Facebook Instagram Linkedin Jki-phone-handset-light Whatsapp
Facebook Instagram Linkedin Jki-phone-handset-light Whatsapp
Facebook Instagram Linkedin Jki-phone-handset-light Whatsapp
Zakon o kibernetičkoj sigurnosti: Što donosi tvrtkama u Hrvatskoj?

23. 2. 2026.

Zakon o kibernetičkoj sigurnosti: Što donosi tvrtkama u Hrvatskoj?

Zakon o kibernetičkoj sigurnosti: Što donosi tvrtkama u Hrvatskoj? Pitate se odnosi li se novi Zakon o kibernetičkoj sigurnosti i na vašu tvrtku te što točno znači za vaše svakodnevno poslovanje? Niste jedini. S novim propisima koji donose značajne promjene, mnogi poduzetnici osjećaju nesigurnost. Složeni pravni izrazi, nejasno definirane obveze i prijetnja visokih kazni za neusklađenost stvaraju opravdanu zabrinutost i ključno pitanje – odakle uopće početi?

Kako bismo vam olakšali snalaženje u novom pravnom okviru i pomogli da izbjegnete potencijalne rizike, pripremili smo ovaj detaljan vodič. Naša je misija prevesti komplicirani zakon na jednostavan i praktičan jezik te vam pružiti konkretne smjernice. U ovom članku demistificiramo sve aspekte Zakona o kibernetičkoj sigurnosti i pokazujemo vam kako uskladiti poslovanje bez stresa i nepotrebnih troškova.

Pročitajte dalje i saznajte na koga se novi Zakon točno odnosi, koje su vaše ključne obveze i kako uskladiti poslovanje korak po korak. Pretvorite ovu zakonsku obvezu u priliku za jačanje digitalne otpornosti vaše tvrtke i osigurajte miran san, znajući da poslujete u skladu s propisima. Budite uvijek – u pravu.

Ključne informacije – Zakon o kibernetičkoj sigurnosti: Što donosi tvrtkama u Hrvatskoj?

  • Saznajte jeste li klasificirani kao ‘ključni’ ili ‘važni’ subjekt i koje specifične obveze iz toga proizlaze za vaše poslovanje.
  • Novi Zakon o kibernetičkoj sigurnosti nalaže proaktivno upravljanje rizicima, što zahtijeva implementaciju konkretnih sigurnosnih mjera prije nego se incident dogodi.
  • Usklađivanje započinje internom procjenom – identificirajte prve i najvažnije korake za analizu trenutnog stanja sigurnosti u vašoj tvrtki.
  • Neusklađenost donosi visoke novčane kazne koje se razlikuju ovisno o kategoriji vaše tvrtke – informirajte se na vrijeme kako biste ih izbjegli.

 

e-knjiga-Uskladba-poslovanja-s-NIS-2-Direktivom

Što je Zakon o kibernetičkoj sigurnosti i zašto je sada važan?

Novi Zakon o kibernetičkoj sigurnosti predstavlja ključnu prekretnicu u hrvatskom zakonodavstvu i donosi značajne promjene za velik broj tvrtki i javnih tijela. Ovaj propis nije samo još jedna administrativna obveza; on je strateški odgovor na sve veći broj i sofisticiranost kibernetičkih prijetnji koje ugrožavaju poslovanje i ključne društvene funkcije. Njegova primarna svrha je usklađivanje nacionalnog zakonodavstva s europskim standardima i podizanje opće razine kibernetičke otpornosti u Republici Hrvatskoj.

Dok se GDPR (Opća uredba o zaštiti podataka) fokusira na zaštitu osobnih podataka pojedinaca, novi Zakon o kibernetičkoj sigurnosti ima znatno širi opseg. Njegov je cilj osigurati kontinuitet poslovanja i dostupnost ključnih usluga štiteći mrežne i informacijske sustave od incidenata. Drugim riječima, GDPR štiti podatke, a ovaj zakon štiti sustave i usluge o kojima ovisimo.

