Kibernetička sigurnost više nije pitanje za IT odjel. Postala je osobna odgovornost direktora. NIS2 direktiva uvodi nešto što dotad nije postojalo u europskom pravu: članovi uprave mogu biti osobno kažnjeni, pa čak i privremeno udaljeni s funkcije, ako njihova organizacija ne ispuni zahtjeve kibernetičke sigurnosti.
Ovaj vodič objašnjava konkretne iznose kazni, mehanizme osobne odgovornosti prema članku 20. NIS2, specifičnosti hrvatskog Zakona o kibernetičkoj sigurnosti i praktične korake koje svaki direktor mora poduzeti. Za širi pregled NIS2 direktive, pogledajte naš kompletni NIS2 vodič.
Sažetak i ključne točke
- Kazne za ključne subjekte: do 10 milijuna EUR ili 2% globalnog godišnjeg prometa (veći iznos).
- Kazne za važne subjekte: do 7 milijuna EUR ili 1,4% globalnog prometa.
- Članovi uprave mogu biti osobno kažnjeni za neusklađenost organizacije.
- Moguća je privremena zabrana obavljanja upravljačkih funkcija.
- Uprava mora odobriti sigurnosne mjere, nadzirati provedbu i pohađati obaveznu obuku.
- Osiguranje od kibernetičke odgovornosti (D&O polica) ne pokriva uvijek NIS2 kazne.
Sadržaj
- Dvostupanjski sustav kazni
- Kazne za ključne subjekte
- Kazne za važne subjekte
- Osobna odgovornost uprave: članak 20.
- Zabrana obavljanja funkcije
- Obveze uprave prema NIS2
- Usporedba s GDPR kaznama
- Kazne u hrvatskom Zakonu
- Primjeri mogućih scenarija
- Kako se zaštititi: koraci za upravu
- FAQ
- Zaključak
Dvostupanjski sustav kazni
NIS2 uvodi sustav kazni usklađen s GDPR metodologijom: kazne ovise o kategoriji subjekta i ozbiljnosti kršenja:
| Kategorija | Novčana kazna | Alternativni izračun | Primjenjuje se |
|---|---|---|---|
| Ključni subjekt | Do 10.000.000 EUR | 2% ukupnog godišnjeg prometa na svjetskoj razini | Veći iznos |
| Važni subjekt | Do 7.000.000 EUR | 1,4% ukupnog godišnjeg prometa na svjetskoj razini | Veći iznos |
Važno: „Ukupni godišnji promet na svjetskoj razini" odnosi se na konsolidirani promet cijele grupe poduzeća kojoj subjekt pripada, ne samo na promet pojedine tvrtke. Za podružnice multinacionalnih kompanija ovo može značiti izračun kazne na temelju prometa matične kompanije.
Kazne za ključne subjekte
Ključni subjekti (velika poduzeća u sektorima visoke kritičnosti) podliježu najstrožim sankcijama:
Novčane kazne
- Maksimalno: 10.000.000 EUR ili 2% globalnog prometa
- Primjer: Tvrtka s godišnjim prometom 800M EUR, maksimalna kazna je 16M EUR (2% × 800M)
Dodatne mjere
| Mjera | Opis |
|---|---|
| Obvezujuće upute | Regulator naređuje konkretne mjere s rokom provedbe |
| Javna objava | Objava odluke o kršenju, reputacijska šteta |
| Privremena suspenzija | Suspenzija certifikata ili odobrenja |
| Zabrana funkcije | Privremena zabrana obavljanja upravljačkih funkcija za odgovorne osobe |
| Imenovanje nadzornika | Regulator može imenovati nadzornika za provedbu mjera |
Proaktivni nadzor
Za razliku od važnih subjekata, ključni subjekti podliježu proaktivnom nadzoru: regulator provodi redovite revizije i preglede bez posebnog povoda (incidenta ili prijave).
Kazne za važne subjekte
Važni subjekti (srednja poduzeća ili Prilog II sektori) imaju nešto blaži režim, ali kazne su i dalje značajne:
Novčane kazne
- Maksimalno: 7.000.000 EUR ili 1,4% globalnog prometa
- Primjer: Tvrtka s godišnjim prometom 50M EUR, maksimalna kazna je 7M EUR (jer je 1,4% × 50M = 700.000 EUR, a 7M je veći)
Dodatne mjere
| Mjera | Opis |
|---|---|
| Obvezujuće upute | Da, s rokom provedbe |
| Javna objava | Da |
| Privremena suspenzija | Da |
| Zabrana funkcije | Ne, samo za ključne subjekte |
Reaktivni nadzor
Važni subjekti podliježu reaktivnom nadzoru: regulator djeluje tek nakon saznanja o mogućem kršenju (incident, prijava, informacija).
