U okviru NIS2 režima IT tvrtke se kažnjavaju administrativnim i financijskim sankcijama ako ne ispune propisane obveze kibernetičke sigurnosti. Za ključne subjekte kazne mogu doseći do 10 milijuna eura ili do 2 posto ukupnog godišnjeg svjetskog prometa, ovisno o tome što je veće, dok su za važne subjekte propisani niži, ali i dalje vrlo značajni pragovi. Kazne se ne izriču samo zbog stvarnog kibernetičkog incidenta, već i zbog nepostojanja propisanih mjera, neprovođenja procjene rizika, neprijavljivanja incidenta u zadanom roku ili neispunjavanja naloga nadležnog tijela.
U kontekstu digitalne države, fiskalizacije, eRačuna, registara i sličnih sustava, upravo se na temelju NIS2 i nacionalnog zakona opravdava zahtjev za visokom razinom sigurnosti, certificiranim podatkovnim centrima, kriptografijom i strogim nadzorom, jer se takvi sustavi smatraju dijelom infrastrukture od posebnog značaja za državu i gospodarstvo. Ako se ne bude poštovala pravila slijede velike kazne.
Što se tiče ključne državne informacijske infrastrukture ona označava skup informacijsko-komunikacijskih sustava, mreža, podatkovnih resursa i digitalnih usluga čije je neprekidno, sigurno i pouzdano funkcioniranje od presudne važnosti za državu, gospodarstvo i društvo u cjelini. Riječ je o digitalnoj okosnici bez koje ne mogu normalno djelovati javne institucije, kritični gospodarski sektori ni osnovne društvene funkcije.
U tu kategoriju ulaze sustavi koji podržavaju rad države i javne uprave, financijske i platne sustave, energetiku, promet, zdravstvo, telekomunikacije, vodno gospodarstvo te ključne digitalne registre i platforme. Ako takvi sustavi postanu nedostupni, kompromitirani ili nepouzdani, posljedice mogu biti ozbiljne, od poremećaja tržišta i javnih usluga do ugrožavanja sigurnosti građana.
Na razini Europske unije temeljni okvir postavljala je NIS direktiva, a danas njezina nasljednica NIS2 direktiva. NIS2 izričito uređuje kibernetičku sigurnost mrežnih i informacijskih sustava koji su ključni za funkcioniranje društva i gospodarstva. Ona uvodi obvezu identifikacije ključnih i važnih subjekata, strože sigurnosne mjere, obvezno upravljanje rizicima, prijavu incidenata te pojačan nadzor. U praksi, sustavi koji se smatraju ključnom informatičkom infrastrukturom gotovo uvijek ulaze u obuhvat NIS2, osobito u sektorima energetike, financija, zdravstva, prometa, digitalne infrastrukture i javne uprave.
Paralelno s time, EU je donijela i CER direktivu, koja se bavi otpornošću kritičnih subjekata. Dok je NIS2 fokusirana na kibernetičku sigurnost, CER širi pogled na ukupnu otpornost, uključujući fizičku sigurnost, kontinuitet poslovanja i otpornost na krize. Informatička infrastruktura koja podržava kritične usluge često se istodobno promatra kroz oba okvira.
U Hrvatskoj je europski okvir prenesen kroz Zakon o kibernetičkoj sigurnosti, koji definira obveze subjekata od posebne važnosti za kibernetičku sigurnost države. Taj zakon u praksi određuje koje informacijske i komunikacijske infrastrukture imaju status ključnih, kakve tehničke i organizacijske mjere moraju primjenjivati te kakav je nadzor nad njima. Uz to, postoje i posebni sektorski propisi, primjerice u financijskom sektoru, energetici ili javnoj upravi, koji dodatno definiraju sigurnosne zahtjeve za informacijske sustave.
NIS2 direktiva znatno podiže razinu obveza u odnosu na prethodnu NIS regulativu jer više nije usmjerena samo na osnovnu tehničku zaštitu sustava, nego na sustavno upravljanje kibernetičkim rizicima na razini cijele organizacije.
Konkretno, subjekti obuhvaćeni NIS2 moraju uvesti formalne politike sigurnosti, procjene rizika, planove kontinuiteta poslovanja, sigurnost opskrbnog lanca te jasnu odgovornost uprave za kibernetičku sigurnost. Direktiva propisuje i obveznu prijavu značajnih kibernetičkih incidenata u kratkim rokovima, uz standardiziranu komunikaciju s nacionalnim nadležnim tijelima.
