NIS2 in Kroatien

1. Schnellüberblick zur KMU-Anwendbarkeit in Kroatien

Gilt NIS2 für KMU in Kroatien?

Ja — abhängig von Sektor und Größe.

• Automatische Anwendbarkeit auf mittelgroße Einrichtungen (≥50 Beschäftigte und ≥€10 Millionen Umsatz oder Bilanzsumme) in erfassten Sektoren.
• Kleine oder Kleinst-Einrichtungen sind nur einbezogen, wenn sie förmlich benannt werden oder in hochkritischen Sektoren tätig sind.
• Gilt für in Kroatien ansässige Einrichtungen und in bestimmten Fällen für ausländische digitale Anbieter, die in Kroatien Dienste anbieten.

KMU sollten anhand von Sektor und Größenkriterien prüfen, ob sie unter das nationale Cybersicherheitsregime Kroatiens fallen.

2. Überblick über die NIS2-Umsetzung in Kroatien

Kroatien setzt NIS2 durch Änderungen am Cybersecurity Act um, der die Sicherheit von Netz- und Informationssystemen auf nationaler Ebene regelt.

Der aktualisierte Rechtsrahmen harmonisiert das kroatische System mit der Richtlinie (EU) 2022/2555, erweitert den Sektorumfang, stärkt die Governance-Verantwortlichkeit und formalisiert Meldepflichten.

Die Gesetzgebung modernisiert Aufsichtsbefugnisse und Verwaltungs­sanktionsstrukturen im Einklang mit der Richtlinie.

3. Anwendungsbereich in Kroatien

Der Anwendungsbereich Kroatiens entspricht den Mindestkategorien der Richtlinie ohne bestätigte strukturelle Erweiterung.

4. Größenkriterien und KMU-Anwendbarkeit in Kroatien

Die Basisschwellen gelten:

• ≥50 Beschäftigte und
• ≥€10 Millionen Jahresumsatz oder Bilanzsumme.

Einrichtungen, die in erfassten Sektoren beide Kriterien erfüllen, sind automatisch im Anwendungsbereich.

Kleine und Kleinstunternehmen können benannt werden, wenn sie als kritisch für die öffentliche Sicherheit, wirtschaftliche Stabilität oder gesellschaftliche Funktionsfähigkeit gelten.

Kroatische Behörden behalten formelle Benennungsbefugnisse, sofern dies durch Risikolage gerechtfertigt ist.

5. Einstufungsrahmen für Einrichtungen in Kroatien

Einrichtungen werden eingestuft als:

• Wesentliche Einrichtungen — Unterliegen proaktiver Aufsicht, einschließlich Inspektionen und strukturiertem Compliance-Monitoring.
• Wichtige Einrichtungen — Unterliegen primär reaktiver Aufsicht, ausgelöst durch bedeutende Vorfälle oder Compliance-Bedenken.

Die Einstufung wird durch Sektor und Größe bestimmt. Zuständige Behörden können Einrichtungen neu einstufen, wenn operative Auswirkungen oder systemisches Risiko eine strengere Aufsicht rechtfertigen.

Kroatien folgt dem zweistufigen Aufsichtsmodell der Richtlinie.

6. Anforderungen an das Management von Cybersicherheitsrisiken in Kroatien

Das nationale Regime Kroatiens entspricht den Basisverpflichtungen der Richtlinie. Erfasste Einrichtungen müssen angemessene technische und organisatorische Maßnahmen umsetzen, die Folgendes abdecken:

• Risikobeurteilung und Systemschutz
• Erkennung und Reaktion auf Vorfälle
• Geschäftskontinuität und Krisenmanagement
• NIS2-Lieferketten-Risikokontrollen in Kroatien
• Sichere Beschaffung und Entwicklung von IKT-Systemen
• Zugriffs- und Authentifizierungsschutz
• Verschlüsselungs- und kryptographischer Schutz
• Verfahren zum Umgang mit Schwachstellen
• Schulungen zur Cybersicherheit für Beschäftigte

Maßnahmen müssen dem Stand der Technik und dem Risikoprofil der Einrichtung entsprechen. Eine Ausrichtung an ISO/IEC 27001 und anerkannter kroatischer Cybersicherheitsleitlinien wird empfohlen.

Lieferketten-Risikomanagement umfasst Lieferanten-Due-Diligence und vertragliche Cybersicherheitsanforderungen.

7. Managementhaftung und Governance in Kroatien

Leitungsorgane müssen Maßnahmen zum Management von Cybersicherheitsrisiken formell genehmigen und deren Umsetzung überwachen.

Nach dem kroatischen Rahmen:

• Gremien sind für die Sicherstellung der Compliance verantwortlich.
• Das obere Management muss angemessene Cybersicherheitskompetenz vorhalten.
• Administrative Sanktionen können Governance-Versäumnisse adressieren.
• Die vorübergehende Suspendierung von Leitungsfunktionen kann unter richtlinienkonformen Durchsetzungsmechanismen möglich sein.

