Kako se pripremiti za NIS2: Započnite samoprocjenom i saznajte svoju razinu odgovornosti

  • 18. 6. 2025.

Direktiva NIS2 stupit će na snagu početkom 2025. godine. Kako se na istu pripremiti?

Prvi korak je samoprocjena koja će Vam pomoći utvrditi odnosi li se direktiva i njezine obveze na Vašu organizaciju. Sljedeći korak je utvrditi pripada li Vaša organizacija režimu ključnih ili važnih subjekata, što će odrediti opseg sigurnosnih mjera koje trebate provesti.

Uz poseban kalkulator tvrtke Seyfor jednostavno možete saznati koje Vam obveze (kao ključni ili važni subjekt) direktiva NIS2 propisuje.

Odnosi li se NIS2 na moju tvrtku? 

Započnite sa samoprocjenom

 

Definicija NIS2 direktive i predviđeni datum početka njezine primjene

Direktiva o sigurnosti mrežnih i informacijskih sustava (NIS2) zakonodavni je akt Europske unije čiji je cilj podići razinu kibernetičke sigurnosti unutar EU. Navedena direktiva zamjenjuje prethodnu verziju (NIS) te proširuje i ažurira njezino područje djelovanja.

Savjet: Želite li saznati više o direktivi NIS2? Pročitajte naš uvodni vodič o NIS2.


Budući da se radi o direktivi, za njezinu punu učinkovitost potreban je prijenos u nacionalno zakonodavstvo. U Hrvatskoj je objavljen novi Zakon o kibernetičkoj sigurnosti (NN 14/2024) te dopunska Uredba o kibernetičkoj sigurnosti (NN 135/2024), koja detaljnije propisuje kriterije i obveze za pojedine sektore. Ovaj zakon predstavlja važan korak u jačanju zaštite informacijskih sustava unutar nacionalne infrastrukture.

 

Kako započeti s pripremama za NIS2? 2 ključna koraka za početak


Korak 1: Samoprocjena – provjerite odnosi li se NIS2 direktiva na Vas

Prvi korak na putu prema usklađenosti s NIS2 direktivom je utvrditi odnosi li se ista na Vašu organizaciju. Ovo je ključan korak u kojem procjenjujete trebate li implementirati specifične mjere kibernetičke sigurnosti.

Naime, dok je prethodna verzija direktive točno određivala koje su organizacije obuhvaćene, NIS2 uvodi tzv. samoprocjenu – svaka tvrtka mora samostalno na temelju definiranih kriterija, ustanoviti odnosi li se direktiva na nju i u kojem obujmu.

Svaka organizacija treba procijeniti nekoliko ključnih kriterija i prema njima klasificirati svoj status. Najvažniji među njima su: sektor djelovanja i veličina tvrtke. Uredba (NN 135/2024) dodatno propisuje posebne kriterije za pojedine sektore.


Kako izgledaju kriteriji?

3 kriterija za samoprocjenu:


1. Sektor djelovanja

Provjerite djeluje li Vaša organizacija u sektoru obuhvaćenom Zakonom o kibernetičkoj sigurnosti (NN 14/2024) i Prilogom I ili II tog Zakona. Za pojedine sektore primjenjuju se i dodatni kriteriji iz Uredbe o kibernetičkoj sigurnosti (NN 135/2024). Za lakšu orijentaciju: unutar 22 definirana sektora (koje smo predstavili u prethodnom članku), identificirano je ukupno 106 reguliranih usluga.

Savjet: sažetak sektora možete pronaći OVDJE.

 

2. Veličina tvrtke

Odredite veličinu vaše organizacije prema Preporuci Europske komisije 2003/361/EZ. Definirajte pripadate li u kategoriju mikro, malih, srednjih ili velikih tvrtki.


Pri određivanju broja zaposlenih potrebno je uključiti:

  • osobe zaposlene na puno radno vrijeme,
  • na nepuno radno vrijeme,
  • te privremene i sezonske radnike.

