NIS2 in Croazia

1. Rapida panoramica di applicabilità per le PMI in Croazia

NIS2 si applica alle PMI in Croazia?

Sì — a seconda del settore e delle dimensioni.

• Applicabilità automatica alle entità di medie dimensioni (≥50 dipendenti e ≥€10 million di fatturato o totale di bilancio) operanti nei settori coperti.
• Le entità piccole o micro sono incluse solo se formalmente designate o se operano in settori ad alta criticità.
• Si applica alle entità stabilite in Croazia e, in alcuni casi, ai fornitori digitali stranieri che offrono servizi in Croazia.

Le PMI dovrebbero valutare se rientrano nel regime nazionale di cybersicurezza della Croazia in base a settore e soglie dimensionali.

2. Panoramica dell'attuazione della NIS2 in Croazia

La Croazia ha recepito la NIS2 attraverso la Legge sulla sicurezza informatica (Zakon o kibernetičkoj sigurnosti, NN 14/2024), adottata il 26 gennaio 2024 e in vigore dal 15 febbraio 2024 — rendendo la Croazia uno dei primi Stati membri dell'UE a completare il recepimento. La legge abroga la legislazione NIS1 del 2018 e amplia il numero di entità regolamentate da circa 1.000 a circa 8.000–10.000.

Un completo Regolamento sulla sicurezza informatica (Uredba o kibernetičkoj sigurnosti, NN 135/2024) è stato adottato il 22 novembre 2024 ed è entrato in vigore il 30 novembre 2024, specificando requisiti tecnici, procedure di categorizzazione e scadenze di conformità in dettaglio.

L'attuazione della Croazia va oltre la base della Direttiva sotto diversi aspetti: il settore dell'istruzione è stato aggiunto all'ambito di applicazione, le entità importanti devono effettuare autovalutazioni almeno ogni due anni, e il Regolamento prescrive standard tecnici specifici (incluse lunghezze minime delle password e requisiti MFA) che superano il Regolamento di esecuzione 2024/2690 dell'UE. L'allineamento con gli standard ISO/IEC 27001 e NIST è referenziato nel catalogo dei controlli del Regolamento.

3. Campo di applicazione in Croazia

L'ambito della Croazia riflette le categorie minime della Direttiva senza espansione strutturale confermata.

4. Soglie dimensionali e applicabilità alle PMI in Croazia

Si applicano le soglie di base:

• ≥50 dipendenti, e
• ≥€10 million fatturato annuo o totale di bilancio.

Le entità che soddisfano entrambi i criteri nei settori coperti rientrano automaticamente nell'ambito.

Le imprese piccole e micro possono essere designate se considerate critiche per la sicurezza pubblica, la stabilità economica o il funzionamento della società.

Le autorità croate mantengono poteri formali di designazione quando l'esposizione al rischio giustifica l'inclusione.

5. Quadro di classificazione delle entità in Croazia

Le entità sono classificate come:

• Entità essenziali — Soggette a supervisione proattiva, incluse ispezioni e monitoraggio strutturato della conformità.
• Entità Importanti — Soggette principalmente a supervisione reattiva. In particolare, la Croazia richiede alle entità importanti di effettuare un'autovalutazione e presentare una dichiarazione di conformità almeno ogni due anni — un requisito nazionale oltre la base della Direttiva.

La classificazione è determinata dalle autorità competenti in base al settore e alla dimensione. Le entità vengono formalmente notificate della loro categorizzazione — gli obblighi scattano dalla data di notifica, dopodiqué le entità hanno 12 mesi per raggiungere la piena conformità. Il governo doveva compilare l'elenco iniziale delle entità categorizzate entro il 15 febbraio 2025.

La Croazia segue il modello di vigilanza a due livelli della Direttiva.

