Wer verwaltet NIS 2 in Kroatien? Klare Autorität, Ansprechpartner und Aufsicht
Wenn Ihr Team einen Weg zur NIS 2-Konformität in Kroatien plant, Klarheit über der Ihre Verpflichtungen wirklich regelt und orchestriert ist nicht verhandelbar. Die Schaltzentrale ist das Büro für Informationssystemsicherheit (ZSIS), die zuständige Behörde Kroatiens. ZSIS versendet nicht einfach nur Richtlinienmemos, sondern ist an der Schnittstelle zwischen Entwicklung, Durchsetzung und Eskalation angesiedelt. Für regulierte Unternehmen bedeutet dies, dass ZSIS Ihr Anker für alle Fragen der regulatorischen Sicherheit, Streitfälle und Audit-Absicherung bleibt.
Die Klarheit der Vorschriften ist ein Schutzschild – Unsicherheit macht Sie angreifbar.
ZSIS ist das Herzstück der kroatischen Cyber-Governance und koordiniert die Reaktionen der Fachministerien – Energie, Gesundheit, Finanzen, Telekommunikation und mehr. Tritt ein Vorfall auf oder ist Klärungsbedarf, benachrichtigt der Compliance-Leiter Ihrer Organisation zunächst das zuständige Fachministerium. Von dort aus greift ZSIS ein, um zu koordinieren, zu eskalieren oder einzugreifen – insbesondere bei schwerwiegenden Verstößen oder umstrittenen Compliance-Auslegungen. Sobald eine Situation technisch oder systemisch wird, delegiert ZSIS sofort die operative Führung an CSIRT.hr.
- Fließen: Interner Compliance-Leiter → Fachministerium → ZSIS (Zuständige Behörde)
- Bei Eskalation:
ZSIS beantwortet entweder regulatorische Anfragen oder löst bei kritischen Vorfällen CSIRT.hr zur technischen Reaktion aus und koordiniert bei Bedarf die Arbeit mit den EU-Behörden.
Diese disziplinierte Architektur verhindert doppelte Benachrichtigungen und unklare Verantwortlichkeiten. Durch die proaktive Abbildung dieser Kette – einschließlich direkter ZSIS- und Ministeriumskontakte innerhalb Ihrer Compliance-Management-Plattform – verwandeln Sie regulatorische Unklarheiten in operatives Vertrauen.
ISO 27001 Brückentabelle: Zuordnung der zuständigen Behörden
| Erwartung | Operationalisierung | ISO 27001 / Anhang A |
|---|---|---|
| Autoritätskette erkennen | ZSIS-Kontakte hinterlegen, Eskalationsdiagramm | A.5.2, A.5.5 |
| Verfolgen Sie regulatorische Updates | Abonnieren Sie das Amtsblatt und die ZSIS-Mitteilungen | A.5.31, A.5.36 |
| Zentralisierte Beratung | Synchronisieren Sie FAQs mit Compliance-Datensätzen | 7.5.1, A.5.37 |
Das Abonnement des Amtsblatts und die Integration von ZSIS/HAKOM-Warnmeldungen in Ihre ISMS-Plattform ist kein Zeitvertreib. Es ist eine aktive Absicherung gegen regulatorische Abweichungen und Überraschungen bei Audits.
Wie ist CSIRT.hr strukturiert – und was hat sich für die Reaktion auf Vorfälle geändert?
In der neuen Welt von NIS 2 CSIRT.hr ist kein Hintergrundprozess mehr, sondern der kritische Knoten in Ihrem Vorfallreaktion Kette. CSIRT.hr ist Teil von CARNET und beherrscht nun alle Aspekte des NIS 2-Vorfallmanagements für „wesentliche“ und „wichtige“ kroatische Unternehmen.
Die Geschwindigkeit Ihres ersten Anrufs bestimmt den Ausgang jedes Cyber-Vorfalls.
Was genau hat sich unter NIS 2 geändert?
- Benachrichtigungsempfang rund um die Uhr:
Bei allen „wesentlichen“ Verstößen ist eine erste Meldung an CSIRT.hr innerhalb von 24 Stunden erforderlich, ein vollständiger Bericht ist innerhalb von 72 Stunden fällig.
- EU-weite Koordinierung:
Vorfälle mit schwerwiegenden Auswirkungen oder grenzüberschreitende Vorfälle werden an das EU-CSIRT-Netzwerk weitergeleitet, wodurch multilaterale technische Unterstützung und der Austausch von Informationen ermöglicht werden.
- Betriebsverbesserungen:
Erweiterter Aufgabenbereich, neue Automatisierung zur Bedrohungserkennung, schnellere Geheimdienstportale und iterative Stresstests der Verfahren.
