NIS2 & ZKS Compliance

NIS2 Directive & ZKS: 5 Ways to Achieve Compliance

milan.hinic

milan.hinic

31 March 2026 0 min read

NIS2 Directive, Shutterstock

With the introduction of the NIS2 Directive and its implementation through the Cybersecurity Act (ZKS), the European Union and Croatia have clearly defined a new standard for managing cyber risks.

Companies can no longer approach security as a technical function within the IT department. Indeed, security is becoming a strategic responsibility of the entire company, including management.

Razlog te promjene se nalazi u nesigurnim okolnostima u kojima radimo. Kibernetičke prijetnje su svugdje oko nas i bit će ih još više.

Prema relevantnim istraživanjima, više od 90% sigurnosnih incidenata započinje phishing napadom, dok se procjenjuje da čak 96% uspješnih napada izaziva ljudska pogreška.

In other words, the biggest security risk is no longer technology. The problem lies in how people react in real-world situations.

Iz tih razloga NIS2 i ZKS se ne fokusiraju samo na sustave, nego i na ponašanje zaposlenika, procese i sposobnost tvrtke da prepozna i spriječi prijetnje prije nego što uzrokuju štetu.

No, i dalje ostaje ono neizbježno pitanje – kako postići stvarnu usklađenost, a ne samo formalno zadovoljiti regulativu?

Više o NIS2 Direktivi i ZKS-u

NIS2 Direktiva predstavlja novu generaciju europske regulative za kibernetičku sigurnost.

Njezin cilj je povećati otpornost tvrtki na kibernetičke prijetnje kroz strože sigurnosne zahtjeve, bolju koordinaciju i veću odgovornost uprava.

NIS2, koji se implementira kroz Zakon o kibernetičkoj sigurnosti (ZKS), definira konkretne obveze za tvrtke iz sektora.

Neki od tih sektora su:

  • financijski sektor
  • energetika
  • zdravstvo
  • javna uprava
  • digitalna infrastruktura
  • industrija i proizvodnja

Za razliku od prethodnih regulativa, NIS2 ne ostavlja puno prostora za interpretaciju. Naime, zahtjevi su jasni, a kazne za neusklađenost značajne.

NIS2 Direktiva, ZKS

NIS2 Direktiva, ZKS; Shutterstock

Zahtjevi koje tvrtke moraju ispuniti

NIS2 i ZKS fokusiraju se na nekoliko područja sigurnosti. Nije riječ isključivo o tehničkim zahtjevima. Većina direktno uključuje zaposlenike i njihove svakodnevne odluke.

Radi se o sljedećim zahtjevima:

1. Upravljanje rizicima

Tvrtke moraju identificirati, procijeniti i kontinuirano upravljati kibernetičkim rizicima. Jasno vidimo da taj zahtjev nije samo tehničke prirode. Naime, uključuje procese i ljude.

2. Edukacija i svijest zaposlenika

Ovaj zahtjev je vrlo važan. Tvrtke moraju kontinuirano podizati svijest o sigurnosti. Zaposlenici moraju biti osposobljeni prepoznati prijetnje poput phishinga i socijalnog inženjeringa.

3. Prevencija i detekcija incidenata

Tvrtke moraju imati sposobnost pravovremenog prepoznavanja i zaustavljanja prijetnji prije nego što uzrokuju štetu.

4. Praćenje i izvještavanje

Potrebno je voditi evidenciju sigurnosnih aktivnosti, provoditi analize i osigurati transparentno izvještavanje. Posebno u kontekstu regulatornih nadzora.

5. Odgovornost uprave

Jedna od najvećih promjena je ta da uprava tvrtki postaje direktno odgovorna za kibernetičku sigurnost i usklađenost.

Ljudski faktor najveći izazov

Iako regulativa često naglašava procese i tehnologiju, stvarnost je drugačija.

Većina sigurnosnih incidenata započinje ljudskom greškom.

Phishing napadi, krađa identiteta i socijalni inženjering i dalje su najčešći vektori napada. Napadači ne pokušavaju probiti sustave, već ljude.

Zato edukacija mora biti kontinuirana, a ne jednokratna. Također, zaposlenici moraju reagirati ispravno u stvarnom vremenu.

I, ne manje važno, tvrtke moraju imati uvid u stvarno ponašanje, ne samo u teorijsko znanje.

Edukacija, kolege, tvrtka, Pexels

Edukacija, kolege, tvrtka, Pexels

Ništa bez edukacije

Mnoge organizacije pokušavaju zadovoljiti sigurnosne i regulatorne zahtjeve kroz godišnje edukacije, statične e-learning module i generičke testove.

Iako takav pristup može formalno ispuniti određene kriterije, problem je što ne mijenja stvarno ponašanje zaposlenika.

Sadržaj se brzo zaboravlja, prijetnje se ne prepoznaju u stvarnim situacijama, a edukacija ostaje odvojena od svakodnevnog rada.

Rezultat je formalna usklađenost na papiru, dok stvarni rizik ostaje visok.

Zaposlenici zaborave i do 70% naučenog unutar 24 sata ako ga ne primjenjuju u praksi.

Prosječni trošak kibernetičkog incidenta uzrokovanog ljudskom pogreškom je među najvišima, što dodatno potvrđuje da edukacija bez promjene ponašanja nema stvarni učinak.

Svi ti podaci potvrđuju da je tvrtkama potreban drugačiji pristup. Onaj koji povezuje edukaciju, praksu i mjerljive rezultate.

Umjesto pasivnog učenja, fokus se mora prebaciti na stvarne situacije, kontinuirano testiranje i trenutnu povratnu informaciju.

Cybermark omogućuje upravo takvu edukaciju.

Pretvara znanje u aktivan sustav prevencije koji izravno smanjuje rizik i pomaže tvrtkama da postignu stvarnu, a ne samo deklarativnu usklađenost s NIS2 i ZKS zahtjevima.

Cybermark dovodi do poslovne prednosti

Posebno važno jest da ovakav sustav kakav nudi Cybermark ne služi samo zadovoljavanju regulatornih zahtjeva, nego i stvarnom smanjenju rizika.

Vodi tvrtki kroz manje sigurnosnih incidenata, bržu reakciju i veću otpornost poslovanja. U tom kontekstu, usklađenost prestaje biti administrativna obveza i postaje strateška prednost.

Tvrtke koje ulažu u sigurnost ne samo da smanjuju rizik financijskih gubitaka i štite reputaciju, nego i grade povjerenje kod klijenata i partnera.

Sposobnost demonstriranja visoke razine sigurnosti nezaobilazan je diferencijator na tržištu.