6. Requisiti di gestione del rischio di cybersicurezza in Croazia

Il regime nazionale della Croazia è allineato agli obblighi di base della Direttiva. Le entità nell'ambito devono implementare misure tecniche e organizzative proporzionate che coprano:

• Analisi del rischio e protezione dei sistemi
• Rilevamento e risposta agli incidenti
• Continuità operativa e gestione delle crisi
• Controlli del rischio della catena di fornitura NIS2 in Croazia
• Acquisizione e sviluppo sicuri dei sistemi ICT
• Salvaguardie di controllo degli accessi e autenticazione
• Cifratura e protezione crittografica
• Procedure di gestione delle vulnerabilità
• Formazione del personale in cybersicurezza

Le misure devono riflettere lo stato dell'arte e il profilo di rischio dell'entità. È incoraggiato l'allineamento con ISO/IEC 27001 e con le linee guida croate riconosciute in materia di cybersicurezza.

La gestione del rischio della catena di fornitura include due diligence sui fornitori e requisiti contrattuali di cybersicurezza.

7. Responsabilità del management e governance in Croazia

Gli organi di gestione devono approvare formalmente le misure di gestione del rischio di cybersicurezza e sovrintenderne l'attuazione.

Nel quadro della Croazia:

• I consigli di amministrazione sono responsabili dell'assicurare la conformità.
• Il senior management deve mantenere un'adeguata consapevolezza in materia di cybersicurezza.
• Le sanzioni amministrative possono affrontare carenze di governance.
• La sospensione temporanea delle funzioni manageriali può essere disponibile nell'ambito dei meccanismi di applicazione allineati alla Direttiva.

Gli standard di responsabilità del management NIS2 in Croazia elevano la cybersicurezza a una responsabilità a livello esecutivo.

8. Obblighi di segnalazione degli incidenti in Croazia

9. Autorità di vigilanza e modello di applicazione in Croazia

Autorità di supervisione principale: Agenzia per la sicurezza e l'intelligence (SOA), operante attraverso il Centro nazionale di sicurezza informatica (NCSC-HR). CERT.hr (CARNET) gestisce la segnalazione centralizzata degli incidenti tramite la piattaforma PiXi.

La Croazia opera un modello di supervisione misto: SOA/NCSC-HR guida per la maggior parte dei settori, mentre le autorità settoriali autonome (Banca nazionale croata (HNB) per il settore bancario, Agenzia di supervisione dei servizi finanziari (HANFA) per i servizi finanziari, Agenzia croata per l'aviazione civile (HACZ) per l'aviazione civile) mantengono ruoli di supervisione indipendenti. L'Ufficio per la sicurezza dei sistemi informativi (ZSIS) supporta i processi di certificazione della sicurezza informatica.

Supervisory powers include:

• Richieste di informazioni
• Audit di sicurezza
• Ispezioni in loco
• Istruzioni vincolanti di conformità
• Partecipazione ai quadri di cooperazione dell'UE in materia di cybersicurezza

La struttura di applicazione è allineata ai requisiti di coordinamento a livello di Direttiva.

10. Sanzioni e ammende NIS2 in Croazia

La Croazia applica sanzioni amministrative allineate alla Direttiva.

L'applicazione delle ammende NIS2 in Croazia può includere anche:

• Ordini vincolanti di rimedio
• Identificazione pubblica delle entità non conformi
• Sospensione di certificazioni o autorizzazioni
• Poteri di sospensione manageriale

La responsabilità penale si applica solo ove espressamente prevista dalla legislazione croata.

11. Sicurezza della catena di fornitura e dei fornitori NIS2 in Croazia

Le entità devono gestire l'esposizione alla cybersicurezza dei terzi attraverso:

• Valutazioni del rischio dei fornitori
• Disposizioni contrattuali di flusso discendente in materia di sicurezza
• Monitoraggio continuo dei fornitori ICT
• Analisi del rischio di concentrazione
• Controlli sulla propagazione degli incidenti

L'approccio della Croazia è allineato alle aspettative di base della Direttiva in materia di catena di fornitura senza espansione nazionale confermata.