- Vorfall erkennen ─> Benachrichtigen Sie CSIRT.hr innerhalb von 24 Stunden
- Vollständiger technischer/geschäftlicher Bericht innerhalb von 72 Stunden eingereicht
- Feedback und Auditabschluss: CSIRT.hr bietet einen Lessons-Learned-Kreislauf; die Ergebnisse fließen in zukünftige Audit- und Compliance-Zyklen ein
Handlungsaufforderung: Ordnen Sie Ihre CSIRT-Kontakte vorab zu (fügen Sie ihre VorfallsberichtEinfügen von Informationen in den Reaktionsplan jedes kritischen Vermögenswerts mithilfe von security.croatia.hr).
Tabelle mit Schritten zur Reaktion auf Vorfälle
| Phase | Frist | Erforderliche Aktionen |
|---|---|---|
| Detection | Unmittelbar | Eskalieren Sie an CSIRT.hr |
| Erstmitteilung | 24 Stunden | CSIRT per E-Mail oder Anruf kontaktieren und Zusammenfassung teilen |
| Vollständiger Bericht | 72 Stunden | Technische, geschäftliche und Wiederherstellungsinformationen |
| Remediation | Bei Schließung | Profil melden lessons learned, Vorfall schließen |
Das regelmäßige Durchführen von Vorfallsimulationsübungen zum Testen dieses Ablaufs ist nicht nur eine gute Hygienemaßnahme, sondern mittlerweile auch ein gemessener KPI bei kontinuierlichen Audits.
NIS 2 meistern ohne Tabellenchaos
Zentralisieren Sie Risiken, Vorfälle, Lieferanten und Beweise auf einer übersichtlichen Plattform.
Wie steht es um das kroatische Recht? Umsetzung von NIS 2, Zeitpläne und Überschneidungen
Kroatien hat sein Cyber-Regelwerk zur Umsetzung von NIS 2 vollständig überarbeitet und das Cyber-Sicherheitsgesetz von 2018 außer Kraft gesetzt. Ab September 2024 sind die neuen Sektoren abgedeckt und Bußgelder bereits einklagbar; die Nichteinhaltung stellt nun ein konkretes, durchsetzbares Risiko dar (Amtsblatt).
Jeder Tag Verzögerung gefährdet sowohl Geldstrafen als auch die Geschäftskontinuität.
Wichtige Änderungen bei der rechtlichen Umsetzung:
- Umfassende Gesetzesänderung:
Es ist ein größerer Kreis von Unternehmen betroffen, die Fristen für die einzelnen Sektoren sind kürzer und die Höchststrafen deutlich höher.
- Fusion von Datenschutz und Sicherheit:
Jetzt ist die NIS 2-Sicherheitsberichterstattung mit dem Datenschutz harmonisiert (Datenschutz); ZSIS stellt sicher, dass regulatorische Maßnahmen keine widersprüchlichen Anforderungen schaffen.
- Obligatorische Registrierung:
ZSIS führt ein „lebendes“ Register aller regulierten Unternehmen; Ihr Compliance-Status wird aktualisiert und ist formell meldepflichtig.
Rechtliche Zeitleiste Snap
Gesetz von 2018 → NIS 2 (2022) → Umsetzung September 2024 → Live-Audit-Zyklus
Umsetzbarer Schritt: Abonnieren Sie digitalizacija.gov.hr für direkte Meldetermine und Vorbereitungsfenster. Wer jetzt nicht aktiv überwacht, riskiert kein Risiko.
Wer ist betroffen? Unternehmensstatus, grenzüberschreitende Regeln und kontinuierliche Klassifizierung
Die Erfassung von Unternehmen unter NIS 2 ist keine „Einstellen und Vergessen“-Übung. Das ZSIS-Register ist die einzige Quelle der Wahrheit über Entitätsstatus, und die Selbsteinschätzung ist eine wiederkehrende Verpflichtung.
Wenn der Umfang klar ist, wird Compliance vom Schattenrisiko zum überschaubaren Projekt.
So funktioniert der Klassifizierungsprozess:
- Formelle Benachrichtigung:
ZSIS bestätigt den Status „wesentlich“ oder „wichtig“; Sie sind offiziell aufgeführt.
- Anforderung zur Selbsteinschätzung:
Verwenden Sie die Tools von security.croatia.hr, um jährliche (oder ereignisgesteuerte) Statusberichte und Bescheinigungen einzureichen.
- Überprüfung des Entitätsprofils:
Beantragen Sie bei ZSIS eine Aktualisierung des Registers, wenn sich Ihre Aktivität oder Struktur ändert.