Uvodi se stroži nadzor i mogućnost visokih novčanih kazni, ali i osobna odgovornost članova uprave ako se sigurnosne obveze zanemare. NIS2 također proširuje krug obveznika, pa uz energetiku i telekomunikacije obuhvaća digitalnu infrastrukturu, cloud i podatkovne centre, financijske usluge, zdravstvo, javnu upravu, ali i brojne IT i tehnološke pružatelje usluga. U praksi to znači da kibernetička sigurnost prestaje biti isključivo IT pitanje i postaje regulatorna, upravljačka i poslovna obveza na razini cijele organizacije.
NIS2 dodatno standardizira što se smatra „primjerenim mjerama”, pa se od subjekata očekuje konkretna primjena kontrola poput upravljanja identitetima i pristupima, segmentacije mreže, sigurnosnog nadzora, redovitog testiranja otpornosti te upravljanja ranjivostima. Poseban naglasak stavlja se na sigurnost opskrbnog lanca, što znači da organizacije moraju procjenjivati i nadzirati sigurnost svojih dobavljača IT usluga, softvera, clouda i podatkovnih centara, a ne samo vlastite sustave.
Direktiva jasno razlikuje ključne i važne subjekte, pri čemu ključni podliježu proaktivnom nadzoru i inspekcijama, dok se kod važnih subjekata nadzor najčešće aktivira nakon incidenta. Rokovi za prijavu incidenata su kratki i višefazni, s početnom obavijesti u vrlo kratkom vremenu te naknadnim detaljnim izvješćima, čime se želi osigurati brza reakcija države i koordinacija na razini EU.
Uprave i najviši menadžment formalno su odgovorni za provedbu mjera, što u praksi znači da se kibernetička sigurnost mora integrirati u korporativno upravljanje, interne kontrole i revizije. Za mnoge organizacije NIS2 tako predstavlja prijelaz s ad-hoc sigurnosnih rješenja na trajni, dokumentirani i nadzirani sustav upravljanja kibernetičkim rizicima, usporediv s financijskim ili regulatornim complianceom.
U okviru NIS2 režima IT tvrtke se kažnjavaju administrativnim i financijskim sankcijama ako ne ispune propisane obveze kibernetičke sigurnosti. Za ključne subjekte kazne mogu doseći do 10 milijuna eura ili do 2 posto ukupnog godišnjeg svjetskog prometa, ovisno o tome što je veće, dok su za važne subjekte propisani niži, ali i dalje vrlo značajni pragovi. Kazne se ne izriču samo zbog stvarnog kibernetičkog incidenta, već i zbog nepostojanja propisanih mjera, neprovođenja procjene rizika, neprijavljivanja incidenta u zadanom roku ili neispunjavanja naloga nadležnog tijela.
Uz novčane kazne, regulator može izreći korektivne mjere, poput obveze hitne sanacije, pojačanog nadzora, privremene zabrane pružanja određenih usluga ili zahtjeva za zamjenu odgovornih osoba. Posebno je važno da NIS2 uvodi i osobnu odgovornost uprave, što znači da se članovi uprave mogu smatrati odgovornima ako su propusti posljedica zanemarivanja ili lošeg upravljanja sigurnošću. U praksi to za IT tvrtke znači da kibernetička sigurnost postaje pitanje regulatornog rizika, reputacije i upravljačke odgovornosti, a ne samo tehničke kvalitete usluge.
Microsoftov June 2026 Patch Tuesday donio je sigurnosna ažuriranja za 200 ranjivosti, uključujući više zero-day slabosti i javno objavljenih propusta. Sama brojka po sebi nije samo tehnički detalj, nego signal koliko se enterprise i javni sektor danas moraju oslanjati na discipliniran patch menadžment kako bi održali osnovnu sigurnosnu razinu.
Europska komisija je predstavila paket tehnološke suverenosti čija je okosnica Cloud and AI Development Act (CADA), zakonodavni prijedlog kojim se uvodi jedinstveni okvir za procjenu suverenosti oblaka i umjetne inteligencije za europsku javnu upravu.
Tvrtka ANIQ, prva akcelerirana tvrtka Poduzetničkog inkubatora PISMO powered by A1, službeno je predstavila projekt RAGNA - istraživačko-razvojni projekt vrijedan više od 2,5 milijuna eura kojim će, u suradnji sa Sveučilištem Algebra Bernays i tvrtkom Protopixel, razvijati inovativnu AI platformu za upravljanje Game Design Dokumentom (GDD), jednim od ključnih alata u procesu razvoja videoigara. Početak projekta obilježen je početnom konferencijom i panel raspravom održanom u Novskoj.
