NIS2 obveznici i ZKS - osobna odgovornost Uprave i kazne do 10 milijuna EUR

Saznajte što kao NIS2 obveznici po ZKS-u i Uredbi morate napraviti

Nadzori su aktivni, a rokovi su prošli. Vi kao direktor ili član uprave osobno odgovarate ako vaša tvrtka nije usklađena sa

Zakonom o kibernetičkoj sigurnosti (ZKS, NN 14/2024). To nije marketinška pretjerivanje. To piše u zakonu.

ZKS je na snazi od veljače 2024. Uredba o kibernetičkoj sigurnosti (NN 135/2024) na snazi je od studenog 2024. Organizacije koje dosad nisu provele GAP analizu vrlo vjerojatno će sa usklađenjem krenuti u pogrešnom smjeru, što može dovoditi kasnije do prekršaja koje je moguće eliminirati.

Ako još čekate, čitate ovaj tekst u pravo vrijeme.

Vi osobno odgovarate, a ne samo tvrtka

Ovo je novina koja razlikuje NIS2 od svake prethodne regulative: ZKS uvodi

osobnu odgovornost članova upravljačkih tijela. Direktor ili član uprave više se ne može sakriti iza IT odjela ili izjave da je to "operativni problem".

Zakon izričito propisuje da upravljačka tijela moraju:

• odobravati mjere upravljanja kibernetičkim rizicima

• nadzirati njihovu provedbu

• prolaziti redovite edukacije iz područja kibernetičke sigurnosti

Ako se to ne dogodi, posljedice za vas osobno mogu biti:

• novčane kazne od 500€ do 6.000€ po osobi po prekršaju (ovisno o tome jeste li kategorizirani kao ključni ili važni subjekt)

• privremena zabrana obavljanja upravljačkih funkcija

Kazne koje mogu ugroziti poslovanje

Za organizacije, financijske sankcije su sljedeće:

Za srednje veliku hrvatsku tvrtku ovo je egzistencijalni rizik. Osim novčanih kazni, nadležna tijela mogu izreći obvezujuće naloge za otklanjanje nedostataka, zahtjeve za sigurnosnim revizijama i - najteže za reputaciju - javnu objavu povrede. Ime vaše tvrtke u javnom registru kršenja kibernetičke sigurnosti nema cijenu.

Jeste li NIS2 obveznici? Veličina nije jedini kriterij

NIS2 direktiva i ZKS obuhvaćaju više od 790 hrvatskih organizacija u 19 sektora, višestruko više od prethodne regulative (prema izvještaju NCSC-a iz Q1 2026.)

Ključni subjekti (energetika, promet, zdravstvo, financije, digitalna infrastruktura): tvrtke s više od 250 zaposlenih ili prometom iznad 50 milijuna €. Proaktivni nadzor - bez čekanja na incident.

Važni subjekti (isti i prošireni sektori): tvrtke s 50 do 250 zaposlenih. Trenutno pod reaktivnim nadzorom, ali to se mijenja u 2027.

Ključna zamka: ako ste jedini pružatelj usluge u sektoru ili kritični za opskrbni lanac većeg obveznika, ZKS se primjenjuje bez obzira na veličinu. Pogrešna samoprocjena ne oslobađa od obveza jer regulator primjenjuje kazne retroaktivno.

Što ste dužni napraviti kroz 13 obveznih mjera

ZKS i Uredba propisuju 13 obveznih sigurnosnih mjera. Ovo su zakonske obveze, ne preporuke. Upravljačko tijelo mora odobriti njihovu provedbu:

1. Predanost i odgovornost osoba odgovornih za provedbu mjera upravljanja kibernetičkim sigurnosnim rizicima

2. Upravljanje programskom i sklopovskom imovinom

3. Upravljanje rizicima

4. Sigurnost ljudskih potencijala i digitalnih identiteta

5. Osnovne prakse kibernetičke higijene

6. Osiguravanje kibernetičke sigurnosti mreže

7. Kontrola fizičkog i logičkog pristupa mrežnim i informacijskim sustavima

8. Sigurnost lanca opskrbe

9. Sigurnost u razvoju i održavanju mrežnih i informacijskih sustava

10. Kriptografija

11. Postupanje s incidentima

12. Kontinuitet poslovanja i upravljanje kibernetičkim krizama

13. Fizička sigurnost

Rokovi za prijavu incidenata: sat koji odmah počinje

Ako se dogodi kibernetički incident, vaša organizacija ima stroge zakonske rokove:

• 24 sata za rano upozorenje nadležnom tijelu od trenutka saznanja

• 72 sata za detaljnu obavijest s procjenom ozbiljnosti i utjecaja

• 1 mjesec za završno izvješće s punom analizom

Kašnjenje u prijavi samo po sebi može biti osnova za regulatorne mjere i neovisno o tome je li incident bio vanjski napad ili unutarnji propust.

Financijski sektor: DORA se primjenjuje od siječnja 2025.

Banke, osiguravatelji, investicijski fondovi i faktoring kuće imaju dodatnu obvezu: DORA uredba na snazi je od siječnja 2025. DORA se nadopunjuje sa specifičnim zahtjevima za upravljanje IKT rizicima, testiranje digitalne otpornosti i nadzor IKT dobavljača. Ako poslujete u financijama, imate obveze prema DORI, a ona podliježe zasebnim nadzorima i kaznama.

Što se događa 2026. i 2027. i zašto čekanje nije opcija

Tri najčešća nedostatka koje regulatori pronalaze: nedokumentiran okvir upravljanja IKT rizicima, nepostojanje procedure za rano upozorenje u 24 sata i neažuriran inventar IKT dobavljača.

Do kraja 2027. slijedi:

• proširenje proaktivnih nadzora na važne subjekte

• obvezne revizije kibernetičke sigurnosti za ključne subjekte (svake 2 godine)

• samoprocjene za važne subjekte (svake 2 godine)

• pojačan nadzorni fokus na IKT dobavljače i sigurnost lanca opskrbe

• prve javno objavljene kazne, koje će poslati snažan signal tržištu

Gdje ste sada? GAP analiza daje vam taj odgovor u mjesec dana

NIS2 obveznici i organizacije koje su na vrijeme napravile GAP analizu i strukturiran plan mogu spavati puno mirnije. Ostale dobivaju korektivne naloge, s rokovima koji su još kraći od originalnih.

GAP analiza kibernetičke sigurnosti u jednom strukturiranom procesu utvrđuje:

• jeste li obveznik i u kojoj kategoriji

• koje od 10 obveznih mjera su pokrivene, a koje ne

• prioritetne korake i realan vremenski okvir za usklađivanje

• što vaša trenutna situacija znači u slučaju nadzora

Ako već imate ISO 27001, nalazite se u prednosti jer taj standard pokriva oko 70% NIS2 odnosno ZKS zahtjeva. Put do usklađenosti je kraći i jeftiniji. No razlike postoje, posebno u rokovima prijave incidenata i dokumentacijskim obvezama.

Još jednom, imajte na umu da je ssobna odgovornost zakonska kategorija.

Astera Advisory pruža savjetodavne usluge iz područja kibernetičke sigurnosti, GAP analize, usklađenosti s NIS2, ZKS, DORA uredbom i ISO 27001 standardom te cyber strategije za ključne i važne subjekte u Hrvatskoj >> Kontaktirajte nas za neovisnu procjenu vaše sigurnosti