Tabelle: Beispiele für die Aktualisierung von Klassifizierungsrisiken
| Auslösen | Risiko-/Status-Update | SoA/Beweise |
|---|---|---|
| Neuer kritischer Dienst | Zur ZSIS-Registrierung hinzufügen, SoA aktualisieren | A.5.9, ZSIS-Hinweis |
| Branchenwechsel | Antrag auf Statusüberprüfung | Registrierungsaktualisierung |
| Angebotsänderung | Lieferant aktualisieren Gefahrenregister | A.5.19, Lieferantendatei |
Jede juristische Person, einschließlich Konzerne und Tochtergesellschaften, ist unabhängig für die Einhaltung der Vorschriften verantwortlich, wodurch das Risiko einer Vertretung durch die Konzernmitgliedschaft eliminiert wird.
Seien Sie vom ersten Tag an NIS 2-bereit
Starten Sie mit einem bewährten Arbeitsbereich und Vorlagen – einfach anpassen, zuweisen und loslegen.
Vorfallberichterstattung und Feedbackschleifen: Fristen, Details und Prüfspuren
Reaktion auf Vorfälle Unter NIS 2 gelten strenge Fristen und strenge Details. Nur „wesentliche“ Vorfälle müssen gemeldet werden, Unterlassungen können jedoch regulatorische und finanzielle Risiken nach sich ziehen.
Obligatorische Schritte:
- Benachrichtigen Sie CSIRT.hr innerhalb von 24 Stunden eines „signifikanten“ Vorfalls (Angriff, kritischer Fehler).
- Vollständiger technischer/geschäftlicher Auswirkungsbericht innerhalb von 72 Stunden.
- Abschlussbericht, bestehend aus Grundursache, Abhilfe und gewonnenen Erkenntnissen.
Durch Reaktionsfähigkeit werden aus Vorfällen Compliance-Risiken und Resilienz-Vorteile.
Details und Nachweisanforderungen:
- Verschlüsselung: Alle Einsendungen müssen verschlüsselt und der Zugriff muss beschränkt sein.
- Auswirkungsbericht: Betroffene Systeme, Auswirkungen, Status der Datenschutzverletzung, Ursache, und ein Wiederherstellungsplan muss enthalten sein.
- Jährliche Prüfung: Regelmäßige Prüfungen zertifizieren jetzt Vorfall-/Protokollierungsroutinen und Reaktionsdisziplin für regulierte Unternehmen.
Rückverfolgbarkeitstabelle: Benachrichtigungsbeispiele
| Auslösen | Benachrichtigung | Beweisbar |
|---|---|---|
| Ransomware erkannt | CSIRT innerhalb von 24 Stunden, 72 Stunden rpt | SoA A.5.25, Vorfallsregister |
| Dienstwiederherstellung | Feedback an CSIRT.hr | Protokoll der Überprüfung nach Vorfällen |
| Audit | Verschlüsselungs-/Protokollierungsnachweis | Jährliche ISMS-Auditdokumente |
Einfach ausgedrückt: die Prüfpfad erfolgt jetzt kontinuierlich, nicht periodisch. Feedback und Erkenntnisse aus jedem Vorfallzyklus fließen in zukünftige Audits und Kontrollverbesserungen ein – so schließt sich der Resilienzkreislauf.
Berichterstattung, Prüfung und Aufsicht: Grundlagen für Vorstände und Prüfungsteams
NIS 2-Audits in Kroatien werden nun datengesteuert, live und in Echtzeit durchgeführt. ZSIS verfügt über weitreichende Befugnisse, sowohl geplante als auch unangekündigte Audits durchzuführen, und die Erwartungen sind von jährlichen Checklisten auf ständige Compliance-Überwachung.
Nichtbehebung innerhalb 30 Tagen. Die Nichtbeachtung eines Befunds kann unmittelbar zu Geldstrafen, weiteren Prüfungen und dem Risiko behördlicher Publizität führen.
Ein Live-Audit-Dashboard entmystifiziert NIS 2 – ein Aufzeichnungssystem ist gleichbedeutend mit einem Vertrauenssystem.
Audit-Innovationen und Vorstandsberichte
- Digitale Dashboards:
Von den Vorständen wird erwartet, dass sie KPIs und Ergebnisse (fast) in Echtzeit überwachen, lange vor der formellen behördlichen Überprüfung.
- Registrierungsintegration:
ZSIS integriert die Auditergebnisse direkt in seine Entitätsregister- eine nahtlose Verbindung zwischen Audit und Aufsichtsbehörde.
- KPIs: Zu den wichtigsten erforderlichen Messgrößen zählen jetzt die Erkennungsgeschwindigkeit, die Vollständigkeit der Berichterstattung und das Engagement der Mitarbeiter.
