NIS2 en Croacia

1. Instantánea rápida de aplicabilidad para PYMES en Croacia

¿Se aplica NIS2 a las pymes en 1. Instantánea rápida de aplicabilidad para PYMES en Croacia?

Sí — dependiendo del sector y del tamaño.

• Aplicabilidad automática a entidades medianas (≥50 empleados y ≥€10 million de volumen de negocios o total del balance) que operen en los sectores cubiertos.
• Las entidades pequeñas o micro solo se incluyen si han sido designadas formalmente o si operan en sectores de alta criticidad.
• Se aplica a entidades establecidas en Croacia y, en determinados casos, a proveedores digitales extranjeros que ofrecen servicios en Croacia.

Las PYMES deben evaluar si entran en el régimen nacional de ciberseguridad de Croacia en función del sector y los umbrales de tamaño.

2. Panorama de la implementación de NIS2 en Croacia

Croacia transpuso la NIS2 mediante la Ley de Ciberseguridad (Zakon o kibernetičkoj sigurnosti, NN 14/2024), adoptada el 26 de enero de 2024 y en vigor desde el 15 de febrero de 2024 — lo que convierte a Croacia en uno de los primeros Estados miembros de la UE en completar la transposición. La ley deroga la legislación NIS1 de 2018 y amplía el número de entidades reguladas de aproximadamente 1.000 a unas 8.000–10.000.

Un amplio Reglamento de Ciberseguridad (Uredba o kibernetičkoj sigurnosti, NN 135/2024) fue adoptado el 22 de noviembre de 2024 y entró en vigor el 30 de noviembre de 2024, especificando requisitos técnicos, procedimientos de categorización y plazos de cumplimiento en detalle.

La implementación de Croacia va más allá de la línea base de la Directiva en varios aspectos: el sector educativo ha sido añadido al ámbito de aplicación, las entidades importantes deben realizar autoevaluaciones al menos cada dos años, y el Reglamento prescribe estándares técnicos específicos (incluyendo longitudes mínimas de contraseña y requisitos de MFA) que exceden el Reglamento de Ejecución 2024/2690 de la UE. La alineación con las normas ISO/IEC 27001 y NIST se referencia en el catálogo de controles del Reglamento.

3. Ámbito de aplicación en Croacia

El alcance de Croacia refleja las categorías mínimas de la Directiva sin expansión estructural confirmada.

4. Umbrales de tamaño y aplicabilidad a PYMES en Croacia

Se aplican los umbrales básicos:

• ≥50 empleados y
• ≥€10 million de volumen de negocios anual o total del balance.

Las entidades que cumplan ambos criterios dentro de los sectores cubiertos están automáticamente dentro del ámbito.

Las pequeñas y microempresas pueden ser designadas si se consideran críticas para la seguridad pública, la estabilidad económica o el funcionamiento de servicios esenciales.

Las autoridades croatas mantienen facultades formales de designación cuando la exposición al riesgo justifique la inclusión.

5. Marco de clasificación de entidades en Croacia

Las entidades se clasifican como:

• Entidades Esenciales — Sujetos a supervisión proactiva, incluidas inspecciones y seguimiento estructurado del cumplimiento.
• Entidades Importantes — Sujetas principalmente a supervisión reactiva. Notablemente, Croacia requiere que las entidades importantes realicen una autoevaluación y presenten una declaración de conformidad al menos cada dos años — un requisito nacional más allá de la línea base de la Directiva.

La clasificación es determinada por las autoridades competentes en función del sector y el tamaño. Las entidades son notificadas formalmente de su categorización — las obligaciones se activan desde la fecha de notificación, tras lo cual las entidades tienen 12 meses para lograr el cumplimiento total. El gobierno debía compilar la lista inicial de entidades categorizadas antes del 15 de febrero de 2025.

Croacia sigue el modelo de supervisión de dos niveles de la Directiva.