U broj zaposlenih ne uključuju se studenti na praksi, pripravnici, niti osobe na rodiljnom ili roditeljskom dopustu.

Osnovni broj zaposlenih izražava se u godišnjim radnim jedinicama (AWU – Annual Work Units). Jedna AWU jedinica predstavlja osobu koja je tijekom cijele godine radila u punom radnom vremenu u tvrtki ili za njezino ime. Zaposlenici koji su radili nepuno radno vrijeme, bili sezonski angažirani ili nisu radili cijelu godinu računaju se kao odgovarajući udjeli jedne AWU jedinice.

Prilikom procjene ispunjavanja financijskih pokazatelja, tvrtka može odabrati onaj pokazatelj koji mu je povoljniji. Istovremeno je potrebno uzeti u obzir jeste li:

  • neovisna tvrtka,
  • partnerska tvrtka ili
  • povezana tvrtka.

Važno je razmotriti sve odnose koje tvrtka ima s drugim tvrtkama, bilo izravno ili neizravno.

PAŽNJA: Ako premašite odabrani financijski prag (kojeg odaberete sami) ili broj zaposlenih, Vaša će organizacija biti razvrstana u višu kategoriju.


Što to znači u praksi?

Ako tvrtka ima 125 zaposlenih (kategorija srednjih velikih tvrtki) i godišnji promet od približno 8 milijuna eura (kategorija malih tvrtki), tada će biti razvrstana u kategoriju srednje velikih tvrtki.

VAŽNO: Za određene organizacije NIS2 direktiva vrijedi neovisno o njihovoj veličini – i to u slučajevima kada: pružaju strateški važnu uslugu (npr. javna uprava, energetika, promet itd.) ili su određene kao ključni dobavljači u lancu opskrbe, a njihov poslovni partner na njih prenese odgovornost i zahtjeve iz područja kibernetičke sigurnosti.

 

3. Posebni kriteriji

Na kraju, potrebno je uzeti u obzir i posebne kriterije koji mogu igrati važnu ulogu. Oni su definirani Uredbom o kibernetičkoj sigurnosti (NN 135/2024) i razlikuju se po sektorima, primjerice u energetici ili zdravstvu., pri čemu nije važna samo veličina tvrtke, već i: veličina dozvole za proizvodnju električne energije i kapacitet elektrane. U zdravstvenom sektoru, relevantan može biti i broj akutnih bolničkih kreveta koje ustanova ima na raspolaganju.

Dodatni izazov predstavljaju i drugi sektorski propisi koji se odnose na zaštitu podataka ili kibernetički prostor. U nekim slučajevima ti propisi imaju prednost u odnosu na NIS2 direktivu odnosno mogu imati posebne zahtjeve koji nadilaze opće zahtjeve NIS2 direktive. Zbog toga je ključno provjeriti odnose li se na Vašu organizaciju i drugi relevantni propisi iz Vašeg sektora.

Prema pregledu propisa EU o sigurnosti mreža i informacijskih sustava (dokument 3/3, stranica 46), dostupne su sljedeće smjernice za pojedine sektore:

  • Financijski sektor: u primjeni je Uredba o digitalnoj operativnoj otpornosti za financijski sektor (DORA), koja usklađuje i pojačava zahtjeve za upravljanje rizicima povezanima s informacijskom i komunikacijskom tehnologijom (IKT).
  • Energetski sektor: uredba o spremnosti na rizike nadopunjuje NIS2 direktivu. Također, tu je i Uredba (EU) 2017/1938, koja se bavi sigurnošću opskrbe plinom.
  • Prometni sektor: za ovaj sektor postoje posebne europske inicijative, posebno usmjerene na zračni i pomorski promet.
  • Elektroničke komunikacijske mreže i usluge: temeljni pravni okvir predstavlja Europski zakonik elektroničkih komunikacija (EECC).

