Zakon o kibernetičkoj sigurnosti
Novi Zakon o kibernetičkoj sigurnosti stupio je na snagu u Hrvatskoj 15. veljače 2024. godine kao odgovor na rastuće digitalne prijetnje i obaveze iz EU NIS2 direktive. Cilj zakona je podići otpornost tvrtki i ustanova na kibernetičke napade kroz jasne, zajedničke standarde sigurnosti mreža i informacijskih sustava.
Kome se zakon odnosi?
Zakon obuhvaća srednje i velike tvrtke (više od 50 zaposlenih ili preko 10 milijuna € prihoda) te organizacije iz 19 ključnih i važnih sektora: energetika, zdravstvo, promet, financije, javni sektor, digitalne usluge, proizvodnja, obrazovanje i mnogi drugi. Posebno su obuhvaćene organizacije čija je sigurnost važna za funkcioniranje društva i gospodarstva.
Što traži od poduzetnika i uprave?
• Procjenu rizika i implementaciju tehničkih i organizacijskih mjera zaštite (zaštita mreža, kontrola pristupa, redovito testiranje, edukacija zaposlenika i plan upravljanja incidentima).
• Dokazivanje usklađenosti: dokumentiranje svih aktivnosti vezanih uz sigurnost, izvještavanje o incidentima i provođenje neovisnih nadzora.
• Upravljački zahtjevi: Uprava i odgovorne osobe moraju aktivno pratiti sigurnosnu politiku, osigurati budžet za sigurnost te redovito imati uvid u stanje i rezultate testiranja.
Ključne promjene – što je novo?
• Proširuje obuhvat na lance opskrbe (dobavljači, partneri, vanjske tvrtke moraju biti uključeni u procjenu rizika).
• Obvezuje na promptno izvještavanje o sigurnosnim incidentima, uz obvezu transparentnosti prema regulatorima.
• Uvodi obavezne neovisne revizije i redovite vanjske procjene sigurnosti.
Kazne za neusklađenost
Za nepoštivanje zakona predviđene su visoke novčane kazne: za ključne subjekte od 10.000 do 10 milijuna € ili do 2% ukupnog prometa, za važne subjekte do 7 milijuna € ili 1,4% prometa. Osim financijskih, moguće su i reputacijske posljedice zbog narušene sigurnosti.
Prakticni savjeti – što raditi odmah?
1. Procijenite je li vaša tvrtka obuhvaćena zakonom.
2. Napravite analizu rizika i usvojite osnovne sigurnosne mjere (edukacija, upravljanje lozinkama, 2FA/MFA, skeniranje ranjivosti).
3. Dokumentirajte i redovito izvještavajte o svim aktivnostima vezanim uz sigurnost.
4. Izaberite vanjskog stručnjaka za savjetovanje ili provedbu revizije.
5. Uključite lanac opskrbe u procjenu rizika.
Zakon je prvenstveno poluga za podizanje razine operativne sigurnosti i ulaganja u zaštitu podataka, a transparentno praćenje i postupanje prema propisima omogućava povjerenje regulatora, partnera i tržišta. Jasno je – kibernetička sigurnost više nije opcija, nego obveza i dio svakodnevnog poslovnog upravljanja.
Zakon o kibernetičkoj sigurnosti (NIS2)
Što je NIS2 i hrvatski Zakon o kibernetičkoj sigurnosti?
NIS2 je EU direktiva koja podiže minimum kibernetičke sigurnosti u ključnim sektorima. Hrvatska ju je prenijela kroz Zakon o kibernetičkoj sigurnosti i Uredbu koja propisuje praktične detalje (mjere, obrasce, rokove i nadzor).
Bitno za uprave:
• Sigurnost nije samo IT tema, nego poslovna odgovornost Uprave.
• Obveze vrijede za “ključne” i “važne” subjekte, ovisno o sektoru i veličini.
Koga se tiče?
Zakon se primjenjuje na srednja i velika poduzeća u 19 sektora, npr. energija, promet, zdravstvo, bankarstvo i financije, digitalna infrastruktura, javna uprava, pošta, gospodarenje otpadom, određena proizvodnja te pružatelji digitalnih usluga (cloud, tržišta i dr.).