NIS2 Direktiva kao temelj novog Zakona

Hrvatski zakon izravno proizlazi iz europskog regulatornog okvira, preciznije, temelji se na Direktivi NIS2. Ova direktiva predstavlja nadogradnju prethodnih pravila i postavlja jedinstvene, strože standarde za cijelu Europsku uniju. Ključne novosti koje donosi su:

  • Prošireni obuhvat: Značajno je povećan broj sektora koji podliježu obvezama, uključujući, između ostalih, javnu upravu, poštanske i kurirske usluge, digitalne pružatelje usluga te prehrambenu industriju.
  • Odgovornost rukovodstva: Direktno se propisuje odgovornost uprave za odobravanje i nadzor mjera kibernetičke sigurnosti, uz mogućnost sankcija za neusklađenost.
  • Upravljanje rizicima: Naglasak je stavljen na proaktivno upravljanje rizicima, što od tvrtki zahtijeva sveobuhvatnu analizu prijetnji i implementaciju odgovarajućih tehničkih i organizacijskih mjera.

Ključni pojmovi koje morate poznavati

Za pravilnu primjenu Zakona, ključno je razumjeti temeljnu terminologiju. Iako će provedbeni akti donijeti detaljnije definicije, osnovni pojmovi su:

  • Incident: Bilo koji događaj koji ima stvarni štetni učinak na sigurnost mrežnih i informacijskih sustava. To uključuje ne samo uspješne hakerske napade, već i tehničke kvarove ili ljudske pogreške koje ugrožavaju dostupnost, cjelovitost ili povjerljivost podataka i usluga.
  • Rizik: Mogućnost gubitka ili štete uzrokovane kibernetičkim incidentom. Zakon nalaže pristup temeljen na riziku, što znači da svaka organizacija mora procijeniti vlastite slabosti i prijetnje te sukladno tome primijeniti proporcionalne sigurnosne mjere.
  • Nadležna tijela: Provedbu i nadzor Zakona vršit će više tijela, ovisno o sektoru. Glavno koordinacijsko tijelo je Nacionalni centar za kibernetičku sigurnost (NCSC-HR), dok će sektorski nadzor provoditi agencije poput HAKOM-a (za digitalnu infrastrukturu i usluge) i HANFA-e (za financijski sektor).

Na koga se odnosi novi Zakon? Jeste li ‘ključni’ ili ‘važni’ subjekt?

Prvo i najvažnije pitanje koje svaka tvrtka mora postaviti jest: odnosi li se novi Zakon o kibernetičkoj sigurnosti na nas? Za razliku od prethodnih propisa, nova regulativa značajno proširuje krug obveznika i uvodi jasnu podjelu na dvije temeljne kategorije: ‘ključne’ (essential) i ‘važne’ (important) subjekte. Kriteriji za svrstavanje ovise primarno o sektoru u kojem poslujete te o veličini vaše tvrtke.

Ovaj prošireni obuhvat, koji sada uključuje i velik dio javnog sektora, potvrđuje i Ured Vijeća za nacionalnu sigurnost, naglašavajući cilj uspostave visoke zajedničke razine kibernetičke sigurnosti u cijeloj Europskoj uniji. Identifikacija vlastitog statusa ključan je korak jer o njemu ovise razina obveza, nadzora i potencijalnih sankcija.

Sektori ključnih subjekata

Ključni subjekti posluju u sektorima od presudne važnosti za održavanje ključnih društvenih i gospodarskih aktivnosti. Prekid njihovog poslovanja imao bi ozbiljne posljedice na nacionalnoj razini. U ovu kategoriju spadaju:

  • Energetika: električna energija, centralizirani toplinski sustavi, nafta i plin.
  • Promet: zračni, željeznički, vodni i cestovni prijevoz.
  • Bankarstvo i financijska tržišta: kreditne institucije i infrastruktura financijskog tržišta.
  • Zdravstvo: pružatelji zdravstvene zaštite, uključujući bolnice i privatne klinike.
  • Digitalna infrastruktura: davatelji internetskih usluga, DNS usluga, cloud usluga i podatkovnih centara.
  • Javna uprava: tijela središnje i lokalne (regionalne) samouprave.

