NIS2 en Croacia

Guía de implementación y cumplimiento de NIS2 en Croacia.

Este documento presenta información vigente a febrero de 2026. Aunque se han adoptado todas las medidas razonables para verificar la exactitud del contenido, la información se proporciona sin garantía de integridad o exactitud y puede estar sujeta a cambios. Aunque prevemos realizar actualizaciones periódicas de este contenido, se aconseja a los lectores verificar de forma independiente la información crítica.

Croacia está alineando su marco nacional de ciberseguridad con el régimen reforzado de la UE bajo la Directiva NIS2. La legislación actualizada amplía el alcance, los deberes de gobernanza, los plazos de notificación y la exposición a la ejecución para las entidades cubiertas. Esta guía ofrece una visión estructurada de las obligaciones de cumplimiento de NIS2 en Croacia para PYMES que operan en sectores regulados.

1. Instantánea rápida de aplicabilidad para PYMES en Croacia

¿Se aplica NIS2 a las pymes en 1. Instantánea rápida de aplicabilidad para PYMES en Croacia?

Sí — dependiendo del sector y del tamaño.

Aplicabilidad automática a entidades medianas (≥50 empleados y ≥€10 million de volumen de negocios o total del balance) que operen en los sectores cubiertos.
Las entidades pequeñas o micro solo se incluyen si han sido designadas formalmente o si operan en sectores de alta criticidad.
Se aplica a entidades establecidas en Croacia y, en determinados casos, a proveedores digitales extranjeros que ofrecen servicios en Croacia.

Las PYMES deben evaluar si entran en el régimen nacional de ciberseguridad de Croacia en función del sector y los umbrales de tamaño.

2. Panorama de la implementación de NIS2 en Croacia

Croacia está implementando NIS2 mediante enmiendas a la Ley de Ciberseguridad, que regula la seguridad de redes y sistemas de información a nivel nacional.

El marco legal actualizado alinea el régimen de Croacia con la Directiva (UE) 2022/2555, ampliando la cobertura sectorial, reforzando la responsabilidad de la gobernanza y formalizando las obligaciones de notificación.

La legislación moderniza las facultades supervisoras y las estructuras de sanciones administrativas de conformidad con la Directiva.

3. Ámbito de aplicación en Croacia

Entidades esenciales

Entidades que operan en sectores altamente críticos:

Entidades importantes

Entidades que operan en otros sectores enumerados:

El alcance de Croacia refleja las categorías mínimas de la Directiva sin expansión estructural confirmada.

4. Umbrales de tamaño y aplicabilidad a PYMES en Croacia

Se aplican los umbrales básicos:

≥50 empleados y
≥€10 million de volumen de negocios anual o total del balance.

Las entidades que cumplan ambos criterios dentro de los sectores cubiertos están automáticamente dentro del ámbito.

Las pequeñas y microempresas pueden ser designadas si se consideran críticas para la seguridad pública, la estabilidad económica o el funcionamiento de servicios esenciales.

Las autoridades croatas mantienen facultades formales de designación cuando la exposición al riesgo justifique la inclusión.

5. Marco de clasificación de entidades en Croacia

Las entidades se clasifican como:

Entidades Esenciales — Sujetos a supervisión proactiva, incluidas inspecciones y seguimiento estructurado del cumplimiento.
Entidades Importantes — Sujetos principalmente a supervisión reactiva, activada por incidentes significativos o preocupaciones de cumplimiento.

La clasificación se determina por sector y tamaño. Las autoridades competentes pueden reclasificar entidades cuando el impacto operativo o el riesgo sistémico justifiquen una supervisión más estricta.

Croacia sigue el modelo de supervisión de dos niveles de la Directiva.

