NIS2 direktiva zahtijeva od ključnih i važnih subjekata provedbu mjera kibernetičke sigurnosti. Od procjene rizika do planova za upravljanje incidentima, odmah krećemo s radom i isporučujemo dokaze spremne za reviziju.

Procjena primjenjivosti NIS2 direktive, analiza nedostataka i izrada plana usklađenosti s jasnim rokovima.
Identifikacija kritičnih resursa, procjena prijetnji i razvoj strategija upravljanja rizicima.
Revizije infrastrukture, testiranje ranjivosti sustava i provjera sigurnosnih kontrola.
Razvoj procedura za otkrivanje, odgovor i oporavak od kibernetičkih incidenata.
Procjena sigurnosnih rizika dobavljača i partnera prema zahtjevima NIS2 direktive.
Programi edukacije za zaposlenike o kibernetičkim prijetnjama, phishingu i sigurnosnim praksama.
NIS2 direktiva uvodi stroge sankcije za neusklađene subjekte u Hrvatskoj i EU:
Ključni subjekti: do 10 mil. € ili 2% godišnjeg prometa. Važni subjekti: do 7 mil. € ili 1,4% prometa. Uprava osobno odgovara.
NIS2 uvodi osobnu odgovornost članova uprave za kibernetičku sigurnost — uključujući privremenu zabranu obavljanja funkcije.
Kibernetički incident bez plana odgovora može zaustaviti poslovanje danima. Prosječan trošak zastoja za velike tvrtke premašuje 9.000 € po minuti.
Nadležna tijela mogu provesti reviziju, zahtijevati dokaze usklađenosti i narediti mjere — s javnom objavom nalaza.
NIS2 direktiva primjenjuje se na ključne i važne subjekte u 18 sektora u Hrvatskoj i cijeloj EU.
Utvrđujemo je li vaša organizacija ključni ili važni subjekt, mapiramo IT infrastrukturu i identificiramo nedostatke u odnosu na NIS2 zahtjeve.
Izrađujemo detaljan plan s rokovima, odgovornostima i redoslijedom provedbe prema razini rizika.
Uspostavljamo tehničke i organizacijske mjere: politike sigurnosti, kontrole pristupa, planove za upravljanje incidentima i edukaciju zaposlenika.
Redovite revizije, ažuriranje politika i testiranje planova za upravljanje incidentima. Pružamo stalnu podršku za komunikaciju s nadležnim tijelima.

NIS2 (Direktiva o sigurnosti mrežnih i informacijskih sustava) je EU direktiva koja postavlja stroge zahtjeve kibernetičke sigurnosti za ključne i važne subjekte u 18 sektora — energetika, transport, bankarstvo, zdravstvo, digitalna infrastruktura i drugi. U Hrvatskoj se primjenjuje od studenog 2024. kroz Zakon o kibernetičkoj sigurnosti (NN 14/2024) i provedbenu uredbu (NN 135/2024).
Ključni subjekti su veliki operateri u kritičnim sektorima (energetika, transport, zdravstvo, vodoopskrba, digitalna infrastruktura) sa strožim zahtjevima i kaznama do 10 mil. € ili 2% godišnjeg prometa. Važni subjekti su srednje i veće organizacije u ostalim obuhvaćenim sektorima s kaznama do 7 mil. € ili 1,4% prometa.
NIS2 direktiva predviđa kazne do 10 milijuna eura ili 2% godišnjeg prometa za ključne subjekte, te do 7 milijuna eura ili 1,4% prometa za važne subjekte. Novost je osobna odgovornost uprave — članovi uprave mogu biti privremeno suspendirani ako organizacija ne ispuni zahtjeve kibernetičke sigurnosti.
NIS2 propisuje višestupanjsko izvješćivanje: rano upozorenje nacionalnom CERT-u unutar 24 sata od saznanja o značajnom incidentu, obavijest o incidentu unutar 72 sata s procjenom razmjera, i konačno izvješće unutar mjesec dana s detaljnom analizom i poduzetim mjerama.
NIS2 se primjenjuje na srednje i velike organizacije u 18 sektora: energetika, transport, bankarstvo, financijska tržišta, zdravstvo, vodoopskrba, digitalna infrastruktura, poštanske usluge, upravljanje otpadom, kemikalije, hrana, proizvodnja i pružatelji digitalnih usluga. Ako imate 50+ zaposlenika ili promet veći od 10 mil. € u obuhvaćenom sektoru, NIS2 se primjenjuje na vas.
Plan za upravljanje incidentima definira procedure za otkrivanje, odgovor i oporavak od kibernetičkih incidenata. NIS2 zahtijeva sposobnost izvješćivanja o značajnim incidentima unutar 24 sata, što čini jasno definirane procedure, uloge i komunikacijske kanale ključnima za usklađenost.
ISO 27001 je međunarodni standard za upravljanje informacijskom sigurnošću koji pokriva mnoge NIS2 zahtjeve. Organizacije s ISO 27001 certifikatom imaju dobru polazišnu točku, ali NIS2 zahtijeva dodatne mjere poput specifičnog izvješćivanja o incidentima, upravljanja sigurnošću lanca opskrbe i suradnje s nadležnim tijelima.
Počinjemo odmah s procjenom stanja i identifikacijom kritičnih nedostataka. Osnovne sigurnosne mjere i sposobnost upravljanja incidentima uspostavljamo u prvim tjednima. Potpuna usklađenost ovisi o veličini organizacije i složenosti IT infrastrukture, ali brza reakcija na kritične nedostatke je prioritet od prvog dana.
Da — NIS2 direktiva zahtijeva redovite sigurnosne revizije i testiranja. To uključuje procjene ranjivosti, penetracijske testove i provjeru učinkovitosti sigurnosnih kontrola. Za ključne subjekte, nadležna tijela mogu provoditi vlastite revizije i zahtijevati dokaze usklađenosti u bilo kojem trenutku.
Procjena rizika kibernetičke sigurnosti identificira prijetnje, ranjivosti i potencijalne posljedice za vašu organizaciju. NIS2 zahtijeva pristup upravljanju rizicima koji uključuje analizu prijetnji, tehničke i organizacijske mjere, te redovito ažuriranje procjene. To je temelj za sve ostale sigurnosne mjere.
Besplatan početni sastanak za procjenu primjenjivosti NIS2 direktive i trenutnog stanja kibernetičke sigurnosti. Odmah krećemo s radom.