Compliance & Certificiranje

ISO 27001 i NIS2: Savršena kombinacija za cyber sigurnost

ISO 27001:2022 pokriva približno 70% NIS2 zahtjeva iz članka 21. Saznajte kako certificiranje smanjuje vašu compliance prazninu i štiti vaš biznis.

Zatraži konzultaciju →

Što je ISO 27001 i kako se povezuje s NIS2?

ISO 27001:2022 je međunarodni standard za upravljanje informacijskom sigurnosti koji osigurava da vaša organizacija ima uspostavljeni sustav upravljanja (ISMS). Defini njego tehnička, organizacijska i upravna mjera za zaštitu podataka.

NIS2 direktiva zahtijeva da operatori essentialnih usluga i dobavljači digitalnih usluga ispune specifične sigurnosne mjere. ISO 27001 pokriva približno 70% NIS2 zahtjeva iz članka 21, uključujući:

  • Kontrolu pristupa i upravljanje korisnicima
  • Zaštitu od malvera i kriptografiju
  • Sigurnost mrežnih infrastruktura
  • Dnevnike aktivnosti i monitoring
  • Testiranje i procjenu ranjivosti

Međutim, ISO 27001 SAM ne zamjenjuje u potpunosti NIS2 usklađenost. Trebate dodatne mjere za pokrivanje manjkavog 30% i specifične NIS2 obaveze.

4 kritične praznine između ISO 27001 i NIS2

Iduće obaveze nisu pokrivene ISO 27001 certificiranjem:

  • Obavezno izvještavanje incidenata s vremenskim rokom: NIS2 zahtijeva izvještavanje u roku od 24 sata (inicijalno), 72 sata (puno izvješće) i do 1 mjeseca za koordinirane napade. ISO 27001 propisuje procedure, ali ne i te specifične rokove.
  • Registracija kod nacionalne vlasti: Trebate se registrirati kod CERT.hr-a kao operator essencijalne usluge. ISO 27001 to ne pokriva.
  • Međugranične obveze suradnje: NIS2 zahtijeva suradnju s ostalim članicama EU-a i tijeli, što nije predmet ISO 27001 standarda.
  • Specifični NIS2 ugovori s dobavljačima: Trebate uključiti odredbe o izvještavanju incidenata, auditu i pristanku na inspekcije — dodatne od standardnih ISO 27001 zahtjeva.

Kombinacija ISO 27001 certificiranja s dodatnim NIS2-specifičnim mjerama tvori kompletnu strategiju compliance-a.

Vremenski raspored i troškovi ISO 27001 certificiranja

Proces dobivanja ISO 27001 certificiranja obično traje 3 do 6 mjeseci, ovisno o veličini organizacije i trenutnom stanju vašeg sustava.

Tipični vremenski raspored:

  • Procjena jaza (gap assessment): 2-4 tjedna
  • Implementacija ISMS-a: 4-12 tjedana
  • Interni audit: 1-2 tjedna
  • Certifikacijski audit: 1-2 tjedna

Troškovi certificiranja: Audit certifikacijskih tijela košta između €8.000 i €25.000 ovisno o:

  • Veličini vaše organizacije (broj zaposlenika, mjesta)
  • Izboru certifikacijskog tijela — preporučujemo BSI Group, Bureau Veritas, TÜV SÜD ili Lloyd's Register
  • Stupnju pripravenosti vaše infrastrukture

Dodajte interni tim za implementaciju (konzultanti, IT stručnjaci) — procjena 50.000-150.000 kuna ovisno o veličini.

Kako odabrati certificijsko tijelo?

Odabir pravog partnera kritičan je za kvalitetu certificiranja. Evo ključnih kriteria:

  • Akreditacija: Provjerite je li tijelo akreditirano od strane FIPA (Fond za instrumente financijske potpore) ili europskih akreditacijskih tijela (npr. NANDO). Svi veliki igrači kao BSI, Bureau Veritas, TÜV SÜD i Lloyd's Register su u redu.
  • Iskustvo s NIS2: Trebate tijelo koje razumije lokalne NIS2 zahtjeve i Hrvatski zakon o zaštiti od kiber incidenata.
  • Reference iz vašeg sektora: Ako ste operator essencijalne usluge (energija, promet, financije), odaberite tijelo s iskustvom u vašem polju.
  • Podrška nakon certificiranja: Dobar partner nudi kontinuirane audite i savjetovanje tijekom 3-godišnjeg perioda valjanosti certifikata.
  • Cijene transparentnosti: Zatraži detaljnu ponudu — izbjegavaj nerealno niske cijene koje mogu označavati površan pristup.

Preporučujem da kontaktirate barem tri tijela i usporedite ponude prema donjim kriterijima.