Live-Board-Ansicht von: aktuellen Ergebnissen, ausstehenden Abhilfemaßnahmen, Anerkennungsquoten für Mitarbeiterrichtlinien und Zeitplan für die Einhaltung gesetzlicher Vorschriften.
Alle Ihre NIS 2, alles an einem Ort
Von den Artikeln 20–23 bis hin zu Prüfplänen – führen Sie die Compliance durch und weisen Sie sie durchgängig nach.
Lieferkette, Cyberrisiken Dritter und Beschaffung: Wie sieht die aktuelle Rechtslage aus?
Die Lieferkette ist von einer nachträglichen Prüfung zu einer gesetzlichen Grundlage geworden. Das kroatische NIS 2-Gesetz verpflichtet regulierte Unternehmen nun dazu:
- Alle wichtigen Lieferanten erfassen und dokumentieren;
- Durchsetzung vertragsbasierter Cyber-Kontrollen;
- Pflegen Sie eine jährliche Lieferkette Gefahrenregister;
- Führen Sie eine Selbstbewertung durch und legen Sie tatsächliche Beweise vor, die dem Prüfungsstandard entsprechen.
Jeder Vertrag birgt das Risiko einer Compliance-Kontrolle oder -Vernachlässigung, und Sie erben den Verstoß.
Von Lieferanten initiierte Verstöße unterliegen den gleichen Meldepflichten wie interne. Die Aufsichtsbehörden erwarten nun detaillierte KPIs für Ausfallsicherheit der Lieferkette: Häufigkeit von Verstößen, aktualisierte Verträge, Zeitpläne für die Behebung und Beweisprotokolle.
Tabelle zur Rückverfolgbarkeit der Lieferkette
| Auslösen | Risiko-/Status-Update | SoA/Beweise |
|---|---|---|
| Lieferantenvorfall | Risikoregister und Audit aktualisieren | SoA A.5.19, Vertrag, Protokoll |
| Jahresrückblick | Lieferkette erneut validiert | Risikoregister, Aufzeichnung |
Bei jedem Audit wird nun erwartet, dass diese Kette in Ihrer Compliance-Plattform aktiv ist – und nicht auf Anfrage nachgerüstet wird.
Kroatiens Position: EU-Vergleich, Best Practices und die nächsten Schritte
Kroatiens NIS-2-Reaktion gehört zu den am besten koordinierten in Europa – mit klaren Behörden, einem nationalen CSIRT und einem schnell aktualisierten Regulierungskonzept. Im Vergleich zu anderen EU-Ländern zeichnet sich Kroatien durch schnelle Gesetzgebung und starke Reaktion auf Vorfälle aus. Es besteht jedoch noch Raum für eine Vertiefung der branchenweiten Leitlinien, der Einbindung der Vorstandsetagen und der Integration in neue Bereiche wie die KI-Governance.
Die wahre Cyber-Reife wird anhand der besten Standards der Nachbarn und der EU gemessen.
Checkliste zur Compliance-Reife auf Vorstandsebene
- Ist eine jährliche Vorstandsschulung vorgeschrieben und werden Aufzeichnungen darüber geführt?
- Ist ein digitales Compliance-Dashboard vorhanden und wird es auf Vorstandsebene überprüft?
- Sind KI-Governance und multinationale Risiken im Compliance-Plan abgebildet?
Konkreter nächster Schritt: Laden Sie den NIS 2-Fahrplan der kroatischen Regierung herunter und verteilen Sie ihn an Ihr Compliance-Gremium. Wenn Sie Ihre Ambitionen jetzt an Best Practices im Bereich Cybersicherheit (und KI) ausrichten, sichern Sie sich einen Vorsprung vor der Konkurrenz.
ISMS.online für NIS 2: Integration kroatischer Compliance, Nachweise und Audits
Die fragmentierte Komplexität der kroatischen NIS 2-Compliance kann transformiert werden – mit einer Compliance-Plattform, die auf lokale Gesetze, regulatorische Kadenzen und Vorfallserwartungen zugeschnitten ist. ISMS.online bietet HeadStart-Onboarding, automatisierte Policy Packs, Live-Vorfallberichte und Echtzeit-Dashboards, die auf ZSIS und CSIRT.hr abgestimmt sind (isms.online).
- Über ein einheitliches Dashboard behalten ZSIS, CSIRT.hr, Beschaffung, Lieferkette und Vorstandsaufsicht den vollen Überblick und können alle Anforderungen, Fristen und Aufgaben verfolgen, von der Bestätigung der Mitarbeiter in Echtzeit bis zum Prüfstatus.
- Dashboards zur Benutzereinbindung und zu Aufgaben bieten KPIs für die Bestätigung der Mitarbeiterrichtlinien, den Compliance-Status und gesetzliche Fristen.