Sektori važnih subjekata

Važni subjekti također imaju značajnu ulogu u gospodarstvu i društvu, no prekid njihovih usluga ne bi izazvao trenutačne i teške posljedice kao kod ključnih subjekata. Popis sektora uključuje:

  • Poštanske i kurirske usluge.
  • Gospodarenje otpadom.
  • Proizvodnja, prerada i distribucija hrane.
  • Proizvodnja i distribucija kemikalija.
  • Digitalni pružatelji usluga: internetske tražilice, online tržišta i platforme društvenih mreža.
  • Istraživačke organizacije.
  • Proizvodnja medicinskih proizvoda i farmaceutskih pripravaka.

Što ako ste malo ili srednje poduzeće?

Novi Zakon o kibernetičkoj sigurnosti općenito izuzima mikro i mala poduzeća od svojih obveza. Ipak, postoje važne iznimke. Manja tvrtka može postati obveznik ako je, primjerice, jedini pružatelj ključne usluge u državi članici, ako njezin prekid rada može uzrokovati značajan sistemski rizik ili ako je ključna za nacionalnu sigurnost. Određivanje statusa stoga nije uvijek jednostavno.

Zakon o kibernetičkoj sigurnosti: Što donosi tvrtkama u Hrvatskoj? - Infographic

Koje su ključne obveze za tvrtke prema Zakonu?

Novi Zakon o kibernetičkoj sigurnosti donosi temeljitu promjenu paradigme – s reaktivnog pristupa prelazi se na proaktivno i kontinuirano upravljanje rizicima. Više nije dovoljno samo reagirati na incidente; tvrtke obveznice moraju implementirati minimalni set tehničkih, operativnih i organizacijskih mjera kako bi spriječile prijetnje i osigurale otpornost svojih sustava. Odgovornost za provedbu ovih mjera izravno je smještena na najvišu razinu upravljanja, čime se kibernetička sigurnost postavlja kao strateški prioritet poslovanja. Detaljne smjernice i obveze propisane su u tekstu koji je objavio i Novi Zakon o kibernetičkoj sigurnosti na stranicama Nacionalnog centra za kibernetičku sigurnost.

Upravljanje rizicima u 10 točaka

Zakon definira sveobuhvatan pristup upravljanju rizicima koji se temelji na načelu “sveopasnosti”. To znači da tvrtke moraju uzeti u obzir širok spektar prijetnji, od ljudskih pogrešaka do prirodnih katastrofa i ciljanih napada. Ključne mjere koje su obvezne uključuju, između ostalog:

  • Provođenje analize rizika i uspostavu politika informacijske sigurnosti.
  • Definiranje jasnih procedura za postupanje u slučaju incidenata te planova za oporavak i upravljanje krizama.
  • Procjenu i upravljanje sigurnošću lanca opskrbe, uključujući odnose s dobavljačima i pružateljima usluga.
  • Primjenu odgovarajućih mjera kriptografije i enkripcije za zaštitu podataka u prijenosu i mirovanju.

Obveza izvješćivanja o incidentima

Jedna od najvažnijih novina je stroga obveza prijavljivanja značajnih kibernetičkih incidenata. U slučaju incidenta koji uzrokuje ili može uzrokovati ozbiljan poremećaj u pružanju usluge, tvrtke su dužne bez odgode, a najkasnije unutar 24 sata od saznanja, poslati prvu obavijest nadležnom CSIRT timu (Nacionalni CERT). Nakon toga, detaljno izvješće mora biti dostavljeno unutar 72 sata. ‘Značajnim’ se smatra incident koji dovodi do velikih operativnih smetnji, uzrokuje znatnu financijsku štetu ili pogađa velik broj korisnika.

Odgovornost rukovodećih tijela

Zakon o kibernetičkoj sigurnosti jasno naglašava da odgovornost leži na vrhu. Rukovodeća tijela, poput uprave ili nadzornog odbora, moraju odobriti i nadzirati provedbu mjera upravljanja rizicima. Štoviše, članovi uprave obvezni su pohađati specijalizirane edukacije kako bi razumjeli rizike i svoje dužnosti. U slučaju neusklađenosti, predviđena je i mogućnost utvrđivanja osobne odgovornosti članova rukovodstva, što predstavlja značajan poticaj za ozbiljno shvaćanje ovih obveza.

