Prilog II — Važan subjekt

NIS2 za računovodstvene tvrtke, savjetnika i financijske revizore u Hrvatskoj — Zahtjevi do 2026.

Ova stranica je namijenjena računovodstvenim tvrtkama, poreznim savjetnicima i neovisnim revizorima koji upravljaju povjerljivim financijskim podacima klijenata. Naučit ćete konkretne zahtjeve NIS2 Direktive, obveze sigurnosti i kako se prilagoditi do kraja 2026. godine.

NIS2 obveze se primjenjuju na računovodstvene tvrtke, porezne savjetnika i financijske revizore sa najmanje 50 zaposlenih ili godišnjim prihodom većim od 10 milijuna eura koji čuvaju i obrađuju povjerljive financijske podatke više od tri klijenta. Ako ste dio grupe ili manjeg subjekta koji obavlja reviziju, procjenu rizika i strategiju upravljanja kontinuitetom poslovanja postaju zakonski obvezujući.

Ključne obveze NIS2 za ovaj sektor

Zaštita podataka klijenata i evidencija tijekom njihova životnog ciklusa

Svi financijski podaci, knjige, evidencije i porezne informacije klijenata moraju biti šifrirani tijekom pohrane i prijenosa. Morate uvesti klasifikaciju podataka prema razini osjetljivosti, kontrolirati pristup samo autoriziranim zaposlenicima i implementirati revizijske zapise koji prate svaki pristup ili izmjenu. Redovito provjerite je li šifriranje aktivirano na svim serverima, bazama podataka i cloud platformama gdje se čuvaju financijski podaci.

Kontrola pristupa računovodstvenom softveru i sustavima udaljenog rada

Svi zaposlenici koji koriste računovodstveni softver, alate za reviziju ili sustave za upravljanje klijentima moraju imati jaku autentifikaciju s dvofaktorskom provjerom. Ako dozvoljavate udaljeni pristup putem Remote Desktop-a ili VPN-a, implementirajte obavezne PIN kodove, biometrijske podatke ili hardverske ključeve. Redovito pregledavajte i oduzimajte pristup zaposlenicima koji su napustili tvrtku u roku od 24 sata.

Obaveza obavijesti i izvještavanja o incidentima koji prijete povjerljivosti klijenata

Ako dođe do curenja, neovlaštenog pristupa ili bilo kojeg sigurnosnog incidenta koji ugrožava podatke tri ili više klijenta, morate obavijestiti Agenciju za sigurnost mreža i informacija (ASMIN) u roku od 72 sata. Trebate čuvati dokumentaciju o svakom incidentu, uključujući vremenske žigove, vrste podataka koje su pogođene i mjere koje ste poduzeli. Klijente trebate obavijestiti čim je moguće ako je njihova povjerljiva financijska ili porezna informacija ozbiljno ugrožena.

Sigurnost lanaca nabave — ocjena i monitoring računovodstvenog softvera i cloud uslužitelja

Svi vanjski dobavljači softvera,云 platforme (npr. za pohrane podataka), poslužitelji i SaaS rješenja za računovodstvo trebaju biti procijenjeni s obzirom na sigurnosne standarde prije uključivanja u tvrtku. Trebate pisane ugovore sa svim dobavljačima koji definiraju obveze zaštite podataka, vremenske okvire oporavka nakon incidenta i vašu pravo da izvodite neovisne sigurnosne provjere. Godišnje pratite je li dobavljač prešao sigurnosni audit ili održao ISO 27001 certifikaciju.

Planiranje kontinuiteta poslovanja i oporavka od katastrofe za podatke klijenata

Trebate formalnu strategiju za oporavak od incidenta, uključujući redovne backupe financijskih podataka klijenata na sigurnim, šifriranim lokacijama koje su odvojene od glavne mreže. Morate barem dvije godine arhivirati sve povjerljive dokumente klijenata na nedostižan medij i redovito testirati mogućnost oporavka podataka. Definirajte vrijeme oporavka (RTO) od maksimalno 24 sata i maksimum gubitka podataka (RPO) ne duže od 4 sata za kritične klijentske podatke.

Tipični nedostaci usklađenosti u ovom sektoru

Preporučeni alati za ovaj sektor

Reglyze reglyze.com

Provjeri alat →
1Password 1password.com

Provjeri alat →
Bitwarden bitwarden.com

Provjeri alat →

Često postavljana pitanja

Kako trebam klasificirati podatke klijenata prema NIS2 zahtjevima?

Trebate podijeliti podatke u tri kategorije: redoviti (godišnje financijske izvještaje dostupne javnosti), povjerljivi (izvještaji o reviziji, porezne prijave s identifikatorima) i kritični (bankovni računi, PIN-ovi, lozinke). Za svaku kategoriju trebate različite razine šifriranja, pristupa i arhiviranja — redoviti podaci se čuvaju 1 godinu, povjerljivi 5 godina, a kritični bez vremenske godine ali u zasebnom sustavu.

Koja je minimalna frekvencija testiranja sigurnosne zaštite podataka klijenata?

Trebate barem jednom godišnje provesti vanjsku sigurnosnu provjeru (penetracijski test) ili auditu od neovisnog certifikatora. Backup oporavak trebate testirati najmanje tromjesečno i dokumentirati rezultate. Dvofaktorsku autentifikaciju trebate audirati redovito — najmanje svakih šest mjeseci proverite je li aktivirana za sve korisnike.

Koje su kazne ako ne ispunim NIS2 zahtjeve do kraja 2026. godine?

Prema NIS2 Direktivi, ASMIN može odmah izdati napomenu ako su potrebne mjere sigurnosti nedosledne. Ako ne poduzmete korektivne mjere u roku od 30 dana, računovodstvene tvrtke i revizori mogu biti suspenzije u registru s novčanom kaznom do 10% godišnjeg prihoda ili uklonjene s popisa ovlaštenih revizora. Premještanje klijentskih podataka drugom revizoru trebalo bi nekoliko mjeseci — brže je biti usklađen.

Provjerite zahtjeve za vašu organizaciju

SOA/NIS2 · Hrvatska · 2026

Pokrenuti kalkulator →