NIS2 kazne i osobna odgovornost uprave: Što mora znati svaki direktor
21. veljače 2026.
Ažurirano: 22. veljače 2026.
18 min čitanja
Kibernetička sigurnost
Kibernetička sigurnost više nije pitanje za IT odjel — postala je osobna odgovornost direktora. NIS2 direktiva uvodi nešto što dotad nije postojalo u europskom pravu: članovi uprave mogu biti osobno kažnjeni, pa čak i privremeno udaljeni s funkcije, ako njihova organizacija ne ispuni zahtjeve kibernetičke sigurnosti.
Ovaj vodič objašnjava konkretne iznose kazni, mehanizme osobne odgovornosti prema članku 20. NIS2, specifičnosti hrvatskog Zakona o kibernetičkoj sigurnosti i praktične korake koje svaki direktor mora poduzeti. Za širi pregled NIS2 direktive, pogledajte naš kompletni NIS2 vodič.
Sažetak i ključne točke
Kazne za ključne subjekte: do 10 milijuna EUR ili 2% globalnog godišnjeg prometa (veći iznos).
Kazne za važne subjekte: do 7 milijuna EUR ili 1,4% globalnog prometa.
Članovi uprave mogu biti osobno kažnjeni za neusklađenost organizacije.
Moguća je privremena zabrana obavljanja upravljačkih funkcija.
Uprava mora odobriti sigurnosne mjere, nadzirati provedbu i pohađati obaveznu obuku.
Osiguranje od kibernetičke odgovornosti (D&O polica) ne pokriva uvijek NIS2 kazne.
NIS2 uvodi sustav kazni usklađen s GDPR metodologijom — kazne ovise o kategoriji subjekta i ozbiljnosti kršenja:
Kategorija
Novčana kazna
Alternativni izračun
Primjenjuje se
Podijelite članak
Trebate pomoć s usklađenošću?
Kontaktirajte nas za besplatne konzultacije
Ključni subjekt
Do 10.000.000 EUR
2% ukupnog godišnjeg prometa na svjetskoj razini
Veći iznos
Važni subjekt
Do 7.000.000 EUR
1,4% ukupnog godišnjeg prometa na svjetskoj razini
Veći iznos
Važno: „Ukupni godišnji promet na svjetskoj razini" odnosi se na konsolidirani promet cijele grupe poduzeća kojoj subjekt pripada, ne samo na promet pojedine tvrtke. Za podružnice multinacionalnih kompanija ovo može značiti izračun kazne na temelju prometa matične kompanije.
Kazne za ključne subjekte
Ključni subjekti (velika poduzeća u sektorima visoke kritičnosti) podliježu najstrožim sankcijama:
Novčane kazne
Maksimalno: 10.000.000 EUR ili 2% globalnog prometa
Primjer: Tvrtka s godišnjim prometom 800M EUR — maksimalna kazna je 16M EUR (2% × 800M)
Dodatne mjere
Mjera
Opis
Obvezujuće upute
Regulator naređuje konkretne mjere s rokom provedbe
Javna objava
Objava odluke o kršenju — reputacijska šteta
Privremena suspenzija
Suspenzija certifikata ili odobrenja
Zabrana funkcije
Privremena zabrana obavljanja upravljačkih funkcija za odgovorne osobe
Imenovanje nadzornika
Regulator može imenovati nadzornika za provedbu mjera
Proaktivni nadzor
Za razliku od važnih subjekata, ključni subjekti podliježu proaktivnom nadzoru — regulator provodi redovite revizije i preglede bez posebnog povoda (incidenta ili prijave).
