NIS2 konzultanti i NIS2 usklađenost u Hrvatskoj
NIS2 direktiva obvezuje ključne i važne subjekte u 18 sektora na provedbu mjera kibernetičke sigurnosti — uz kazne do 10 milijuna eura. Provodimo NIS2 gap analizu, plan implementacije i dokumentaciju spremnu za nadzor SOA-e, Centra za kibernetičku sigurnost i HAKOM-a.
Pouzdani partner vodećih organizacija
Besplatna 30-minutna konzultacija
Opišite ukratko vaš opseg. Javljamo se unutar jednog radnog dana s jasnim sljedećim koracima i okvirnom cijenom.
NIS2 savjetovanje — naše usluge
NIS2 gap analiza i klasifikacija subjekta
Klasifikacija organizacije kao ključnog ili važnog subjekta, mapiranje sigurnosne pozicije prema svih 10 mjera iz čl. 21 i prioritizirani plan usklađenosti.
NIS2 plan implementacije
Okvir za upravljanje rizicima 'all-hazards' s identifikacijom prijetnji, planovima tretiranja rizika i kontinuiranim praćenjem prema NIS2 zahtjevima.
Procedure za izvještavanje incidenata
Cjeloviti proces upravljanja incidentima sa 24h ranim upozorenjem, 72h obavijesti i mjesečnim završnim izvještajem prema CKS-u (Centar za kibernetičku sigurnost).
NIS2 sigurnost lanca opskrbe
Procjena ICT dobavljača, ugovorne sigurnosne klauzule i kontinuirano praćenje prema čl. 21(2)(d) — dokumentacija koja stoji pred regulatorom.
Upravljanje i odgovornost uprave
Upravljačke strukture, edukacija uprave i dokazi o odgovornosti uprave prema NIS2 čl. 20 — uključujući osobnu odgovornost članova uprave.
Praćenje usklađenosti i priprema za nadzor
Dashboard usklađenosti, plan internih revizija, prikupljanje dokaza i ciklusi pregleda politika za nadzor SOA-e i HAKOM-a.
Što se događa bez NIS2 usklađenosti?
Zakon o kibernetičkoj sigurnosti (NN 14/2024) i NIS2 direktiva uvode oštre sankcije za neusklađene subjekte u Hrvatskoj:
Kazne do 10 milijuna eura
Ključni subjekti: do 10 mil. € ili 2% godišnjeg prometa. Važni subjekti: do 7 mil. € ili 1,4% prometa. Uprava odgovara osobno.
Osobna odgovornost uprave
NIS2 čl. 20 propisuje osobnu odgovornost uprave za nadzor kibernetičke sigurnosti. Članovi uprave mogu biti privremeno udaljeni s upravljačkih funkcija u slučaju neusklađenosti.
Operativni prekidi i zastoji
Bez dokumentiranog plana odgovora na incidente, prosječan oporavak nakon značajnog kibernetičkog incidenta traje preko 23 dana — uz produžene zastoje i kaskadne kvarove.
Isključenje iz lanca opskrbe
NIS2 obveznici moraju provjeravati sigurnosnu poziciju dobavljača prema čl. 21(2)(d). Neusklađeni dobavljači riskiraju isključenje iz velikih EU ugovora i javnih natječaja.
NIS2 direktiva — što morate provesti
Članak 21 propisuje 10 minimalnih mjera kibernetičke sigurnosti koje moraju provesti svi ključni i važni subjekti.
10 minimalnih mjera (čl. 21)
- Analiza rizika i politike sigurnosti informacijskih sustava
- Upravljanje incidentima, kontinuitet poslovanja i upravljanje krizom
- Sigurnost lanca opskrbe i sigurne prakse nabave sustava
- Kriptografija, kontrola pristupa, MFA i edukacija o kibernetičkoj sigurnosti
Ključni vs važni subjekti
- Ključni: sektori iz Priloga I (energetika, transport, bankarstvo, zdravstvo, digitalna infrastruktura, svemir)
- Važni: sektori iz Priloga II (poštanske usluge, otpad, kemikalije, hrana, proizvodnja, digitalni pružatelji)
- Ključni: 250+ zaposlenika ili 50+ mil. € prometa — proaktivni nadzor i revizije
- Važni: 50+ zaposlenika ili 10+ mil. € prometa — reaktivna provedba na incidente
Vremenski okvir i rokovi za usklađenost
- Listopad 2024.: rok za EU transpoziciju — provedbene ovlasti aktivne u svim državama članicama
- Studeni 2024.: hrvatski Zakon o kibernetičkoj sigurnosti (NN 14/2024) na snazi — SOA i CKS kao tijela
- Izvještavanje incidenata: 24h rano upozorenje, 72h obavijest, mjesečno završno izvješće
- Kontinuirano: redovne sigurnosne revizije, pregledi politika, edukacija i procjene lanca opskrbe
Kako provodimo NIS2 usklađenost
Klasifikacija subjekta i opseg
Klasificiramo organizaciju kao ključnog ili važnog subjekta prema NIS2 i definiramo granice usklađenosti po poslovnim jedinicama i sustavima.