Die NIS2-Standards zur Managementhaftung in Kroatien heben Cybersicherheit zu einer Verantwortung auf Führungsebene an.

8. Meldepflichten für Vorfälle in Kroatien

9. Aufsichtsbehörden und Durchsetzungsmodell in Kroatien

Primäre koordinierende Behörde: National CERT (CERT.hr).

Kroatien betreibt ein zentrales Modell, unterstützt durch sektorspezifische Regulierer, wo relevant.

Supervisory powers include:

• Auskunftsverlangen
• Sicherheitsaudits
• Vor-Ort-Inspektionen
• Verbindliche Compliance-Anordnungen
• Teilnahme an EU-Cybersicherheitskooperationsrahmen

Die Durchsetzungsstruktur steht im Einklang mit den Koordinierungsanforderungen der Richtlinie.

10. NIS2-Bußgelder und Sanktionen in Kroatien

Kroatien wendet richtlinienkonforme Verwaltungssanktionen an.

Die Durchsetzung von NIS2-Bußgeldern in Kroatien kann zudem Folgendes umfassen:

• Verbindliche Abhilfemaßnahmen
• Öffentliche Benennung nicht konformer Einrichtungen
• Aussetzung von Zertifizierungen oder Genehmigungen
• Befugnis zur vorübergehenden Suspendierung von Leitungsfunktionen

Strafrechtliche Haftung gilt nur, soweit sie ausdrücklich in der kroatischen Gesetzgebung vorgesehen ist.

11. NIS2-Lieferkette und Lieferantensicherheit in Kroatien

Einrichtungen müssen Drittparteien-Cyberrisiken steuern durch:

• Bewertungen von Lieferantenrisiken
• Vertragliche Weitergabe von Sicherheitsanforderungen
• Kontinuierliche Überwachung von IKT-Lieferanten
• Analyse von Klumpenrisiken
• Kontrollen zur Begrenzung der Vorfallausbreitung

Der Ansatz Kroatiens entspricht den Basisanforderungen der Richtlinie für die Aufsicht über die Lieferkette, ohne bestätigte nationale Erweiterung.

12. Registrierungs- und Selbstidentifikationspflichten in Kroatien

Entities within scope must:

• Registrierung bei den zuständigen Behörden
• Angabe von Unternehmensidentifikationsdaten
• Offenlegung der Sektoreinstufung
• Aktuelle Kontaktangaben für Vorfallmeldungen vorhalten

Verfahrensfristen folgen dem kroatischen Umsetzungsrahmen. Nach aktuellem Stand der Umsetzung folgt Kroatien dem NIS2-Richtlinien-Basisrahmen. Nationale Durchführungsdetails können spezifische Pflichten präzisieren.

Selbstidentifikation ist verpflichtend für Einrichtungen, die die gesetzlichen Kriterien erfüllen.

13. Zusammenspiel mit GDPR und anderen Gesetzen in Kroatien

Die Datenschutz-Grundverordnung gilt weiterhin parallel.

Überschneidungen umfassen:

• 72-Stunden-Meldepflicht bei Verletzungen personenbezogener Daten
• Koordination der Aufsichtsbehörden
• Parallele Untersuchungen zu Cybersicherheit und Datenschutz
• Sektorspezifische kroatische Cybersicherheitsregeln

Ein einzelner Vorfall kann doppelte Meldepflichten unter beiden Regimen auslösen.

14. Grenzüberschreitende Anwendbarkeit

Einrichtungen mit ihrer Hauptniederlassung in Kroatien unterliegen für grenzüberschreitende Dienste der kroatischen Aufsicht.

Ausländische digitale Anbieter, die in Kroatien Dienste erbringen, können je nach Niederlassungsstruktur der kroatischen Aufsicht unterliegen.

Vertretungspflichten folgen den Richtlinienstandards für Nicht-EU-Anbieter, die kroatische Märkte bedienen.

15. Umsetzungszeitplan in Kroatien

• Annahme der Richtlinie: 2022
• Nationale Gesetzesänderungen: 2024–2025
• Inkrafttreten: Nach nationaler Veröffentlichung
• Notifizierung an die Kommission: Gemäß EU-Verfahren
• Compliance-Meilenstein: Richtlinienkonforme Fristen

Der Umsetzungszeitplan Kroatiens steht im Einklang mit den EU-Anforderungen.

16. Zentrale Erkenntnisse für KMU in Kroatien

• Mittelgroße Einrichtungen in erfassten Sektoren sind automatisch im Anwendungsbereich.
• Kleine Einrichtungen können benannt werden, wenn sie für die öffentliche oder wirtschaftliche Stabilität kritisch sind.
• Aufsicht auf Vorstandsebene ist verpflichtend.
• Vorfalldokumentation folgt den Fristen 24h / 72h / 1 Monat.
• Finanzielle Sanktionen können bis zu €10 million oder 2% des globalen Umsatzes erreichen.
• Risikomanagement für Lieferanten ist erforderlich.
• Frühe Compliance-Vorbereitung reduziert das Durchsetzungsrisiko.

FAQ: NIS2 Kroatien KMU-Leitfaden