ISO 27001 i NIS2 — koliko se preklapaju?
Detaljno mapiranje ISO 27001 kontrola na NIS2 obveze. Što ISO 27001 pokriva, što ne, i koliko vam dodatnog rada treba.
Ako imate ISO/IEC 27001 certifikat, vjerojatno ste u znatno boljoj poziciji za NIS2 usklađenost nego većina firmi — ali ne smijete pretpostaviti da je posao gotov. Postoje važne razlike između onoga što ISO traži i onoga što NIS2 zahtijeva.
Ovaj članak objašnjava koliko se zapravo preklapaju i koliko vam dodatnog rada treba ako već imate ISO 27001.
Što ISO 27001 pokriva
ISO/IEC 27001 (najnovija verzija 2022) je međunarodni standard za upravljanje informacijskom sigurnošću (ISMS). Definira:
- Sustav za procjenu i upravljanje informacijskim rizicima
- 93 sigurnosne kontrole organizirane u 4 teme (organizacijske, ljudske, fizičke, tehnološke)
- Procese za kontinuirano poboljšanje (Plan-Do-Check-Act)
- Dokumentaciju koju trebate održavati
U praksi, ISO 27001 certifikacija pokrivat će 60–75% NIS2 obveza — što je značajan headstart, ali nije potpuno pokriće.
Mapiranje 10 NIS2 mjera na ISO 27001 kontrole
| NIS2 mjera | ISO 27001 pokriva? |
|---|---|
| 1. Politika sigurnosti | ✅ A.5.1, A.5.2 |
| 2. Upravljanje incidentima | ⚠️ Djelomično — ISO ne specifira NIS2 rokove (24h/72h/1mj) |
| 3. Kontinuitet poslovanja | ✅ A.5.29, A.5.30 |
| 4. Sigurnost lanca opskrbe | ⚠️ Djelomično — A.5.19–A.5.22, ali NIS2 traži više |
| 5. Sigurni razvoj IT | ✅ A.8.25–A.8.34 |
| 6. Ocjena učinkovitosti | ✅ Cijela ISO 27001 je usmjerena na ovo |
| 7. Edukacija | ✅ A.6.3 |
| 8. Kriptografija | ✅ A.8.24 |
| 9. HR sigurnost + access control | ✅ A.6.1–A.6.7, A.5.15–A.5.18 |
| 10. MFA i sigurna komunikacija | ✅ A.8.5, A.8.9 |
Što ISO 27001 ne pokriva
Postoji nekoliko područja gdje NIS2 ide dalje od ISO 27001:
1. Konkretni rokovi za prijavu incidenata
ISO 27001 zahtijeva proces upravljanja incidentima, ali ne propisuje rokove. NIS2 traži 24-satno rano upozorenje, 72-satnu detaljnu obavijest i mjesečno završno izvješće. Vašu ISO proceduru morate proširiti specifičnim NIS2 timeline-om.
2. Prijava nadležnom tijelu
ISO ne zahtijeva prijavu konkretnom regulatoru. NIS2 traži prijavu HR-CERT-u (privredni subjekti) ili Nacionalnom CERT-u (javne tijela), s točno propisanim formatom izvješća.
3. Osobna odgovornost uprave
ISO 27001 traži "podršku uprave" za ISMS, ali ne propisuje osobnu obvezu edukacije ni odgovornosti. NIS2 traži:
- Dokaze da je uprava odobrila mjere
- Evidenciju obuke uprave
- Periodično izvještavanje uprave o stanju kibernetičke sigurnosti
4. Sigurnost lanca opskrbe — dublji pristup
ISO 27001 ima kontrole za dobavljače, ali NIS2 traži kontinuiranu procjenu, specifične sigurnosne klauzule u ugovorima i monitoring ne samo direktnih, već i indirektnih dobavljača (cijeli supply chain).
5. Sektorski zahtjevi
Hrvatska Uredba o kibernetičkoj sigurnosti može propisati sektorske dodatne zahtjeve — npr. financijski sektor ima dodatne obveze prema HNB-u, telekomi prema HAKOM-u. ISO 27001 ne pokriva sektorske specifičnosti.
6. Vulnerability disclosure politika
NIS2 traži javno objavljenu politiku odgovornog otkrivanja ranjivosti (Vulnerability Disclosure Policy) — tj. proces kojim vanjski istraživači mogu prijaviti pronađene ranjivosti. ISO 27001 nema ekvivalent.
Koliko vam dodatnog rada treba?
Tipično za firmu s aktivnim ISO 27001 certifikatom:
- Gap analiza: 1–2 tjedna
- Dopuna postojeće dokumentacije: 4–6 tjedana (specifični NIS2 dodaci)
- Edukacija uprave: 1–2 dana (uključujući formalnu evidenciju)
- Vulnerability disclosure politika + procedura: 1–2 tjedna
- Supply chain extension: 4–8 tjedana (ovisi o broju dobavljača)
- Prijava nadležnom tijelu + alignment incident procedure: 1 tjedan
Ukupno: 2–3 mjeseca fokusiranog rada, naspram 6–12 mjeseci za firmu koja kreće s nule.
Praktične preporuke
- Nemojte ponovno raditi. Ako vam ISO 27001 audit kaže "kontrola A.5.24 je u redu", ne morate je ponavljati za NIS2 — samo mapirajte i referencirajte.
- Fokusirajte se na NIS2-specifične stavke. Incident reporting timeline, edukacija uprave, vulnerability disclosure — to je najveći delta.
- Iskoristite ISMS strukturu. Vaš postojeći Plan-Do-Check-Act ciklus već daje NIS2 mjeru 6 (ocjena učinkovitosti). Samo dodajte NIS2-specifične KPI-jeve.
- Provedite kombiniran audit. Eksterni auditor može u jednom prolazu provjeriti ISO 27001 i NIS2 — uštedite vrijeme i novac.
Ako imate ISO 27001 i niste sigurni što vam još fali za NIS2, zatražite besplatnu mapping analizu — identificirat ćemo točno koje stavke morate dopuniti.
Trebate pomoć s NIS2 usklađenošću?
Besplatna procjena obveza, gap analiza i plan implementacije. Javljamo se u 24h.
Zatraži audit →