NIS2 in Kroatien

1. Schnellüberblick zur KMU-Anwendbarkeit in Kroatien

Gilt NIS2 für KMU in Kroatien?

Ja — abhängig von Sektor und Größe.

• Automatische Anwendbarkeit auf mittelgroße Einrichtungen (≥50 Beschäftigte und ≥€10 Millionen Umsatz oder Bilanzsumme) in erfassten Sektoren.
• Kleine oder Kleinst-Einrichtungen sind nur einbezogen, wenn sie förmlich benannt werden oder in hochkritischen Sektoren tätig sind.
• Gilt für in Kroatien ansässige Einrichtungen und in bestimmten Fällen für ausländische digitale Anbieter, die in Kroatien Dienste anbieten.

KMU sollten anhand von Sektor und Größenkriterien prüfen, ob sie unter das nationale Cybersicherheitsregime Kroatiens fallen.

2. Überblick über die NIS2-Umsetzung in Kroatien

Kroatien hat NIS2 durch das Gesetz über Cybersicherheit (Zakon o kibernetičkoj sigurnosti, NN 14/2024) umgesetzt, das am 26. Januar 2024 verabschiedet wurde und seit dem 15. Februar 2024 in Kraft ist — womit Kroatien einer der ersten EU-Mitgliedstaaten war, der die Umsetzung abgeschlossen hat. Das Gesetz hebt die NIS1-Gesetzgebung von 2018 auf und erweitert die Zahl der regulierten Einrichtungen von etwa 1.000 auf geschätzte 8.000–10.000.

Eine umfassende Cybersicherheitsverordnung (Uredba o kibernetičkoj sigurnosti, NN 135/2024) wurde am 22. November 2024 verabschiedet und trat am 30. November 2024 in Kraft. Sie legt technische Anforderungen, Kategorisierungsverfahren und Compliance-Fristen im Detail fest.

Kroatiens Umsetzung geht in mehreren Bereichen über die Richtlinienvorgaben hinaus: Der Bildungssektor wurde in den Anwendungsbereich aufgenommen, wichtige Einrichtungen müssen mindestens alle zwei Jahre Selbstbewertungen durchführen, und die Verordnung schreibt spezifische technische Standards vor (einschließlich Mindestpasswortlängen und MFA-Anforderungen), die über die EU-Durchführungsverordnung 2024/2690 hinausgehen. Die Ausrichtung an ISO/IEC 27001 und NIST-Standards wird im Kontrollkatalog der Verordnung referenziert.

3. Anwendungsbereich in Kroatien

Der Anwendungsbereich Kroatiens entspricht den Mindestkategorien der Richtlinie ohne bestätigte strukturelle Erweiterung.

4. Größenkriterien und KMU-Anwendbarkeit in Kroatien

Die Basisschwellen gelten:

• ≥50 Beschäftigte und
• ≥€10 Millionen Jahresumsatz oder Bilanzsumme.

Einrichtungen, die in erfassten Sektoren beide Kriterien erfüllen, sind automatisch im Anwendungsbereich.

Kleine und Kleinstunternehmen können benannt werden, wenn sie als kritisch für die öffentliche Sicherheit, wirtschaftliche Stabilität oder gesellschaftliche Funktionsfähigkeit gelten.

Kroatische Behörden behalten formelle Benennungsbefugnisse, sofern dies durch Risikolage gerechtfertigt ist.

5. Einstufungsrahmen für Einrichtungen in Kroatien

Einrichtungen werden eingestuft als:

• Wesentliche Einrichtungen — Unterliegen proaktiver Aufsicht, einschließlich Inspektionen und strukturiertem Compliance-Monitoring.
• Wichtige Einrichtungen — Unterliegen primär einer reaktiven Aufsicht. Bemerkenswert: Kroatien verlangt von wichtigen Einrichtungen, mindestens alle zwei Jahre eine Selbstbewertung durchzuführen und eine Konformitätserklärung einzureichen — eine nationale Anforderung über die Richtlinienvorgaben hinaus.

Die Klassifizierung wird von zuständigen Behörden auf Grundlage von Sektor und Größe festgelegt. Einrichtungen werden formell über ihre Kategorisierung benachrichtigt — Verpflichtungen werden ab dem Datum der Benachrichtigung ausgelöst, danach haben die Einrichtungen 12 Monate zur vollständigen Compliance. Die Regierung war verpflichtet, die erste Liste kategorisierter Einrichtungen bis zum 15. Februar 2025 zu erstellen.

Kroatien folgt dem zweistufigen Aufsichtsmodell der Richtlinie.

