Ova stranica je namijenjena glavnim čelnicima sigurnosti, compliance menadžerima i arhitektima infrastrukture u hrvatskim i EU pružateljima oblačnih usluga. Naučit ćete kako implementirati NIS2 zahtjeve za multi-tenant arhitekture, upravljanje incidenima i dokumentaciju odgovornosti prema kupcima.
Pružatelji IaaS, PaaS i SaaS usluga koji pružaju usluge kupcima u EU i zadovoljavaju jedan od sljedećih kriterija: godišnji prihod iznad 10 milijuna EUR, prosječan broj zaposlenih iznad 50, infrastruktura s najveće dvije dostupne zone ili usluge dostupne više od 98% vremena. Obaveza se primjenjuje i na hrvatskog operatora i na vanjski davatelja usluga ako održavaju podatke EU kupcima.
Trebate implementirati IOC 27001 ili SOC 2 Type II sertifikaciju kao minimalnu razinu. Za cloud okoline, to znači: logička izolacija tenant-a, šifriranje podataka u mirovanju i u prijenosu, kontrola pristupa temeljenja na principu najmanje povlastice, i redovito testiranje penetracije za sve kritične komponente. Dokumentirajte sve kontrole izolacije tenant-a i učinite ih dostupnima kupcima kroz sigurne portale.
Trebate uspostaviti detaljnu klasifikaciju incidenta koja razlikuje NIS2-relevantne incidente (oni koji utječu na dostupnost, integritet ili povjerljivost usluge) od ostalih sigurnosnih događaja. Ako incident zadovoljava NIS2 kriterije, obavijestite pogođene korisnike u roku od 24 sata, a tijelima za nadzor (Agencija za zaštitu konkurencije i SOA) u roku od 72 sata. Trebate automatizirati detekciju incidenta kroz SIEM sustave kako bi se osigurala brza klasifikacija.
Za svaki paket usluge (IaaS, PaaS ili SaaS), trebate objaviti jasan dokument koji precizira što je odgovornost pružatelja, a što odgovornost klijenta — infrastruktura, operacijski sustav, aplikacije, podatkovni dnevnici, sigurnosne zakrpe. Ažurirajte ove dokumente barem godišnje ili pri svakoj signifikantnoj promjeni u vašoj infrastrukturi. Osigurajte da će klijenti imati pristup SLA-u koji navodi vrijeme raspoloživosti, oporavka podataka i dugoročnost podataka.
Trebate garantirati da se podaci EU korisnika čuvaju na poslužiteljima smještenim u EU bez prenosa treću zemlju bez eksplicitne suglasnosti klijenta. Ako koristite podatkovne centre u drugim zemljama, trebate uspostaviti mehanizme za brzo vraćanje podataka EU korisnicima pri zahtjevu. Dokumentirajte sve lokacije podatkovnih centara, vremensku zonu replikacije i procedure povrata podataka.
Trebate provesti redovite revizije (najmanje godišnje) svojih dobavljača hardvera, operatora podatkovnih centara i ostalih kritičnih tretnih strana. Zahtijevajte od njih ISO 27001 ili ekvivalentnu sertifikaciju, dokumentirajte sve ugovore s klauzulama o sigurnosti podataka i incidentiima, te provodite redovite testove sigurnosti za sve kritične veze prema vanjskim sustavima.
Incident je NIS2-relevantan ako utječe na dostupnost, povjerljivost ili integritet usluge koju pružate i pogađa najmanje jednog EU korisnika. Uspostavite redovitu tablica klasifikacije u svojem SIEM sustavu koja automatski detektira takve incidente na osnovu loči, vrsti podataka i broja pogođenih korisnika. Trebate rukovati s tom klasifikacijom kao dijelom redovite procedure eskalacije.
Trebate objaviti jednu stranicu RACI matricu (Responsible, Accountable, Consulted, Informed) za svaki paket usluge koja jasno navodi što je odgovornost pružatelja (infrastruktura, OS zakrpe, sigurnosne arhitekture) i što klijenta (aplikacijske zakrpe, konfiguracija, pristup upravljanju). Priložite i SLA koji navodi vrijeme raspoloživosti, vrijeme oporavka podataka, i lokaciju podataka. Ažurirajte svaku godinu ili pri značajnim promjenama.
Kazne mogu biti od 10 milijuna EUR ili do 2% godišnjeg prihoda za manje kršnje, do 20 milijuna EUR ili 4% godišnjeg prihoda za ozbiljnije kršnje (npr. izostanak obavijesti o incidentu, neispunjavanje zahtjeva izolacije tenant-a). Hrvatska SOA može nametnuti i privremene zabrane ili zahtjeve za ispravku u roku. Preporučam da započnete s NIS2 mapiranjem do kraja 2025. kako biste imali vremena za implementaciju prije stupanja na snagu zakona.