Prilog II — važna entiteta

NIS2/ZKS za velike građevne tvrtke i inženjering firme u Hrvatskoj — obveze do 2026.

Vodič za the veliki gradski i civilni inžinjering tvrtke sa BIM platformama, sustavima upravljanja projektima i IoT tehnologijom na gradilištima. Saznajte kako dokumentirati sigurnost digitalnih sustava koji projektiraju i nadziru kritičnu infrastrukturu.

Velika građevna i građevinska poduzeća sa BIM platformama ili sustavima upravljanja projektima koja projekraju ili nadziru kritičnu infrastrukturu (energetiku, vodovod, promet, telekomunikacije) spadaju u važne entitete. Primjenjuje se na tvrtke sa preko 50 zaposlenih ili godišnjim prihodom većim od 10 milijuna EUR koje koriste digitalne sustave za kritičnu infrastrukturu.

Ključne obveze NIS2 za ovaj sektor

Zaštita BIM platformi i podataka o kritičnoj infrastrukturi

Sve BIM platforme, CAD datoteke i projektne baze s informacijama o kritičnoj infrastrukturi moraju imati enkripciju podataka u mirovanju i pri prijenosu, višefaktorsku autentifikaciju i detaljne revizijske zapise. Pristup arhitektonskim i inženjerskim planovima koji se koriste za energetske, vodne ili transportne projekte mora biti ograničen na overene korisnike sa dokumentiranim pravima pristupa.

Sigurnosna provjera dobavljača i podugovarača sa pristupom sustavima

Prije nego što podugovarači ili projektanti treće strane mogu pristupiti BIM platformi ili sustavima upravljanja projektima, trebate provesti sigurnosnu procjenu njihove IT infrastrukture. Ugovor s podugovaračima mora sadržavati obveze za primjenu mjera kao što su enkripcija, praćenje pristupa i prijavljivanje incidenata unutar 24 sata.

Zaštita IoT i pametnih građevinskih sustava od cyber rizika

Senzori, kamerama, kontrolni sustavi, i uređaji na gradilištima ili u pametnim zgradama ne smiju biti na istoj mreži kao uredi i administrativni sistemi. Implementirajte mrežnu segmentaciju, redovne sigurnosne zakrpe, i nadzor neobičnih aktivnosti. Sve IoT uređaje trebate inventarizirati i dokumentirati.

Plan odgovora na incidente i prijavljivanje regulatoru u roku

Trebate uspostavljiti procedure za brzo otkrivanje napadima ili curenja podataka. Ako je napad ili curenje podataka vezano uz kritičnu infrastrukturu projekt, trebate prijaviti Službi za sigurnost mreža (SOA) u roku od 24 sata. Plan odgovora mora uključivati kontakte za hitne slučajeve i procedure za komunikaciju sa klijentima i vlastima.

Redovni testovi sigurnosti i penetracijska testiranja

Najmanje godišnje, trebate provesti testove penetracije na BIM platformama, API-jima za suradnju i sustavima upravljanja projektima. Rezultate testiranja trebate dokumentirati i brže otkloniti sve pronađene slabosti. Rad trebate povjeriti nezavisnoj tvrtki s iskustvom u infrastrukturnim projektima.

Tipični nedostaci usklađenosti u ovom sektoru

Preporučeni alati za ovaj sektor

Reglyze reglyze.com

Provjeri alat →
ISMS.online isms.online

Provjeri alat →
NordLayer nordlayer.com

Provjeri alat →

Često postavljana pitanja

Trebam li enkripciju za sve podatke u BIM platformi, ili samo za one koji se tiču kritične infrastrukture?

Enkripcija je obavezna za sve podatke koji se koriste u projektima kritične infrastrukture (energija, vode, promet, telekomunikacije) — to su najčešće većina podataka u vašim BIM platformama. Enkripcija mora biti primjena i pri prijenosu (TLS 1.2 ili viša) i pri mirovanju (AES-256 ili ekvivalenta). Ako niste sigurni koji su projekti uključeni, preporučujem da enkriptirate sve kao sigurnost.

Kako trebam dokumentirati sigurnosnu provjeru podugovarača koji koristi Autodesk Construction Cloud ili Bluebeam?

Trebate izvršiti procjenu rizika njihove IT infrastrukture (sustavi za sigurnosne kopije, enkripcija, zaštita od malvera), potpisati ugovor s obvezama, i godišnje reinspektovati. Dokumentirajte sve korake u Reglyze ili sličnom alatu kako biste imali dokaz compliance. Ako podugovarač nema adekvatnu sigurnost, morali biste im ograničiti pristup samo specifičnim datotekama ili projektima kroz granularne dozvole.

Koji su kazni ako ne prijavim incident vezan uz kritičnu infrastrukturu SOA-u na vrijeme?

Prema ZKS (Zakonu o kiber sigurnosti, implementacija NIS2), neuključeni ili kasniji incidenti mogu rezultirati novčanom kaznom od 2,5 do 5 milijuna EUR ili 4-7% godišnjeg prihoda, ovisno o vrsti kršenja. Za važne entitete (kao što je vaša tvrtka), rok je 24 sata za prijavljivanje incidenta SOA-u. Brži odgovori pokazuju vašu spremnost i mogu ublažiti kazne.

Provjerite zahtjeve za vašu organizaciju

SOA/NIS2 · Hrvatska · 2026

Pokrenuti kalkulator →