6. Anforderungen an das Management von Cybersicherheitsrisiken in Kroatien

Das nationale Regime Kroatiens entspricht den Basisverpflichtungen der Richtlinie. Erfasste Einrichtungen müssen angemessene technische und organisatorische Maßnahmen umsetzen, die Folgendes abdecken:

• Risikobeurteilung und Systemschutz
• Erkennung und Reaktion auf Vorfälle
• Geschäftskontinuität und Krisenmanagement
• NIS2-Lieferketten-Risikokontrollen in Kroatien
• Sichere Beschaffung und Entwicklung von IKT-Systemen
• Zugriffs- und Authentifizierungsschutz
• Verschlüsselungs- und kryptographischer Schutz
• Verfahren zum Umgang mit Schwachstellen
• Schulungen zur Cybersicherheit für Beschäftigte

Maßnahmen müssen dem Stand der Technik und dem Risikoprofil der Einrichtung entsprechen. Eine Ausrichtung an ISO/IEC 27001 und anerkannter kroatischer Cybersicherheitsleitlinien wird empfohlen.

Lieferketten-Risikomanagement umfasst Lieferanten-Due-Diligence und vertragliche Cybersicherheitsanforderungen.

7. Managementhaftung und Governance in Kroatien

Leitungsorgane müssen Maßnahmen zum Management von Cybersicherheitsrisiken formell genehmigen und deren Umsetzung überwachen.

Nach dem kroatischen Rahmen:

• Gremien sind für die Sicherstellung der Compliance verantwortlich.
• Das obere Management muss angemessene Cybersicherheitskompetenz vorhalten.
• Administrative Sanktionen können Governance-Versäumnisse adressieren.
• Die vorübergehende Suspendierung von Leitungsfunktionen kann unter richtlinienkonformen Durchsetzungsmechanismen möglich sein.

Die NIS2-Standards zur Managementhaftung in Kroatien heben Cybersicherheit zu einer Verantwortung auf Führungsebene an.

8. Meldepflichten für Vorfälle in Kroatien

9. Aufsichtsbehörden und Durchsetzungsmodell in Kroatien

Primäre Aufsichtsbehörde: Sicherheits- und Nachrichtenagentur (SOA), handelnd durch das Nationale Cybersicherheitszentrum (NCSC-HR). CERT.hr (CARNET) betreibt die zentrale Vorfallmeldung über die PiXi-Plattform.

Kroatien betreibt ein gemischtes Aufsichtsmodell: SOA/NCSC-HR führt für die meisten Sektoren, während autonome Sektorbehörden (Kroatische Nationalbank (HNB) für das Bankwesen, Finanzaufsichtsbehörde (HANFA) für Finanzdienstleistungen, Kroatische Zivilluftfahrtbehörde (HACZ) für die Zivilluftfahrt) unabhängige Aufsichtsrollen behalten. Das Büro für Informationssystemsicherheit (ZSIS) unterstützt Cybersicherheits-Zertifizierungsprozesse.

Supervisory powers include:

• Auskunftsverlangen
• Sicherheitsaudits
• Vor-Ort-Inspektionen
• Verbindliche Compliance-Anordnungen
• Teilnahme an EU-Cybersicherheitskooperationsrahmen

Die Durchsetzungsstruktur steht im Einklang mit den Koordinierungsanforderungen der Richtlinie.

10. NIS2-Bußgelder und Sanktionen in Kroatien

Kroatien wendet richtlinienkonforme Verwaltungssanktionen an.

Die Durchsetzung von NIS2-Bußgeldern in Kroatien kann zudem Folgendes umfassen:

• Verbindliche Abhilfemaßnahmen
• Öffentliche Benennung nicht konformer Einrichtungen
• Aussetzung von Zertifizierungen oder Genehmigungen
• Befugnis zur vorübergehenden Suspendierung von Leitungsfunktionen

Strafrechtliche Haftung gilt nur, soweit sie ausdrücklich in der kroatischen Gesetzgebung vorgesehen ist.

11. NIS2-Lieferkette und Lieferantensicherheit in Kroatien

Einrichtungen müssen Drittparteien-Cyberrisiken steuern durch:

• Bewertungen von Lieferantenrisiken
• Vertragliche Weitergabe von Sicherheitsanforderungen
• Kontinuierliche Überwachung von IKT-Lieferanten
• Analyse von Klumpenrisiken
• Kontrollen zur Begrenzung der Vorfallausbreitung

Der Ansatz Kroatiens entspricht den Basisanforderungen der Richtlinie für die Aufsicht über die Lieferkette, ohne bestätigte nationale Erweiterung.

