kemijska industrija
4
Hrana
Proizvodnja, prerada, distribucija
Podravka, Vindija, Konzum (distribucija)
5
Proizvodnja
Medicinski uređaji, elektronika, strojevi, vozila
Proizvođači medicinskih uređaja, elektronike
6
Digitalni pružatelji usluga
Online tržišta, tražilice, platforme društvenih mreža
Njuškalo, domaće platforme
7
Istraživanje
Istraživačke organizacije
Instituti, sveučilišta (ako su identificirani)
Napomena: Organizacija iz Priloga II može biti razvrstana i kao ključni subjekt ako ispunjava kriterije veličine za ključne subjekte (>250 zaposlenika ili >50M EUR).
Kriteriji veličine
NIS2 koristi EU definiciju veličine poduzeća (Preporuka Komisije 2003/361/EZ):
Kategorija
Zaposlenici
Godišnji promet
Bilanca
Mikro poduzeće
manje od 10
≤2M EUR
≤2M EUR
Malo poduzeće
manje od 50
≤10M EUR
≤10M EUR
Srednje poduzeće
manje od 250
≤50M EUR
≤43M EUR
Veliko poduzeće
≥250
>50M EUR
>43M EUR
Kako se kriteriji primjenjuju na NIS2?
Ključni subjekt: Veliko poduzeće u sektoru visoke kritičnosti (Prilog I)
Važni subjekt: Srednje poduzeće u sektoru visoke kritičnosti (Prilog I) ILI srednje ili veliko poduzeće u ostalom kritičnom sektoru (Prilog II)
Izvan opsega: Mala i mikro poduzeća (u pravilu), osim iznimaka
Veličina
Prilog I (visoka kritičnost)
Prilog II (ostali kritični)
Veliko (≥250 ili >50M)
Ključni subjekt
Važni subjekt (ili ključni)
Srednje (≥50 ili >10M)
Važni subjekt
Važni subjekt
Malo (manje od 50 i ≤10M)
Izvan opsega*
Izvan opsega*
Mikro (manje od 10 i ≤2M)
Izvan opsega*
Izvan opsega*
*Osim iznimaka navedenih u sljedećem odjeljku.
Upozorenje o povezanim poduzećima: Ako je vaša tvrtka dio veće grupe, kriteriji veličine mogu se računati na razini cijele grupe. Tvrtka s 30 zaposlenika koja je podružnica korporacije s 500 zaposlenika može biti obuhvaćena NIS2.
Automatski ključni subjekti — iznimke
Određeni subjekti su automatski ključni neovisno o veličini. NIS2 članak 3. definira sljedeće iznimke:
Vrsta subjekta
Razlog automatske kategorizacije
Kvalificirani pružatelji usluga povjerenja
Kritična uloga u digitalnom identitetu i e-potpisu
Subjekti identificirani kao kritični prema CER direktivi
Fizička kritična infrastruktura
Primjer: Mala tvrtka s 15 zaposlenika koja pruža DNS hosting usluge automatski je ključni subjekt. Kriterij veličine ne vrijedi za nju — podliježe punom opsegu NIS2 obveza uključujući kazne do 10M EUR.
Kako provesti samoprocjenu
Korak 1: Identificirajte svoju djelatnost
Pregledajte Prilog I i Prilog II NIS2 direktive (ili Zakon o kibernetičkoj sigurnosti). Utvrdite pripada li vaša primarna djelatnost nekom od 18 sektora.
Korak 2: Provjerite veličinu poduzeća
Izračunajte tri kriterija na razini grupe (ako ste dio veće grupacije):
Broj zaposlenika (ekvivalent punog radnog vremena)
Godišnji promet
Ukupna bilanca
Korak 3: Provjerite iznimke
Utvrdite primjenjuje li se neka od automatskih kategorizacija na vaše poduzeće, čak i ako ste mali ili mikro subjekt.
Korak 4: Odredite kategoriju
Na temelju koraka 1–3 utvrdite jeste li ključni subjekt, važni subjekt ili izvan opsega NIS2.
Korak 5: Dokumentirajte analizu
Zabilježite temelje za svoju procjenu. Ako regulator zatraži obrazloženje, trebat ćete dokumentiranu analizu.
Savjet: Ako ste u nedoumici, pretpostavite da ste obuhvaćeni. Troškovi usklađivanja daleko su manji od kazni za neusklađenost. Konzultirajte ZSIS ili angažirajte stručnjake za konačnu potvrdu.
Kategorizacija u Hrvatskoj — uloga ZSIS-a
Postupak popisa obveznika
Prema hrvatskom Zakonu o kibernetičkoj sigurnosti, Zavod za sigurnost informacijskih sustava (ZSIS) vodi postupak identifikacije i popisa ključnih i važnih subjekata.
Faza
Opis
Rok
Samoidentifikacija
Organizacije same procjenjuju potpada li njihova djelatnost pod NIS2
Odmah po stupanju Zakona na snagu
Popis subjekata
ZSIS sastavlja nacionalni popis ključnih i važnih subjekata
Travanj 2025.
Obavijest
ZSIS obavještava subjekte o njihovom statusu
Nakon završetka popisa
Ažuriranje
Popis se redovito preispituje i ažurira
Kontinuirano
Što ako niste na popisu?
