Prilog II — Važan entitet

NIS2 za hrvatska sveučilišta i visoške škole — Obaveze važnog entiteta prema Uredbi o kybernetskoj sigurnosti

Vodiči za rektore, prorektore za informatiku i službenike za kybernetsku sigurnost na hrvatskim sveučilištima i privatnim školama s digitalnom infrastrukturom. Saznajte konkretne korake za usklađenost s NIS2 zahtjevima i izbjegavanje prekršajnih kazni.

Hrvatska sveučilišta, državne i privatne visoške škole te akademije koje koriste digitalne sustave za nastavu, istraživanja ili upravljanje studentskim podacima obvezni su prijaviti se kao važni entiteti prema NIS2. Ova klasifikacija obuhvaća institucije s najmanje 500 studenata ili onih čije istraživačke mreže sadrže podatke od nacionalnog značaja.

Ključne obveze NIS2 za ovaj sektor

Zaštita podataka studenata i sustava upravljanja učenjem

Institucije moraju uspostaviti mehanizme enkripcije, kontrole pristupa i redovitih sigurnosnih pregleda za sve sustave koji obrađuju osobne podatke studenata, posebice platforme za e-učenje (Moodle, Canvas, Teams). Obvezna je i primjena standarda ISO 27001 ili ekvivalentnog okvira za upravljanje informacijskom sigurnošću.

Prijava sigurnosnih incidenata koji zahvaćaju istraživačke podatke

Svaki sigurnosni incident koji utječe na podatke studenata ili rezultate istraživanja mora biti prijavljen Službi za kybernetsku sigurnost (SOA) u roku od 72 sata. Institucije moraju uspostaviti plan reagiranja na incidente s naznačenim odgovornim osobama i redovitim vježbama.

Upravljanje lancem opskrbe za edtech prodavače i cloud platforme

Institucije moraju provesti procjene rizika za sve eksterne dobavljače koji pristupaju sustavu, posebice davatelje oblačnih usluga (Google Workspace, Microsoft 365) i prodavače sustava upravljanja studentskim informacijama. Ugovori s dobavljačima moraju sadržavati jasne odredbe o kybernetskoj sigurnosti i pravima nadzora.

Obavezna obuka za kybernetsku sigurnost za djelatnike i studente

Sve djelatnike koji koriste sustave (administrativa, nastavnici, IT osoba) i studente s pristupom istraživačkim mrežama mora se obučiti o sigurnosti lozinki, prepoznavanju phishinga i pravnoj obvezi čuvanja podataka. Obuka mora biti provedena najmanje jednoga puta godišnje s dokumentacijom.

Nadzor i revizija informacijske sigurnosti

Institucije moraju provesti godišnje sigurnosne audite ili procjene rizika od vanjskog stručnjaka, a nalazi se trebaju dokumentirati i dostupni za provjeru SOA-u tijekom nadzora. Revizije moraju uključiti testiranje na penetracije i osjetljivost, posebice za javne istraživačke portale.

Tipični nedostaci usklađenosti u ovom sektoru

Preporučeni alati za ovaj sektor

Reglyze reglyze.com

Provjeri alat →
ISMS.online isms.online

Provjeri alat →
NordLayer nordlayer.com

Provjeri alat →

Često postavljana pitanja

Moramo li obučavati studente o kybernetskoj sigurnosti ako koriste samo LMS za preuzimanje materijala?

Da. Prema NIS2 zahtjevima, svi korisnici koji pristupaju digitalnim sustavima institucije moraju biti obučeni o osnovama sigurnosti (prepoznavanje phishinga, sigurne lozinke, zaštita osobnih podataka). Preporučuje se godišnja obuka s dokumentacijom pristanka i pohađanja.

Koja je razlika između 'važnog entiteta' i 'kritične infrastrukture' po NIS2 za sveučilišta?

Sveučilišta su klasificirana kao važni entiteti (Prilog II) jer su ključna za gospodarstvo i društvo kroz istraživanja i obrazovanje. Kritična infrastruktura obuhvaća samo određene sektore (energija, voda, sigurnost). Važni entiteti imaju niže zahtjeve nego kritična infrastruktura, ali obveze oko zaštite podataka i prijavljivanja incidenata su obavezne.

Koju kaznu možemo očekivati ako ne prijavimo incident s podacima studenata u roku od 72 sata?

Prekršajne kazne prema NIS2 mogu iznositi do 2% godišnjeg prihoda institucije ili do 10 milijuna eura (ovisno o vrsti kršenja). Dodatno, mogu biti nametnuta jača upozorenja od SOA-a i obveza financiranja vanjskog audita do otklanjanja nedostatka.

Provjerite zahtjeve za vašu organizaciju

SOA/NIS2 · Hrvatska · 2026

Pokrenuti kalkulator →