Osobna odgovornost uprave: članak 20.
Članak 20. NIS2 direktive donosi revolucionarnu promjenu: kibernetička sigurnost postaje osobna odgovornost uprave, ne samo korporativna obveza.
Što članak 20. propisuje?
- Članovi uprave odobravaju mjere upravljanja rizicima kibernetičke sigurnosti (članak 21.)
- Članovi uprave nadziru provedbu tih mjera
- Članovi uprave mogu biti osobno odgovorni za kršenja obveza
- Članovi uprave moraju pohađati obuku iz kibernetičke sigurnosti
Tko je „član uprave" prema NIS2?
| Funkcija | Obuhvaćen? | Napomena |
|---|---|---|
| Predsjednik uprave / CEO | Da | Primarna odgovornost |
| Član uprave / direktor | Da | Solidarna odgovornost |
| Član nadzornog odbora | Moguće | Ovisi o nacionalnoj transpoziciji |
| CIO / CISO | Ne izravno | Operativna odgovornost, ali ne prema čl. 20. |
| Prokurist | Moguće | Ovisi o ovlastima |
Ključno: NIS2 ne cilja IT odjel, cilja vrh organizacije. Odgovornost se ne može delegirati na CISO-a ili IT direktora. Uprava mora osobno odobriti mjere i nadzirati provedbu.
Zabrana obavljanja funkcije
Najdrastičnija sankcija koju NIS2 predviđa za ključne subjekte je privremena zabrana obavljanja upravljačkih funkcija:
- Primjenjuje se na fizičke osobe: članove uprave, direktore
- Može trajati dok organizacija ne provede naložene mjere
- Regulator mora utvrditi ozbiljno kršenje obveza
- Zabrana se ne može zamijeniti novčanom kaznom
Kada se izriče zabrana funkcije?
Zabrana nije automatska. Primjenjuje se u slučajevima:
- Ponovljenog nepoštivanja obvezujućih uputa regulatora
- Sustavnog zanemarivanja mjera upravljanja rizicima
- Nesuradnje s regulatorom tijekom nadzora
- Ozbiljnog propusta koji je doveo do značajnog incidenta
Upozorenje: Zabrana funkcije može imati posljedice koje nadilaze NIS2: utjecaj na funkcije u drugim poduzećima, ugovore o radu i profesionalnu reputaciju.
Obveze uprave prema NIS2
1. Odobrenje mjera (čl. 21.)
Uprava mora formalno odobriti mjere upravljanja rizicima kibernetičke sigurnosti. Ovo znači:
- Formalni akt uprave (odluka, zapisnik) kojim se odobravaju sigurnosne politike
- Odobrenje plana obrade rizika
- Odobrenje proračuna za sigurnosne mjere
2. Nadzor provedbe
Uprava mora aktivno nadzirati provedbu odobrenih mjera:
- Redoviti izvještaji o stanju kibernetičke sigurnosti
- Praćenje ključnih pokazatelja (KPI) sigurnosti
- Pregled rezultata internih audita
3. Obavezna obuka
Članovi uprave moraju pohađati obuku iz kibernetičke sigurnosti:
- Razumijevanje prijetnji i rizika
- Poznavanje NIS2 zahtjeva i osobnih obveza
- Sposobnost ocjene adekvatnosti sigurnosnih mjera
- Redovito ažuriranje znanja
4. Pružanje resursa
Uprava mora osigurati odgovarajuće resurse:
- Proračun za sigurnosne mjere i alate
- Kadrovi: zapošljavanje ili angažiranje stručnjaka
- Vrijeme: sigurnost kao stalna točka dnevnog reda uprave
Dvostruka izloženost: NIS2 + GDPR
Kibernetički incident koji uključuje osobne podatke može pokrenuti paralelne postupke prema NIS2 i GDPR-u. Dok GDPR kažnjava do 20M EUR ili 4% prometa, NIS2 dodaje do 10M EUR ili 2%, što daje teoretski kumulativni maksimum od 30M EUR. Ključna razlika: GDPR poznaje samo posrednu odgovornost voditelja obrade, dok NIS2 uvodi izričitu osobnu odgovornost članova uprave i mogućnost zabrane funkcije.