Korak-po-korak put do ISO 27001 certificiranja

Faza 1: Procjena jaza (Gap Assessment)
Vanjski konzultant analizira vašu trenutnu sigurnosnu situaciju u odnosu na ISO 27001:2022 i NIS2 zahtjeve. Rezultat je detaljni izvještaj s preporuama.

Faza 2: Implementacija ISMS-a
Razvijte ili poboljšajte:

  • Politike sigurnosti i procedure
  • Arhitekturu kontrola pristupa
  • Sustave za monitoring i logiranje
  • Planove za kontinuitet poslovanja i oporavak
  • Program osposobljavanja za zaposlenike

Faza 3: Interni audit
Vlastiti tim (ili vanjski auditor) provjeravaju compliance sa svim zahtjevima prije certifikacijskog audita. Ovo smanjuje rizik od neuspjeha.

Faza 4: Certifikacijski audit
Nezavisno tijelo (BSI, Bureau Veritas, itd.) provodi dvodjelni audit:
Audit 1 (planiranje): Pregled dokumentacije i spremenosti
Audit 2 (potvrda): Obilazak lokacija, intervjui, verificiranje kontrola
Ako sve prođe, dobijate ISO 27001:2022 certifikat na 3 godine s godišnjim nadzorom.

Zašto je ISO 27001 certifikat 'zlatan standard' NIS2 compliance-a?

ISO 27001 certificiranje je vidljiv dokaz vašeg zalaganja sigurnosti — sa tri konkretne poslovne prednosti:

  • Smanjenje rizika od kazni: Ako ste operator essencijalne usluge ili dobavljač digitalnih usluga pod NIS2, certificiranje pokazuje nadležnim tijelima (npr. CERT.hr-u) da ste na putu usklađenosti. To smanjuje rizik od administrativnih kazni do 20 milijuna eura.
  • Konkurentska prednost: Velike kompanije (bank, energetske tvrtke, telekomunikacije) sve više traženja ISO 27001 od svojih dobavljača u ugovorima. Certifikat je obavezna stavka za B2B suradnju.
  • Niže premije osiguranja: Osiguravajuće kuće smanjuju premije za kiber osiguranje za organizacije s ISO 27001 certifikatom — do 15-30% manje.

Zaključak: Certificiranje vas ne čini 100% NIS2 sukladan, ali je to prvi i najznačajniji korak. Kombinirajte ga s dodatnim NIS2-specifičnim kontrolama (izvještavanje incidenata, registracija, itd.) za punu usklađenost.

Checklist: NIS2 Compliance nakon ISO 27001

Često postavljana pitanja o ISO 27001 i NIS2

Ne. ISO 27001 pokriva 70% NIS2 zahtjeva iz članka 21, ali vam nedostaju obaveze kao što su obavezno izvještavanje incidenata u rokovima (24h/72h), registracija kod CERT.hr-a i NIS2-specifične klauzule u ugovorima. Certifikat je čvrsta osnova, ali trebate dodatne mjere za punu usklađenost.

ISO 27001 certifikat je valjao tri godine. Tijekom tog perioda trebate najmanje dva nadzorna audita (obično godišnje ili dvogodišnje). Nakon tri godine trebate provesti redovni audit ponovno — proces je sličan inicijalnom certificiranju.

Za većinu organizacija, da. Vanjske konzultante trebam znanja za razvoj ISMS politika, mapiranje kontrola, integraciju s NIS2 zahtjevima i pripremu za audit. Interna znamenitost, mogu ekonomičnije obavljati samo održavanje nakon implementacije.

Apsolutno. Mali poduzeća mogu brže implementirati ISO 27001 jer su manje kompleksna. Troškovi su niži (€8.000-12.000 za audit), a vremenski raspored 2-3 mjeseca. Ako ste dio opskrbnog lanca operatora essencijalne usluge, certifikat je posebno bitan.

Ako imate stariju verziju (ISO 27001:2013), trebate nadogradnju na 2022 verziju koja ima dodatne kontrole (npr. o prijetnjama, tercima, incidentnome odgovoru). Audit praznine će pokazati što trebate poboljšati — obično 3-6 mjeseci za adaptaciju.

Kada se registrirate kao operator essencijalne usluge ili dobavljač digitalnih usluga, trebate dokazati da imate kontrole sigurnosti na mjestu. ISO 27001 certifikat je jaký dokaz — CERT.hr ga preferira kao evidence compliance-a. Trebate i dokaze o incidentnom odgovoru, ospoobljavanju i drugom specifičnom NIS2 zahtjevu.

Počnite svoju NIS2 compliance putanju — s ISO 27001 kao temeljom

Naš tim stručnjaka za NIS2 u Hrvatskoj može vam provesti kroz cijeli proces: od procjene jaza do izbora certifikacijskog tijela i izvan ISO 27001 u punu NIS2 usklađenost. Zahtijevate li besplatnu konzultaciju?

Zatraži besplatan pregled