NIS2 & ZKS

NIS2 Direktiva & ZKS: 5 načina kako postići usklađenost

Maja Cvetković Raić

Maja Cvetković Raić

31 ožujka 2026 0 min read

NIS 2 direktiva, Shutterstock

Uvođenjem NIS2 Direktive i njezine implementacije kroz Zakon o kibernetičkoj sigurnosti (ZKS), Europska unija i Hrvatska jasno su definirale novi standard za upravljanje cyber rizicima.

Tvrtke više ne mogu pristupiti sigurnosti kao tehničkoj funkciji unutar IT odjela. Naime, sigurnost postaje strateška odgovornost cijele tvrtke uključujući upravu.

Razlog te promjene se nalazi u nesigurnim okolnostima u kojima radimo. Kibernetičke prijetnje su svugdje oko nas i bit će ih još više.

Prema relevantnim istraživanjima, više od 90% sigurnosnih incidenata započinje phishing napadom, dok se procjenjuje da čak 96% uspješnih napada izaziva ljudska pogreška.

Drugim riječima, najveći sigurnosni rizik više nije tehnologija. Problem nalazimo u načinu na koji ljudi reagiraju u stvarnim situacijama.

Iz tih razloga NIS2 i ZKS se ne fokusiraju samo na sustave, nego i na ponašanje zaposlenika, procese i sposobnost tvrtke da prepozna i spriječi prijetnje prije nego što uzrokuju štetu.

No, i dalje ostaje ono neizbježno pitanje – kako postići stvarnu usklađenost, a ne samo formalno zadovoljiti regulativu?

Više o NIS2 Direktivi i ZKS-u

NIS2 Direktiva predstavlja novu generaciju europske regulative za kibernetičku sigurnost.

Njezin cilj je povećati otpornost tvrtki na kibernetičke prijetnje kroz strože sigurnosne zahtjeve, bolju koordinaciju i veću odgovornost uprava.

NIS2, koji se implementira kroz Zakon o kibernetičkoj sigurnosti (ZKS), definira konkretne obveze za tvrtke iz sektora.

Neki od tih sektora su:

  • financijski sektor
  • energetika
  • zdravstvo
  • javna uprava
  • digitalna infrastruktura
  • industrija i proizvodnja

Za razliku od prethodnih regulativa, NIS2 ne ostavlja puno prostora za interpretaciju. Naime, zahtjevi su jasni, a kazne za neusklađenost značajne.

NIS2 Direktiva, ZKS

NIS2 Direktiva, ZKS; Shutterstock

Zahtjevi koje tvrtke moraju ispuniti

NIS2 i ZKS fokusiraju se na nekoliko područja sigurnosti. Nije riječ isključivo o tehničkim zahtjevima. Većina direktno uključuje zaposlenike i njihove svakodnevne odluke.

Radi  se o sljedećim zahtjevima:

1. Upravljanje rizicima

Tvrtke moraju identificirati, procijeniti i kontinuirano upravljati kibernetičkim rizicima. Jasno vidimo da taj zahtjev nije samo tehničke prirode. Naime, uključuje  procese i ljude.

2. Edukacija i svijest zaposlenika

Ovaj zahtjev je vrlo važan. Tvrtke moraju kontinuirano podizati svijest o sigurnosti. Zaposlenici moraju biti osposobljeni prepoznati prijetnje poput phishinga i socijalnog inženjeringa.

3. Prevencija i detekcija incidenata

Tvrtke moraju imati sposobnost pravovremenog prepoznavanja i zaustavljanja prijetnji prije nego što uzrokuju štetu.

4. Praćenje i izvještavanje

Potrebno je voditi evidenciju sigurnosnih aktivnosti, provoditi analize i osigurati transparentno izvještavanje. Posebno u kontekstu regulatornih nadzora.

5. Odgovornost uprave

Jedna od najvećih promjena je ta da uprava tvrtki postaje direktno odgovorna za kibernetičku sigurnost i usklađenost.

Ljudski faktor najveći izazov

Iako regulativa često naglašava procese i tehnologiju, stvarnost je drugačija.

Većina sigurnosnih incidenata započinje ljudskom greškom.

Phishing napadi, krađa identiteta i socijalni inženjering i dalje su najčešći vektori napada. Napadači ne pokušavaju probiti sustave, već ljude.

Zato edukacija mora biti kontinuirana, a ne jednokratna. Također, zaposlenici moraju reagirati ispravno u stvarnom vremenu.

I, ne manje važno, tvrtke moraju imati uvid u stvarno ponašanje, ne samo u teorijsko znanje.

Edukacija, kolege, tvrtka, Pexels

Edukacija, kolege, tvrtka, Pexels

Ništa bez edukacije

Mnoge organizacije pokušavaju zadovoljiti sigurnosne i regulatorne zahtjeve kroz godišnje edukacije, statične e-learning module i generičke testove.

Iako takav pristup može formalno ispuniti određene kriterije, problem je što ne mijenja stvarno ponašanje zaposlenika.

Sadržaj se brzo zaboravlja, prijetnje se ne prepoznaju u stvarnim situacijama, a edukacija ostaje odvojena od svakodnevnog rada.

Rezultat je formalna usklađenost na papiru, dok stvarni rizik ostaje visok.

Zaposlenici zaborave i do 70% naučenog unutar 24 sata ako ga ne primjenjuju u praksi.

Prosječni trošak kibernetičkog incidenta uzrokovanog ljudskom pogreškom je među najvišima, što dodatno potvrđuje da edukacija bez promjene ponašanja nema stvarni učinak.

Svi ti podaci potvrđuju da je tvrtkama potreban drugačiji pristup. Onaj koji povezuje edukaciju, praksu i mjerljive rezultate.

Umjesto pasivnog učenja, fokus se mora prebaciti na stvarne situacije, kontinuirano testiranje i trenutnu povratnu informaciju.

Cybermark omogućuje upravo takvu edukaciju.

Pretvara znanje u aktivan sustav prevencije koji izravno smanjuje rizik i pomaže tvrtkama da postignu stvarnu, a ne samo deklarativnu usklađenost s NIS2 i ZKS zahtjevima.

Cybermark dovodi do poslovne prednosti

Posebno važno jest da ovakav sustav kakav nudi Cybermark ne služi samo zadovoljavanju regulatornih zahtjeva, nego i stvarnom smanjenju rizika.

Vodi tvrtki kroz manje sigurnosnih incidenata, bržu reakciju i veću otpornost poslovanja. U tom kontekstu, usklađenost prestaje biti administrativna obveza i postaje strateška prednost.

Tvrtke koje ulažu u sigurnost ne samo da smanjuju rizik financijskih gubitaka i štite reputaciju, nego i grade povjerenje kod klijenata i partnera.

Sposobnost demonstriranja visoke razine sigurnosti nezaobilazan je diferencijator na tržištu.