Kako biste jednostavno provjerili primjenjuje li se NIS2 direktiva na Vašu organizaciju te koje obveze iz iste proizlaze, pripremili smo poseban kalkulator za samoprocjenu.

 

Korak 2: Utvrdite jeste li ključni ili važni subjekt

U Hrvatskoj o razvrstavanju organizacija kao ključnih ili važnih subjekata odlučuje nadležno tijelo sukladno Zakonu i Uredbi.

Osim samoprocjene, direktiva NIS2 dijeli organizacije u dvije kategorije:

  • ključni subjekti i
  • važni subjekti.

Na temelju navedene klasifikacije, tvrtke moraju u određenoj mjeri primjenjivati organizacijske i tehničke mjere. Važni subjekti imaju jednostavnije zahtjeve u usporedbi s ključnim subjektima. Na temelju samoprocjene moći ćete utvrditi koje se obveze odnose na Vas.

Na primjer:

Tvrtka u prerađivačkoj industriji (proizvodnja strojeva i opreme) s približno 280 zaposlenih i prometom u visini od 45 milijuna EUR

U predmetnom sektoru može se identificirati regulirana usluga 7.3 – Proizvodnja strojeva i uređaja koji nisu svrstani u druge odjele prema klasifikaciji NACE 28. Riječ je o velikoj tvrtki, s obzirom na to da broj zaposlenika premašuje prag od 250 osoba. Na temelju toga može se zaključiti da će navedena tvrtka morati ispunjavati obveze propisane NIS2 direktivom, no kao važni subjekt, kako je definirano provedbenim aktom.


Tvrtka koja djeluje u sektoru prerađivačke industrije ima 25 zaposlenih i godišnji promet od 1 milijun eura.

U ovom slučaju možemo identificirati potencijalno regulirani sektor u kategoriji 7 – prerađivačka industrija. Međutim, s obzirom na to da se radi o maloj tvrtki, a takva veličina nije obuhvaćena provedbenim aktom, na tu tvrtku se NIS2 direktiva najvjerojatnije neće primjenjivati.


Zdravstvena ustanova raspolaže s 50 postelja, zapošljava 520 osoba i ostvaruje godišnji promet od 8 milijuna eura.

U ovom slučaju možemo definirati reguliranu djelatnost – 18.1 – Pružanje zdravstvene zaštite. Zbog broja zaposlenih, ustanova se klasificira kao velika organizacija iako poseban kriterij od najmanje 270 akutnih postelja nije ispunjen. Unatoč tome, zbog veličine organizacije, zdravstvena ustanova podliježe statusu ključnog subjekta prema NIS2 direktivi.

Ovo su primjeri koji pokazuju kako pravilno pristupiti samoprocjeni u skladu s NIS2 direktivom.


Seyfor Vam može pomoći u ovom procesu – od početne identifikacije do implementacije tehničkih i organizacijskih sigurnosnih mjera.

Priprema za NIS2 direktivu nije samo zakonodavna obveza, već važan korak prema jačanju Vaše kibernetičke otpornosti.
Ako niste sigurni utječe li NIS2 na Vas i u kojem opsegu, kontaktirajte nas. Pomoći ćemo Vam razumjeti obveze i poduzeti potrebne mjere kako biste zaštitili svoje informacijske sustave i podatke.

 

Ne čekajte zadnji trenutak – krenite s pripremom već danas i pritom si pomognite dostupnim alatima, kao što je naš poseban kalkulator.

 

 

Autorica članka: Ing. Kateřina Menšíková


Usluge pruža Seyfor, a.s., Češka republika.

 

Natrag na sadržaj

Sličan sadržaj

Više
image

Seyfor Hrvatska službeno certificirani informacijski posrednik

  • 13. 11. 2025.
Pročitaj
image

Seyfor Hrvatska pomaže u pripremi za školu

  • 8. 10. 2025.
Pročitaj
Više