Što je NIS2 i zašto se sad svi bave njime

NIS2 (Direktiva (EU) 2022/2555 o mjerama za visoku zajedničku razinu kibernetičke sigurnosti u Uniji) zamijenila je prvu NIS direktivu iz 2016. i u listopadu 2024. trebala je biti prenesena u nacionalna zakonodavstva država članica. Hrvatska je propis prenijela kroz Zakon o kibernetičkoj sigurnosti (NN 14/2024), koji je stupio na snagu u veljači 2024.

Razlika između NIS-a i NIS2 je dramatična. NIS1 je u Hrvatskoj obvezivao desetak operatera ključnih usluga — uglavnom velike telekome, banke, energetske distributere i bolnice. NIS2 širi krug na desetke tisuća tvrtki u 18 sektora i, što je važno, i na njihove ICT pružatelje. Mali IT konzultant koji održava sustav lokalnoj bolnici ili gradskoj upravi u 2026. odjednom je posredno obveznik niza zahtjeva.

Razlog za širenje je jednostavan. U razdoblju 2020.-2024. broj prijavljenih kibernetičkih incidenata u EU porastao je za više od 400 %. Ransomware napadi na zdravstvene ustanove, energetsku infrastrukturu i lokalne samouprave postali su tjedna pojava. Stara direktiva pokrivala je premali krug subjekata, kazne su bile blage, a prijavljivanje incidenata sporo. NIS2 ide ravno na sva tri problema.

Tko je obveznik u Hrvatskoj

NIS2 dijeli subjekte u dvije kategorije: bitne (essential) i važne (important). Razlika je ponajviše u tome kako se nadzor provodi (proaktivno vs. reaktivno) i u maksimalnoj visini kazni, ali obje skupine imaju u biti iste tehničke obveze.

Bitni subjekti (essential entities) u Hrvatskoj uključuju:

  • Energetiku — HEP grupa, plinski operateri (Plinacro, Crodux), distributeri električne energije i plina, naftne kompanije (INA), operateri električnih punionica iznad određene veličine.
  • Promet — HŽ Infrastruktura, Zračna luka Zagreb i ostale veće zračne luke, lučke uprave, ZET i veći gradski prijevoznici.
  • Bankarstvo i financijska tržišta — sve kreditne institucije pod nadzorom HNB-a, burze, klirinška društva. NIS2 se ovdje preklapa s DORA-om — više o tome niže.
  • Zdravstvo — KBC-ovi, opće bolnice, veće privatne poliklinike, HZZO, proizvođači medicinskih uređaja.
  • Voda i otpadne vode — Vodovodi gradova s više od 5.000 stanovnika.
  • Digitalna infrastruktura — Hrvatski Telekom, A1, Telemach, Iskon, podatkovni centri, DNS pružatelji, registri (CARNet).
  • ICT upravljani servisi i upravljani sigurnosni servisi — tvrtke koje za druge subjekte vode infrastrukturu ili SOC.
  • Javna uprava — državna i jedinice lokalne i područne (regionalne) samouprave od određene veličine.

Važni subjekti (important entities) dodatno uključuju:

  • Poštanske i kurirske usluge
  • Gospodarenje otpadom
  • Proizvodnju, distribuciju i kemiju
  • Proizvodnju i distribuciju hrane
  • Proizvodnju određenih vrsta proizvoda (elektronika, medicinski uređaji, vozila)
  • Digitalne pružatelje — internet trgovine, tražilice, društvene mreže
  • Istraživanje

Praktično pravilo: ako tvrtka u nekom od nabrojanih sektora ima 50 ili više zaposlenih ili 10 milijuna eura godišnjeg prometa, vrlo vjerojatno je obveznik. Iznimke postoje za male, ali kritične subjekte (npr. mali DNS pružatelj koji svejedno upada u režim).

Što NIS2 stvarno traži

Zakon postavlja deset područja koja svaki obveznik mora pokriti. To nije lista za odštrikati — to su područja u kojima moraju postojati pisane politike, procesi i tehničke kontrole, te dokazi da se to provodi.

