Ako Vaša organizacija posluje u Bosni i Hercegovini, vjerovatno ste čuli za EU NIS2 Direktivu i pomislili: „To je EU regulativa. To se ne odnosi na nas.“
Međutim, za mnoge bosanskohercegovačke i kompanije iz drugih zemalja regije, ta pretpostavka bi mogla značiti stvarne poslovne gubitke.
NIS2 već uveliko preoblikuje način na koji kompanije širom Evrope pristupaju kibernetičkoj sigurnosti. Iako Bosna i Hercegovina nije članica EU, efekti ove regulative su veoma stvarni - posebno ako Vaši klijenti, partneri ili dobavljači posluju unutar EU. Evo šta trebate znati i, što je još važnije, šta možete poduzeti odmah.
Kratki pregled: Šta je NIS2?
NIS2 direktiva (Network and Information Security Directive 2) je ažurirana EU regulativa o kibernetičkoj sigurnosti koja zamjenjuje izvornu NIS direktivu iz 2016. godine. Cilj je jasan: podići osnovni nivo kibernetičke sigurnosti u svim državama članicama EU.
NIS2 obuhvata 18 kritičnih sektora - što je značajno proširenje u odnosu na prvu direktivu. Govorimo o energetici, transportu, bankarstvu, zdravstvu, digitalnoj infrastrukturi, telekomunikacijama, cloud "provajderima", upravljanju ICT uslugama, općoj proizvodnji, proizvodnji hrane, hemijskoj industriji, poštanskim uslugama i drugima. Primjenjuje se na srednje i velike EU organizacije (uglavnom sa 50+ zaposlenih ili 10+ miliona eura godišnjeg prometa), iako su neki sektori (posebno digitalna infrastruktura) obuhvaćeni bez obzira na veličinu.
Ukratko: veliki broj kompanija iz EU sada je regulisan kroz NIS2. Ako radite sa EU klijentima, velike su šanse da barem neki od njih potpadaju pod njen opseg.
Zahtjevi NIS2 se fokusiraju na nekoliko ključnih područja:
- Upravljanje rizicima i politike sigurnosti
- Detekcija incidenata, odgovor i izvještavanje (sa strogim rokovima — često unutar 24 sata).
- Sigurnost lanca snabdijevanja i trećih strana.
- Kontinuitet poslovanja i upravljanje krizama.
- Odgovornost uprave za kibernetičku sigurnost
Sankcije su ozbiljne: kazne do 10 miliona eura ili 2% ukupnog godišnjeg prometa na globalnom nivou, te lična odgovornost višeg menadžmenta. Pod NIS2 direktivom, kibernetička sigurnost više nije samo IT pitanje nego postaje odgovornost uprave.
Sve države članice EU dužne su prenijeti NIS2 u nacionalno zakonodavstvo. Hrvatska i Slovenija su to već učinile. Njemačka je finalizirala svoju implementaciju krajem 2025. godine, a puna primjena se odvija tokom 2026. godine. Isto važi i za ostatak EU (od Austrije do Holandije). To znači da se kompanije s kojima sarađujete na ovim tržištima već prilagođavaju NIS2 zahtjevima.
Zašto NIS2 direktno utiče na bh. i regionalne kompanije
Ovo je dio koji mnoge organizacije u Bosni i Hercegovini (i širom Zapadnog Balkana) zanemaruju, pa treba biti potpuno jasan:
NIS2 zahtijeva od kompanija regulisanih u EU da upravljaju rizicima kibernetičke sigurnosti u cijelom svom lancu snabdijevanja. Dakle, ne samo unutar vlastite organizacije, već kod svakog dobavljača, pružaoca usluga i poslovnog partnera s kojim sarađuju, bez obzira na to gdje se ti partneri nalaze.
U praksi to znači da ako Vaša kompanija pruža bilo koju vrstu usluge ili proizvoda klijentu iz EU u regulisanom sektoru, taj klijent je sada zakonski obavezan da provjeri da li Vi ispunjavate određene standarde kibernetičke sigurnosti. Posljedično će morati će uključiti specifične sigurnosne zahtjeve u Vaše ugovore, procijeniti Vaše stanje sigurnosti i potencijalno izvršiti audit. Ako ne mogu dokazati da je njihov lanac snabdijevanja siguran, oni se suočavaju s kaznama.
Ne morate biti direktno regulisani NIS2 direktivom da bi ona uticala na Vas. Dovoljno je da imate EU klijente koji jesu.
Evo nekoliko konkretnih primjera kako NIS2 utiče na tipične bh. kompanije:
- Software development kompanija u Sarajevu koja razvija i održava aplikacije za njemačku firmu za finansijske usluge. Ta njemačka firma je sada regulisana pod NIS2 i mora osigurati da njeni IT dobavljači imaju uspostavljene procedure odgovora na incidente, kontrole pristupa i dokumentovane politike sigurnosti.
- BPO (business process outsourcing) kompanija u Mostaru koja obrađuje podatke za hrvatsko osiguravajuće društvo. Hrvatski osiguravač, sada pod NIS2 obavezama, treba ugovorne garancije o tome kako se ti podaci štite - i dokaze koji to potvrđuju
- Proizvodna firma u Zenici koja isporučuje komponente slovenskoj energetskoj kompaniji. Iako ovo nije IT odnos, zahtjevi NIS2 za lanac snabdijevanja protežu se na svakog dobavljača čiji bi prekid rada mogao uticati na poslovanje regulisanog subjekta.
