NIS2 in Croazia

Guida all'implementazione e alla conformità NIS2 in Croazia.

Questo documento presenta informazioni aggiornate a febbraio 2026. Benché siano stati adottati tutti i ragionevoli accorgimenti per verificare l'accuratezza dei contenuti, le informazioni sono fornite senza garanzia di completezza o accuratezza e possono essere soggette a modifiche. Pur prevedendo aggiornamenti periodici di questi contenuti, si consiglia ai lettori di verificare autonomamente le informazioni critiche.

La Croazia sta allineando il proprio quadro nazionale di cybersicurezza con il regime rafforzato dell'UE ai sensi della Direttiva NIS2. La normativa aggiornata amplia l'ambito, i doveri di governance, le tempistiche di segnalazione e l'esposizione all'applicazione per le entità coperte. Questa guida fornisce una panoramica strutturata degli obblighi di conformità NIS2 in Croazia per le PMI che operano nei settori regolamentati.

1. Rapida panoramica di applicabilità per le PMI in Croazia

NIS2 si applica alle PMI in Croazia?

Sì — a seconda del settore e delle dimensioni.

Applicabilità automatica alle entità di medie dimensioni (≥50 dipendenti e ≥€10 million di fatturato o totale di bilancio) operanti nei settori coperti.
Le entità piccole o micro sono incluse solo se formalmente designate o se operano in settori ad alta criticità.
Si applica alle entità stabilite in Croazia e, in alcuni casi, ai fornitori digitali stranieri che offrono servizi in Croazia.

Le PMI dovrebbero valutare se rientrano nel regime nazionale di cybersicurezza della Croazia in base a settore e soglie dimensionali.

2. Panoramica dell'attuazione della NIS2 in Croazia

La Croazia sta attuando la NIS2 tramite modifiche al Cybersecurity Act, che disciplina la sicurezza dei sistemi di rete e informazione a livello nazionale.

Il quadro statutario aggiornato allinea il regime della Croazia alla Direttiva (UE) 2022/2555, ampliando la copertura settoriale, rafforzando la responsabilità di governance e formalizzando gli obblighi di segnalazione.

La normativa modernizza i poteri di vigilanza e le strutture delle sanzioni amministrative in conformità con la Direttiva.

3. Campo di applicazione in Croazia

Entità essenziali

Entità operanti in settori altamente critici:

Entità importanti

Entità operanti negli altri settori elencati:

L'ambito della Croazia riflette le categorie minime della Direttiva senza espansione strutturale confermata.

4. Soglie dimensionali e applicabilità alle PMI in Croazia

Si applicano le soglie di base:

≥50 dipendenti, e
≥€10 million fatturato annuo o totale di bilancio.

Le entità che soddisfano entrambi i criteri nei settori coperti rientrano automaticamente nell'ambito.

Le imprese piccole e micro possono essere designate se considerate critiche per la sicurezza pubblica, la stabilità economica o il funzionamento della società.

Le autorità croate mantengono poteri formali di designazione quando l'esposizione al rischio giustifica l'inclusione.

5. Quadro di classificazione delle entità in Croazia

Le entità sono classificate come:

Entità essenziali — Soggette a supervisione proattiva, incluse ispezioni e monitoraggio strutturato della conformità.
Entità importanti — Principalmente soggette a supervisione reattiva, attivata da incidenti significativi o da preoccupazioni di conformità.

La classificazione è determinata da settore e dimensioni. Le autorità competenti possono riclassificare le entità quando l'impatto operativo o il rischio sistemico giustificano una vigilanza più severa.

La Croazia segue il modello di vigilanza a due livelli della Direttiva.

6. Requisiti di gestione del rischio di cybersicurezza in Croazia

Il regime nazionale della Croazia è allineato agli obblighi di base della Direttiva. Le entità nell'ambito devono implementare misure tecniche e organizzative proporzionate che coprano:

Analisi del rischio e protezione dei sistemi
Rilevamento e risposta agli incidenti
Continuità operativa e gestione delle crisi
Controlli del rischio della catena di fornitura NIS2 in Croazia
Acquisizione e sviluppo sicuri dei sistemi ICT
Salvaguardie di controllo degli accessi e autenticazione
Cifratura e protezione crittografica
Procedure di gestione delle vulnerabilità
Formazione del personale in cybersicurezza

Le misure devono riflettere lo stato dell'arte e il profilo di rischio dell'entità. È incoraggiato l'allineamento con ISO/IEC 27001 e con le linee guida croate riconosciute in materia di cybersicurezza.