NIS2 gap analiza
Revidiramo kibernetičku poziciju prema svih 10 mjera iz čl. 21, ocjenjujemo zrelost svake mjere i prioritiziramo nedostatke prema razini rizika.
Implementacija i otklanjanje nedostataka
Provodimo politike, planove odgovora na incidente, programe za lanac opskrbe, kontrolu pristupa i edukaciju — sve dokumentirano za regulatorne revizije.
Priprema za nadzor i kontinuirana podrška
Pripremamo pakete dokaza usklađenosti, provodimo simulacije nadzora i nudimo kvartalne preglede s kontinuiranim praćenjem.
Često postavljana pitanja o NIS2 usklađenosti
NIS2 obvezuje srednje i velike organizacije (50+ zaposlenika ili 10+ mil. € prometa) u 18 sektora iz Priloga I i II — energetika, transport, bankarstvo, zdravstvo, digitalna infrastruktura, proizvodnja i drugi. Određeni subjekti poput DNS pružatelja i kvalificiranih pružatelja usluga povjerenja moraju biti usklađeni neovisno o veličini.
Ključni subjekti suočavaju se s kaznama do 10 milijuna eura ili 2% globalnog godišnjeg prometa. Važni subjekti do 7 milijuna eura ili 1,4% prometa. NIS2 uvodi i osobnu odgovornost — članovi uprave mogu biti privremeno udaljeni s upravljačkih funkcija.
Rok za EU transpoziciju bio je listopad 2024. Hrvatski Zakon o kibernetičkoj sigurnosti (NN 14/2024) stupio je na snagu u studenom 2024. Nema prijelaznog razdoblja — provedbene ovlasti su aktivne i ključni subjekti suočavaju se s proaktivnim nadzorom već sada.
NIS2 zahtijeva višefazno izvještavanje: 24-satno rano upozorenje nacionalnom CSIRT-u (CKS u Hrvatskoj), 72-satnu obavijest s procjenom ozbiljnosti i završno izvješće u roku od mjesec dana s analizom korijenskog uzroka. Propuštanje bilo kojeg roka predstavlja povredu usklađenosti.
ISO 27001 pokriva oko 70-80% NIS2 zahtjeva. Ključne praznine NIS2 uključuju obavezno 24-satno izvještavanje incidenata, specifične obveze sigurnosti lanca opskrbe, osobnu odgovornost uprave i registraciju kod nacionalnih tijela.
Članak 20 zahtijeva da uprava odobri i nadzire mjere kibernetičke sigurnosti. Članovi uprave moraju proći edukaciju o kibernetičkoj sigurnosti i osobno odgovaraju — uključujući moguće privremeno udaljavanje — ako organizacija ne ispuni obveze.
U pravilu ne — NIS2 se odnosi na organizacije s 50+ zaposlenika ili 10+ mil. € prometa. Međutim, DNS pružatelji, pružatelji usluga povjerenja i pružatelji ključnih usluga moraju biti usklađeni neovisno o veličini. Mali dobavljači mogu imati neizravne obveze kroz ugovore.
Krećemo odmah s klasifikacijom subjekta i gap analizom. Većina organizacija postiže početnu NIS2 usklađenost u 3 do 6 mjeseci, ovisno o veličini i postojećoj sigurnosnoj zrelosti.
NIS2 — industrije s kojima radimo
Krenite s NIS2 procjenom
Besplatna inicijalna konzultacija za klasifikaciju vaše organizacije po NIS2 i identifikaciju nedostataka usklađenosti. Krećemo odmah.