{"id":127321,"date":"2025-01-31T11:58:04","date_gmt":"2025-01-31T11:58:04","guid":{"rendered":"https:\/\/staging.advisera.com\/articles\/croatia-nis2-cybersecurity-regulation\/"},"modified":"2025-10-01T10:14:56","modified_gmt":"2025-10-01T10:14:56","slug":"hrvatska-nis2-uredba-kiberneticka-sigurnost","status":"publish","type":"adv_resources","link":"https:\/\/staging.advisera.com\/hr\/articles\/hrvatska-nis2-uredba-kiberneticka-sigurnost\/","title":{"rendered":"Pregled NIS2 regulative o kiberneti\u010dkoj sigurnosti u Hrvatskoj"},"content":{"rendered":"<p>Ako se va\u0161a tvrtka mora uskladiti s hrvatskim Zakonom o kiberneti\u010dkoj sigurnosti, tako\u0111er se morate uskladiti s povezanim Pravilnikom o kiberneti\u010dkoj sigurnosti koji propisuje detaljna pravila za upravljanje kiberneti\u010dkom sigurno\u0161\u0107u. Pro\u010ditajte \u010dlanak kako biste vidjeli raspodjelu najva\u017enijih zahtjeva ove regulative.<\/p>\n<div class=\"post-featured\">\n<div class=\"post-featured--content\">\n<p>Regulativa o kiberneti\u010dkoj sigurnosti u Hrvatskoj pru\u017ea vrlo detaljne zahtjeve za kiberneti\u010dku sigurnost, osobito njezin Prilog II \u2013 u 13 dijelova opisuje sigurnosna pravila u gotovo 40 000 rije\u010di.<\/p>\n<\/div>\n<\/div>\n<p><div id=\"middle-banner\" class=\"banner-shortcode\"><\/div><script>loadMiddleBanner();<\/script><div id=\"sidebar-banner-trigger\" class=\"banner-shortcode\"><\/div><\/p>\n<h2>Osnove hrvatske NIS2 regulative<\/h2>\n<p>Pravilnik o kiberneti\u010dkoj sigurnosti Hrvatske (CCR) objavljen je pod nazivom \u201eUredba o kiberneti\u010dkoj sigurnosti\u201d NN 135\/2024, a na snazi je od 30. studenog 2024. godine. Slu\u017ebeni tekst mo\u017eete prona\u0107i <a href=\"https:\/\/narodne-novine.nn.hr\/clanci\/sluzbeni\/2024_11_135_2217.html\" target=\"_blank\" rel=\"nofollow noopener\">ovdje<\/a> (na hrvatskom).<\/p>\n<p>Cilj CCR-a je definirati daljnje detalje o tome kako treba provoditi kiberneti\u010dku sigurnost za klju\u010dne i va\u017ene subjekte koji se moraju uskladiti s Hrvatskim zakonom o kiberneti\u010dkoj sigurnosti.<\/p>\n<p>Pogledajte tako\u0111er: <a href=\"https:\/\/staging.advisera.com\/hr\/articles\/zakon-o-kibernetickoj-sigurnosti-hrvatske-naspram-nis-2\/\" target=\"_blank\" rel=\"noopener\">Koji su dodatni zahtjevi Zakona o kiberneti\u010dkoj sigurnosti Hrvatske u usporedbi s NIS-om 2?<\/a><\/p>\n<h2>Opseg i struktura CCR-a<\/h2>\n<p>Evo kako je strukturirana NIS2 regulativa Hrvatske:<\/p>\n<ul>\n<li>Dio 1: Op\u0107e odredbe<\/li>\n<li>Dio 2: Kategorizacija subjekata<\/li>\n<li>Dio 3: Popisi klju\u010dnih i va\u017enih subjekata i poseban registar subjekata<\/li>\n<li>Dio 4: Upravljanje kiberneti\u010dkim rizicima<\/li>\n<li>Dio 5: Pravila za prijavu kiberneti\u010dkih prijetnji i incidenata<\/li>\n<li>Dio 6: Provedba prijavljivanja