12. Registrierungs- und Selbstidentifikationspflichten in Kroatien

Entities within scope must:

• Formelle Benachrichtigung abwarten von den zuständigen Behörden über die Kategorisierung als wesentlich oder wichtig. Die zuständigen Behörden sollten die erste Kategorisierung bis etwa Februar–April 2025 abschließen.
• Unternehmensidentifikationsdaten bereitstellen
• Sektorklassifizierung offenlegen
• Aktualisierte Vorfallmeldekontakte pflegen

Kroatien verwendet ein behördengeleitetes Benachrichtigungsmodell. Einrichtungen registrieren sich nicht selbst; sie werden von den zuständigen Behörden formell über ihre Kategorisierung benachrichtigt. Die erste Kategorisierung sollte bis etwa Februar–April 2025 abgeschlossen sein. Nach Benachrichtigung haben Einrichtungen 12 Monate zur vollständigen Compliance.

Proaktive Vorbereitung wird dringend empfohlen, auch vor der formellen Benachrichtigung. Einrichtungen, die die gesetzlichen Kriterien erfüllen, sollten sofort mit Compliance-Maßnahmen beginnen, um Verzögerungen zu vermeiden.

13. Zusammenspiel mit GDPR und anderen Gesetzen in Kroatien

Die Datenschutz-Grundverordnung gilt weiterhin parallel.

Überschneidungen umfassen:

• 72-Stunden-Meldepflicht bei Verletzungen personenbezogener Daten
• Koordination der Aufsichtsbehörden
• Parallele Untersuchungen zu Cybersicherheit und Datenschutz
• Sektorspezifische kroatische Cybersicherheitsregeln

Ein einzelner Vorfall kann doppelte Meldepflichten unter beiden Regimen auslösen.

14. Grenzüberschreitende Anwendbarkeit

Einrichtungen mit ihrer Hauptniederlassung in Kroatien unterliegen für grenzüberschreitende Dienste der kroatischen Aufsicht.

Ausländische digitale Anbieter, die in Kroatien Dienste erbringen, können je nach Niederlassungsstruktur der kroatischen Aufsicht unterliegen.

Vertretungspflichten folgen den Richtlinienstandards für Nicht-EU-Anbieter, die kroatische Märkte bedienen.

15. Umsetzungszeitplan in Kroatien

• Annahme der Richtlinie: 2022
• Richtlinie verabschiedet: 14. Dezember 2022
• Cybersicherheitsgesetz (NN 14/2024): Verabschiedet 26. Januar 2024; in Kraft seit 15. Februar 2024. Cybersicherheitsverordnung (NN 135/2024): Verabschiedet 22. November 2024; in Kraft seit 30. November 2024
• Kommissionsbenachrichtigung: Kroatien hat die Kommission über die Umsetzung informiert; kein begründetes Gutachten ausgestellt
• Compliance: Erste Kategorisierung bis 15. Februar 2025; Einrichtungen haben 12 Monate ab Benachrichtigungsdatum für vollständige Compliance; wichtige Einrichtungen müssen alle zwei Jahre Selbstbewertungen durchführen

Kroatien ist einer der ersten EU-Mitgliedstaaten, der die NIS2-Umsetzung abgeschlossen hat, mit dem Hauptgesetz in Kraft seit Februar 2024 und einer detaillierten Durchführungsverordnung seit November 2024. Aktive Aufsicht und Durchsetzung sind im Gange.

16. Zentrale Erkenntnisse für KMU in Kroatien

• Mittelgroße Einrichtungen in erfassten Sektoren sind automatisch im Anwendungsbereich.
• Kleine Einrichtungen können benannt werden, wenn sie für die öffentliche oder wirtschaftliche Stabilität kritisch sind.
• Aufsicht auf Vorstandsebene ist verpflichtend. Wichtige Einrichtungen müssen zusätzlich mindestens alle zwei Jahre eine Selbstbewertung durchführen und eine Konformitätserklärung einreichen gemäß Kroatiens Cybersicherheitsverordnung — eine Anforderung über die Richtlinienvorgaben hinaus.
• Vorfalldokumentation folgt den Fristen 24h / 72h / 1 Monat.
• Finanzielle Sanktionen können bis zu €10 million oder 2% des globalen Umsatzes erreichen.
• Lieferanten-Risikomanagement ist erforderlich. Kroatiens Cybersicherheitsverordnung schreibt detaillierte technische Kontrollen vor (einschließlich spezifischer Mindestpasswortlängen und MFA-Anforderungen), die über die EU-Durchführungsverordnung hinausgehen — Einrichtungen sollten diese sorgfältig prüfen.
• Frühe Compliance-Vorbereitung reduziert das Durchsetzungsrisiko.

FAQ: NIS2 Kroatien KMU-Leitfaden