Prilog II — Važan subjekt

NIS2/ZKS za stomatološke i specijalističke medicinske klinike u Hrvatskoj — zahtjevi 2026

Ovaj vodič je namijenjen upraviteljima i IT odgovornim osobama u stomatološkim lancima i specijalističkim klinikama s 50 ili više zaposlenih. Naučit ćete kako osigurati sigurnost pacijentskih zdravstvenih podataka, X-ray i CT DICOM snimaka te kako usklađiti NIS2 i GDPR zahtjeve do kraja 2026.

Stomatološke klinike, ordinacije specijalista te medicinski centri s najmanje 50 zaposlenih ili digitalno upravljanim sustavima za pacijente spadaju u važne subjekte prema NIS2/ZKS. Posebno se primjenjuje ako vašu kliniku koriste druge ustanove, odnosno ako pružate usluge daljinama ili upravljate medicinskom dokumentacijom drugih subjekata. Obveza se primjenjuje na sve hrvatske klinike neovisno o vlasničkoj strukturi.

Ključne obveze NIS2 za ovaj sektor

Zaštita sustava za snimanje pacijentskih podataka i DICOM slika

Morali ste osigurati da su svi sustavi za pohranu i upravljanje pacijentskim zapisima, X-ray i CT snimcima (DICOM server) tehnički zaštićeni od neovlaštenog pristupa, zlonamjernog softvera i izgubljenih podataka. To uključuje enkripciju podataka u mirovanju i tijekom prijenosa te logiranje svih pristupa. Sustav je potrebno redovito testirati penetracijskim testiranjem najmanje jednom godišnje.

Dvostruka usklađenost s NIS2 i GDPR zahtjevima za zdravstvene podatke

Zdravstveni podaci pacijenata su osjetljiva kategorija podataka prema GDPR-u i istovremeno kritični sadržaj prema NIS2/ZKS. Morate imati ugovor o obrada podataka (DPA) sa svim dobavljačima klinike, dokumentaciju o procjeni rizika i jasan mehanizam prihvaćanja suglasnosti pacijenata. NIS2 zahtjeva dodatno povećanu sigurnost s detaljnom evidencijom incidenta i vremenskom linijom oporavka.

Obveza izvještavanja o incidentima koji utječu na pacijentske podatke i raspored

Ako dođe do sigurnosnog incidenta koji utječe na pacijentske podatke ili mogućnost zakazivanja pacijenta, morate ga prijaviti Agenciji za zaštitu konkurencije i drugim relevantnim tijelima u roku od 72 sata. Prijabu je potrebno dokumentirati s vremenskom linijom, utjecajem na pacijente i poduzete mjere. Pacijente je potrebno obavijestiti ako je njihova privatnost ugrožena.

Sigurnost dobavljačkog lanca za softver medicinske klinike

Svi dobavljači vašeg kliničkog softvera, od sustava za upravljanje pacijentima do integracije laboratorija, moraju se procjenjivati prema NIS2 zahtjevima. Morate imati redovite audite dobavljača, ugovore koji osiguravaju sigurnosne obveze i plan oporavka ako dobavljač prestane s radom. Posebna pozornost se posvećuje dobavljačima koji su dijelom lanaca opskrbe ili koriste iste resurse kao druga zdravstvena postrojenja.

Provjera sigurnosti i ažuriranje rezervnih kopija pacijentskih podataka

Morate imati implementiran redovit proces provjere funkcioniranja rezervnih kopija pacijentskih zapisanika, s vremenom oporavka od maksimalno 24 sata. Rezervne kopije se ne smiju nalaziti na istoj mreži kao primarni sustav te moraju biti dostupne samo administratorima. Svaka provjera mora biti dokumentirana i uključiti test restoriranja barem svakog tromjesečja.

Tipični nedostaci usklađenosti u ovom sektoru

Preporučeni alati za ovaj sektor

Reglyze reglyze.com

Provjeri alat →
1Password 1password.com

Provjeri alat →
ISMS.online isms.online

Provjeri alat →

Često postavljana pitanja

Ako imamo stomatološku kliniku s 40 zaposlenih, moramo li se usklađiti s NIS2/ZKS?

Ako imate 50 ili više zaposlenih ili upravljate pacijentskim podacima drugih subjekata te pružate usluge putem digitalne infrastrukture, smatrate se važnim subjektom. Ako imate manje od 50 zaposlenih ali koristite vanjski sustav za upravljanje pacijentima ili dijelite podatke sa drugih ordinacija, tada se mogućnosti primjene trebaju provjeriti sa regulatornom tijelom.

Koji je rok za usklađenost s NIS2/ZKS zahtjevima?

Rok je 31. prosinca 2026. godine za sve važne subjekte, uključujući stomatološke lance. Do tog datuma morate imati implementirane sve obaveze: sigurnost sustava, upravljanje incidentima, sigurnost dobavljača i redovite revizije. Počnite s procjenom rizika odmah jer se ažuriranja sustava i obuka zaposlenih trebaju planirati.

Koja je kazna ako se klinika ne uskladi s NIS2/ZKS zahtjevima do 2026?

Prema NIS2 direktivi, glavna kazna je do 10 milijuna eura ili do 2% godišnjeg prometnog dohotka. Hrvatski zakoni o zaštiti kritične infrastrukture mogu dodatno predviđati sankcije, upozorenja i obvezu zastoja usluge. Preporučujem da se počne s usklađenjem odmah kako bi se izbjegle kazne i gubljenje povjerenja pacijenata.

Provjerite zahtjeve za vašu organizaciju

SOA/NIS2 · Hrvatska · 2026

Pokrenuti kalkulator →