Über das Bestehen von Audits hinaus bauen Sie eine kontinuierliche Sicherheitsstabilität auf, die jeden Monat verfolgt und sichtbar ist.
Verknüpfte Arbeit, KPIs, beweissichere Exporte und automatisierte Lieferkettenprüfungen konsolidieren alle Anforderungen, beseitigen das Audit-Chaos in letzter Minute und stellen sicher, dass jede Aktion protokolliert wird.
Keine Überraschungen mehr im Sitzungssaal. Alle Compliance-Radare sind jetzt an einem Ort untergebracht. So wird NIS 2 vom Risiko zum Reputationsgewinn für Ihr Unternehmen.
Starten Sie noch heute mit ISMS.online eine Überprüfung Ihrer Vorstandsbereitschaft, starten Sie die Auditplanung oder erkunden Sie Live-Dashboards. Machen Sie Compliance zu einem Wettbewerbsvorteil und machen Sie die NIS 2-Resilienz zu Ihrer Stärke.
Häufig gestellte Fragen (FAQ)
Wer ist die NIS 2-Behörde Kroatiens und wie funktioniert die Compliance-Eskalation eigentlich?
Die offizielle NIS-2-Behörde Kroatiens ist das Büro für Informationssystemsicherheit (ZSIS). Es fungiert als zentrale Anlaufstelle für die NIS-2-Aufsicht, die sektorale Koordinierung und die Rechtsauslegung in allen regulierten Sektoren. Bei allen Compliance-Anfragen – beispielsweise zur Abdeckung Ihres Unternehmens, zu Auditerwartungen oder zur Sektorklassifizierung – ist ZSIS über sein offizielles Webportal Ihre erste Anlaufstelle. ZSIS liefert nicht nur verbindliche Antworten, sondern verwaltet auch die Eskalation, wenn die Sektorministerien nicht antworten oder die Klassifizierung zweifelhaft ist. Die formelle Eskalation umfasst die Einreichung dokumentierter Anfragen über das ZSIS-Portal. Das Büro erlässt verbindliche Entscheidungen und schaltet bei Bedarf die Sektorministerien ein. In dringenden oder ungelösten Fällen betreibt ZSIS eine Rechtsberatungshotline. Diese Eskalationsschritte – und Aufzeichnungen aller ZSIS-Kontakte, Beratungen und Newsletter-Abonnements – sind obligatorisch. Prüfungsnachweise unter dem kroatischen NIS-2-Regime.
ZSIS ist das dokumentierte Rückgrat für die Eskalation – es überbrückt Lücken, sorgt für Klarheit und stellt sicher, dass keine Compliance-Frage ungelöst bleibt.
Eskalations-Roadmap
| Eskalationsszenario | Action | ZSIS-Pfad | Erforderliche Prüfungsnachweise |
|---|---|---|---|
| Ministerium reagiert langsam/keine | Formelle Anfrage an ZSIS | Über das ZSIS-Portal einreichen | Eskalationsprotokoll |
| Klassifizierungsstreit | Dokumentieren & Nachweis einreichen | ZSIS-Entscheidung/Mediation | Registerbeweise, Entscheidung |
| Dringendes Rechts-/Compliance-Problem | ZSIS-Hotline anrufen | Direkte Vorstands-/Sektorübergabe | Hotline/E-Mail-Aufzeichnung |
Bewahren Sie Nachweise für jeden Schritt auf – die kroatischen Audits erfordern eine klare Spur der Behördenkontakte und Eskalationsaufzeichnungen.
Wie funktioniert CSIRT.hr und welche Schritte sind in der Praxis für die Meldung von Vorfällen in Kroatien erforderlich?
CSIRT.hr, verwaltet von CARNET, ist Kroatiens maßgebliches Computer Security Incident Response Team für die Bewältigung aller bedeutenden, durch NIS 2 regulierten Cybervorfälle. Wenn in Ihrer Organisation ein Cyberereignis mit erheblichen Auswirkungen auf Geschäft oder Daten eintritt, müssen Sie CSIRT.hr innerhalb von 24 Stunden über das sichere Meldeportal benachrichtigen. Die erste Meldung sollte die Auswirkungen des Ereignisses, die betroffenen Vermögenswerte und die sofortigen Maßnahmen zusammenfassen. Innerhalb von 72 Stunden folgt ein obligatorisches Fortschrittsupdate mit Einzelheiten zu den laufenden Eindämmungs- und Untersuchungsarbeiten. Sobald die Auswirkungen vollständig behoben sind, wird ein Abschlussbericht eingereicht, der ausdrücklich auf die gewonnenen Erkenntnisse und Präventionsverbesserungen eingeht. CSIRT.hr bietet insbesondere einen Selbstchecker vor dem Vorfall, der den Teams hilft, ihren Meldeprozess zu überprüfen. Dies wird dringend empfohlen, um Kommunikationszusammenbrüche in Krisensituationen zu vermeiden.