6. Requisitos de gestión de riesgos de ciberseguridad en Croacia

El régimen nacional de Croacia se alinea con las obligaciones base de la Directiva. Las entidades dentro del ámbito deben implantar medidas técnicas y organizativas proporcionadas que cubran:

Análisis de riesgos y protección del sistema
Detección y respuesta a incidentes
Continuidad de negocio y gestión de crisis
Controles de riesgo de la cadena de suministro NIS2 en Croacia
Adquisición y desarrollo seguro de sistemas TIC
Salvaguardias de control de acceso y autenticación
Protección mediante cifrado y criptografía
Procedimientos de gestión de vulnerabilidades
Formación del personal en ciberseguridad

Las medidas deben reflejar el estado de la técnica y el perfil de riesgo de la entidad. Se fomenta la alineación con ISO/IEC 27001 y la guía de ciberseguridad reconocida en Croacia.

La gestión del riesgo de la cadena de suministro incluye diligencia debida de proveedores y requisitos contractuales de ciberseguridad.

7. Responsabilidad de la dirección y gobernanza en Croacia

Los órganos de dirección deben aprobar formalmente las medidas de gestión de riesgos de ciberseguridad y supervisar su implementación.

Bajo el marco de Croacia:

Los consejos de administración son responsables de garantizar el cumplimiento.
La alta dirección debe mantener una concienciación adecuada en ciberseguridad.
Las sanciones administrativas pueden abordar fallos de gobernanza.
La suspensión temporal de funciones directivas puede estar disponible bajo mecanismos de ejecución alineados con la Directiva.

Las normas de responsabilidad de la dirección bajo NIS2 en Croacia elevan la ciberseguridad a una responsabilidad a nivel ejecutivo.

8. Obligaciones de notificación de incidentes en Croacia

Definición de un incidente significativo

Un incidente califica como significativo si causa:

Interrupción operativa grave
Pérdidas financieras significativas
Impacto social sustancial
Efectos transfronterizos

Cronograma de notificación

Fase de notificación	Plazo	Autoridad
Alerta temprana	24 horas	National CERT (CERT.hr)
Notificación de incidente	72 horas	National CERT (CERT.hr)
Informe final	1 mes	National CERT (CERT.hr)

Croacia sigue la estructura de la Directiva para los plazos de notificación NIS2. Los reguladores sectoriales pueden coordinarse con CERT.hr cuando corresponda.

9. Autoridades supervisoras y modelo de ejecución en Croacia

Autoridad coordinadora principal: National CERT (CERT.hr).

Croacia opera un modelo centralizado respaldado por reguladores sectoriales cuando es pertinente.

Supervisory powers include:

Solicitudes de información
Auditorías de seguridad
Inspecciones in situ
Instrucciones de cumplimiento vinculantes
Participación en marcos de cooperación de ciberseguridad de la UE

La estructura de ejecución se alinea con los requisitos de coordinación a nivel de la Directiva.

10. Multas y sanciones NIS2 en Croacia

Croacia aplica sanciones administrativas alineadas con la Directiva.

Entidades esenciales

Hasta €10 million o 2% del volumen de negocios anual mundial total (lo que sea mayor)

Entidades importantes

Hasta €7 million o 1.4% del volumen de negocios anual mundial total (lo que sea mayor)

La ejecución de las multas de NIS2 en Croacia también puede incluir:

Órdenes vinculantes de remediación
Identificación pública de entidades incumplidoras
Suspensión de certificaciones o autorizaciones
Facultades de suspensión de funciones directivas

La responsabilidad penal solo se aplica cuando esté prevista expresamente en la legislación croata.

11. Seguridad de la cadena de suministro y de proveedores NIS2 en Croacia

Las entidades deben gestionar la exposición de ciberseguridad de terceros mediante:

Evaluaciones de riesgo de proveedores
Disposiciones contractuales de traslado de seguridad
Supervisión continua de proveedores TIC
Análisis del riesgo de concentración
Controles de propagación de incidentes

El enfoque de Croacia se alinea con las expectativas base de la Directiva para la cadena de suministro sin expansión nacional confirmada.

