Najčešća pitanja o NIS2 u Hrvatskoj (FAQ 2026)

NIS2 je direktiva Europskog parlamenta i Vijeća EU 2022/2555 o sigurnosti mrežnih i informacijskih sustava — druga razina europskih zahtjeva kibernetičke sigurnosti, usvojena u prosincu 2022. Direktiva sama po sebi ne obvezuje tvrtke — morala je biti prenesena u nacionalno pravo.

Zakon o kibernetičkoj sigurnosti je hrvatski zakon koji implementira NIS2 u hrvatskom pravnom poretku. Hrvatska je bila jedna od prvih država članica koja je transponirala direktivu, a zakon je stupio na snagu 1. listopada 2024. godine. Upravo taj zakon obvezuje hrvatske tvrtke — ne izravno direktiva.

Praktična razlika: Zakon može sadržavati odredbe strože od minimuma NIS2 (hrvatsko pravo može nametati dodatne obveze). Za interpretaciju nacionalnih propisa obratite se nadležnim tijelima — SOA-i i MVEP-u.

Hrvatski Zakon o kibernetičkoj sigurnosti koji prenosi NIS2 stupio je na snagu 1. listopada 2024. godine. Rok za samoprocjenu subjekata je 1. listopada 2026. Puni tehnički zahtjevi stupaju na snagu 1. listopada 2027.

Procjene govore o otprilike 2 000 hrvatskih subjekata koji moraju ispuniti zahtjeve NIS2 — što je višestruko više nego što je obuhvaćala stara direktiva NIS1. Porast je posljedica proširenja definicije „kritičnih sektora" i snižavanja pragova za obuhvaćene tvrtke.

Ključni subjekti (Essential Entities): velike tvrtke (250+ zaposlenika ili prihod >50 mil. EUR) iz sektora Priloga I (energetika, promet, bankarstvo, zdravstvo, voda, digitalna infrastruktura, javna uprava, svemirski sektor). Podliježu aktivnim nadzorima — nadzorno tijelo provodi revizije na vlastitu inicijativu. Kazne: do 10 mil. EUR ili 2% prihoda.

Važni subjekti (Important Entities): srednje tvrtke iz Priloga I ili tvrtke bilo koje veličine iz Priloga II (poštanske usluge, proizvodnja, kemikalije, hrana, digitalne usluge). Podliježu reaktivnim nadzorima — revizija samo nakon incidenta ili pritužbe. Kazne: do 7 mil. EUR ili 1,4% prihoda.

Tehnički zahtjevi su slični za obje kategorije — razlikuje se intenzitet nadzora i visina kazni.

Da, u načelu. Mikropoduzeća (manje od 10 zaposlenika i godišnji prihod ispod 2 mil. EUR) te mala poduzeća (manje od 50 zaposlenika i prihod ispod 10 mil. EUR) su izuzeta iz primjene NIS2.

Važne iznimke: male tvrtke mogu podlijegati NIS2 ako su: jedini pružatelj kritične usluge u Hrvatskoj; pružatelji usluga povjerenja (kvalificirani elektronički potpisi); registri naziva domena; pružatelji DNS usluga; ili ako ih regulatorno tijelo proglasi ključnima zbog utjecaja na sigurnost.

Rok za samoprocjenu istječe 1. listopada 2026. Do tog datuma svaki subjekt obuhvaćen NIS2 mora:

1. Procijeniti ispunjava li kriterije ključnog ili važnog subjekta
2. Registrirati se u odgovarajući registar koji vodi nadležno sektorsko tijelo
3. Odrediti osobu odgovornu za kibernetičku sigurnost

Izostanak registracije do 1. listopada 2026. može rezultirati administrativnom kaznom.

Puna tehnička usklađenost (implementirane mjere upravljanja rizicima, procedure, ISMS) zahtijeva se do 1. listopada 2027. — godinu dana nakon roka za samoprocjenu. Vanjska revizija kibernetičke sigurnosti za ključne subjekte zahtijeva se do 1. listopada 2028.

Zakon zahtijeva imenovanje osobe ili tima odgovornog za upravljanje kibernetičkom sigurnošću. To ne mora nužno biti CISO s punim radnim vremenom — može biti:

• Interni IT djelatnik s proširenim ovlastima
• Vanjski konzultant ili uslužna tvrtka (MSSP)
• Direktor ili predsjednik uprave u slučaju malih važnih subjekata

Ključno je formalno imenovanje te uloge u dokumentaciji i njezino stvarno obavljanje.