Za detaljnu usporedbu NIS2 i GDPR-a (fokus, opseg, rokovi prijave, nadzorna tijela) pogledajte NIS2 vodič: NIS2 vs GDPR.
Kazne u hrvatskom Zakonu
Hrvatski Zakon o kibernetičkoj sigurnosti (NN 14/24) transponira NIS2 kazne s dodatnim detaljima:
| Kršenje | Raspon kazne |
|---|---|
| Neprovođenje mjera upravljanja rizicima | Do 10M EUR (ključni) / 7M EUR (važni) |
| Neprijavljivanje značajnog incidenta | Do 10M EUR (ključni) / 7M EUR (važni) |
| Nesuradnja s nadležnim tijelom | Obvezujuće upute + kazna |
| Neregistracija kod nadležnog tijela | Administrativne mjere |
Olakotne i otegotne okolnosti
Regulator pri odmjeravanju kazne uzima u obzir:
| Olakotne okolnosti | Otegotne okolnosti |
|---|---|
| Pravovremene korektivne radnje | Ponavljano kršenje |
| Suradnja s regulatorom | Nesuradnja ili prikrivanje |
| Postojeći ISO 27001 ili sličan certifikat | Zanemarivanje prethodnih uputa |
| Dobrovoljno prijavljivanje incidenta | Neprijavljivanje ili kasno prijavljivanje |
| Relativno mala šteta | Značajan utjecaj na korisnike usluga |
Primjeri mogućih scenarija
Scenarij 1: Ransomware napad na bolnicu
Ključni subjekt (zdravstvo) pretrpi ransomware napad. Istraga utvrdi da je organizacija propustila primijeniti osnovno sigurnosno ažuriranje 6 mjeseci nakon objave.
- Kazna organizaciji: 2 do 5M EUR
- Mjera za upravu: Obavezujuća uputa za provedbu programa upravljanja ranjivostima u roku od 90 dana
- Osobna posljedica: Ako uprava ne provede upute, moguća je zabrana funkcije
Scenarij 2: Neprijavljen incident u energetskom sektoru
Tvrtka u energetskom sektoru (ključni subjekt) pretrpi upad u industrijski kontrolni sustav, ali ne prijavi incident CERT.hr-u u roku od 24 sata.
- Kazna za neprijavljivanje: 1 do 3M EUR
- Dodatno: Proaktivni nadzor s redovitim revizijama sljedećih 12 mjeseci
- Osobna odgovornost: Ako je uprava bila upoznata s incidentom a odlučila ne prijaviti
Scenarij 3: Srednja IT tvrtka bez ikakvih mjera
Pružatelj upravljanih IT usluga (važni subjekt, 80 zaposlenika) nema nikakve formalne sigurnosne politike ni procedure.
- Kazna: 500.000 do 2M EUR
- Mjera: Obvezujuća uputa za uspostavu mjera u roku od 6 mjeseci
- Napomena: Manja kazna jer se radi o važnom (ne ključnom) subjektu
Kako se zaštititi: koraci za upravu
1. Formalizirajte donošenje odluka
- Dokumentirajte svaku odluku uprave o kibernetičkoj sigurnosti
- Vodite zapisnike sa sjednica na kojima se raspravlja o sigurnosti
- Formalno odobrite sigurnosne politike aktom uprave
2. Uspostavite sustav izvješćivanja
- Uvedite redovite izvještaje o stanju kibernetičke sigurnosti (kvartalno ili mjesečno)
- Definirajte ključne pokazatelje sigurnosti (KPI) za upravu
- Tražite izvještaje o incidentima, ranjivostima i provedbi planova
3. Pohađajte obuku
- Osigurajte NIS2-specifičnu obuku za sve članove uprave
- Obuka treba pokrivati: prijetnje, zakonske obveze, osobnu odgovornost
- Obnovite obuku najmanje jednom godišnje
4. Osigurajte resurse
- Odobrite adekvatan proračun za kibernetičku sigurnost
- Zaposlite ili angažirajte kvalificirane stručnjake
- Razmotrite angažman vanjskog CISO-a ako nemate internog
5. Provedite neovisnu reviziju
- Angažirajte vanjskog revizora za procjenu NIS2 usklađenosti
- Dokumentirajte rezultate i plan zatvaranja praznina
- Ovo služi kao dokaz aktivnog pristupa pred regulatorom
6. Provjerite D&O osiguranje
- Provjerite pokriva li vaša D&O polica NIS2 kazne
- Mnoge polce isključuju regulatorne kazne
- Razmotrite proširenje pokrića ili zasebnu cyber policu
FAQ
Mogu li članovi uprave osobno odgovarati za NIS2?