incidenata i kiberneti\u010dkih prijetnji kao dobrovoljni mehanizam<\/li>\n<li>Dio 7: Nacionalni sustav za otkrivanje kiberneti\u010dkih prijetnji i za\u0161titu<\/li>\n<li>Dio 8: Prijelazne i zavr\u0161ne odredbe<\/li>\n<li>Prilog I: Popis sektora i aktivnosti<\/li>\n<li>Prilog II: Mjere za upravljanje kiberneti\u010dkim rizicima<\/li>\n<li>Prilog III: Specifi\u010dne fizi\u010dke sigurnosne mjere za subjekte u sektoru digitalne infrastrukture<\/li>\n<li>Prilog IV: Izjava o uskla\u0111enosti s uspostavljenim mjerama za upravljanje kiberneti\u010dkim rizicima<\/li>\n<\/ul>\n<p>Za tvrtke koje se moraju uskladiti s NIS2 u Hrvatskoj, najzanimljiviji dijelovi su Dio 4, 5, 6 i 7, kao i Prilog II \u2013 ovi \u0107e dijelovi biti analizirani u sljede\u0107im odjeljcima.<\/p>\n<h2>Upravljanje kiberneti\u010dkim rizicima (Dio 4)<\/h2>\n<p>Dio 4 CCR-a (\u010dlanci 35 do 57) opisuje okvir za upravljanje kiberneti\u010dkim rizicima me\u0111u klju\u010dnim i va\u017enim subjektima u Hrvatskoj. Propisuje da nadle\u017eno tijelo (nadle\u017ena vlast) odre\u0111uje razinu rizika svakog subjekta \u2013 nisku, srednju ili visoku. Na temelju ove procjene, subjekti moraju implementirati odgovaraju\u0107e mjere kiberneti\u010dke sigurnosti kategorizirane kao osnovne, srednje ili napredne.<\/p>\n<p>U svom Prilogu II, regulativa detaljno opisuje specifi\u010dne aktivnosti za svaku mjeru kiberneti\u010dke sigurnosti, a za svaku od njih navodi je li obavezna (ozna\u010dena kao \u201eA\u201d), uvjetna (\u201eB\u201d) ili dobrovoljna (\u201eC\u201d), ovisno o razini rizika subjekta. Drugim rije\u010dima, kada subjekti provode svoju vlastitu procjenu rizika, to \u0107e biti relevantno samo za dobrovoljne (i mo\u017eda uvjetne) mjere kiberneti\u010dke sigurnosti, dok obavezne mjere ne\u0107e ovisiti o vlastitoj procjeni rizika subjekta.<\/p>\n<p>Redovita a\u017euriranja i samoprocjene potrebna su za odr\u017eavanje uskla\u0111enosti. Osim toga, sredi\u0161nje tijelo za kiberneti\u010dku sigurnost pru\u017ea smjernice i kalkulator rizika kako bi osigurali uskla\u0111enost s europskim standardima i najboljim praksama, \u010dime se pobolj\u0161ava ukupna otpornost na kiberneti\u010dke prijetnje.<\/p>\n<h2>Mjere za upravljanje kiberneti\u010dkim rizicima (Prilog II)<\/h2>\n<p>Prilog II pru\u017ea detaljne mjere za sljede\u0107a podru\u010dja:<\/p>\n<ol>\n<li>Obveze i odgovornost osoba odgovornih za provedbu mjera za upravljanje kiberneti\u010dkim rizicima<\/li>\n<li>Upravljanje softverskom i hardverskom imovinom<\/li>\n<li>Upravljanje rizicima<\/li>\n<li>Sigurnost ljudskih resursa i digitalnih identiteta<\/li>\n<li>Osnovne prakse kiberneti\u010dke higijene<\/li>\n<li>Sigurnost mre\u017ee<\/li>\n<li>Kontrola fizi\u010dkog i logi\u010dkog pristupa mre\u017eama i informacijskim sustavima<\/li>\n<li>Sigurnost lanca