Home ZKS iza ugla: kreće nova faza kibernetičke sigurnosti

18 travnja, 2026

ZKS iza ugla: kreće nova faza kibernetičke sigurnosti

Kibernetička sigurnost u Hrvatskoj ulazi u novu, operativnu fazu. Nakon donošenja Zakona o kibernetičkoj sigurnosti (ZKS) i početne faze implementacije, 2026. godina označava ključan trenutak.

Dolazimo do prijelaza iz regulative u stvarnu primjenu. Više se ne debatira što zakon propisuje, nego koja je tvrtka spremna na promjene i do koje mjere.

Drugim riječima, više nije pitanje što zakon propisuje, nego tko je spreman i do koje mjere.

Prema najnovijim podacima Nacionalnog centra za kibernetičku sigurnost (NCSC-HR), Hrvatska se nalazi u završnoj fazi prilagodbe ZKS-u, uz istovremeni rast kibernetičkih prijetnji.

Ransomware napadi i napadi na lance nabave su gotovo svakodnevni. Tako da se zakon ne uvodi u vakuumu, već u kontekstu realnog i rastućeg rizika.

ZKS kao temelj nacionalne kibernetičke otpornosti

Zakon o kibernetičkoj sigurnosti (ZKS), koji je stupio na snagu 2024. godine, predstavlja hrvatsku implementaciju europske NIS2 direktive.

Također, označava jedan od najvažnijih regulatornih iskoraka u području digitalne sigurnosti.

Cilj nije samo formalno usklađivanje s EU okvirom, već uspostava sustavnog pristupa upravljanju kibernetičkim rizicima.

Kreće od prevencije i detekcije i dolazi do odgovora na incidente.

Drugim riječima, ZKS uvodi standarde koji organizacije obvezuju da sigurnost tretiraju kao kontinuirani proces, a ne kao jednokratnu tehničku mjeru.

Zakon obuhvaća širok spektar sektora. Uključena je energetika, zdravstvo, financije, digitalne usluge i IT industrija. Tom širinom se jasno poručuje da kibernetička sigurnost više nije ograničena na kritičnu infrastrukturu, već postaje temelj stabilnosti cijelog gospodarstva.

No, prava promjena događa se upravo sada, u fazi operativne provedbe.

Prema podacima za prvi kvartal 2026., 790 pravnih osoba u Hrvatskoj identificirano je kao obveznici ZKS-a.
Izvor

Od tih 162 pravna subjekta klasificirano je kao ključni subjekti, a 628 kao važni subjekti. Ova podjela nije samo administrativna, već definira razinu odgovornosti, obveza i nadzora kojima su organizacije podložne.

Ključni subjekti (npr. energetika, zdravstvo, promet, financije) podliježu strožim zahtjevima i nadzoru, dok važni subjekti, iako s nešto fleksibilnijim pristupom, i dalje moraju uspostaviti ozbiljne sigurnosne mehanizme.

Za sve njih, 2026. godina označava prijelaz iz teorije u praksu.

Organizacije više ne mogu ostati na razini procjene i planiranja, već moraju konkretno:

uspostaviti sustave upravljanja kibernetičkim rizicima
implementirati tehničke i organizacijske mjere zaštite
definirati procedure za upravljanje incidentima
osigurati pravovremeno prijavljivanje sigurnosnih incidenata nadležnim tijelima

Značajan je to operativni i organizacijski izazov. Posebno za tvrtke koje do sada nisu imale strukturiran pristup sigurnosti.

ZKS tako označava jasnu promjenu paradigme da kibernetička sigurnost više nije pitanje za IT odjel, već odgovornost uprave i ključni dio poslovne strategije.

Gdje smo danas?

Podaci iz izvješća za Q1 2026. daju jasan uvid u stvarno stanje:

106 prijavljenih kibernetičkih incidenata.
od toga 15 značajnih incidenata.
većina ostalih incidenata odnosi se na phishing i prijevare.

Zabilježeni su i ransomware napadi, koji i dalje predstavljaju jednu od najopasnijih prijetnji za poslovanje.