La gestione del rischio della catena di fornitura include due diligence sui fornitori e requisiti contrattuali di cybersicurezza.

7. Responsabilità del management e governance in Croazia

Gli organi di gestione devono approvare formalmente le misure di gestione del rischio di cybersicurezza e sovrintenderne l'attuazione.

Nel quadro della Croazia:

I consigli di amministrazione sono responsabili dell'assicurare la conformità.
Il senior management deve mantenere un'adeguata consapevolezza in materia di cybersicurezza.
Le sanzioni amministrative possono affrontare carenze di governance.
La sospensione temporanea delle funzioni manageriali può essere disponibile nell'ambito dei meccanismi di applicazione allineati alla Direttiva.

Gli standard di responsabilità del management NIS2 in Croazia elevano la cybersicurezza a una responsabilità a livello esecutivo.

8. Obblighi di segnalazione degli incidenti in Croazia

Definizione di un incidente significativo

Un incidente si qualifica come significativo se provoca:

Grave interruzione operativa
Perdita finanziaria significativa
Impatto sociale sostanziale
Effetti transfrontalieri

Tempistiche di segnalazione

Fase di segnalazione	Scadenza	Autorità
Preallerta	24 ore	National CERT (CERT.hr)
Notifica dell'incidente	72 ore	National CERT (CERT.hr)
Relazione finale	1 mese	National CERT (CERT.hr)

La Croazia segue la struttura della Direttiva per le scadenze di segnalazione NIS2. I regolatori settoriali possono coordinarsi con CERT.hr ove pertinente.

9. Autorità di vigilanza e modello di applicazione in Croazia

Autorità di coordinamento primaria: National CERT (CERT.hr).

La Croazia opera con un modello centralizzato supportato da regolatori specifici di settore ove rilevante.

Supervisory powers include:

Richieste di informazioni
Audit di sicurezza
Ispezioni in loco
Istruzioni vincolanti di conformità
Partecipazione ai quadri di cooperazione dell'UE in materia di cybersicurezza

La struttura di applicazione è allineata ai requisiti di coordinamento a livello di Direttiva.

10. Sanzioni e ammende NIS2 in Croazia

La Croazia applica sanzioni amministrative allineate alla Direttiva.

Entità essenziali

Fino a €10 million o 2% del fatturato annuo globale complessivo (a seconda di quale sia maggiore)

Entità importanti

Fino a €7 million o 1.4% del fatturato annuo globale complessivo (a seconda di quale sia maggiore)

L'applicazione delle ammende NIS2 in Croazia può includere anche:

Ordini vincolanti di rimedio
Identificazione pubblica delle entità non conformi
Sospensione di certificazioni o autorizzazioni
Poteri di sospensione manageriale

La responsabilità penale si applica solo ove espressamente prevista dalla legislazione croata.

11. Sicurezza della catena di fornitura e dei fornitori NIS2 in Croazia

Le entità devono gestire l'esposizione alla cybersicurezza dei terzi attraverso:

Valutazioni del rischio dei fornitori
Disposizioni contrattuali di flusso discendente in materia di sicurezza
Monitoraggio continuo dei fornitori ICT
Analisi del rischio di concentrazione
Controlli sulla propagazione degli incidenti

L'approccio della Croazia è allineato alle aspettative di base della Direttiva in materia di catena di fornitura senza espansione nazionale confermata.

12. Obblighi di registrazione e autoidentificazione in Croazia

Entities within scope must:

Iscrizione presso le autorità competenti
Fornitura dei dati identificativi societari
Dichiarazione della classificazione settoriale
Mantenimento dei contatti aggiornati per la segnalazione degli incidenti

Le scadenze procedurali seguono il quadro attuativo della Croazia. Allo stato attuale della trasposizione, la Croazia segue il quadro di base della Direttiva NIS2. I dettagli nazionali di attuazione possono affinare specifici obblighi.