12. Deberes de registro y autoidentificación en Croacia

Entities within scope must:

Registrarse ante las autoridades competentes
Proporcionar datos de identificación corporativa
Revelar la clasificación sectorial
Mantener contactos actualizados para la notificación de incidentes

Los plazos procedimentales siguen el marco de implementación de Croacia. Según el estado actual de transposición, Croacia sigue el marco base de la Directiva NIS2. Los detalles nacionales de implementación pueden afinar obligaciones específicas.

La autoidentificación es obligatoria para las entidades que cumplan los criterios legales.

13. Interacción con el GDPR y otras leyes en Croacia

El Reglamento General de Protección de Datos continúa aplicándose de forma concurrente.

Las consideraciones de solapamiento incluyen:

Obligaciones de notificación de brechas de datos personales en 72 horas
Coordinación entre autoridades supervisoras
Investigaciones paralelas de ciberseguridad y protección de datos
Normas croatas de ciberseguridad específicas por sector

Un único incidente puede activar una doble notificación bajo ambos regímenes.

14. Aplicabilidad transfronteriza

Las entidades con su principal establecimiento en Croacia son supervisadas por las autoridades croatas para servicios transfronterizos.

Los proveedores digitales extranjeros que ofrezcan servicios en Croacia pueden estar sujetos a supervisión croata según la estructura de establecimiento.

Los requisitos de representación siguen los estándares de la Directiva para proveedores no pertenecientes a la UE que atienden a los mercados croatas.

15. Calendario de implementación en Croacia

Adopción de la Directiva: 2022
Enmiendas legislativas nacionales: 2024–2025
Entrada en vigor: Tras la publicación nacional
Notificación a la Comisión: De conformidad con los procedimientos de la UE
Hito de cumplimiento: Plazos alineados con la Directiva

El calendario de transposición de Croacia se alinea con los requisitos de implementación de la UE.

16. Aspectos clave para PYMES en Croacia

Las entidades medianas en sectores cubiertos están automáticamente dentro del ámbito.
Las entidades pequeñas pueden ser designadas si son críticas para la estabilidad pública o económica.
La supervisión a nivel de consejo es obligatoria.
La notificación de incidentes sigue los plazos de 24h / 72h / 1 mes.
Las sanciones financieras pueden alcanzar €10 million o 2% del volumen de negocios global.
Se requiere la gestión del riesgo de proveedores.
La preparación temprana del cumplimiento reduce el riesgo de ejecución.

FAQ: Guía NIS2 para PYMES en Croacia

¿NIS2 se aplica a las pequeñas empresas en Croacia?

Las pequeñas empresas generalmente están excluidas salvo designación o si operan en sectores altamente críticos. Las entidades medianas que cumplen umbrales de tamaño están automáticamente incluidas.

¿Cuáles son las multas de NIS2 en Croacia?

Las Entidades Esenciales se enfrentan a sanciones de hasta €10 million o 2% del volumen de negocios anual global. Las Entidades Importantes afrontan hasta €7 million o 1.4% del volumen de negocios anual global.

¿Cuándo entra en vigor NIS2 en Croacia?

Croacia está actualizando su Ley de Ciberseguridad para alinearse con la Directiva. La entrada en vigor sigue la publicación legislativa nacional.

¿Quién hace cumplir NIS2 en Croacia?

El National CERT (CERT.hr) actúa como autoridad coordinadora principal, con apoyo de reguladores sectoriales cuando corresponda.

¿Pueden los directores ser personalmente responsables bajo NIS2 en Croacia?

Los órganos de dirección deben aprobar y supervisar las medidas de ciberseguridad. Las herramientas de ejecución administrativas pueden incluir facultades de suspensión de funciones directivas en casos graves.

¿En qué se diferencia NIS2 del GDPR en Croacia?

NIS2 regula la resiliencia de ciberseguridad y la gestión del riesgo operativo, mientras que GDPR regula la protección de datos personales. Ambos marcos pueden aplicarse simultáneamente tras un incidente.

¿Qué se considera un incidente significativo bajo NIS2 en Croacia?

Un incidente que cause grave interrupción, pérdidas financieras, impacto social o consecuencias transfronterizas generalmente cumple el umbral de notificación.