Durch das Üben Ihres Benachrichtigungs-Workflows – vor einem Vorfall – bleiben Ihre Rechts- und Geschäftskontinuitätsmuskeln für die Prüfung in der realen Welt bereit.
Tabelle zum Lebenszyklus von Vorfallbenachrichtigungen
| Berichterstattungsphase | Frist | Kerninhalte | Übermittlungsweg | Prüfungsnachweis |
|---|---|---|---|---|
| Erstmeldung | 24 Stunden | Ereigniszusammenfassung, Auswirkungen, Maßnahmen | CSIRT.hr-Portal | Zeitgestempeltes Protokoll |
| Fortschrittsbericht | 72 Stunden | Eindämmung, Untersuchung | CSIRT.hr-Portal | Update-Protokoll |
| Abschlussbericht | Nach der Lösung | Ergebnis, Korrekturen, Lernen | CSIRT.hr-Portal | Abschlussbericht/Protokoll |
| Feedbackschleife: | Schließung | Integration von CSIRT-Eingaben | Intern, ZSIS | SoA/Richtlinienaktualisierung |
Bei Verzögerungen oder unvollständiger Dokumentation steigen die Straf- und Prüfungsrisiken drastisch an – ein enger Feedback-Kreislauf und die Aufbewahrung von Aufzeichnungen sind daher nicht verhandelbar.
Hat Kroatien die NIS 2-Umsetzung abgeschlossen und welche Prüfungsauslöser oder gesetzlichen Fristen gelten jetzt?
Ab September 2024 hat Kroatien ein neues Cybersicherheitsgesetz in Kraft gesetzt, das NIS 2 widerspiegelt und verbindliche Anforderungen auf alle „wesentlichen“ und „wichtigen“ Unternehmen ausweitet. Zu den Verpflichtungen gehören jährliche Risikoüberprüfungen, Vorfallmeldungen in Echtzeit, dokumentierte Zusicherungen Dritter und ganzjährige Bereitschaft für beweisbasierte Audits. Die Fachministerien koordinieren mit dem ZSIS die Pflege des nationalen Unternehmensregisters und versenden jährliche Erinnerungen an die Einhaltung von Fristen. Gesetzliche Fristen für Vorfallmeldungen (24h, 72h), Selbsteinschätzungen und die Erneuerung von Nachweisen sind im nationalen Kalender verankert und werden jährlich geprüft. Wichtig ist, dass die Rechtsstruktur von NIS 2 nun mit der DSGVO, den Gesetzen zu kritischen Infrastrukturen und den sich schnell entwickelnden Gesetzen zur KI-Governance abgeglichen ist, sodass Organisationen ihre Compliance-Nachweise und Meldezyklen harmonisieren müssen, andernfalls drohen ihnen verstärkte Kontrollen (DSGVO/Rechtsbezug zu kritischen Infrastrukturen).
| Audit-Trigger/Ereignis | Betroffene Entität | Rechtliches Zitat | Frist/Zeitraum |
|---|---|---|---|
| Jährliches Prüfungsfenster | Alle abgedeckten Organisationen | Cyber-Sicherheitsgesetz, NIS 2 | Registry-definiert |
| Bedeutender Vorfall | Wichtige Organisationen | NIS 2, Nationales Recht | 24h + 72h |
| Lieferantenvertrag | Organisationen mit Lieferkettenbezug | NIS 2 Art. 21/22 | Bei Vertragsunterzeichnung |
Abonnieren Sie die Feeds von ZSIS und den Ministerien, um automatische Compliance-Erinnerungen zu erhalten – das Versäumen einer Frist gilt nun als gesetzliche Nichtkonformität.
Wie können Sie den NIS 2-Status Ihrer Organisation in Kroatien nachweisen oder anfechten?
Der Status Ihres Unternehmens als „systemrelevant“ oder „wichtig“ (oder ausgenommen) wird durch die regelmäßige Aufnahme in das offizielle Register der ZSIS geregelt, das in Zusammenarbeit mit den Fachministerien aktualisiert wird. Jedes erfasste Unternehmen muss jährlich eine Selbstauskunft über das Online-Tool der Regierung einreichen und dabei Branche, Dienstleistung, Größe, Lieferkette und Konzernstruktur angeben. Jede Konzerneinheit oder Tochtergesellschaft wird separat registriert. Sollte eine Einstufung falsch erscheinen, können Sie diese durch Einreichung von Beweismitteln – wie Branchendokumentation, Registerauszug oder Referenz aus dem – über den ZSIS-Streitfallprozess anfechten. Die Führung eines digitalen Archivs aller Selbstauskünfte, Registereinträge, Verträge und Streitprotokolle ist unerlässlich für Prüfungsbereitschaft.