Ako poslujete u jednom od tih sektora i imate značajnu ulogu u pružanju usluge ili opskrbnom lancu, vrlo je vjerojatno da ste obveznik.
Što konkretno trebate imati (sažetak obveza)
1. Upravljanje rizicima
• Procjena rizika i pisane politike (pristupi/MFA, segmentacija mreže, zakrpanje ranjivosti, backup i oporavak/BCP, dnevničke evidencije).
• Sigurnost dobavljača i lanca opskrbe (zahtjevi u ugovorima, pravo audita).
• Kontinuirana edukacija zaposlenika (phishing, prijava sumnji, postupanje u incidentu).
2. Postupanje s incidentima
• 24/7 kontakt točka i interni “playbook”.
• Jasni kriteriji kada je incident značajan i kako se prijavljuje.
• Vođenje dokaza, čuvanje zapisa, suradnja s CSIRT-om.
3. Samoprocjene i nadzor
• Periodične samoprocjene.
• Stručni nadzor od strane nadležnih tijela u propisanim razmacima.
Rokovi za prijavu značajnog incidenta
• Rano upozorenje: u roku 24 sata od saznanja (kratki opis i mogući učinak).
• Početna obavijest: u roku 72 sata (uzrok, opseg, mjere, kontakt).
• Završno izvješće: u roku 30 dana (detalji istrage i prevencije; ako incident traje – periodična izvješća).
Prijave idu nadležnom CSIRT-u na propisanim obrascima (npr. Nacionalni CERT za više sektora).
Kazne i odgovornost Uprave
• Ključni subjekti: do 10.000.000 € ili 0,5–2% globalnog prometa (što je veće).
• Važni subjekti: do 7.000.000 € ili 0,2–1,4% globalnog prometa.
Osim kazni za pravnu osobu, predviđene su i kazne za odgovorne osobe. Uprava mora aktivno nadzirati provedbu.
Checklist: prvih 90 dana
Tjedan 1–2
• Utvrdite jeste li obveznik (sektor, veličina, uloga u opskrbi).
• Imenujte vlasnika kibernetičke sigurnosti na razini Uprave i operativno odgovornu osobu (npr. CISO/koordinator).
• Uspostavite 24/7 kontakt točku za incidente.
Tjedan 3–6
• Provedite procjenu rizika i izradite ključne politike/procedure (pristupi, MFA, zakrpe, backup/BCP, upravljanje ranjivostima, logiranje).
• Preispitajte ugovore s dobavljačima (SLA/OLA, zahtjevi sigurnosti, obveza pravovremene obavijesti, pravo audita).
Tjedan 7–12
• Uvedite tehničke mjere: EDR/antimalware, segmentacija, redovito zakrpanje, nadzor/sustav za otkrivanje, enkripcija gdje ima smisla.
• Napravite incidentni playbook i odradite table-top vježbu (simulacija).
• Provedite samoprocjenu i pripremite dokaznu dokumentaciju.
Što dobivate zauzvrat?
• Manje rizika od zastoja, otkupnine i reputacijske štete.
• Usklađenost s propisima i mirniji revizorski trag.
• Veću povjerenje kupaca/partnera i konkurentsku prednost.
Česta pitanja (FAQ)
Jesmo li obveznici ako smo “samo” dobavljač?
Moguće. Ako vaš proizvod/usluga bitno utječe na sigurnost ili kontinuitet obveznika, od vas se mogu tražiti NIS2 kontrole kroz ugovor.
Moramo li imati CISO-a?
Zakon ne propisuje naziv funkcije, nego odgovornosti. Netko mora formalno biti zadužen za kibernetičku sigurnost i izvještavati Upravu.
Koliko brzo moramo prijaviti incident?
Rokovi su 24h/72h/30 dana za značajne incidente. Pripremite obrasce i proces unaprijed.
Je li dovoljno “antivirus i backup”?
Ne. Traži se sustav upravljanja rizicima, tehničke i organizacijske mjere, plus dokazi da to stvarno radite.