opskrbe<\/li>\n<li>Sigurnost u razvoju i odr\u017eavanju mre\u017enih i informacijskih sustava<\/li>\n<li>Kriptografija<\/li>\n<li>Upravljanje incidentima<\/li>\n<li>Kontinuitet poslovanja i upravljanje kiberneti\u010dkim krizama<\/li>\n<li>Fizi\u010dka sigurnost<\/li>\n<\/ol>\n<p><span style=\"font-size: 16px;\">Ove su mjere prili\u010dno opse\u017ene, gotovo 40 000 rije\u010di u ukupnom broju pa je njihovo detaljno opisivanje izvan okvira ovog \u010dlanka &#8211; kako biste ih saznali, otvorite <\/span><a style=\"font-size: 16px;\" href=\"https:\/\/staging.advisera.com\/nis2\/\" target=\"_blank\" rel=\"noopener\">puni tekst regulative ovdje<\/a> (na engleskom)<span style=\"font-size: 16px;\">.<\/span><\/p>\n<p><img decoding=\"async\" class=\"aligncenter size-full wp-image-127336\" src=\"https:\/\/staging.advisera.com\/wp-content\/uploads\/2025\/01\/Croatias-Cybersecurity-Regulation-hr.png\" alt=\"NIS2 u Hrvatskoj: Pregled regulative o kiberneti\u010dkoj sigurnosti\" width=\"1260\" height=\"659\" title=\"\" srcset=\"https:\/\/staging.advisera.com\/wp-content\/uploads\/2025\/01\/Croatias-Cybersecurity-Regulation-hr.png 1260w, https:\/\/staging.advisera.com\/wp-content\/uploads\/2025\/01\/Croatias-Cybersecurity-Regulation-hr-300x157.png 300w, https:\/\/staging.advisera.com\/wp-content\/uploads\/2025\/01\/Croatias-Cybersecurity-Regulation-hr-1024x536.png 1024w, https:\/\/staging.advisera.com\/wp-content\/uploads\/2025\/01\/Croatias-Cybersecurity-Regulation-hr-768x402.png 768w\" sizes=\"(max-width: 1260px) 100vw, 1260px\" \/><\/p>\n<p>&nbsp;<\/p>\n<h2>Upravljanje incidentima (Dio 5 i Dio 6)<\/h2>\n<p>Dio 5 propisuje obavezne procedure za klju\u010dne i va\u017ene subjekte u prijavi zna\u010dajnih kiberneti\u010dkih incidenata i prijetnji. Definira \u0161to predstavlja zna\u010dajan incident na temelju specifi\u010dnih kriterija, poput utjecaja na dostupnost usluga, integritet podataka i javnu sigurnost.<\/p>\n<p>Subjekti su obavezni odmah obavijestiti nacionalni CSIRT (Tim za odgovor na sigurnosne incidente u ra\u010dunalnim sustavima) putem odre\u0111enih kanala, pru\u017eaju\u0107i detaljne informacije uklju\u010duju\u0107i opis incidenta, pogo\u0111ene sustave i mjere ubla\u017eavanja.<\/p>\n<p>Regulativa propisuje razli\u010dite vrste izvje\u0161taja, uklju\u010duju\u0107i po\u010detna upozorenja, a\u017euriranja napretka i kona\u010dna izvje\u0161\u0107a, osiguravaju\u0107i pravovremenu i sveobuhvatnu komunikaciju. Osim toga, uspostavlja nacionalnu platformu za prikupljanje, analizu i razmjenu podataka o kiberneti\u010dkim prijetnjama i incidentima, kako bi se pobolj\u0161ala ukupna otpornost na kiberneti\u010dke prijetnje.<\/p>\n<p>Dio 6 uvodi dobrovoljne mehanizme izvje\u0161tavanja za subjekte koji nisu klasificirani kao klju\u010dni ili va\u017eni, ali i dalje igraju ulogu u kiberneti\u010dkoj sigurnosti. Poti\u010de ove organizacije da prijavljuju incidente i prijetnje, kako bi pridonijeli \u0161irem razumijevanju kiberneti\u010dkog krajolika.