L'autoidentificazione è obbligatoria per le entità che soddisfano i criteri di legge.

13. Interazione con il GDPR e altre leggi in Croazia

Il Regolamento generale sulla protezione dei dati continua ad applicarsi in via concorrente.

Le considerazioni di sovrapposizione includono:

Obblighi di notifica delle violazioni dei dati personali entro 72 ore
Coordinamento tra autorità di vigilanza
Indagini parallele in materia di cybersicurezza e protezione dei dati
Norme croate specifiche di settore in materia di cybersicurezza

Un singolo incidente può attivare una doppia segnalazione ai sensi di entrambi i regimi.

14. Applicabilità transfrontaliera

Le entità con la propria stabilimento principale in Croazia sono sorvegliate dalle autorità croate per i servizi transfrontalieri.

I fornitori digitali stranieri che offrono servizi in Croazia possono essere soggetti alla vigilanza croata a seconda della struttura di stabilimento.

I requisiti di rappresentanza seguono gli standard della Direttiva per i fornitori non UE che servono i mercati croati.

15. Cronologia di attuazione in Croazia

Adozione della Direttiva: 2022
Modifiche legislative nazionali: 2024–2025
Entrata in vigore: Alla pubblicazione nazionale
Notifica alla Commissione: In conformità alle procedure dell'UE
Scadenza di conformità: Scadenze allineate alla Direttiva

La tempistica di trasposizione della Croazia è allineata ai requisiti di attuazione dell'UE.

16. Punti chiave per le PMI in Croazia

Le entità di medie dimensioni nei settori coperti rientrano automaticamente nell'ambito.
Le piccole entità possono essere designate se critiche per la stabilità pubblica o economica.
La supervisione a livello di consiglio è obbligatoria.
La segnalazione degli incidenti segue le scadenze 24h / 72h / 1 mese.
Le sanzioni finanziarie possono raggiungere €10 milioni o il 2% del fatturato globale.
La gestione del rischio dei fornitori è richiesta.
Una preparazione anticipata alla conformità riduce il rischio di applicazione.

FAQ: Guida NIS2 per PMI in Croazia

La NIS2 si applica alle piccole imprese in Croazia?

Le piccole imprese sono generalmente escluse, salvo designazione o operatività in settori altamente critici. Le entità di medie dimensioni che soddisfano le soglie dimensionali sono automaticamente incluse.

Quali sono le ammende NIS2 in Croazia?

Le Entità Essenziali affrontano sanzioni fino a €10 milioni o al 2% del fatturato annuo globale. Le Entità Importanti fino a €7 milioni o all'1,4% del fatturato annuo globale.

Quando entra in vigore la NIS2 in Croazia?

La Croazia sta aggiornando il proprio Cybersecurity Act per allinearsi alla Direttiva. L'entrata in vigore segue la pubblicazione legislativa nazionale.

Chi applica la NIS2 in Croazia?

Il National CERT (CERT.hr) funge da autorità di coordinamento primaria, supportato dai regolatori settoriali ove applicabile.

Gli amministratori possono essere personalmente responsabili ai sensi della NIS2 in Croazia?

Gli organi di gestione devono approvare e sovrintendere alle misure di cybersicurezza. Gli strumenti di applicazione amministrativa possono includere poteri di sospensione manageriale nei casi gravi.

In che cosa la NIS2 differisce dal GDPR in Croazia?

La NIS2 disciplina la resilienza della cybersicurezza e la gestione del rischio operativo, mentre il GDPR regola la protezione dei dati personali. Entrambi i quadri possono applicarsi simultaneamente a seguito di un incidente.

Cosa costituisce un incidente significativo ai sensi della NIS2 in Croazia?

Un incidente che causi grave interruzione, perdite finanziarie, impatto sociale o conseguenze transfrontaliere generalmente soddisfa la soglia di segnalazione.