Kazne za važne subjekte
Važni subjekti (srednja poduzeća ili Prilog II sektori) imaju nešto blaži režim, ali kazne su i dalje značajne:
Novčane kazne
Maksimalno: 7.000.000 EUR ili 1,4% globalnog prometa
Primjer: Tvrtka s godišnjim prometom 50M EUR — maksimalna kazna je 7M EUR (jer je 1,4% × 50M = 700.000 EUR, a 7M je veći)
Dodatne mjere
Mjera
Opis
Obvezujuće upute
Da, s rokom provedbe
Javna objava
Da
Privremena suspenzija
Da
Zabrana funkcije
Ne — samo za ključne subjekte
Reaktivni nadzor
Važni subjekti podliježu reaktivnom nadzoru — regulator djeluje tek nakon saznanja o mogućem kršenju (incident, prijava, informacija).
Osobna odgovornost uprave — članak 20.
Članak 20. NIS2 direktive donosi revolucionarnu promjenu — kibernetička sigurnost postaje osobna odgovornost uprave, ne samo korporativna obveza.
Što članak 20. propisuje?
Članovi uprave odobravaju mjere upravljanja rizicima kibernetičke sigurnosti (članak 21.)
Članovi uprave nadziru provedbu tih mjera
Članovi uprave mogu biti osobno odgovorni za kršenja obveza
Članovi uprave moraju pohađati obuku iz kibernetičke sigurnosti
Tko je „član uprave" prema NIS2?
Funkcija
Obuhvaćen?
Napomena
Predsjednik uprave / CEO
Da
Primarna odgovornost
Član uprave / direktor
Da
Solidarna odgovornost
Član nadzornog odbora
Moguće
Ovisi o nacionalnoj transpoziciji
CIO / CISO
Ne izravno
Operativna odgovornost, ali ne prema čl. 20.
Prokurist
Moguće
Ovisi o ovlastima
Ključno: NIS2 ne cilja IT odjel — cilja vrh organizacije. Odgovornost se ne može delegirati na CISO-a ili IT direktora. Uprava mora osobno odobriti mjere i nadzirati provedbu.
Zabrana obavljanja funkcije
Najdrastičnija sankcija koju NIS2 predviđa za ključne subjekte je privremena zabrana obavljanja upravljačkih funkcija:
Primjenjuje se na fizičke osobe — članove uprave, direktore
Može trajati dok organizacija ne provede naložene mjere
Regulator mora utvrditi ozbiljno kršenje obveza
Zabrana se ne može zamijeniti novčanom kaznom
Kada se izriče zabrana funkcije?
Zabrana nije automatska. Primjenjuje se u slučajevima:
Ozbiljnog propusta koji je doveo do značajnog incidenta
Upozorenje: Zabrana funkcije može imati posljedice koje nadilaze NIS2 — utjecaj na funkcije u drugim poduzećima, ugovore o radu i profesionalnu reputaciju.
Obveze uprave prema NIS2
1. Odobrenje mjera (čl. 21.)
Uprava mora formalno odobriti mjere upravljanja rizicima kibernetičke sigurnosti. Ovo znači:
Formalni akt uprave (odluka, zapisnik) kojim se odobravaju sigurnosne politike
Odobrenje plana obrade rizika
Odobrenje proračuna za sigurnosne mjere
2. Nadzor provedbe
Uprava mora aktivno nadzirati provedbu odobrenih mjera:
Redoviti izvještaji o stanju kibernetičke sigurnosti
Praćenje ključnih pokazatelja (KPI) sigurnosti
Pregled rezultata internih audita
3. Obavezna obuka
Članovi uprave moraju pohađati obuku iz kibernetičke sigurnosti:
Razumijevanje prijetnji i rizika
Poznavanje NIS2 zahtjeva i osobnih obveza
Sposobnost ocjene adekvatnosti sigurnosnih mjera
Redovito ažuriranje znanja
4. Pružanje resursa
Uprava mora osigurati odgovarajuće resurse:
Proračun za sigurnosne mjere i alate
Kadrovi — zapošljavanje ili angažiranje stručnjaka
Vrijeme — sigurnost kao stalna točka dnevnog reda uprave
Dvostruka izloženost: NIS2 + GDPR
Kibernetički incident koji uključuje osobne podatke može pokrenuti paralelne postupke prema NIS2 i GDPR-u. Dok GDPR kažnjava do 20M EUR ili 4% prometa, NIS2 dodaje do 10M EUR ili 2% — teoretski kumulativni maksimum od 30M EUR. Ključna razlika: GDPR poznaje samo posrednu odgovornost voditelja obrade, dok NIS2 uvodi izričitu osobnu odgovornost članova uprave i mogućnost zabrane funkcije.