1. Upravljanje rizicima kibernetičke sigurnosti

Tvrtka mora imati formalno upravljanje rizicima — registar imovine, procjenu prijetnji, klasifikaciju kritičnosti, dokumentirane mjere. Ne dovoljno je reći "imamo antivirus i firewall" — traži se metodologija (ISO 27001, NIST CSF, ili nacionalna metodologija koju će izdati ZSIS i HAKOM).

2. Postupanje s incidentima

Definiran process detekcije, eskalacije, sanacije, lekcija. Najvažnije: rokovi prijavljivanja. Početna obavijest nacionalnom CSIRT-u (Centar za kibernetičku sigurnost CARNet, odnosno Nacionalni CERT) u 24 sata od saznanja, službena prijava u 72 sata, finalno izvješće u mjesec dana.

3. Kontinuitet poslovanja i upravljanje krizama

Backup, planovi oporavka, testiranje tih planova. Ne smiju ostati samo na papiru — auditori traže zapise stvarnih vježbi.

4. Sigurnost lanca opskrbe

Ovdje je novost koja boli. Obveznik je odgovoran i za sigurnost svojih dobavljača i pružatelja usluga koji imaju pristup njegovim sustavima ili podacima. To znači due diligence, ugovorne klauzule, periodične provjere. Mali IT serviser koji nije pripremljen za upitnike od 200 stavki gubit će ugovore.

5. Sigurnost u nabavi i razvoju

Sigurnosni zahtjevi u natječajima, SDLC praksu (review koda, ovisnosti, supply chain skener), pen-testiranje prije produkcije.

6. Mjere učinkovitosti

Indikatori, mjerenje, redovni izvještaji uprave.

7. Higijena i osposobljavanje

Obveza obuke svih zaposlenika, ne samo IT-a. Phishing simulacije, godišnji refresher, mjerljiv dokaz da se to provodi.

8. Kriptografija

Politika korištenja, snažni algoritmi, key management.

9. Sigurnost ljudskih resursa, pristup, upravljanje imovinom

Onboarding/offboarding procesi, RBAC, MFA na privilegiranim računima, inventar imovine.

10. MFA, sigurne komunikacije, sigurna komunikacija u kriznim situacijama

Posebno je istaknuta obveza višefaktorske autentikacije na svim kritičnim sustavima, te postojanje sigurnog "out-of-band" kanala komunikacije za slučaj kada je glavna mreža kompromitirana.

Odgovornost uprave: novost u 2026.

Ono što kod uprava budi najveći otpor je činjenica da NIS2 propisuje osobnu odgovornost članova uprave. Direktori i članovi nadzornih odbora dužni su:

  • Odobriti i nadzirati provedbu mjera kibernetičke sigurnosti.
  • Pohađati osposobljavanje iz kibernetičke sigurnosti (obvezno, dokumentirano).
  • Snositi odgovornost za propuste.

Kazne se izriču samoj tvrtki, ali nadzorna tijela mogu privremeno zabraniti obavljanje funkcije osobama koje su grubo zanemarile dužnost. To je razina osobne odgovornosti koja u dosadašnjoj IT regulativi u Hrvatskoj nije postojala.

Kazne — kako izgleda krajnja granica

Maksimalne kazne se razlikuju prema kategoriji:

  • Bitni subjekti: do 10 milijuna eura ili 2 % globalnog godišnjeg prometa, ovisno o tome što je veće.
  • Važni subjekti: do 7 milijuna eura ili 1,4 % globalnog godišnjeg prometa.

Za usporedbu, GDPR ide do 4 % prometa, NIS2 do 2 %. To su prve istinski "boljne" kazne u području kibernetičke sigurnosti za EU.

U praksi prve godine primjene, nacionalni regulatori obično ne ciljaju na maksimum. Češći ishod je administrativna kazna od 5.000 do 50.000 eura za propuste tipa "nemate registar imovine" ili "kasno prijavljeni incident", uz nalog za otklanjanje u zadanom roku.