12. Obblighi di registrazione e autoidentificazione in Croazia

Entities within scope must:

• Attendere la notifica formale dalle autorità competenti sulla categorizzazione come essenziale o importante. Le autorità competenti dovevano completare la categorizzazione iniziale entro circa febbraio–aprile 2025.
• Fornire i dati di identificazione aziendale
• Dichiarare la classificazione settoriale
• Mantenere aggiornati i contatti per la segnalazione degli incidenti

La Croazia utilizza un modello di notifica guidato dalle autorità. Le entità non si autoregistrano; vengono formalmente notificate dalle autorità competenti della loro categorizzazione. La prima categorizzazione doveva essere completata entro circa febbraio–aprile 2025. Una volta notificate, le entità hanno 12 mesi per raggiungere la piena conformità.

La preparazione proattiva è fortemente raccomandata anche prima della notifica formale. Le entità che soddisfano i criteri di legge dovrebbero iniziare immediatamente gli sforzi di conformità per evitare ritardi.

13. Interazione con il GDPR e altre leggi in Croazia

Il Regolamento generale sulla protezione dei dati continua ad applicarsi in via concorrente.

Le considerazioni di sovrapposizione includono:

• Obblighi di notifica delle violazioni dei dati personali entro 72 ore
• Coordinamento tra autorità di vigilanza
• Indagini parallele in materia di cybersicurezza e protezione dei dati
• Norme croate specifiche di settore in materia di cybersicurezza

Un singolo incidente può attivare una doppia segnalazione ai sensi di entrambi i regimi.

14. Applicabilità transfrontaliera

Le entità con la propria stabilimento principale in Croazia sono sorvegliate dalle autorità croate per i servizi transfrontalieri.

I fornitori digitali stranieri che offrono servizi in Croazia possono essere soggetti alla vigilanza croata a seconda della struttura di stabilimento.

I requisiti di rappresentanza seguono gli standard della Direttiva per i fornitori non UE che servono i mercati croati.

15. Cronologia di attuazione in Croazia

• Adozione della Direttiva: 2022
• Direttiva adottata: 14 dicembre 2022
• Legge sulla sicurezza informatica (NN 14/2024): Adottata il 26 gennaio 2024; in vigore dal 15 febbraio 2024. Regolamento sulla sicurezza informatica (NN 135/2024): Adottato il 22 novembre 2024; in vigore dal 30 novembre 2024
• Notifica alla Commissione: La Croazia ha notificato alla Commissione il recepimento; nessun parere motivato emesso
• Conformità: Categorizzazione iniziale entro il 15 febbraio 2025; le entità hanno 12 mesi dalla data di notifica per la piena conformità; le entità importanti devono effettuare autovalutazioni ogni due anni

La Croazia è uno dei primi Stati membri dell'UE a completare il recepimento di NIS2, con la legge principale in vigore da febbraio 2024 e un Regolamento dettagliato da novembre 2024. La supervisione e l'applicazione attive sono in corso.

16. Punti chiave per le PMI in Croazia

• Le entità di medie dimensioni nei settori coperti rientrano automaticamente nell'ambito.
• Le piccole entità possono essere designate se critiche per la stabilità pubblica o economica.
• La supervisione a livello di consiglio è obbligatoria. Le entità importanti devono inoltre effettuare un'autovalutazione e presentare una dichiarazione di conformità almeno ogni due anni ai sensi del Regolamento sulla sicurezza informatica della Croazia — un requisito oltre la base della Direttiva.
• La segnalazione degli incidenti segue le scadenze 24h / 72h / 1 mese.
• Le sanzioni finanziarie possono raggiungere €10 milioni o il 2% del fatturato globale.
• La gestione del rischio dei fornitori è obbligatoria. Il Regolamento sulla sicurezza informatica della Croazia prescrive controlli tecnici dettagliati (incluse lunghezze minime delle password specifiche e requisiti MFA) che vanno oltre il Regolamento di esecuzione dell'UE — le entità dovrebbero esaminarli attentamente.
• Una preparazione anticipata alla conformità riduce il rischio di applicazione.

FAQ: Guida NIS2 per PMI in Croazia