Nacionalni zakonodavni okvir

Dana 15. veljače 2024. godine na snagu je stupio Zakon o kibernetičkoj sigurnosti („Narodne novine“, br. 14/24.) kojim se u nacionalno zakonodavstvo prenosi EU NIS2 direktiva (Direktiva (EU) 2022/2555 o mjerama za visoku zajedničku razinu kibernetičke sigurnosti širom Unije). Zakonom o kibernetičkoj sigurnosti uveden je novi, sveobuhvatniji okvir za upravljanje kibernetičkom sigurnošću u Republici Hrvatskoj.

Zakonom se propisuju postupci kategorizacije ključnih i važnih subjekata, uređuju obveze ključnih i važnih subjekata u provedbi zahtjeva kibernetičke sigurnosti, definira okvir za provođenje revizija i samoprocjena kibernetičke sigurnosti, reguliraju sva pitanja bitna za provođenje stručnog nadzora nad provedbom zahtjeva kibernetičke sigurnosti te u konačnici propisuju i sankcije za slučaj nepoštivanja propisanih obveza.

Zakon uspostavlja novi sustav upravljanja kibernetičkom sigurnošću, definira tko su nadležna tijela u području kibernetičke sigurnosti i koje su njihove zadaće i ovlasti, pri čemu se uvodi i nova funkcionalnost u području kibernetičke sigurnosti - središnje državno tijelo za kibernetičku sigurnost. Zadaće središnjeg državnog tijela za kibernetičku sigurnost obavljat će Nacionalni centar za kibernetičku sigurnost (NCSC-HR) ustrojen u okviru Sigurnosno-obavještajne agencije (SOA).

Zakonom se uvode i razrađuju dobrovoljni mehanizmi kibernetičke zaštite namijenjeni široj primjeni, odnosno i subjektima koji nisu kategorizirani kao ključni i važni subjekti. Jedan od dobrovoljnih mehanizama kibernetičke zaštite je i nacionalni sustav za otkrivanje kibernetičkih prijetnji i zaštitu kibernetičkog prostora. Cilj nacionalnog sustava je podizanje ukupne sposobnosti i otpornosti u području kibernetičke sigurnosti. Isto tako, Zakon daje okvir za koordinirano otkrivanje ranjivosti, gdje svaka fizička i pravna osoba može anonimno prijaviti ranjivost CSIRT koordinatoru za otkrivanje ranjivosti.

Također, Zakonom o kibernetičkoj sigurnosti uspostavlja se okvir strateškog planiranja i odlučivanja u području kibernetičke sigurnosti te utvrđuju nacionalni okviri upravljanja kibernetičkim incidentima velikih razmjera i kibernetičkim krizama.


Više informacija o Zakonu i Uredbi o kibernetičkoj sigurnosti dostupno je na stranici Česta pitanja.

Na temelju članka 24. Zakona o kibernetičkoj sigurnosti („Narodne novine“, br. 14/24.), Vlada Republike Hrvatske je na sjednici održanoj 21. studenoga 2024. donijela Uredbu o kibernetičkoj sigurnosti („Narodne novine“, br. 135/24.).

Uredbom se uređuju mjerila za razvrstavanje subjekata temeljem posebnih kriterija za provedbu kategorizacije subjekata, mjere upravljanja kibernetičkim sigurnosnim rizicima i način njihove provedbe, provođenje samoprocjena kibernetičke sigurnosti, kriteriji za utvrđivanje značajnih kibernetičkih incidenata, obavještavanje o incidentima, kao i druga pitanja bitna za podizanje razine kibernetičke sigurnosti.

Sastavni dio Uredbe čine i četiri priloga. U Prilogu I. preneseni su popisi sektora i djelatnosti. Prilogom II. definirane su mjere upravljanja kibernetičkim sigurnosnim rizicima i načini njihove provedbe. Svaka mjera sadrži cilj, podskupove mjera, primjenjivost mjere u kontekstu IT i OT sustava te tablični prikaz raspodijele podskupova mjera. U Prilogu III. navedene su posebne mjere fizičke sigurnosti za subjekte iz sektora digitalne infrastrukture. U Prilogu IV. nalazi se Obrazac izjave o sukladnosti.


Više informacija o Zakonu i Uredbi o kibernetičkoj sigurnosti dostupno je na stranici Česta pitanja.

Vlada Republike Hrvatske je na 185. sjednici održanoj 16. srpnja 2026. godine donijela Uredbu o provedbi EU Akta o kibernetičkoj solidarnosti, punog naziva Uredba (EU) 2025/38 Europskog parlamenta i Vijeća od 19. prosinca 2024. o utvrđivanju mjera za povećanje solidarnosti i kapaciteta u Uniji za otkrivanje kibernetičkih prijetnji i incidenata, pripremu za njih i odgovor na njih te o izmjeni Uredbe (EU) 2021/694 (Akt o kibernetičkoj solidarnosti).