Praktični koraci za usklađivanje s Zakonom o kibernetičkoj sigurnosti

Usklađivanje s novim propisima nije samo tehnički zadatak, već cjelovit organizacijski projekt koji zahtijeva strateški pristup. Uspješna implementacija počiva na jasnoj viziji, dodijeljenim resursima i odgovornosti. Prvi korak je interna procjena trenutnog stanja, nakon čega je ključno imenovati odgovornu osobu ili tim koji će voditi proces. Na temelju toga, izrađuje se detaljan plan implementacije mjera s precizno definiranim rokovima i odgovornostima.

Korak 1: Identifikacija i procjena

Prije bilo kakvih tehničkih prilagodbi, neophodno je provesti temeljitu analizu. Ovaj početni korak osigurava da su svi daljnji napori usmjereni na ispravne ciljeve i prioritete te da resursi budu učinkovito alocirani.

  • Potvrda statusa obveznika: Službeno provjerite pripada li vaša tvrtka u kategoriju ključnih ili važnih subjekata prema odredbama Zakona.
  • Inventura imovine: Popišite sve ključne informacijske sustave, mreže, podatke i digitalnu imovinu koja je presudna za vaše poslovanje.
  • Analiza rizika: Provedite procjenu najvećih prijetnji vašim sustavima, od tehničkih kvarova do ciljanih kibernetičkih napada, i procijenite njihov potencijalni utjecaj.

Korak 2: Planiranje i implementacija mjera

Nakon što ste identificirali rizike, slijedi izrada konkretnog plana za njihovo ublažavanje. Ovaj plan mora biti dokumentiran, jasan i primjenjiv na svim razinama organizacije, od uprave do svakog zaposlenika.

  • Izrada politika sigurnosti: Ažurirajte postojeće ili izradite nove interne politike i procedure koje definiraju pravila kibernetičke sigurnosti.
  • Plan za upravljanje incidentima: Definirajte precizne korake za postupanje u slučaju sigurnosnog incidenta – tko je odgovoran, koga se obavještava i kako se oporavlja sustav.
  • Edukacija zaposlenika: Organizirajte redovite treninge za sve zaposlenike o prepoznavanju prijetnji (npr. phishing) i važnosti pridržavanja sigurnosnih protokola.

Korak 3: Nadzor i izvještavanje

Usklađenost sa Zakonom o kibernetičkoj sigurnosti nije jednokratan zadatak, već kontinuirani proces koji zahtijeva redoviti nadzor, testiranje i prilagodbu novim prijetnjama. Dokumentacija je pritom vaš ključni saveznik.

  • Kontinuirano praćenje: Uspostavite sustav za redovito praćenje, testiranje i reviziju implementiranih sigurnosnih mjera.
  • Procedure za izvješćivanje: Pripremite predloške i definirajte jasan proces za obvezno izvješćivanje o značajnim incidentima nadležnim tijelima.
  • Vođenje dokumentacije: Pedantno dokumentirajte sve poduzete korake, analize rizika i provedene mjere. Ova dokumentacija ključna je za dokazivanje sukladnosti u slučaju nadzora.

Proces usklađivanja može biti složen i zahtjevan. Ako trebate stručnu pomoć u razumijevanju obveza i izradi plana primjene, osigurajte svoje mjesto na vrijeme.

Sankcije za neusklađenost i kako ih izbjeći

Novi Zakon o kibernetičkoj sigurnosti ne donosi samo nove obveze, već i strogi nadzorni i kazneni okvir za sve subjekte koji se ne budu pridržavali propisanih mjera. Ignoriranje zakonskih zahtjeva može dovesti do značajnih financijskih gubitaka, ali i do reputacijske štete koja dugoročno može biti još skuplja. Zbog toga je ključno razumjeti potencijalne posljedice i, što je još važnije, znati kako ih proaktivno spriječiti.

Osim visokih novčanih kazni, nadležna tijela mogu izreći i druge mjere, poput privremene suspenzije ovlaštenja odgovorne osobe ili javne objave prekršaja, što izravno utječe na povjerenje klijenata i poslovnih partnera.

Visina novčanih kazni

Zakon jasno definira financijske sankcije, koje su usklađene s europskom praksom i razlikuju se ovisno o kategoriji subjekta. Propisani su maksimalni iznosi, dok će se konačna kazna određivati prema okolnostima svakog pojedinog slučaja, uzimajući u obzir težinu, trajanje i posljedice prekršaja.