Da. NIS2 i hrvatski Zakon o kibernetičkoj sigurnosti uvode izravnu odgovornost uprave. Uprava mora odobriti mjere, nadzirati provedbu i proći obuku. Kod težih propusta moguća je i privremena zabrana obavljanja upravljačke funkcije. Provjerite obveze uprave.
Pokriva li D&O osiguranje NIS2 kazne?
Ovisi o polici. Mnoge D&O police pokrivaju troškove obrane i odštetne zahtjeve, ali regulatorne kazne često su isključene ili ograničene. Provjerite uvjete prije nego se oslonite na osiguranje. Dokumentirana usklađenost ostaje najbolja zaštita.
Kako uprava može smanjiti osobni rizik?
Odobrite i dokumentirajte okvir upravljanja rizicima. Osigurajte redovitu obuku i zapisnike o odlukama. Uspostavite 24-satnu proceduru prijave incidenta. To su dokazi nastojanja koje regulator traži. Zatražite procjenu.
Može li uprava delegirati odgovornost na CISO-a?
Ne. NIS2 članak 20. izričito propisuje da uprava odobrava i nadzire mjere. Operativnu provedbu može delegirati, ali odgovornost ostaje na upravi. CISO provodi, uprava odgovara.
Jesu li kazne kumulativne s GDPR-om?
Da, teoretski je moguća paralelna kazna prema NIS2 i GDPR-u za isti incident. NIS2 članak 35. propisuje da se kazne ne dupliciraju za isto kršenje, ali NIS2 i GDPR štite različite interese (kibernetička sigurnost vs zaštita podataka), pa je kumulacija moguća.
Što ako sam član nadzornog odbora?
NIS2 govori o „upravljačkim tijelima" (management bodies). U hrvatskom pravu, ovisno o sustavu upravljanja, to može uključivati i nadzorni odbor. Preporučujemo pravno mišljenje za vaš specifični slučaj.
Koliko često se mora pohađati obuka?
NIS2 ne propisuje točnu učestalost, ali koristi formulaciju „redovita obuka". U praksi to znači najmanje jednom godišnje i nakon značajnih promjena u regulativi ili prijetnjama.
Pokriva li D&O osiguranje NIS2 kazne?
Većina standardnih D&O polica ne pokriva regulatorne kazne. Potrebno je posebno proširenje pokrića ili zasebna cyber D&O polica. Provjerite uvjete s vašim osiguravateljem.
Zaključak
NIS2 kazne i osobna odgovornost uprave predstavljaju temeljnu promjenu paradigme: kibernetička sigurnost više nije samo operativno pitanje IT odjela, nego strateška obveza uprave s osobnim posljedicama.
Ključne poruke za upravu: (1) Kazne do 10M EUR ili 2% globalnog prometa su realne. (2) Osobna odgovornost uključuje mogućnost zabrane obavljanja funkcije. (3) Delegiranje na CISO-a ne oslobađa upravu. (4) Dokumentiranje odluka i aktivni nadzor su vaša zaštita. (5) Obuka uprave nije opcija, to je zakonska obveza.
Potrebna vam je obuka uprave za NIS2? Vision Compliance nudi prilagođene programe obuke za članove uprave. Pokrivamo zakonske obveze, osobnu odgovornost, prijetnje i praktične korake. Zakažite besplatnu konzultaciju i zaštitite sebe i svoju organizaciju.
Povezani članci
- NIS2 direktiva: Kompletni vodič za hrvatska poduzeća: Sve o NIS2 obvezama i rokovima usklađivanja
- NIS2 kategorizacija: Tko su obveznici?: Provjerite je li vaša organizacija obuhvaćena
- NIS2 i DORA: Razlike i preklapanja: Usklađivanje za financijski sektor
Izvori: Direktiva (EU) 2022/2555 (NIS2) čl. 20., 32., 33., 34., Zakon o kibernetičkoj sigurnosti (NN 14/24), ENISA smjernice za provedbu NIS2
Robert Lozo, mag. iur., partner je u Vision Complianceu specijaliziran za usklađenost s EU regulativom. Savjetuje organizacije o GDPR-u, NIS2, AI Actu i financijskoj regulativi te izrađuje dokumentaciju spremnu za reviziju i planove usklađenosti u reguliranim industrijama.