Za detaljnu usporedbu NIS2 i GDPR-a (fokus, opseg, rokovi prijave, nadzorna tijela) — pogledajte NIS2 vodič: NIS2 vs GDPR.
Kazne u hrvatskom Zakonu
Hrvatski Zakon o kibernetičkoj sigurnosti (NN 14/24) transponira NIS2 kazne s dodatnim detaljima:
Kršenje
Raspon kazne
Neprovođenje mjera upravljanja rizicima
Do 10M EUR (ključni) / 7M EUR (važni)
Neprijavljivanje značajnog incidenta
Do 10M EUR (ključni) / 7M EUR (važni)
Nesuradnja s nadležnim tijelom
Obvezujuće upute + kazna
Neregistracija kod nadležnog tijela
Administrativne mjere
Olakotne i otegotne okolnosti
Regulator pri odmjeravanju kazne uzima u obzir:
Olakotne okolnosti
Otegotne okolnosti
Pravovremene korektivne radnje
Ponavljano kršenje
Suradnja s regulatorom
Nesuradnja ili prikrivanje
Postojeći ISO 27001 ili sličan certifikat
Zanemarivanje prethodnih uputa
Dobrovoljno prijavljivanje incidenta
Neprijavljivanje ili kasno prijavljivanje
Relativno mala šteta
Značajan utjecaj na korisnike usluga
Primjeri mogućih scenarija
Scenarij 1: Ransomware napad na bolnicu
Ključni subjekt (zdravstvo) pretrpi ransomware napad. Istraga utvrdi da je organizacija propustila primijeniti osnovno sigurnosno ažuriranje 6 mjeseci nakon objave.
Kazna organizaciji: 2–5M EUR
Mjera za upravu: Obavezujuća uputa za provedbu programa upravljanja ranjivostima u roku od 90 dana
Osobna posljedica: Ako uprava ne provede upute — moguća zabrana funkcije
Scenarij 2: Neprijavljen incident u energetskom sektoru
Tvrtka u energetskom sektoru (ključni subjekt) pretrpi upad u industrijski kontrolni sustav, ali ne prijavi incident CERT.hr-u u roku od 24 sata.
Kazna za neprijavljivanje: 1–3M EUR
Dodatno: Proaktivni nadzor s redovitim revizijama sljedećih 12 mjeseci
Osobna odgovornost: Ako je uprava bila upoznata s incidentom a odlučila ne prijaviti
Scenarij 3: Srednja IT tvrtka bez ikakvih mjera
Pružatelj upravljanih IT usluga (važni subjekt, 80 zaposlenika) nema nikakve formalne sigurnosne politike ni procedure.