Odnos prema DORA-i i Cyber Resilience Act-u

NIS2 nije jedini propis koji 2026. određuje kibernetičku sigurnost u EU. DORA (detaljnije ovdje) pokriva financijski sektor i ima prednost u odnosu na NIS2 za banke i fintechove. Cyber Resilience Act (detaljnije ovdje) pokriva proizvode s digitalnim elementima i obvezuje proizvođače.

Tri propisa zajedno formiraju koherentnu sliku:

  • CRA — sigurnost samih proizvoda na tržištu.
  • NIS2 — sigurnost organizacija koje koriste tehnologiju za pružanje usluga.
  • DORA — pojačani režim za financije.

Za većinu tvrtki van financija, NIS2 je referentni okvir.

Praktični prvi koraci za 2026.

Ako tvrtka nije sigurna je li obveznik, ili zna da jest a tek sad počinje, ovo je realan plan za sljedećih šest mjeseci:

  1. Provjera obveznika statusa. Sektor + veličina = kategorija. Ako vaš sektor nije nabrojan, vjerojatno niste. Ako ste IT pružatelj nekome tko jest, vrlo vjerojatno jeste posredno obvezni preko lanca opskrbe.

  2. Gap analiza prema deset područja. Najjeftinije je interno: tablica s 30-50 stavki, oznakom "postoji / djelomično / ne postoji". Ne treba savršeno — treba dokumentirano.

  3. Imenovanje odgovornih osoba. NIS2 traži formalnu odgovornost. Veće tvrtke imenuju CISO-a, manje delegiraju IT voditelju s pisanim opisom obveza.

  4. Prijava nadležnom tijelu. Subjekti obveznici upisuju se u registar koji vodi nadležno tijelo. U Hrvatskoj je to za većinu ZSIS (sigurnosno-informativna), a za određene sektore i pripadajući regulator (HNB za banke, HAKOM za telekomunikacije).

  5. Plan ulaganja. Realno: prosječna SMB tvrtka u Hrvatskoj treba 20.000-60.000 eura jednokratno za prvu godinu (procjene, politike, MFA na svim sustavima, EDR, backup), pa potom 5.000-15.000 eura godišnje za održavanje i osposobljavanje.

  6. Tablice odgovornosti za dobavljače. Inventar svih ICT pružatelja, klasifikacija po kritičnosti, anex ugovora s minimalnim sigurnosnim zahtjevima. Dobavljači koji se odbijaju potpisati postaju sami sebi prepreka.

Prve lekcije iz inozemstva

Države članice koje su brže prenijele direktivu (Belgija, Italija, dijelovi Njemačke) već imaju prve nadzore i kazne. Lekcije:

  • Najčešća kazna nije za propuštenu mjeru, već za "nemoguće dokazati". Mjera možda postoji, ali nema zapisa o tome tko je odgovoran, kada je provedena, na kojim sustavima. Dokumentacija odlučuje.
  • Phishing testovi nisu nepristrana metrika. Regulatorima više govori postoji li reakcija kad korisnik klikne (alert, otklon računala iz mreže, jasna eskalacija) nego što je sama stopa klikanja.
  • Supply chain pitanja postaju nekompromisna. Tvrtke su prisiljene reći dobavljačima "ili potpišete sigurnosni anex ili gubite ugovor". To će promijeniti odnose s dijelom hrvatske IT zajednice koja je do sad poslovala neformalno.

Zaključak: rok je već prošao, ali nije kraj svijeta

NIS2 je u Hrvatskoj već važeći zakon. Realno, u 2026. većina obveznika i dalje nije usklađena — i to dijele s većinom EU. Regulatori to znaju i u prvoj fazi rade dijaloški, traže planove i napredak, ne love kazne. Ali već u 2027. očekivati je drugačiji tonalitet.

Tvrtke koje sad krenu sa strukturiranom gap analizom, imenovanom odgovornom osobom i realističnim planom u jednoj godini stignu na razinu koju regulator prihvaća kao "u redu". One koje nastave čekati riskiraju da budu primjer iz prve serije kazni, što je dvostruko skupo — i financijski i reputacijski.