Sektori iz Aneksa I iznad 250 zaposlenih ili 50 mil. € prometa.
Energetika, promet, bankarstvo, infrastruktura financijskog tržišta, zdravstvo, vodoopskrba, kanalizacija, digitalna infrastruktura, upravljanje ICT uslugama, javna uprava, svemir.
PRAKSA · USKLAĐENOST S NIS2
NIS2 opseg i provedba čl. 21.
Utvrđujemo jeste li ključni ili važan subjekt prema NIS2 direktivi i Zakonu o kibernetičkoj sigurnosti. Provodimo deset mjera iz članka 21., postavljamo postupak prijave incidenata po članku 23. i pripremamo upravu na obveze iz članka 20. Pregled spremnosti prije nadzora dio je standardnog angažmana.
NIS2 PRAKSA · ZADNJIH 30 DANA● UŽIVO
Subjekata određeno (ključni i važni)12
Provedenih mjera iz čl. 21kroz 6 angažmana47
Prijavljenih značajnih incidenata24h upozorenje predano3
Pregledanih dobavljača po čl. 21(d)128
Brifinga uprave provedeno8
Komunikacija s nadzornim tijelom14
300+ ANGAŽMANA U REGULIRANIM SEKTORIMA
ROCHESIEMENSIKEAASTRAZENECAVODAFONEPHILIPSJUST EAT
BESPLATAN 30-MINUTNI RAZGOVOR
Razgovor s iskusnim savjetnikom.
Odgovor unutar jednog radnog dana. Jasni sljedeći koraci i okvirna cijena.
ODGOVOR U 1 RADNOM DANU·UGOVOR O POVJERLJIVOSTI NA ZAHTJEV·BEZ OBVEZE
NIS2 U 60 SEKUNDI
Opseg i vrste subjekata.
Sektori iz Aneksa II i srednji subjekti iz Aneksa I.
Poštanske usluge, otpad, kemikalije, hrana, proizvodnja, digitalni pružatelji, istraživanja. Iznad 50 zaposlenih ili 10 mil. € prometa.
Rokovi za prijenos u nacionalna zakonodavstva prošli.
Države članice prenijele su NIS2 u nacionalna zakonodavstva tijekom 2024.-2025. Nadzorna tijela sada aktivno utvrđuju opseg i provode propise.
VAŽNI SUBJEKTI
Do 7 mil. € ili 1,4% prometa
Upravne kazne po čl. 34 za propuste u upravljanju, prijavi ili mjerama.
KLJUČNI SUBJEKTI
Do 10 mil. € ili 2% prometa
Maksimum po čl. 34. Plus osobna odgovornost uprave po čl. 20.
ČLANCI U OPSEGU
Mjere i izvještavanje.
ČL. 21 · MJERE UPRAVLJANJA RIZIKOM
Čl. 21(a)Analiza rizika i politikaDokumentirana politika informacijske sigurnosti i pristup riziku.
Čl. 21(b)Obrada incidenataSposobnost detekcije, odgovora i oporavka.
Čl. 21(c)Kontinuitet poslovanjaUpravljanje sigurnosnim kopijama, oporavak, krizna komunikacija.
Čl. 21(d)Sigurnost lanca opskrbeSigurnost nabave mrežnih i informacijskih sustava.
Čl. 21(e-j)Tehničke mjereKriptografija, MFA, kontrola pristupa, upravljanje ranjivostima, sigurni razvoj.
ČL. 23 · PRIJAVA INCIDENATA
Čl. 23(1)Definicija značajnog incidentaOzbiljan operativni poremećaj, financijski gubitak ili utjecaj na druge subjekte.
Čl. 23(4)(a)24-satno upozorenjeCSIRT-u ili nadzornom tijelu, s naznakom mogućeg zlonamjernog uzroka.
Čl. 23(4)(b)72-satna prijavaAžurirana procjena, pokazatelji ugroze, početne mjere ublažavanja.
Čl. 23(4)(c)Konačno izvješće u 1 mjesecuDetaljan opis, vrsta prijetnje, primijenjene i tekuće mjere ublažavanja.
Čl. 20Odgovornost upraveOdobrenje mjera i nadzor; obvezna edukacija; osobna odgovornost.
NAČIN SURADNJE
Modeli suradnje.
FULLNAJTRAŽENIJE
Provedba NIS2 programa
Potvrda opsega, mjere iz čl. 21, tijek prijave incidenata, kontrole lanca opskrbe, edukacija uprave, pregled spremnosti prije nadzora.
