Sandy Smajic Logo
Nazad na Insights
Regulativa

NIS2 u 2026: Šta kompanije moraju uraditi sada

Nacionalna transpozicija NIS2 stiže širom EU. Evo praktične mape puta da vaša organizacija uđe u opseg, bude pod kontrolom i spremna za reviziju.

By Sandy Smajic8 min čitanja

NIS2 više nije problem budućnosti. Sa nacionalnim zakonima o transpoziciji koji su sada na snazi u većini država članica EU, pitanje za srednja preduzeća se pomjerilo sa „da li se ovo odnosi na nas?" na „možemo li dokazati da smo usklađeni?"

Prvo: jeste li u opsegu?

NIS2 razlikuje „ključne" i „važne" subjekte u 18 sektora, uključujući energetiku, transport, bankarstvo, zdravstvo, digitalnu infrastrukturu, proizvodnju i hranu. Veličina je takođe bitna: srednje i velike organizacije su uglavnom obuhvaćene.

  • Uporedite svoj sektor sa NIS2 aneksima — ne pretpostavljajte da ste izuzeti.
  • Provjerite jeste li dobavljač ključnog subjekta; njihove obaveze se prenose na vas.
  • Dokumentujte odluku. „Odlučili smo da nismo u opsegu" zahtijeva pisani trag.

Deset osnovnih mjera

Član 21 utvrđuje minimalni skup mjera upravljanja rizicima. Ne treba vam priručnik od 300 stranica, ali trebaju vam dokazi da je svako područje zaista pokriveno:

  • Analiza rizika i politike informacione sigurnosti
  • Postupanje sa incidentima i izvještavanje
  • Kontinuitet poslovanja i upravljanje krizama
  • Sigurnost lanca snabdijevanja
  • Sigurnost u nabavci, razvoju i održavanju
  • Procjena efikasnosti mjera
  • Osnovna cyber higijena i obuka
  • Kriptografija i enkripcija
  • Kontrola pristupa i upravljanje imovinom
  • Višefaktorska autentifikacija i sigurna komunikacija

Rokovi za izvještavanje su kratki

Značajan incident pokreće rano upozorenje u roku od 24 sata, potpuniju obavijest u roku od 72 sata i konačni izvještaj u roku od mjesec dana. Uvježbajte to kroz simulacijsku vježbu.

Uprava je odgovorna

Jedna od najvećih promjena u NIS2 je lična odgovornost organa upravljanja. Rukovodstvo mora odobriti mjere rizika, nadgledati implementaciju i proći obuku.

Organizacije koje se muče nisu one sa slabom tehnologijom — već one koje ne mogu pokazati vlasništvo i dokaze.

Praktična sekvenca od 90 dana

  • Sedmice 1–2: Određivanje opsega i procjena nedostataka u odnosu na član 21.
  • Sedmice 3–6: Zatvaranje najrizičnijih nedostataka i uspostavljanje prijave incidenata.
  • Sedmice 7–10: Pregled lanca snabdijevanja i obuka uprave.
  • Sedmice 11–13: Simulacijska vježba, prikupljanje dokaza i živi zapis usklađenosti.

NIS2 nagrađuje organizacije koje sigurnost tretiraju kao stalni program, a ne jednokratni projekat. Počnite jasnom procjenom i držite dokaze ažurnim.

Teme

NIS2EU direktivaUsklađenostUpravljanje rizicima

Povezani resursi

NIS2 savjetovanjeISO 27001 savjetovanje

Pretvorite ovo u plan koji prolazi reviziju

Zakažite besplatnu 30-minutnu konsultaciju i zajedno ćemo mapirati najbrži put do usklađenosti s najmanjim rizikom — bez žargona, bez prodaje.

Zakaži besplatnu konsultaciju

Okviri s kojima radim

Svaki članak temelji se na standardima koje regulatori i revizori zaista koriste.

ISO 27001Upravljanje informacijskom sigurnošću
NIS2EU direktiva o sajber sigurnosti
TISAXSigurnost informacija u automobilskoj industriji
DORAOtpornost finansijskog sektora
NISTOkvir za sajber sigurnost
GDPRRegulativa o zaštiti podataka

Nastavite čitati

Implementacija ISO 27001: Naučene lekcije

Nakon vođenja više ISO 27001 programa, isti obrasci razdvajaju glatke od bolnih certifikacija. Evo lekcija koje zaista čine razliku.

Zašto MSP-ovi padaju na sigurnosnim revizijama (i kako to izbjeći)

Većina neuspjelih revizija ne dolazi od nedostatka tehnologije, već od nekoliko organizacijskih grešaka koje se mogu izbjeći.

DORA usklađenost objašnjena

Akt o digitalnoj operativnoj otpornosti mijenja način na koji finansijski subjekti i njihovi ICT pružaoci upravljaju rizikom.