Prilog II — važan entitet (Direktiva o kibernetskoj sigurnosti)

NIS2 za zagovornike kibernetske sigurnosti u Hrvatskoj — obveze važnih entiteta za 2026.

Ovaj vodiču je namijenjen pružačima upravljanih sigurnosnih usluga (MSSP), operatorima sigurnosnih operativnih centara (SOC) i firmama koje pružaju testove penetracije u Hrvatskoj. Saznajte kako se NIS2 primjenjuje na vašu infrastrukturu, podatke klijenta i postupke izvještavanja o incidentima.

NIS2 se primjenjuje na sve pružače digitalnih usluga koji pružaju MSSP, SOC ili penetracijske testove i čiji bi sigurnosni incident mogao utjecati na klijente ili nacionalnu infrastrukturu. Obveze se primjenjuju bez obzira na broj zaposlenih ako pruža usluge više od 50 значајnih entiteta ili ako je sam važan entitet prema Prilogu II.

Ključne obveze NIS2 za ovaj sektor

Upravljanje sigurnosnim incidentima u SOC infrastrukturi

Kao MSSP ili SOC pružač, dužni ste uspostaviti postupke za prepoznavanje, klasificiranje i izvještavanje o sigurnosnim incidentima koji zahvataju vašu infrastrukturu ili podatke klijenta. Svaki incident koji utječe na mogućnost pružanja usluge mora biti izvješten nadležnoj autoriteti (SOA) u roku od 24 sata od ozbiljne suspenzije usluge, a detaljni izvještaj u roku od 72 sata.

Zaštita podataka i podataka o klijentima u SOC sustavima

Sigurnosni event log, SIEM baze podataka i izvještaji o incidentima moraju biti enkriptirani kako na transportu tako i pri skladištenju. Morate uspostaviti jasne politike zadržavanja podataka za sve klijentske informacije prikupljene tijekom monitoringa i testiranja, uključujući brisanje osjetljivih podataka u roku koji je dogovoren s klijentima.

Odgovorno otkrivanje ranjivosti i koordinirani odgovor

Tijekom penetracijskih testova i aktivnosti otkrivanja ranjivosti, morate uspostaviti proces za sigurno slanje izvješća o ranjivostima klijentima i zainteresiranim strankama. Ako otkrijete kritičnu ranjivost u softwareskim proizvodima ili platformama, trebate je koordinirano i odgovorno otkriti bez javnog izlaganja prije nego što su dostupni zakrpljivi ispravci.

Lanac opskrbe i upravljanje rizicima kod podvalatora

Kao važan entitet koji koristi podusluge (cloud infrastrukture, SaaS platforme za SIEM, vanjski forenzički laboratoriji), dužni ste provesti procjenu sigurnosti i kontinuirani nadzor njihove sigurnosti. Uključite u ugovore zahtjeve da vaši podvalateci izvještavaju o sigurnosnim incidentima koji mogu utjecati na vašu sposobnost pružanja usluge.

Periodička procjena i dokumentacija sigurnosne stanja

Morate provesti najmanje godišnje procjene svojim sigurnosnim mjerama, uključujući access control, šifriranje, autentifikaciju i nadzor ranjivosti. Dokumentacija svih procjena, testova penetracije i planova remedijalnih mjera mora biti dostupna redovitim nadzorima koje provodi SOA.

Tipični nedostaci usklađenosti u ovom sektoru

Preporučeni alati za ovaj sektor

Vanta vanta.com

Provjeri alat →
Drata drata.com

Provjeri alat →
Sprinto sprinto.com

Provjeri alat →

Često postavljana pitanja

Trebam li izvještavati SOA ako se moj SOC kompromitira i on utječe na sposobnost praćenja klijenta?

Da, apsolutno. Ako se vaša SOC infrastruktura kompromitira i to sprječava praćenje klijentovog okruženja ili pristup sigurnosnim podacima, to je klasificirano kao ozbiljna sigurnosna incidenta. Trebate izvještavati SOA u roku od 24 sata od ozbiljne suspenzije usluge, a detaljni izvještaj u roku od 72 sata od otkrića.

Kako trebam upravljati podatcima o klijentima koji se skupljaju u mom SIEM sustavu?

Morate uspostaviti pisanu politiku retencije podataka za sve SIEM baze — klasifikaciju podataka klijenta, vrijeme čuvanja, enkriptiranje pri skladištenju i prijevozu, te proceduru sigurnog brisanja nakon završetka retencijskog perioda. Svaki klijent mora biti obaviješten o retenciji kroz ugovor o pružanju usluge.

Koja je kazna ako ne izvijestim SOA o incidentu koji utječe na klijenta u roku od 24 sata?

NIS2 propisuje novčane kazne do 20 milijuna eura ili 4% godišnjeg globalnog prometa (što je veće) za neupućena ili kasna izvještavanja. Hrvatski zakon o kibernetskoj sigurnosti (ZKS) je usklađen s tim sankcijama, a SOA može također nametnuti upute za izvršenje specifičnih mjera sigurnosti unutar određenog roka.

Provjerite zahtjeve za vašu organizaciju

SOA/NIS2 · Hrvatska · 2026

Pokrenuti kalkulator →