Eine jährliche Selbstbewertung ist nicht nur eine Richtlinie, sondern auch eine rechtliche Absicherung für Ihren Vorstand und Ihren Prüfungszyklus.
Checkliste zur Einhaltung des Unternehmensstatus
- Registry-Check (jährlich und nach jeder Schlüsseländerung)
- Einreichung einer Selbsteinschätzung (zu Lieferkette, Branche, Größe)
- Alle relevanten Vertrags- und Registernachweise für SoA/Audits einreichen
- Führen Sie Aufzeichnungen über Streitigkeiten, ZSIS-Korrespondenz und Entscheidungen
Ein schneller und umfassender Zugriff auf diese Nachweise kann den Unterschied zwischen einem reibungslosen Audit und einem Ergebnis ausmachen, das die Zertifizierung verzögert oder Sie einem rechtlichen Risiko aussetzt.
Welche Betriebsschritte und Feedback-Zyklen müssen Organisationen für die NIS 2-Vorfallmeldung in Kroatien protokollieren?
Ein NIS 2-Vorfall ist jedes Cyberrisiko oder -ereignis, das voraussichtlich erhebliche Auswirkungen auf das Geschäft, die Dienste oder die Daten hat. Ablauf der Vorfallbehandlung:
- 1. Erstmeldung (≤24h): Beschreiben Sie das Ereignis, die betroffenen Vermögenswerte und die sofortigen Maßnahmen.
- 2. Fortschrittsaktualisierung (≤72h): Geben Sie den Status der Eindämmung, der Untersuchungsphase und des aktualisierten Risikos an.
- 3. Abschlussbericht: Detaillierte Korrekturen/Sanierungen, Ergebnisse und gewonnene Erkenntnisse.
- 4. Feedback-Integration: Ordnen Sie die Empfehlungen von CSIRT.hr Ihren SoA/Dokumenten zu. Prüfer prüfen nun, ob diese Best Practices und die Reaktion des Vorstands in Ihren Aktualisierungsprotokollen sichtbar sind.
| Berichterstattungsphase | Frist | Inhalt | Wo soll die Datei abgelegt werden? | Audit-Log-Eintrag |
|---|---|---|---|---|
| Erstmeldung | 24 Stunden | Auswirkungen, betroffene Vermögenswerte, Maßnahmen | CSIRT.hr-Portal | Bericht mit Zeitstempel |
| Fortschrittsbericht | 72 Stunden | Eindämmung, Untersuchung | CSIRT.hr | Update-Protokoll |
| Abschlussbericht | Bei der Lösung | Ergebnis, Lehren, Milderung | CSIRT.hr | Abschlussbericht/Protokoll |
| Feedbackschleife: | Schließung | Richtlinien/SoA-dokumentiertes Lernen | Intern + ZSIS | Änderungs-/Feedbackprotokoll |
Feedback-Loop-Beweise sind heute eine zentrale Anforderung der Audits – fehlende Dokumentation führt zu Feststellungen und möglichen Strafen.
Wie laufen die NIS 2-Aufsichts-, Prüfungs- und Strafzyklen ab und was müssen die Vorstände wissen?
ZSIS koordiniert jährliche Audits für wichtige Einheiten (mit der Möglichkeit unangekündigter Audits) und ereignisgesteuerte Audits für wichtige Einheiten. Versäumte Meldung von Vorfällen, Nichteinhaltung oder Beweislücken führen zu Strafen und obligatorischen Sanierungsplänen, in der Regel mit einer Frist von 30 Tagen. Jedes regulierte Unternehmen muss ein Live-Dashboard oder einen Dokumentations-Hub unterhalten, der Compliance-KPIs, Intervalle zur Vorfallsbehebung, SoA-/Richtlinien-Updates und das Engagement auf Vorstandsebene dokumentiert. Kroatische Prüfer fordern routinemäßig alle Protokolle an Vorstandsabnahme, geplante Überprüfungen und Vorfallüberwachung als Teil der Compliance-Überprüfung
Prüfungs- und Vorstandsaufsichtstabelle
| Auslösen | Aktion aktualisieren | Richtlinien-/SoA-Link | Erforderliche Nachweise |
|---|---|---|---|
| Meldeverzug | Vorstand benachrichtigt, Abhilfe | Audit-SoA, KPIs | Benachrichtigung, Plan |
| Audit fehlgeschlagen | Grundursache und Fehlerbehebung protokolliert | SoA, Kontrolldokumentation | Regulierungs-/Auditprotokoll |
| Vorstands-/Führungswechsel | Richtlinienabzeichnung, Überprüfung | Governance-Handbuch | Dokument-/KPI-Dashboard |
Regelmäßiges Engagement des Vorstands, nachverfolgte Freigaben und SoA-Überprüfungen sind keine Option. Im NIS 2-Regime Kroatiens wird nun proaktives Handeln und nicht das Patchen nach Vorfällen erwartet.