Kazna: 500.000–2M EUR
Mjera: Obvezujuća uputa za uspostavu mjera u roku od 6 mjeseci
Napomena: Manja kazna jer se radi o važnom (ne ključnom) subjektu
Kako se zaštititi — koraci za upravu
1. Formalizirajte donošenje odluka
Dokumentirajte svaku odluku uprave o kibernetičkoj sigurnosti
Vodite zapisnike sa sjednica na kojima se raspravlja o sigurnosti
Formalno odobrite sigurnosne politike aktom uprave
2. Uspostavite sustav izvješćivanja
Uvedite redovite izvještaje o stanju kibernetičke sigurnosti (kvartalno ili mjesečno)
Definirajte ključne pokazatelje sigurnosti (KPI) za upravu
Tražite izvještaje o incidentima, ranjivostima i provedbi planova
3. Pohađajte obuku
Osigurajte NIS2-specifičnu obuku za sve članove uprave
Obuka treba pokrivati: prijetnje, zakonske obveze, osobnu odgovornost
Obnovite obuku najmanje jednom godišnje
4. Osigurajte resurse
Odobrite adekvatan proračun za kibernetičku sigurnost
Zaposlite ili angažirajte kvalificirane stručnjake
Razmotrite angažman vanjskog CISO-a ako nemate internog
5. Provedite neovisnu reviziju
Angažirajte vanjskog revizora za procjenu NIS2 usklađenosti
Dokumentirajte rezultate i plan zatvaranja praznina
Ovo služi kao dokaz aktivnog pristupa pred regulatorom
6. Provjerite D&O osiguranje
Provjerite pokriva li vaša D&O polica NIS2 kazne
Mnoge polce isključuju regulatorne kazne
Razmotrite proširenje pokrića ili zasebnu cyber policu
FAQ
Može li uprava delegirati odgovornost na CISO-a?
Ne. NIS2 članak 20. izričito propisuje da uprava odobrava i nadzire mjere. Operativnu provedbu može delegirati, ali odgovornost ostaje na upravi. CISO provodi, uprava odgovara.
Jesu li kazne kumulativne s GDPR-om?
Da, teoretski je moguća paralelna kazna prema NIS2 i GDPR-u za isti incident. NIS2 članak 35. propisuje da se kazne ne dupliciraju za isto kršenje, ali NIS2 i GDPR štite različite interese (kibernetička sigurnost vs zaštita podataka), pa je kumulacija moguća.
Što ako sam član nadzornog odbora?
NIS2 govori o „upravljačkim tijelima" (management bodies). U hrvatskom pravu, ovisno o sustavu upravljanja, to može uključivati i nadzorni odbor. Preporučujemo pravno mišljenje za vaš specifični slučaj.
Koliko često se mora pohađati obuka?
NIS2 ne propisuje točnu učestalost, ali koristi formulaciju „redovita obuka". U praksi to znači najmanje jednom godišnje i nakon značajnih promjena u regulativi ili prijetnjama.
Pokriva li D&O osiguranje NIS2 kazne?
Većina standardnih D&O polica ne pokriva regulatorne kazne. Potrebno je posebno proširenje pokrića ili zasebna cyber D&O polica. Provjerite uvjete s vašim osiguravateljem.
Zaključak
NIS2 kazne i osobna odgovornost uprave predstavljaju temeljnu promjenu paradigme — kibernetička sigurnost više nije samo operativno pitanje IT odjela, nego strateška obveza uprave s osobnim posljedicama.
Ključne poruke za upravu: (1) Kazne do 10M EUR ili 2% globalnog prometa su realne. (2) Osobna odgovornost uključuje mogućnost zabrane obavljanja funkcije. (3) Delegiranje na CISO-a ne oslobađa upravu. (4) Dokumentiranje odluka i aktivni nadzor su vaša zaštita. (5) Obuka uprave nije opcija — to je zakonska obveza.
Potrebna vam je obuka uprave za NIS2? Vision Compliance nudi prilagođene programe obuke za članove uprave — pokrivamo zakonske obveze, osobnu odgovornost, prijetnje i praktične korake. Zakažite besplatnu konzultaciju i zaštitite sebe i svoju organizaciju.
Izvori: Direktiva (EU) 2022/2555 (NIS2) čl. 20., 32., 33., 34., Zakon o kibernetičkoj sigurnosti (NN 14/24), ENISA smjernice za provedbu NIS2
Robert Lozo·Partner·mag. iur.
Robert Lozo, mag. iur., partner je u Vision Complianceu specijaliziran za usklađenost s EU regulativom. Savjetuje organizacije o GDPR-u, NIS2, AI Actu i financijskoj regulativi te izrađuje dokumentaciju spremnu za reviziju i planove usklađenosti u reguliranim industrijama.