Istovremeno, Nacionalni sustav za detekciju prijetnji SK@UT štiti više od 110 državnih tijela i organizacija, uz zabilježen rast sofisticiranih napada, uključujući i državno sponzorirane aktivnosti.

Ove brojke jasno pokazuju jednu stvar. Naime, prijetnje nisu teorijske, one su svakodnevne.

Stvari se lome 2026. godine

Jedan od ključnih trenutaka u implementaciji Zakona o kibernetičkoj sigurnosti događa se upravo u 2026. godini.

Nakon inicijalne faze identifikacije obveznika i pripreme za usklađivanje, većini organizacija sada istječe prijelazno razdoblje za implementaciju propisanih mjera.

Konkretno, za velik broj subjekata rok od godinu dana za usklađivanje istječe u travnju 2026., čime ZKS prelazi iz regulatornog okvira u operativnu obvezu (NCSC-HR, ZKS KPI Q1 2026).

Ovaj rok ima dalekosežne implikacije. Organizacije koje su do sada bile u fazi procjene, planiranja i inicijalne implementacije sada ulaze u fazu pune primjene, što podrazumijeva ne samo formalno usklađivanje, već i dokazivu funkcionalnost sigurnosnih mjera.

Tvrtke tada trebaju uspostaviti sustav upravljanja kibernetičkim rizicima, definirati i testirati proceduru za odgovor na incidente, kao i uskladiti se s obvezama izvještavanja prema nadležnim tijelima.

Više nije dovoljno imati dokumentirane politike. Potrebno je osigurati njihovu operativnu primjenu i integraciju u svakodnevno poslovanje.

Ova faza označava nekoliko definirajućih prijelaza:

iz planiranja u provedbu – sigurnosni modeli i strategije moraju biti implementirani i mjerljivi.
iz preporuka u regulatorne obveze – neusklađenost više ne predstavlja samo rizik, već i potencijalnu pravnu i financijsku izloženost.
iz tehničke domene u upravljačku odgovornost – kibernetička sigurnost postaje pitanje uprave, a ne isključivo IT odjela.

Posebno je važno naglasiti da ZKS uvodi i element nadzora i odgovornosti.

Regulatorna tijela dobivaju ovlasti za provjeru usklađenosti, a organizacije moraju biti spremne demonstrirati razinu svoje otpornosti kroz procese, dokumentaciju i konkretne operativne kapacitete.

U tom kontekstu, 2026. godina predstavlja svojevrsnu točku preokreta.

Organizacije koje su pravovremeno pristupile implementaciji sada ulaze u fazu optimizacije i jačanja sigurnosnih kapaciteta.

ZKS tako prestaje biti apstraktna obveza i postaje konkretan poslovni zahtjev. Zakon definira način na koji organizacije upravljaju rizicima, postavljaju prioritete i donose odluke u digitalnom okruženju.

Rekli bismo da nema više stabilnog poslovanja bez kibernetičke sigurnosti.

Za koga vrijedi ZKS

Zakon o kibernetičkoj sigurnosti ne odnosi se samo na velike državne institucije ili kritičnu infrastrukturu u užem smislu. Njegov obuhvat je znatno širi i reflektira stvarnost modernog digitalnog gospodarstva.

ZKS jasno definira dvije osnovne kategorije obveznika:

ključni subjekti – organizacije od strateške važnosti za funkcioniranje države i društva, poput energetike, zdravstva, prometa, financijskog sektora, vodnih usluga i digitalne infrastrukture.
važni subjekti – širi spektar organizacija koje možda nisu kritične u klasičnom smislu, ali imaju značajnu ulogu u gospodarstvu i digitalnim uslugama.

Ova podjela određuje razinu regulatornih zahtjeva, nadzora i odgovornosti, pri čemu ključni subjekti podliježu strožim pravilima i češćim provjerama.