Welche neuen Pflichten in Bezug auf Lieferketten- und Drittrisiken gelten für kroatische NIS 2-Organisationen?
Alle regulierten Organisationen müssen ein namentlich gekennzeichnetes und aktuelles Register ihrer wichtigsten Lieferanten und Drittparteien führen, in jedem Vertrag NIS 2-konforme Sicherheitsklauseln katalogisieren und regelmäßige Risikoprüfungen durch Drittparteien durchführen. Sicherheitslücken oder -vorfälle in der Lieferkette müssen CSIRT.hr innerhalb der gleichen Fristen wie interne Vorfälle gemeldet werden. Bei Audits müssen Organisationen ein vollständiges Protokoll der Risikokartierung der Lieferkette, Vertragsnachweise, Bewertungen durch Drittparteien und ergriffene Minderungsmaßnahmen vorlegen. Ihre Beschaffungsfunktion ist nun ein Compliance-Risikozentrum, das IT oder Sicherheit ebenbürtig ist.
Jährliche Lieferantenprüfungen sind kein Papierkram mehr, sondern eine Compliance-Währung für Prüfer und Geschäftspartner.
Tabelle zur Einhaltung der Lieferkettenvorschriften
| Pflicht | Prüfnachweis/Artefakt | Verknüpfte Richtlinie |
|---|---|---|
| Lieferantenrisikokartierung | Benanntes Risikoregister, Protokoll | Lieferanten-/SCM-Richtlinien |
| Vertragsklauseln | Akte mit Klauselnachweisen | Vertragsprüfungsaufzeichnungen |
| Überprüfung durch Dritte | Dokumentierte jährliche Beurteilungen | Risikomanagement Plan |
| Lieferantenvorfall | CSIRT.hr-Bericht/Registrierung | Vorfallprotokoll/Politik |
Wo steht Kroatien bei der Einführung von EU NIS 2 – und welche bewährten Verfahren zeichnen es aus?
Kroatien ist ein etablierter Vorreiter bei der NIS-2-Anpassung: ZSIS ist eine zentrale Behörde mit einem robusten nationalen CSIRT und einem transparenten Unternehmensregister. Zu den verbleibenden Herausforderungen zählen Ressourcenunterschiede auf Sektorebene und die bevorstehende Integration von Regeln für die digitale/KI-Lieferkette. Zu den fortschrittlichen Best Practices auf dem kroatischen Markt gehören mittlerweile regelmäßige Schulungen des Vorstands zu Cyberrisiken, NIS-2-KPI-Dashboards, die in Vorstandssitzungen überprüft werden, und ein aktiver Informationsaustausch mit EU-Kollegen – diese Indikatoren zeichnen zukunftsorientierte Compliance-Programme aus. Unternehmen, die diese Praktiken umsetzen, sind nicht nur Audits voraus, sondern übertreffen auch ihre Konkurrenten bei grenzüberschreitender Beschaffung und digitalem Vertrauen.
Wie unterstützt ISMS.online die durchgängige kroatische NIS 2-Konformität und macht Ihre Auditbereitschaft zukunftssicher?
ISMS.online wurde speziell dafür entwickelt, das kroatische NIS 2-Gesetz von einem stressigen Mandat in Vertrauen auf Vorstandsebene zu übersetzen. Unsere HeadStart-Onboarding führt Teams durch die Compliance-Schritte – Registrierungszuordnung, lokalisierte Richtlinien und Bestätigung des NIS 2-Entitätsstatus ((https://de.isms.online/nis-2-directive/)). Automatisierte Dashboards und Linked Work halten Echtzeit-Beweise Für Prüfer, Vorstände und Einkäufer jederzeit griffbereit – chaotische manuelle Prüfungen in letzter Minute entfallen. Die Lieferketten- und Vertragszuordnung wird vereinfacht; KPI-Updates und Vorfallprotokollierung erfüllen die Anforderungen von Prüfern mit weniger Verwaltungsaufwand. Mit rollenspezifische Richtlinienpakete, Schulungsmodule und integrierte Vorfallplanung, jeder Mitarbeiter wird mit klaren Beweisspuren an Bord genommen.
Beginnen Sie jetzt Ihre Reise zur NIS 2-Compliance mit ISMS.online – Integration von Audits, Board Assurance und Supply Chain Trust in einem einzigen, belastbaren Rahmen für kroatische und EU-Organisationen.