<\/p>\n<p>Odjeljak opisuje zahtjeve za sudjelovanje, uklju\u010duju\u0107i redovite samoprocjene i pridr\u017eavanje najboljih praksi u kiberneti\u010dkoj sigurnosti. Pru\u017eanjem dobrovoljnog anga\u017emana, Dio 6 nastoji potaknuti suradni\u010dko okru\u017eenje u kojem svi sektori mogu doprinijeti nacionalnom okviru kiberneti\u010dke sigurnosti, pobolj\u0161avaju\u0107i zajedni\u010dku za\u0161titu i sposobnosti odgovora na kiberneti\u010dke prijetnje.<\/p>\n<h2>Usporedba s CIR 2024\/2690<\/h2>\n<p>Budu\u0107i da su mjere kiberneti\u010dke sigurnosti u Prilogu II prili\u010dno opse\u017ene, postavlja se pitanje: Jesu li mo\u017eda napisane nakon provedbene uredbe Komisije (CIR) 2024\/2690 (Tehni\u010dki i metodolo\u0161ki zahtjevi za mjere kiberneti\u010dke sigurnosti i specifikacija za zna\u010dajne incidente za tvrtke koje upravljaju digitalnom kriti\u010dnom infrastrukturom)?<\/p>\n<p>Odgovor je da, iako se CIR 2024\/2690 i CCR zna\u010dajno preklapaju u strukturi i namjeri, hrvatski tekst \u010desto name\u0107e detaljnije, preskriptivne ili specifi\u010dne obveze koje idu dalje od onoga \u0161to CIR izri\u010dito zahtijeva.<\/p>\n<p>Na primjer, CCR zahtijeva lozinke dulje od najmanje 14 znakova za standardne korisni\u010dke ra\u010dune, 16 za privilegirane ra\u010dune, i 24 za ra\u010dune usluga; dopu\u0161ta mogu\u0107nost kra\u0107ih lozinki samo ako je omogu\u0107ena vi\u0161efaktorska autentifikacija (MFA). S druge strane, CIR 2024\/2690 raspravlja o sigurnoj autentifikaciji i MFA, ali ne propisuje minimalne duljine lozinki nii istu razinu specifi\u010dnosti za sastav lozinki.<\/p>\n<p>Evo sa\u017eetka najva\u017enijih zahtjeva koji postoje u CCR-u, ali ne u CIR 2024\/2690:<\/p>\n<ul>\n<li>vrlo specifi\u010dna pravila za duljinu lozinki i slo\u017eenost<\/li>\n<li>obavezne simulacije phishing napada<\/li>\n<li>strogi minimalni period \u010duvanja zapisnika (90 dana)<\/li>\n<li>zahtjevi za napredne alate za sigurnost krajnjih to\u010daka<\/li>\n<li>zahtjevi za napredne alate za sigurnost krajnjih to\u010daka<\/li>\n<li>zahtjevi za napredne alate za sigurnost krajnjih to\u010daka<\/li>\n<li>formalno spominjanje naprednog penetracijskog testiranja \/ \u201ered teaming\u201c \/ \u201epurple teaming\u201c<\/li>\n<li>izri\u010dita upu\u0107ivanja na RTO\/RPO\/SDO (kontinuitet poslovanja) i strategije podatkovnih centara s vi\u0161e lokacija<\/li>\n<li>pristup uskla\u0111enosti u razinama (osnovna, srednja, napredna)<\/li>\n<li>grublja koordinacija kriznog upravljanja na nacionalnoj razini<\/li>\n<\/ul>\n<h2>Zaklju\u010dak<\/h2>\n<p>\u010cinjenica da su hrvatski zakonodavci oti\u0161li dalje od zahtjeva u ve\u0107 detaljnoj CIR 2024\/2690 zna\u010di da je Hrvatska vrlo ozbiljna u pogledu kiberneti\u010dke sigurnosti. Dakle, ako va\u0161a tvrtka spada u opseg NIS2 i posluje u Hrvatskoj, ozbiljno se posvetite kiberneti\u010dkoj sigurnosti.