EU Akt o kibernetičkoj solidarnosti uspostavlja europski sustav uzbunjivanja u području kibernetičke sigurnosti kroz mrežu nacionalnih i prekograničnih kibernetičkih centara država članica, mehanizam za izvanredne kibernetičke sigurnosne situacije kroz koordinirano testiranje pripravnosti i pričuvu Europske unije za kibernetičku sigurnost te europski mehanizam za istraživanje kibernetičkih sigurnosnih incidenata.

Nacionalni program upravljanja kibernetičkim krizama je podzakonski akt Zakona o kibernetičkoj sigurnosti kojim se na cjelovit način uređuje sustav upravljanja kibernetičkim krizama u Republici Hrvatskoj.

Nacionalnim programom opisuju se kapaciteti, sredstva i postupci upravljanja kibernetičkim krizama. Također, Nacionalni program utvrđuje ciljeve upravljanja kibernetičkim krizama, usklađenost s okvirom za upravljanje kibernetičkim krizama Europske unije te zadaće i odgovornosti tijela uključenih u upravljanje kibernetičkim krizama.

Nacionalni program definira tehničku, operativnu i strateško-političku razinu upravljanja kibernetičkim krizama, koje su usklađene s nacionalnim okvirom upravljanja krizama u sustavu domovinske sigurnosti. Na operativnoj razini uvodi se Koordinacija za upravljanje kibernetičkim krizama s ciljem što učinkovitijeg povezivanja tehničke i operativne razine upravljanja kibernetičkim krizama sa strateškom i političkom razinom, pravovremene razmjene informacija među uključenim dionicima i prikladnog informiranja javnosti.

Koordinacija je međuresorno tijelo kojim predsjeda Nacionalni centar za kibernetičku sigurnost (NCSC-HR), a u rad Koordinacije po potrebi se mogu uključiti i drugi dionici - tijela državne uprave, lokalne jedinice, privatni i akademski sektor.

Nacionalni plan provedbe vježbi kibernetičke sigurnosti donosi se svake dvije godine na temelju članka 58. Zakona o kibernetičkoj sigurnosti („Narodne novine“, broj 14/24.).

Člankom 1. Zakona o kibernetičkoj sigurnosti definirana je potreba za postizanjem i održavanjem visoke zajedničke razine kibernetičke sigurnosti kroz razvoj nacionalnih sposobnosti, jačanje suradnje i koordinacije svih relevantnih tijela i razvoj obrazovanja i osposobljavanja u području kibernetičke sigurnosti. Jedan od najefikasnijih načina za postizanje toga cilja upravo je provođenje vježbi kibernetičke sigurnosti.

Plan provedbe vježbi kibernetičke sigurnosti također propisuje obveze institucija koje predlažu vježbe u pogledu njihove organizacije, financiranja te izvještavanja o provedenim aktivnostima. Po završetku svake vježbe izrađuje se završna analiza te Izvještaj o provedenoj vježbi, kojim se identificiraju područja za unaprjeđenje i jačanje mehanizama odgovora na kibernetičke incidente i krize.

Plan provedbe vježbi kibernetičke sigurnosti za razdoblje do 2027. godine donesen je na 117. sjednici Vlade Republike Hrvatske održanoj dana 26. rujna 2025. godine. Plan obuhvaća provedbu nacionalnih i međunarodnih vježbi kibernetičke sigurnosti tijekom 2025. i 2026. godine s ciljem jačanja nacionalnih kapaciteta, testiranja postojećih procedura i komunikacijskih alata, kao i razmjene znanja i najboljih praksi među nadležnim tijelima.

U okviru Plana predviđene su četiri nacionalne i pet međunarodnih vježbi kibernetičke sigurnosti, a kratki opis vježbi, uključujući termine održavanja, sadržan je u Prilogu Plana, koji čini njegov sastavni dio.

Nacionalna taksonomija kibernetičkih incidenata (Nacionalna taksonomija) predstavlja nacionalni sustav klasifikacije kibernetičkih sigurnosnih incidenata s ciljem unapređenja kibernetičke sigurnosti i odgovora na kibernetičke prijetnje.

Nacionalnu taksonomiju donosi središnje državno tijelo za kibernetičku sigurnost, na prijedlog nadležnih CSIRT-ova, temeljem članka 78. Uredbe o kibernetičkoj sigurnosti („Narodne novine“, br. 135/24.).

Donošenje nacionalne taksonomije omogućava dosljedno evidentiranje, analizu i usklađenu razmjenu informacija o kibernetičkim sigurnosnim incidentima između relevantnih dionika.

Nacionalna taksonomija omogućava nadležnim CSIRT tijelima da po zaprimanju obavijesti o kibernetičkim sigurnosnim incidentima provedu analizu i klasifikaciju incidenata kako bi mogli pravovremeno reagirati i pružiti odgovor na kibernetičke sigurnosne incidente.