NIS2 zahtijeva trostupanjsko izvješćivanje o kibernetičkim incidentima:

• 24 sata od otkrivanja: rano upozorenje nadležnom tijelu (SOA ili sektorski nadzorni organ)
• 72 sata od otkrivanja: potpuna prijava incidenta s procjenom utjecaja
• 1 mjesec od otkrivanja: detaljan završni izvještaj s analizom uzroka i poduzetim mjerama

Izvješćivanje se odnosi samo na ozbiljne incidente koji bitno utječu na kontinuitet usluga — ne na svaki sigurnosni alarm.

Članak 21. direktive NIS2 zahtijeva najmanje:

1. Politike analize rizika i sigurnosti informacijskih sustava
2. Procedure za upravljanje sigurnosnim incidentima (detekcija, prijava, reakcija)
3. Upravljanje kontinuitetom poslovanja (sigurnosne kopije, oporavak od katastrofe, krizno upravljanje)
4. Sigurnost lanca opskrbe (procjena dobavljača i partnera)
5. Sigurnost nabave, razvoja i održavanja mreža i sustava
6. Politike i procedure za ocjenu učinkovitosti mjera upravljanja rizicima
7. Osnovne prakse kibernetičke higijene i osposobljavanje
8. Politike i procedure za kriptografiju i enkripciju
9. Sigurnost ljudskih resursa, kontrola pristupa, upravljanje imovinom
10. Primjena višefaktorske autentifikacije (MFA) ili SSO-a

ISMS alati pokrivaju sve te zahtjeve — usporedi alate →

Ne oslobađa u potpunosti, ali značajno olakšava ispunjavanje zahtjeva. ISO 27001 i NIS2 imaju preklapajući opseg — procjenjuje se da tvrtka s certifikatom ISO 27001 ispunjava oko 80–85% tehničkih zahtjeva NIS2.

Preostalih 15–20% čine elementi specifični za NIS2: procedure prijave incidenata nadležnim javnim tijelima, procjena sigurnosti lanca opskrbe prema kriterijima NIS2, registracija u registar subjekata. Posjedovanje ISO 27001 može ublažiti kazne i pozitivno ga ocjenjuju nadzorna tijela.

Ne, ne postoji zakonska obveza kupnje određenog softvera. NIS2 zahtijeva ispunjavanje tehničkih i proceduralnih zahtjeva — ne propisuje kako tvrtka treba upravljati tim procesom.

U praksi, velike tvrtke (ključni subjekti) trebat će GRC alat za upravljanje dokumentacijom, dokazima i praćenjem — ručno upravljanje nerealistično je pri 50+ kontrola. Mali važni subjekti mogu krenuti s besplatnim planom Reglyze-a ili Microsoft Purview-a. Usporedi mogućnosti →

ISMS (Information Security Management System) je sustav upravljanja informacijskom sigurnošću — skup politika, procedura, procesa i kontrola za upravljanje rizicima kibernetičke sigurnosti. Standard koji definira ISMS je ISO/IEC 27001.

NIS2 ne zahtijeva certifikaciju prema ISO 27001, ali zahtijeva implementaciju elemenata ISMS-a (sigurnosnih politika, upravljanja rizicima, procedura za incidente). Alati poput Reglyze-a, Secfix-a ili ISMS.online-a automatiziraju izgradnju i održavanje ISMS-a posebno prilagođenog NIS2.

Troškovi implementacije značajno se razlikuju ovisno o pristupu i veličini tvrtke:

• Male tvrtke (važni subjekt, 50–100 zaposlenika): €2 000–15 000 jednokratno + €500–2 000/god. za alate i održavanje
• Srednje tvrtke (100–250 zaposlenika): €10 000–50 000 implementacija + €3 000–8 000/god.
• Velike tvrtke (ključni subjekt): €50 000–250 000+ implementacija + €15 000–50 000/god.

Trošak revizije ISO 27001 (neobavezno, ali korisno) iznosi dodatnih €8 000–25 000 ovisno o revizorskoj tvrtki.

Ne — NIS2 ne zahtijeva korištenje hrvatskih dobavljača softvera. Možete koristiti alate iz bilo koje zemlje EU ili izvan EU, pod uvjetom da se podaci obrađuju u skladu s GDPR-om.

