Što je NIS2 direktiva i zašto je važna za vašu firmu

NIS2 direktiva (Direktiva (EU) 2022/2555) najveća je promjena u europskoj kibernetičkoj sigurnosti u posljednjih osam godina. Hrvatska ju je transponirala kroz Zakon o kibernetičkoj sigurnosti (NN 14/2024), koji je stupio na snagu 15. veljače 2024.

Ako vodite organizaciju s preko 50 zaposlenih u jednom od 18 obuhvaćenih sektora, gotovo sigurno ste obveznik. Ovaj članak objašnjava ključne promjene u odnosu na staru NIS direktivu i daje pregled prvih koraka.

Što se promijenilo u odnosu na NIS1?

Stara NIS direktiva iz 2016. godine pokrivala je samo 7 sektora kritične infrastrukture: energija, transport, banke, financijska tržišta, zdravstvo, voda i digitalna infrastruktura. Obveze su bile relativno opće, a kazne uglavnom simbolične.

NIS2 mijenja sve tri stvari odjednom:

• Šire područje primjene — 18 sektora umjesto 7. Dodani su ICT pružatelji, digitalne usluge, javna uprava, kemikalije, prehrambena industrija, gospodarenje otpadom, istraživanje i drugi.
• Konkretne mjere — Članak 21. direktive propisuje 10 obveznih mjera upravljanja rizicima koje organizacije moraju dokumentirati i provoditi.
• Osobna odgovornost uprave — direktori po prvi put osobno odgovaraju za usklađenost, uključujući moguću zabranu obnašanja rukovodećih funkcija.
• Kazne usporedive s GDPR-om — do €10 milijuna ili 2% globalnog godišnjeg prometa, ovisno o tome što je više.

Tko je obveznik?

Direktiva razlikuje dvije kategorije:

• Ključni subjekti (Annex I) — visoka kritičnost. Energetika, voda, financije, zdravstvo, digitalna infrastruktura, javna uprava i drugi sektori navedeni u Aneksu I direktive.
• Važni subjekti (Annex II) — ostali kritični sektori. Pošta, gospodarenje otpadom, kemikalije, prehrambena industrija, proizvodnja, digitalni pružatelji, istraživanje.

Osnovni prag je 50+ zaposlenih ili €10M+ godišnjeg prometa, ali postoje iznimke za:

• Jedinog pružatelja usluge u određenoj regiji
• Kritičnog dobavljača drugog obveznika
• Pružatelje posebno osjetljivih usluga (DNS, TLD, javni servisi)

Koje su prve obveze?

Prema članku 21. NIS2 direktive, svaka obvezna organizacija mora imati dokumentirane i provedene sljedeće mjere upravljanja rizicima:

1. Politika sigurnosti informacijskih sustava
2. Upravljanje incidentima i izvještavanje
3. Kontinuitet poslovanja i upravljanje krizama
4. Sigurnost lanca opskrbe
5. Sigurnost nabavke, razvoja i održavanja IT sustava
6. Politike za ocjenu učinkovitosti mjera
7. Kibernetička higijena i edukacija zaposlenika
8. Kriptografija i upravljanje ključevima
9. Sigurnost ljudskih resursa, kontrola pristupa, upravljanje sredstvima
10. Sigurna autentifikacija (MFA) i sigurna komunikacija

Detaljno objašnjenje svih 10 mjera možete pročitati u članku 10 obveznih mjera NIS2 — kompletan vodič.

Što sada napraviti?

Tri konkretna koraka koje možete poduzeti odmah:

1. Utvrdite jeste li obveznik. Provjerite spada li vaša osnovna djelatnost u Aneks I ili II direktive, te ispunjavate li pragove veličine.
2. Napravite gap analizu. Mapirajte trenutno stanje (politike, alate, procese) prema 10 obveznih mjera. Često 60–70% kontrola već imate — samo nisu dokumentirane.
3. Postavite prioritete. Identificirajte 3–5 najvećih nedostataka i napravite plan otklanjanja s konkretnim rokovima i odgovornostima.

NIS2 nije samo dodatna regulatorna obveza — za većinu organizacija to je prilika da konačno strukturirano postave kibernetičku sigurnost, koja je u digitalnom poslovanju ionako postala kritična.