Ako ZSIS nije identificirao vašu organizaciju, to ne znači automatski da niste obuhvaćeni. Regulativa se primjenjuje na temelju objektivnih kriterija (djelatnost + veličina), ne samo na temelju popisa.
Razlike u obvezama: ključni vs važni subjekti
Obje kategorije moraju ispuniti 10 minimalnih sigurnosnih područja iz članka 21. NIS2. Razlike su u nadzoru:
Mnoga poduzeća pretpostavljaju da ih NIS2 ne obuhvaća jer imaju manje od 250 zaposlenika. Kriterij za važne subjekte je samo 50 zaposlenika ili 10M EUR prometa. Uz to, iznimke za automatski ključne subjekte ne poznaju donju granicu veličine.
2. Ignoriranje kriterija na razini grupe
Ako je vaša tvrtka podružnica većeg koncerna, veličina se računa na razini grupe. Tvrtka s 20 zaposlenika može biti obuhvaćena ako je njena matična tvrtka velika.
3. Fokus samo na primarnu djelatnost
Ako vaša tvrtka uz primarnu djelatnost pruža i usluge iz NIS2 sektora (npr. IT tvrtka koja pruža upravljane sigurnosne usluge), ta sekundarna djelatnost može vas obuhvatiti.
4. Čekanje na obavijest od ZSIS-a
NIS2 se primjenjuje na temelju objektivnih kriterija. Čekati da vas netko obavijesti nije strategija usklađivanja — provedite samoprocjenu odmah.
5. Pogrešno tumačenje podsektora
„Proizvodnja" u Prilogu II obuhvaća samo specifične podsektore (medicinski uređaji, elektronika, strojevi, vozila), ne svu proizvodnju. Pažljivo provjerite podsektor, ne samo sektor.
FAQ
Jesam li obvezan ako imam točno 50 zaposlenika?
NIS2 se primjenjuje na subjekte koji su barem „srednje poduzeće" prema EU definiciji (Preporuka 2003/361/EZ). Budući da su mala poduzeća definirana kao ona s manje od 50 zaposlenika, poduzeće s točno 50 zaposlenika više nije malo — ono je srednje i jest obuhvaćeno NIS2 po kriteriju veličine (ako djeluje u obuhvaćenom sektoru). Provjerite i ostale iznimke.
Jesu li neprofitne organizacije obuhvaćene?
NIS2 ne razlikuje profitne i neprofitne subjekte. Ako neprofitna organizacija djeluje u obuhvaćenom sektoru i ispunjava kriterije veličine (npr. velika bolnica), obuhvaćena je jednako kao i komercijalna tvrtka.
Kako utječe promjena veličine poduzeća?
Ako vaše poduzeće preraste prag (npr. prijeđe 50 zaposlenika), postajete obveznik NIS2. ZSIS redovito preispituje popis. Preporučujemo praćenje kriterija i proaktivnu pripremu ako ste blizu praga.
Što ako se ne slažem s kategorizacijom ZSIS-a?
Zakon predviđa mogućnost prigovora na kategorizaciju. Morate podnijeti obrazloženi prigovor ZSIS-u u propisanom roku. Do rješenja prigovora, obveze se i dalje primjenjuju.
Obuhvaća li NIS2 i tvrtke izvan EU?
NIS2 se primjenjuje na subjekte koji pružaju usluge unutar EU, neovisno o sjedištu. Ako imate sjedište izvan EU ali pružate obuhvaćene usluge u Hrvatskoj, morate imenovati predstavnika u EU.
Zaključak
Kategorizacija prema NIS2 direktivi prvi je i temeljni korak u procesu usklađivanja. Pogrešna procjena — bilo da organizacija zaključi da nije obuhvaćena kada jest, ili se svrsta u pogrešnu kategoriju — može rezultirati značajnim kaznama i regulatornim mjerama.
Ključne preporuke: (1) Provedite sustavnu samoprocjenu koristeći tri kriterija: djelatnost, veličina i iznimke. (2) Dokumentirajte analizu kao dokaz regulatoru. (3) Uzmite u obzir kriterije na razini grupe. (4) Ne čekajte obavijest ZSIS-a — djelujte proaktivno. (5) Ako ste u nedoumici, pretpostavite da ste obuhvaćeni i angažirajte stručnjake.
Trebate pomoć s kategorizacijom? Vision Compliance provodi stručnu procjenu NIS2 statusa za hrvatska poduzeća — utvrđujemo vašu kategoriju, identificiramo obveze i pripremamo plan usklađivanja. Zakažite besplatnu konzultaciju i riješite nedoumice.
Izvori: Direktiva (EU) 2022/2555 (NIS2), Zakon o kibernetičkoj sigurnosti (NN 14/24), Preporuka Komisije 2003/361/EZ, ENISA NIS2 smjernice, ZSIS
Robert Lozo·Partner·mag. iur.
Robert Lozo, mag. iur., partner je u Vision Complianceu specijaliziran za usklađenost s EU regulativom. Savjetuje organizacije o GDPR-u, NIS2, AI Actu i financijskoj regulativi te izrađuje dokumentaciju spremnu za reviziju i planove usklađenosti u reguliranim industrijama.