<\/p>\n<p><em>Kako biste prona\u0161li sve dokumente potrebne za uskla\u0111ivanje s Hrvatskim Zakonom o kiberneti\u010dkoj sigurnosti i Regulativom o kiberneti\u010dkoj sigurnosti, pogledajte ovaj<\/em> <a href=\"https:\/\/staging.advisera.com\/hr\/paketi-dokumentacije\/nis-2-paket-dokumentacije\/\" target=\"_blank\" rel=\"noopener\">NIS 2 paket dokumentacije<\/a> <em>koji uklju\u010duje sve politike, procedure, planove i druge predlo\u0161ke.<\/em><\/p>\n","protected":false},"excerpt":{"rendered":"<p>Ako se va\u0161a tvrtka mora uskladiti s hrvatskim Zakonom o kiberneti\u010dkoj sigurnosti, tako\u0111er se morate uskladiti s povezanim Pravilnikom o kiberneti\u010dkoj sigurnosti koji propisuje detaljna pravila za upravljanje kiberneti\u010dkom sigurno\u0161\u0107u. Pro\u010ditajte \u010dlanak kako biste vidjeli raspodjelu najva\u017enijih zahtjeva ove regulative. Regulativa o kiberneti\u010dkoj sigurnosti u Hrvatskoj pru\u017ea vrlo detaljne zahtjeve za kiberneti\u010dku sigurnost, osobito njezin [&hellip;]<\/p>\n","protected":false},"author":26,"featured_media":127323,"comment_status":"open","ping_status":"closed","template":"","tags":[],"class_list":["post-127321","adv_resources","type-adv_resources","status-publish","has-post-thumbnail","hentry","adv_resource_type-articles-hr","adv_standard-nis-2-hr","adv_topic-legal-requirements","adv_topic-revisions-related","adv_level-beginner"],"acf":[],"_links":{"self":[{"href":"https:\/\/staging.advisera.com\/hr\/wp-json\/wp\/v2\/adv_resources\/127321","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/staging.advisera.com\/hr\/wp-json\/wp\/v2\/adv_resources"}],"about":[{"href":"https:\/\/staging.advisera.com\/hr\/wp-json\/wp\/v2\/types\/adv_resources"}],"author":[{"embeddable":true,"href":"https:\/\/staging.advisera.com\/hr\/wp-json\/wp\/v2\/users\/26"}],"replies":[{"embeddable":true,"href":"https:\/\/staging.advisera.com\/hr\/wp-json\/wp\/v2\/comments?post=127321"}],"version-history":[{"count":4,"href":"https:\/\/staging.advisera.com\/hr\/wp-json\/wp\/v2\/adv_resources\/127321\/revisions"}],"predecessor-version":[{"id":132142,"href":"https:\/\/staging.advisera.com\/hr\/wp-json\/wp\/v2\/adv_resources\/127321\/revisions\/132142"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/staging.advisera.com\/hr\/wp-json\/wp\/v2\/media\/127323"}],"wp:attachment":[{"href":"https:\/\/staging.advisera.com\/hr\/wp-json\/wp\/v2\/media?parent=127321"}],"wp:term":[{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/staging.advisera.com\/hr\/wp-json\/wp\/v2\/tags?post=127321"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}