Činjenica je i da ZKS obuhvaća velik broj organizacija iz privatnog sektora, uključujući:

IT i cloud kompanije
pružatelje digitalnih platformi i online usluga
telekomunikacijske operatore i pružatelje mrežne infrastrukture
pružatelje B2B IKT usluga i upravljanih IT rješenja
logističke i transportne sustave
industrijske i proizvodne tvrtke koje koriste digitalizirane procese
financijske i fintech organizacije
pružatelje zdravstvenih i socijalnih usluga

Važno je naglasiti da kriterij za ulazak u ZKS okvir nije samo sektor, već i veličina organizacije, njezin tržišni utjecaj te razina digitalne ovisnosti poslovanja.

Svaka organizacija koja upravlja važnim podacima, pruža digitalne usluge ili je dio šireg opskrbnog lanca može postati relevantna u kontekstu kibernetičke sigurnosti.

Sankcije za neispunjavanje obveza

Za organizacije koje su obveznici Zakona o kibernetičkoj sigurnosti, promjene nisu deklarativne, već vrlo operativne i mjerljive.

Usklađivanje sa ZKS-om podrazumijeva uspostavu sustava upravljanja kibernetičkim rizicima, implementaciju tehničkih i organizacijskih sigurnosnih mjera, definiranje jasnih procedura za upravljanje incidentima te obvezno i pravovremeno prijavljivanje sigurnosnih incidenata nadležnim tijelima.

Uz to, tvrtke moraju provoditi redovite procjene rizika, interne i eksterne revizije te kontinuirano unapređivati svoje sigurnosne kapacitete.

Neispunjavanje ovih obveza može rezultirati značajnim financijskim sankcijama. Za ključne subjekte predviđene su kazne i do 10 milijuna eura ili 2% godišnjeg prihoda, ovisno o težini prekršaja.

No, još važnije od regulatornih kazni su operativne posljedice. Organizacije koje nisu adekvatno pripremljene sporije reagiraju na incidente, izloženije su većim financijskim i reputacijskim gubicima te riskiraju gubitak povjerenja klijenata i partnera.

U tom kontekstu, kibernetička sigurnost više nije samo pitanje usklađenosti, već ključni element stabilnosti i otpornosti poslovanja.

Između redaka…

Ako se brojke iz izvješća promotre detaljnije, postaje jasno da kibernetički rizici u praksi nisu uvijek rezultat visoko sofisticiranih napada.

Naprotiv, velik dio incidenata i dalje proizlazi iz relativno osnovnih prijetnji poput phishinga, socijalnog inženjeringa i različitih oblika prijevara.

Vidimo da značajan broj sigurnosnih incidenata može spriječiti primjenom temeljnih sigurnosnih mjera, a ponajviše edukacijom zaposlenika.

Istovremeno, podaci pokazuju da tehnički kvarovi, loša konfiguracija sustava i nedostatak održavanja i dalje predstavljaju važan uzrok incidenata, što dodatno naglašava važnost internih procesa i odgovornosti.

S druge strane, paralelno s ovim osnovnim prijetnjama, bilježi se i rast sofisticiranijih oblika napada, uključujući ransomware i ciljane, često državno sponzorirane aktivnosti.

Kombinacija jednostavnih, ali učinkovitih napada i sve naprednijih prijetnji stvara kompleksno sigurnosno okruženje u kojem organizacije moraju biti spremne na više razina obrane.

Sigurnost više nije pitanje jedne tehnologije ili jednog rješenja, već koordiniranog sustava ljudi, procesa i tehnologije.

Gdje su pogreške?

Unatoč jasnom regulatornom okviru, praksa pokazuje da organizacije i dalje rade slične, ponavljajuće pogreške.

Jedna od najčešćih je nedostatak jasno definirane odgovornosti za kibernetičku sigurnost. Uz to, mnoge organizacije nemaju jasno definiran i testiran plan odgovora na incident, što u praksi znači sporiju reakciju i veće posljedice kada do incidenta dođe.

Drugi čest problem je preveliko oslanjanje na alate, uz zanemarivanje procesa i edukacije.

Ulaganje u tehnologiju bez jasnih procedura i bez podizanja svijesti zaposlenika rijetko daje rezultate.

U stvarnosti, najveći broj napada i dalje počinje vrlo jednostavno. Konkretnije, klikom na zlonamjerni link, otvaranjem kompromitiranog privitka ili korištenjem slabe lozinke.