6. Requisitos de gestión de riesgos de ciberseguridad en Croacia

El régimen nacional de Croacia se alinea con las obligaciones base de la Directiva. Las entidades dentro del ámbito deben implantar medidas técnicas y organizativas proporcionadas que cubran:

• Análisis de riesgos y protección del sistema
• Detección y respuesta a incidentes
• Continuidad de negocio y gestión de crisis
• Controles de riesgo de la cadena de suministro NIS2 en Croacia
• Adquisición y desarrollo seguro de sistemas TIC
• Salvaguardias de control de acceso y autenticación
• Protección mediante cifrado y criptografía
• Procedimientos de gestión de vulnerabilidades
• Formación del personal en ciberseguridad

Las medidas deben reflejar el estado de la técnica y el perfil de riesgo de la entidad. Se fomenta la alineación con ISO/IEC 27001 y la guía de ciberseguridad reconocida en Croacia.

La gestión del riesgo de la cadena de suministro incluye diligencia debida de proveedores y requisitos contractuales de ciberseguridad.

7. Responsabilidad de la dirección y gobernanza en Croacia

Los órganos de dirección deben aprobar formalmente las medidas de gestión de riesgos de ciberseguridad y supervisar su implementación.

Bajo el marco de Croacia:

• Los consejos de administración son responsables de garantizar el cumplimiento.
• La alta dirección debe mantener una concienciación adecuada en ciberseguridad.
• Las sanciones administrativas pueden abordar fallos de gobernanza.
• La suspensión temporal de funciones directivas puede estar disponible bajo mecanismos de ejecución alineados con la Directiva.

Las normas de responsabilidad de la dirección bajo NIS2 en Croacia elevan la ciberseguridad a una responsabilidad a nivel ejecutivo.

8. Obligaciones de notificación de incidentes en Croacia

9. Autoridades supervisoras y modelo de ejecución en Croacia

Autoridad supervisora principal: Agencia de Seguridad e Inteligencia (SOA), actuando a través del Centro Nacional de Ciberseguridad (NCSC-HR). CERT.hr (CARNET) opera la notificación centralizada de incidentes a través de la plataforma PiXi.

Croacia opera un modelo de supervisión mixto: SOA/NCSC-HR lidera para la mayoría de los sectores, mientras que las autoridades sectoriales autónomas (Banco Nacional de Croacia (HNB) para banca, Agencia de Supervisión de Servicios Financieros (HANFA) para servicios financieros, Agencia Croata de Aviación Civil (HACZ) para aviación civil) mantienen roles de supervisión independientes. La Oficina de Seguridad de Sistemas de Información (ZSIS) apoya los procesos de certificación en ciberseguridad.

Supervisory powers include:

• Solicitudes de información
• Auditorías de seguridad
• Inspecciones in situ
• Instrucciones de cumplimiento vinculantes
• Participación en marcos de cooperación de ciberseguridad de la UE

La estructura de ejecución se alinea con los requisitos de coordinación a nivel de la Directiva.

10. Multas y sanciones NIS2 en Croacia

Croacia aplica sanciones administrativas alineadas con la Directiva.

La ejecución de las multas de NIS2 en Croacia también puede incluir:

• Órdenes vinculantes de remediación
• Identificación pública de entidades incumplidoras
• Suspensión de certificaciones o autorizaciones
• Facultades de suspensión de funciones directivas

La responsabilidad penal solo se aplica cuando esté prevista expresamente en la legislación croata.

11. Seguridad de la cadena de suministro y de proveedores NIS2 en Croacia

Las entidades deben gestionar la exposición de ciberseguridad de terceros mediante:

• Evaluaciones de riesgo de proveedores
• Disposiciones contractuales de traslado de seguridad
• Supervisión continua de proveedores TIC
• Análisis del riesgo de concentración
• Controles de propagación de incidentes

El enfoque de Croacia se alinea con las expectativas base de la Directiva para la cadena de suministro sin expansión nacional confirmada.