- →Potvrda ključni vs važni
- →Deset mjera iz čl. 21
- →Tijek prijave 24h-72h-1mj
- →Edukacija uprave po čl. 20
GAP3-4 TJ
Procjena NIS2 spremnosti
Neovisni pregled mjera iz čl. 21 i tijeka iz čl. 23. Razina zrelosti, prioritetni registar nedostataka, izvještaj za upravu.
- →Osnovna razina zrelosti
- →Registar nedostataka, po prioritetu
- →Plan rada prema riziku
- →Izvještaj za upravu
OPSMJESEČNI
NIS2 retainer
Tekuće operacije: pregledi dobavljača po čl. 21(d), trijaža i prijava incidenata, kvartalni brifinzi uprave, komunikacija s nadzornim tijelom.
- →Pregledi dobavljača (čl. 21(d))
- →Trijaža i prijava incidenata
- →Kvartalni brifinzi uprave
- →Korespondencija s tijelima
OPSEG
Opseg usluga.
01 / 04
Opseg i upravljanje
- Određivanje ključni vs važni
- Mapiranje sektora iz Aneksa I i II
- Opseg na razini grupe
- Uloge i odobrenja uprave
- Cikličko izvještavanje uprave
02 / 04
Mjere iz čl. 21
- Metodologija analize rizika
- Postupci obrade incidenata
- Kontinuitet poslovanja i kriza
- Okvir sigurnosti lanca opskrbe
- Kriptografija, MFA, upravljanje ranjivostima
03 / 04
Prijava incidenata
- Predložak za 24h upozorenje
- Predložak za 72h prijavu
- Predložak za konačno izvješće
- Registar kontakta CSIRT-a i tijela
- Interni postupak eskalacije
04 / 04
Ljudi i nadzor
- Edukacija uprave (čl. 20)
- Svijest po ulogama
- Komunikacija s nadzornim tijelima
- Pregledi spremnosti prije nadzora
- Godišnji izvještaj o programu
TIJEK PRIJAVEPrimjer izvještaja o incidentuPDF · 8 STR
Tijek prijave incidenta.
NIS2 čl. 23 dodaje 24-satnu ranu obavijest i 72-satnu prijavu na obveze iz GDPR čl. 33. Pripremamo tijek, predloške i trijažu čim se incident otkrije.
24h upozorenje
Mi pripremamo
72h prijava
Mi pripremamo
Konačno izvješće u 1 mj
Mi pripremamo
Koordinacija kriznog tima
Uključeno
PRIMJER.INCIDENT.IZVJEŠTAJLIST 2026
Otkriven značajan incidentT+0 h
Upozorenje predano (čl. 23(4)(a))T+18 h
Prijava predana (čl. 23(4)(b))T+62 h
Potvrđeno zaustavljanjeT+5 d
Konačno izvješće (čl. 23(4)(c))T+24 d
Odgovor tijelaBez daljnjih postupaka
POTPIS. JELENA NOVAK, PARTNER. KIBERNETIČKA SIGURNOST I NIS2
ODABRANI PROJEKTI
Sve studije slučaja →Nedavni angažmani.
CASE 01Energetski operater (ključni subjekt prema NIS2)
NIS2 čl. 21 proveden prije nacionalnog roka. Bez kritičnih nalaza.
34
Pokrivenih lokacija
5 mj
Do usklađenosti
0
Kritični nalazi
OPSEGNIS2 · Čl. 21 · Kontrole lanca opskrbe
CASE 02Telekom operater (ključni subjekt prema NIS2)
Opseg na razini grupe potvrdio ključni status za 8 subjekata.
8
Određeni subjekti
4
Jurisdikcija
0
Upiti nadzornika
OPSEGNIS2 · Opseg · Tijek prijave
CASE 03B2B SaaS tvrtka (važan subjekt prema NIS2)
Mjere iz čl. 21 i tijek prijave postavljeni u Hrvatska i EU.
11
Jurisdikcija
10
Provedenih mjera
4
Brifinga uprave
OPSEGNIS2 · Čl. 21 · Čl. 23 · Edukacija po čl. 20
ZAŠTO JE OVO VAŽNO
NIS2 provedba.
160.000+
EU subjekata u opsegu NIS2
10 mil. € / 2%
Maksimalna kazna za ključne subjekte (čl. 34)
24 h
Rok upozorenja za značajan incident
72 h
Rok prijave incidenta (čl. 23(4)(b))
TREND 01
Uprava je osobno odgovorna
Čl. 20 čini upravu odgovornom za odobrenje mjera upravljanja rizikom i nadzor provedbe. Nadzorna tijela počela su kažnjavati pojedince, ne samo subjekt.