  • Za ključne subjekte: predviđene su kazne do najviše 10.000.000 € ili, u slučaju poduzetnika, do 2% njegovog ukupnog godišnjeg prometa na svjetskoj razini iz prethodne poslovne godine, ovisno o tome koji je iznos veći.
  • Za važne subjekte: kazne mogu doseći iznos do 7.000.000 € ili, u slučaju poduzetnika, do 1,4% njegovog ukupnog godišnjeg prometa na svjetskoj razini iz prethodne poslovne godine, ovisno o tome koji je iznos veći.

Kako dokazati sukladnost i izbjeći kaznu?

Najbolja obrana od sankcija jest sustavan i dokumentiran pristup usklađivanju. U slučaju nadzora, teret dokazivanja da su poduzete sve razumne mjere zaštite leži na samoj tvrtki. Stoga je presudno ne samo implementirati sigurnosne mjere, već i voditi pedantnu evidenciju o tome. Proaktivan pristup jedina je ispravna strategija.

Ključni koraci za dokazivanje sukladnosti uključuju:

  • Ažurna dokumentacija: Redovito vodite i ažurirajte sve politike, procedure i procjene rizika koje zahtijeva zakon o kibernetičkoj sigurnosti.
  • Evidencija incidenata: Detaljno bilježite svaki sigurnosni incident, analizu uzroka i korake poduzete za njegovu sanaciju i sprječavanje budućih događaja.
  • Otvorena suradnja: U slučaju inspekcijskog nadzora, budite transparentni i surađujte s nadležnim tijelima. Uredna dokumentacija bit će vaš najjači adut.
  • Ulaganje u prevenciju: Kontinuirana edukacija zaposlenika i ulaganje u sigurnosne tehnologije dugoročno su najisplativija investicija jer smanjuju rizik od incidenata i dokazuju vašu posvećenost sigurnosti.

Budite korak ispred: Pripremite se za Zakon o kibernetičkoj sigurnosti

Novi Zakon o kibernetičkoj sigurnosti predstavlja prekretnicu za digitalno poslovanje u Hrvatskoj, uvodeći jasan okvir odgovornosti i obveza. Kao što smo vidjeli, ključno je pravovremeno utvrditi pripadate li kategoriji ‘ključnih’ ili ‘važnih’ subjekata, jer o tome ovise vaši daljnji koraci. Zanemarivanje ovih obveza ne nosi samo rizik od značajnih financijskih sankcija, već i dugoročno narušava ugled i povjerenje klijenata. Stoga, proaktivno usklađivanje nije trošak, već nužna investicija u stabilnost i budućnost vašeg poslovanja.

Razumijevanje obveza i pravovremena priprema temelj su za sigurno poslovanje. Za praktična rješenja i stručnu podršku u usklađivanju s novim propisima, pogledajte Alinejino izdanje, e-knjigu “Uskladba poslovanja s NIS 2 Direktivom” , autorice doc. dr. sc. Robertine Zdjelar.

Često postavljana pitanja (FAQ)

Koja je razlika između obveza ključnih i važnih subjekata?

Iako i ključni i važni subjekti moraju primijeniti isti minimalni set mjera za upravljanje rizicima, ključna razlika leži u nadzoru i sankcijama. Ključni subjekti podliježu strožem, proaktivnom nadzoru nadležnih tijela, što uključuje redovite provjere i revizije. S druge strane, važni subjekti podliježu reaktivnom (ex-post) nadzoru, koji se u pravilu provodi tek nakon prijave sigurnosnog incidenta. Kazne za neusklađenost također su strože za ključne subjekte.

Mora li moja tvrtka imati službenika za informacijsku sigurnost (CISO)?

Iako Zakon izričito ne propisuje obvezu imenovanja “službenika za informacijsku sigurnost” (CISO) za sve subjekte, on nalaže jasno definiranje odgovornosti za kibernetičku sigurnost. Za ključne subjekte i veće organizacije, praktična primjena ove obveze često podrazumijeva uspostavu takve formalne uloge. Manji subjekti mogu tu odgovornost dodijeliti postojećem zaposleniku s odgovarajućim znanjima, no ključno je da je odgovornost službeno i jasno dokumentirana unutar organizacije.