12. Deberes de registro y autoidentificación en Croacia

Entities within scope must:

• Esperar la notificación formal de las autoridades competentes sobre la categorización como esencial o importante. Las autoridades competentes debían completar la categorización inicial aproximadamente para febrero–abril de 2025.
• Proporcionar datos de identificación corporativa
• Divulgar la clasificación sectorial
• Mantener contactos actualizados para la notificación de incidentes

Croacia utiliza un modelo de notificación liderado por las autoridades. Las entidades no se autoregistran; son notificadas formalmente por las autoridades competentes de su categorización. La primera categorización debía completarse aproximadamente entre febrero y abril de 2025. Una vez notificadas, las entidades tienen 12 meses para lograr el cumplimiento total.

Se recomienda encarecidamente la preparación proactiva incluso antes de la notificación formal. Las entidades que cumplan los criterios legales deben iniciar los esfuerzos de cumplimiento de inmediato para evitar retrasos.

13. Interacción con el GDPR y otras leyes en Croacia

El Reglamento General de Protección de Datos continúa aplicándose de forma concurrente.

Las consideraciones de solapamiento incluyen:

• Obligaciones de notificación de brechas de datos personales en 72 horas
• Coordinación entre autoridades supervisoras
• Investigaciones paralelas de ciberseguridad y protección de datos
• Normas croatas de ciberseguridad específicas por sector

Un único incidente puede activar una doble notificación bajo ambos regímenes.

14. Aplicabilidad transfronteriza

Las entidades con su principal establecimiento en Croacia son supervisadas por las autoridades croatas para servicios transfronterizos.

Los proveedores digitales extranjeros que ofrezcan servicios en Croacia pueden estar sujetos a supervisión croata según la estructura de establecimiento.

Los requisitos de representación siguen los estándares de la Directiva para proveedores no pertenecientes a la UE que atienden a los mercados croatas.

15. Calendario de implementación en Croacia

• Adopción de la Directiva: 2022
• Directiva adoptada: 14 de diciembre de 2022
• Ley de Ciberseguridad (NN 14/2024): Adoptada el 26 de enero de 2024; en vigor desde el 15 de febrero de 2024. Reglamento de Ciberseguridad (NN 135/2024): Adoptado el 22 de noviembre de 2024; en vigor desde el 30 de noviembre de 2024
• Notificación a la Comisión: Croacia notificó a la Comisión de la transposición; no se emitió dictamen motivado
• Cumplimiento: Categorización inicial antes del 15 de febrero de 2025; las entidades tienen 12 meses desde la fecha de notificación para el cumplimiento total; las entidades importantes deben realizar autoevaluaciones cada dos años

Croacia es uno de los primeros Estados miembros de la UE en completar la transposición de NIS2, con la ley principal en vigor desde febrero de 2024 y un Reglamento detallado desde noviembre de 2024. La supervisión y la aplicación activas están en marcha.

16. Aspectos clave para PYMES en Croacia

• Las entidades medianas en sectores cubiertos están automáticamente dentro del ámbito.
• Las entidades pequeñas pueden ser designadas si son críticas para la estabilidad pública o económica.
• La supervisión a nivel de consejo es obligatoria. Las entidades importantes también deben realizar una autoevaluación y presentar una declaración de conformidad al menos cada dos años según el Reglamento de Ciberseguridad de Croacia — un requisito más allá de la línea base de la Directiva.
• La notificación de incidentes sigue los plazos de 24h / 72h / 1 mes.
• Las sanciones financieras pueden alcanzar €10 million o 2% del volumen de negocios global.
• La gestión de riesgos de proveedores es obligatoria. El Reglamento de Ciberseguridad de Croacia prescribe controles técnicos detallados (incluyendo longitudes mínimas de contraseña específicas y requisitos de MFA) que van más allá del Reglamento de Ejecución de la UE — las entidades deben revisarlos cuidadosamente.
• La preparación temprana del cumplimiento reduce el riesgo de ejecución.

FAQ: Guía NIS2 para PYMES en Croacia