TREND 02
Lanac opskrbe je novi opseg revizije
Čl. 21(d) zahtijeva procjenu izravnih dobavljača i pružatelja usluga. Tijela sada redovito traže dokumentirane preglede.
TREND 03
Opseg na razini grupe nije trivijalan
Strukture podružnica, pravila o EU sjedištu i načelo glavnog sjedišta određuju koje je nadzorno tijelo nadležno. Pogrešne pretpostavke vode do ponovne prijave.
FAQ
Česta pitanja.
01Kako znamo jesmo li u opsegu?+
Dva testa. Prvi, sektor: Aneks I ili Aneks II NIS2. Drugi, veličina: iznad 50 zaposlenih ili 10 mil. € prometa (važni) ili iznad 250 zaposlenih ili 50 mil. € prometa (ključni). Postoje i okidači neovisni o veličini za određene sektore. Procjenu radimo u prvom tjednu.
02Imamo sjedište izvan EU, ali poslujemo s EU klijentima. Vrijedi li za nas?+
Ponekad. Čl. 26 utvrđuje opseg za pružatelje izvan EU za određene usluge (DNS, cloud, podatkovni centri, isporuka sadržaja, online tržnice, online tražilice, društvene mreže). Predstavnik u EU može biti potreban po čl. 26(3).
03Koliko traje provedba NIS2?+
Od 4 do 6 mjeseci za uobičajenu srednju organizaciju. Dva mjeseca na opseg, tri mjeseca na mjere iz čl. 21 i tijek prijave, jedan mjesec na edukaciju uprave i pregled spremnosti.
04Što se događa na 24-satnom i 72-satnom roku?+
U 24 sata predajemo upozorenje s naznakom mogućeg zlonamjernog uzroka CSIRT-u ili nadzornom tijelu. U 72 sata predajemo prijavu s ažuriranom procjenom, pokazateljima ugroze i početnim mjerama ublažavanja. Koordiniramo oba podneska, uključujući praćenja nadzornika.
05Trebamo li ISO 27001 za NIS2?+
Ne. NIS2 ne propisuje ISO 27001. Dva okvira značajno se preklapaju u tehničkim mjerama, pa jedan program informacijske sigurnosti zadovoljava oba. Certifikacija je poslovna odluka koju pokreću zahtjevi klijenata i natječaja.
06Kako rješavate opseg na razini grupe?+
Mapiramo podružnice na sektore i pragove veličine, utvrđujemo pravila glavnog sjedišta po čl. 26 i definiramo cikličko izvještavanje grupe. Gdje se primjenjuje više jurisdikcija, koordiniramo jedinstvenu kontaktnu točku i sprječavamo dvostruke prijave.
RESURSI
Predlošci i vodiči.
VODIČPDF · 32 str
Vodič za provedbu NIS2
Mjere iz čl. 21 prevedene u 60 praktičnih kontrola, s predlošcima za prijavu i scenarijima edukacije uprave.
Preuzmi ↓POTREBNA E-MAIL ADRESA
VODIČPDF · 14 str
Stablo odluka: ključni vs važni
Vizualno stablo odluka koje pokriva sektor, veličinu i okidače neovisne o veličini. Aneks I i II mapirani na uobičajene poslovne modele.
Preuzmi ↓POTREBNA E-MAIL ADRESA
PREDLOŽAKPDF + DOCX
Predlošci za prijavu po čl. 23
Gotovi predlošci za 24h upozorenje, 72h prijavu i konačno izvješće. Usklađeni s trenutnim smjernicama nadzornih tijela.
Preuzmi ↓POTREBNA E-MAIL ADRESA
SRODNE PRAKSE
Povezane prakse.
Kibernetička sigurnost i ISO 27001
Iste kontrole, drugi okvir. ISO 27001 Aneks A pokriva većinu tehničkih mjera iz čl. 21 NIS2.
Otvori praksu →Zaštita podataka i GDPR
Isti incident, dva sata. GDPR čl. 33 dodaje 72-satnu prijavu na 24-satno upozorenje CERT-u.
Otvori praksu →Odgovor na incidente
Gotovi playbooki, predlošci za prijavu nadzornom tijelu, koordinacija kriznog tima.
Otvori praksu →11 / GET STARTED
Pokrenite NIS2 program.
Besplatan uvodni sastanak. Jasni sljedeći koraci. Okvirna cijena unutar jednog radnog dana.