NIS2.com.hr
Što je NIS2 Tko je obveznik Obveze Kazne Blog Kontakt
Zatraži audit →
📋
Implementacija

10 obveznih mjera NIS2 — kompletan vodič

Detaljni pregled svih 10 obveznih mjera upravljanja rizicima po članku 21. NIS2 direktive, s praktičnim savjetima za hrvatske firme.

· 8 min čitanja

Članak 21. NIS2 direktive propisuje 10 obveznih mjera upravljanja rizicima koje svaka obvezna organizacija mora dokumentirati i redovito provoditi. Mjere nisu samo "best practice" preporuke — to je zakonska obveza, a nadležno tijelo (SOA i sektorski regulatori) može provjeravati implementaciju.

Ovaj članak objašnjava svaku mjeru pojedinačno i daje konkretne savjete za implementaciju.

1. Politika sigurnosti informacijskih sustava

Pisani dokument koji definira pristup riziku, odgovornosti, dozvoljenu uporabu sustava i osnovna pravila. Mora biti odobren od strane uprave i redovito revidiran.

Minimum: politika koju potpisuje uprava, dostupna svim zaposlenicima, pregledana barem jednom godišnje.

2. Upravljanje incidentima

Procedura za detekciju, eskalaciju, dokumentiranje i izvještavanje sigurnosnih incidenata. Obvezno uključuje rokove za prijavu nadležnom CSIRT-u (HR-CERT pri CARNetu ili Nacionalni CERT pri SOA-i, ovisno o sektoru).

Rokovi su strogi: 24 sata za rano upozorenje, 72 sata za detaljnu obavijest, 1 mjesec za završno izvješće. Više o tome u posebnom članku o prijavi incidenta.

3. Kontinuitet poslovanja i upravljanje krizama

Backup strategija, disaster recovery plan, procedure za nastavak poslovanja u slučaju ozbiljnog ispada. Mora se testirati barem jednom godišnje, ne samo dokumentirati.

Česta greška: imate backup, ali ga nikad niste testirali. NIS2 traži dokumentaciju o stvarnom testu povrata podataka — ne samo o tome da backup postoji.

4. Sigurnost lanca opskrbe

Procjena sigurnosnih rizika trećih strana, sigurnosne klauzule u ugovorima, kontinuirani monitoring. Posebno važno za:

  • Cloud pružatelje (SaaS, PaaS, IaaS)
  • Outsourcing IT održavanja
  • Dobavljače kritičnih komponenata (medicinski uređaji, industrijska oprema)

Ako neki od vaših dobavljača propusti, vi ste odgovorni. Lanac je toliko jak koliko je najslabija karika.

5. Sigurnost nabavke, razvoja i održavanja IT sustava

Procesi za sigurno nabavu opreme i softvera, secure coding standardi, code review, vulnerability disclosure politika, redovito penetracijsko testiranje.

Za organizacije koje razvijaju vlastiti softver: ovo je značajan dio obveza — uključuje i automatizirane sigurnosne testove u CI/CD pipeline-u.

6. Politike za ocjenu učinkovitosti mjera

Redovne revizije (interne i/ili eksterne), KPI-jevi, izvještavanje uprave, dokumentirani postupci za poboljšanje. Mjeriti, ne samo provoditi.

Minimum: kvartalno izvještavanje uprave o stanju kibernetičke sigurnosti, godišnji interni audit, dvogodišnji eksterni audit.

7. Kibernetička higijena i edukacija

Redovne obuke zaposlenika, phishing simulacije, edukacija o sigurnoj uporabi sustava, password policy, patch management.

  • Obuka pri zapošljavanju + godišnja recurring
  • Phishing simulacije barem 2–4 puta godišnje
  • Patch management procedure s SLA rokovima (kritični patch < 48h)

8. Kriptografija

Enkripcija podataka u mirovanju (storage) i u prijenosu (network), upravljanje kriptografskim ključevima, redovita rotacija. NIS2 ne propisuje konkretne algoritme, ali traži dokumentiranu politiku — što enkriptirate, kako, i tko ima pristup ključevima.

9. Sigurnost ljudskih resursa i kontrola pristupa

Provjere prilikom zapošljavanja (proporcionalno riziku), RBAC (role-based access control), PAM (privileged access management), striktan offboarding.

Najlakša pobjeda: uvedite proceduru "exit checklist" — pri svakom odlasku zaposlenika sve njegove pristupe gasite u 24 sata. Većina firmi to ima neformalno, ali NIS2 traži pisani dokument i provjeru.

10. Sigurna autentifikacija i komunikacija

Multi-factor authentication (MFA) na svim kritičnim sustavima — ovo je najveći single change za većinu organizacija. Plus sigurni kanali za hitnu komunikaciju u krizi (kad redovni email/Slack ne radi).

Minimum:

  • MFA na svim adminskim računima (apsolutno obavezno)
  • MFA na produkcijskim sustavima
  • MFA na email-u i VPN-u
  • Dokumentirani out-of-band komunikacijski kanali za incident response

Kako početi s implementacijom?

Ne pokušavajte sve odjednom. Prioritizacija prema riziku:

  1. Brze pobjede (1–2 tjedna): MFA na adminima, password policy, exit checklist
  2. Srednji rok (1–3 mjeseca): politika, incident response procedura, edukacija
  3. Dugoročno (3–9 mjeseci): supply chain procjena, testovi disaster recovery-ja, eksterni audit

Ako trebate pomoć u procjeni gdje ste sada vs. gdje morate biti, zatražite besplatnu NIS2 gap analizu.

Trebate pomoć s NIS2 usklađenošću?

Besplatna procjena obveza, gap analiza i plan implementacije. Javljamo se u 24h.

Zatraži audit →

Slični članci

🛡️
Osnove
Što je NIS2 direktiva i zašto je važna za vašu firmu
⚠️
Compliance
NIS2 kazne i rizici — što doista riskirate
🔗
Compliance
ISO 27001 i NIS2 — koliko se preklapaju?