NIS2.com.hr
Što je NIS2 Tko je obveznik Obveze Kazne Blog Kontakt
Zatraži audit →
⚠️
Compliance

NIS2 kazne i rizici — što doista riskirate

Detaljni pregled financijskih kazni, osobne odgovornosti uprave i operativnih rizika koje donosi NIS2 nesukladnost.

· 6 min čitanja

Najveća razlika između NIS direktive iz 2016. i NIS2 nije u tehničkim zahtjevima — to su kazne. Stara NIS direktiva imala je simbolične sankcije koje su firme često ignorirale. NIS2 uvodi kazne usporedive s GDPR-om, a po prvi put i osobnu odgovornost direktora.

Ovaj članak detaljno objašnjava što doista riskirate ako se ne uskladite na vrijeme.

Financijske kazne

Iznosi su podijeljeni prema kategoriji subjekta:

Ključni subjekti (Annex I)

Energetika, transport, financije, zdravstvo, digitalna infrastruktura, javna uprava, voda, ICT upravljanje, svemir.

  • Do €10.000.000, ili
  • 2% globalnog godišnjeg prometa, ovisno o tome što je viši iznos

Važni subjekti (Annex II)

Pošta i kuriri, gospodarenje otpadom, kemikalije, prehrambena industrija, proizvodnja, digitalni pružatelji, istraživanje.

  • Do €7.000.000, ili
  • 1,4% globalnog godišnjeg prometa, ovisno o tome što je viši iznos
Praktičan primjer: hrvatska srednja firma s 30 milijuna eura godišnjeg prometa kao ključni subjekt riskira kaznu do €600.000 (2% prometa). Kao važni subjekt, do €420.000.

Osobna odgovornost uprave

Ovo je fundamentalna promjena u europskoj regulativi. Po prvi put članovi uprave i direktori osobno odgovaraju za usklađenost s NIS2 mjerama.

Konkretne posljedice mogu uključivati:

  • Osobne novčane kazne direktorima (zasebno od kazne firmi)
  • Privremena zabrana obnašanja rukovodećih funkcija u slučaju ponovljenih propusta — sudac može direktora maknuti s pozicije CEO/CTO/CISO i zabraniti mu rad u toj ulozi na određeno vrijeme
  • Obvezna obuka uprave — svi članovi uprave moraju proći edukaciju o kibernetičkim rizicima; bez dokaza o obuci, ne mogu vjerodostojno tvrditi da nisu znali

NIS2 direktiva eksplicitno traži da uprava odobri i nadzire mjere kibernetičke sigurnosti — ne može ih više delegirati IT odjelu i prati ruke u krpe.

Druge operativne posljedice

Javna objava propusta

Nadležno tijelo može javno objaviti naziv firme koja je prekršila NIS2. Za B2B firme i pružatelje usluga, ovo je značajan reputacijski rizik — klijenti ne vole raditi s dobavljačima koji su javno proglašeni nesigurnima.

Naređene mjere

Nadležno tijelo može:

  • Narediti hitnu implementaciju određenih mjera
  • Suspendirati certifikate ili odobrenja
  • U ekstremnim slučajevima, privremeno zabraniti pružanje usluge — što za kritične sektore (banke, telekomi) može biti egzistencijalno

Izloženost civilnim tužbama

Iako NIS2 ne propisuje direktnu civilnu odgovornost, dokumentirana NIS2 nesukladnost može biti dokaz nemara u parnicama nakon kibernetičkih incidenata — klijenti, partneri i osigurane strane mogu tužiti za štetu.

Realna procjena rizika

Postoje tri razine rizika:

Najgori scenarij — veliki incident + nesukladnost

Curi velika količina podataka, NIS2 obveze nisu ispunjene, mjere nisu dokumentirane. Posljedice:

  • Maks. NIS2 kazna (€10M ili 2%)
  • Paralelna GDPR kazna ako je curilo i osobnih podataka
  • Civilni postupci od klijenata
  • Reputacijska šteta s gubitkom poslova
  • Mogući kazneni postupci protiv uprave

Srednji scenarij — inspekcija pronalazi propuste

Nema incidenta, ali kontrola otkrije da niste implementirali obvezne mjere:

  • Naloženo otklanjanje s rokom
  • Manja novčana kazna (proporcionalno težini)
  • Javna objava (ovisno o sektoru)

Najbolji scenarij — spremni ste

Obveze implementirane, mjere dokumentirane, redovne revizije, edukacija uprave provedena:

  • Bez kazne
  • Smanjen rizik incidenta (jer mjere stvarno rade)
  • Bolja pozicija prema klijentima i partnerima koji traže sigurnosne certifikacije

Kako smanjiti rizik?

Najveći pojedinačni doprinos smanjenju rizika je dokumentacija. Nadležno tijelo i suci procjenjuju jeste li poduzeli "razumne mjere" — ako imate dokumentirane politike, evidencije obuka, pisane procedure i izvještaje uprave, vaša pozicija je radikalno bolja.

  1. Dokumentirajte sve. Politike, procedure, evidencije.
  2. Educirajte upravu. Pisana potvrda da je uprava upoznata s rizicima i mjerama.
  3. Testirajte. Tabletop vježbe, phishing simulacije, disaster recovery testovi.
  4. Vanjski audit. Eksterna procjena jednom godišnje — iako nije obvezna, jako pomaže.

Ako vam treba pomoć u procjeni trenutnog rizika, zatražite besplatnu NIS2 gap analizu — identificirat ćemo gdje ste izloženi i koliko košta uskladiti se.

Trebate pomoć s NIS2 usklađenošću?

Besplatna procjena obveza, gap analiza i plan implementacije. Javljamo se u 24h.

Zatraži audit →

Slični članci

🛡️
Osnove
Što je NIS2 direktiva i zašto je važna za vašu firmu
📋
Implementacija
10 obveznih mjera NIS2 — kompletan vodič
🔗
Compliance
ISO 27001 i NIS2 — koliko se preklapaju?