Ipak, vrijedi obratiti pozornost na: lokaciju podataka (EU ili izvan EU), tehničku podršku na hrvatskom jeziku, poznavanje hrvatskih propisa od strane dobavljača. Za specifična pitanja vezana uz hrvatsko zakonodavstvo, konzultirajte SOA-u ili MVEP. Pogledaj usporedbu alata →

Za male tvrtke (važni subjekt, 50–100 zaposlenika) preporučujemo krenuti od:

1. Reglyze (besplatni plan) — provedite samoprocjenu i procjenu nedostataka. Generirajte sigurnosne politike putem AI-a. Idealna polazna točka, bez troškova.
2. Microsoft Purview (ako imate M365 E3+) — gotov NIS2 predložak u alatu koji već plaćate. Dopunite Reglyze praćenjem u Purview-u.
3. Nakon procjene nedostataka: odlučite trebate li plaćeni alat (ISMS.online od £375/mjes.) na temelju konkretnih manjkavosti.

Koristite NIS2 kalkulator → da najprije provjerite koji tip subjekta odgovara vašoj tvrtki.

Alati sa sjedištem i obradom podataka u EU:

• Reglyze — sjedište u EU ✓
• ComplyCloud — Danska ✓
• Secfix — Njemačka ✓ (podaci u EU)
• ISMS Copilot — Njemačka ✓

Alati iz SAD-a (Vanta, Drata, Sprinto) i UK-a (ISMS.online) mogu obrađivati podatke izvan EU — provjerite njihov DPA (Data Processing Agreement) i SCC-ove prije kupnje. Microsoft Purview obrađuje podatke u Azure regijama — može se konfigurirati EU Data Boundary.

Ključni subjekti:

• Do 10 000 000 EUR ili 2% ukupnog godišnjeg svjetskog prihoda (viši iznos)
• Zabrana obavljanja rukovodećih funkcija osobama odgovornim za povredu

Važni subjekti:

• Do 7 000 000 EUR ili 1,4% ukupnog godišnjeg svjetskog prihoda (viši iznos)

Nadzorna tijela mogu izricati kazne za: izostanak registracije, nedostatak ISMS-a, neprijavu incidenata, neispunjavanje tehničkih zahtjeva. Prve kazne očekuju se nakon isteka prijelaznog razdoblja (nakon 1. listopada 2027.).

Nadzor nad provedbom NIS2 u Hrvatskoj provode različita tijela ovisno o sektoru:

• SOA (Sigurnosno-obavještajna agencija) — opća koordinacija i nadzor
• MVEP (Ministarstvo vanjskih i europskih poslova) — koordinacija s EU institucijama
• HAKOM — digitalna infrastruktura i elektroničke komunikacije
• HANFA — bankarski i financijski sektor
• Ministarstvo zdravstva — sektor zdravstva
• HERA — energetski sektor
• Ministarstvo mora, prometa i infrastrukture — prometni sektor

Ključni subjekti podliježu aktivnim revizijama na inicijativu nadzornog tijela. Važni subjekti — reaktivnim nadzorima (nakon incidenta ili pritužbe).

Da. NIS2 (čl. 20.) nameće rukovodstvu (direktor, uprava, nadzorni odbor) obvezu odobravanja i nadzora mjera upravljanja rizicima kibernetičke sigurnosti. U slučaju ozbiljnih incidenata nastalih zbog nemara, nadležna tijela mogu:

• Izdati javnu izjavu kojom se identificira odgovorna osoba
• Zabraniti fizičkoj osobi obavljanje upravljačkih funkcija
• Izreći kazne rukovod

  Imaš više pitanja?

  Nisi pronašao odgovor? Provjeri naše detaljne recenzije alata ili koristi NIS2 kalkulator.

  Pokreni NIS2 kalkulator →

  Više od 2 400 hrvatskih tvrtki provjerilo je NIS2 status na ovoj stranici

  Nisi siguran podliježe li tvoja tvrtka NIS2? Besplatni kviz traje 2 minute.

  Radi kviz → ×
  ×

  Preuzmi besplatni NIS2 vodič

  Saznaj točno što trebaš učiniti prije 1. studenog 2026. Korak po korak vodič za hrvatske tvrtke.

  Pošalji vodič

  Bez neželjene pošte. Odjavi se u bilo kojem trenutku.