Ista logika važi i za kompanije u Srbiji, Crnoj Gori i širom regije. Svako ko posluje sa klijentima regulisanim u EU obuhvaćen je po srodnosti.
Šta NIS2 zahtijeva — i šta ISO 27001 već pokriva
Ako Vaša organizacija već posjeduje ISO ISO 27001 certifikat ili radi na njemu, nalazite se u jakoj poziciji. Preklapanje između NIS2 zahtjeva i kontrola ISO 27001 je značajno veliko.
| NIS2 Zahtjev | Šta ISO 27001 već pruža | Šta bi Vam moglo još trebati |
|---|---|---|
| Politike upravljanja rizicima | Strukturiran proces procjene i tretmana rizika | Osigurati da opseg upravljanja rizicima eksplicitno pokriva ICT operativnu otpornost |
| Upravljanje incidentima i izvještavanje | Definisane procedure upravljanja incidentima | Formalizovati rokove izvještavanja (24h za rano upozorenje, 72h za puni izvještaj) usklađene s očekivanjima EU klijenata |
| Sigurnost lanca snabdijevanja | Kontrole procjene i monitoringa dobavljača | Pojačati ugovorne klauzule sa specifičnim zahtjevima kibernetičke sigurnosti na koje se Vaši EU klijenti mogu pozvati |
| Kontinuitet poslovanja | BCM planiranje i testiranje | Dodati testiranje zasnovano na scenarijima za specifične ICT prekide |
| Upravljanje i odgovornost | Posvećenost i preispitivanje od strane rukovodstva | Dokumentovati eksplicitne odgovornosti uprave za kibernetičku sigurnost |
| Obuka i podizanje svijesti | Programi podizanja svijesti o sigurnosti | Proširiti obuku na obaveze u lancu snabdijevanja i procedure izvještavanja o incidentima |
Suština je sljedeća: ako imate funkcionalan ISMS izgrađen na ISO 27001, ne krećete od nule. Vi prilagođavate i proširujete ono što već imate. Za organizacije bez ISO 27001, njegova implementacija pruža najefikasniju, međunarodno priznatu osnovu koja direktno odgovara na ono što će Vaši EU partneri tražiti.
Šta trebate uraditi odmah?
Ne morate čekati bh. ekvivalent NIS2 direktive (iako će, kao zemlji kandidatu za EU, nešto slično vjerovatno uslijediti). Pritisak dolazi sa tržišta i on je već tu.
1. Razumite svoju izloženost. Mapirajte koji od Vaših klijenata i partnera posluju u sektorima regulisanim u EU. Ako opslužujete hrvatske banke, njemačke proizvođače ili slovenske pružaoce zdravstvenih usluga, obuhvaćeni ste kroz lanac snabdjavanja.
2. Pregledajte svoje ugovore. Pogledajte postojeće ugovore sa EU klijentima. Postoje li klauzule o kibernetičkoj sigurnosti? Zahtjevi za procjenu sigurnosti? Ako ih još nema, očekujte ih uskoro.
3. Procijenite svoje trenutno stanje sigurnosti. Ako imate ISO 27001, pregledajte koliko dobro Vaš ISMS pokriva NIS2 područja navedena iznad. Ako nemate gap analiza je logična polazna tačka.
4. Ojačajte odgovor na incidente. Strogi rokovi izvještavanja iz NIS2 direktive prenijet će se u ugovore s dobavljačima. Pobrinite se da možete brzo i jasno otkriti, odgovoriti i komunicirati o sigurnosnim incidentima.
5. Dokumentujte sve. Kompanije regulisane u EU trebat će dokaze da je njihov lanac snabdijevanja siguran. Posjedovanje dobro dokumentovanih politika, procedura i rezultata audita čini Vas partnerom s kojim je lako sarađivati - i kojeg je teško zamijeniti.
Ne čekajte regulativu — odgovorite na zahtjeve tržišta
Kompanije s kojima radite već se prilagođavaju NIS2 direktivi. Pitanje je da li ćete Vi biti spremni kada se okrenu svom lancu snabdijevanja i počnu postavljati teška pitanja.
Dobra vijest: za organizacije koje već slijede ISO 27001, jaz je premostiv. Za one koji tek počinju, implementacija ISO 27001 s fokusom na NIS2 znači da gradite temelje sigurnosti spremne i za današnje zahtjeve tržišta i za sutrašnji regulatorni pejzaž. Ako Vas zanima kako se ISO 27001 usklađuje s drugim EU regulativama, naš tekst o ISO 27001 i DORA usklađenosti bi Vam također mogao biti koristan.
U Consalti pomažemo organizacijama da prebrode upravo ovakve izazove - razumijevanje trenutne pozicije, identifikacija potrebnih promjena i izgradnja praktičnog puta ka usklađenosti. Ako niste sigurni kako bi NIS2 mogao uticati na Vaše poslovne odnose, slobodno nas kontaktirajteBez žargona, obaveza, pritiska - samo jasni koraci za Vaš sljedeći potez.
Ne znate odakle da počnete ili imate konkretan problem?
Početna konsultacija je potpuno besplatna! Naš cilj je zaista pomoći klijentima da ostvare svoje ciljeve. Razgovaraćete direktno s jednim od naših konsultanata – bez napadnih prodajnih taktika i bez bilo kakvih obaveza.
Iskoristite priliku – uvjerite se sami!