Kako se ovaj Zakon odnosi na dobavljače i partnere s kojima poslujemo?

Novi Zakon o kibernetičkoj sigurnosti stavlja snažan naglasak na sigurnost lanca opskrbe. To znači da ste kao obveznik odgovorni procijeniti i upravljati rizicima koji proizlaze iz odnosa s vašim dobavljačima i partnerima, posebice onima koji imaju pristup vašim mrežnim i informacijskim sustavima. U praksi, to zahtijeva provođenje procjena sigurnosti dobavljača te uključivanje specifičnih klauzula o kibernetičkoj sigurnosti u ugovore o suradnji.

Tko je odgovoran za kibernetičku sigurnost u tvrtki, IT odjel ili uprava?

Iako je IT odjel zadužen za tehničku provedbu mjera, Zakon o kibernetičkoj sigurnosti nedvosmisleno postavlja krajnju odgovornost na upravljačka tijela tvrtke. Uprava je dužna odobriti mjere upravljanja rizicima, nadzirati njihovu implementaciju te proći specifičnu obuku kako bi razumjela rizike. U slučaju propusta, članovi uprave mogu biti smatrani osobno odgovornima, čime se naglašava strateška važnost kibernetičke sigurnosti za cjelokupno poslovanje.

Nudi li Alineja edukacije ili izdanje specifično o primjeni ovog Zakona?

Razumijevanje obveza i pravovremena priprema temelj su za sigurno poslovanje. Za praktična rješenja i stručnu podršku u usklađivanju s novim propisima, pogledajte Alinejino izdanje, e-knjigu “Uskladba poslovanja s NIS 2 Direktivom” , autorice doc. dr. sc. Robertine Zdjelar.

 

Podijelite:

Svi članci iz područja: ,
Predlozene-izmjene-Zakona-o-trgovini-sto-se-mijenja-za-trgovce-gradane-i-jedinice-lokalne-samouprave
Predložene izmjene Zakona o trgovini: što se mijenja za trgovce, građane i jedinice lokalne samouprave
23. 3. 2026.
Izmjene Zakona o trgovini, čije se donošenje predlaže (trenutno je tekst Nacrta prijedloga...
Izmjene-Zakona-o-obrtu-komoski-doprinos-rad-nakon-mirovine-strukovno-obrazovanje
Izmjene Zakona o obrtu 2026. u e-Savjetovanju – komorski doprinos, status obrtnika nakon odlaska u mirovinu i izmjene u strukovnom obrazovanju
11. 3. 2026.
Izmjene Zakona o obrtu predložene su nacrtom Zakona o izmjenama i dopunama Zakona o obrtu koji...
Strucni-pravni-seminari-u-Hrvatskoj-Vodic-za-odabir-najbolje-edukacije
Stručni pravni seminari u Hrvatskoj: Vodič za odabir najbolje edukacije
22. 2. 2026.
Stručni pravni seminari u Hrvatskoj: Vodič za odabir najbolje edukacije. Naš vodič pomaže vam...
umirovljenik-rad-mirovina-Alineja
Nove mogućnosti rada umirovljenika - odredbe novog Zakona o mirovinskom osiguranju koje stupaju na snagu 1. 1. 2026.
11. 11. 2025.
Novi Zakon o mirovinskom osiguranju (u daljem tekstu: ZOMO) stupio je na snagu 1. 7. 2025....
odvjetnik-imenik odvjetnika-1200-Alineja
HOK mijenja iznose upisnina u imenike odvjetnika - za prvi upis 1.200 €, umjesto dosadašnjih 3.000 €
7. 11. 2025.
Umjesto dosadašnjih 3.000 €, upisnina bi za prvi upis u Imenik odvjetnika iznosila 1.200 €,...
business-woman-3627087
Zakon o lobiranju - važan alat u kreiranju kvalitetne antikorupcijske politike
31. 10. 2024.
Od 1. listopada 2024. na snazi je Zakon o lobiranju (Nar. nov., br. 36/24). Zakon je donesen...