Prilog II — važna entiteta

NIS2/ZKS za fintech, procesor plaćanja i neobanke u Hrvatskoj — obveze važne entitete 2026.

Vodič za fintech tvrtke, procesor plaćanja, neobanke i platforme digitalnog kreditiranja u Hrvatskoj koji su klasificirani kao važne entitete prema Prilogu II ZKS-a. Saznajte konkretne obveze upravljanja ICT rizicima, testiranja sigurnosti i izvještavanja o incidentima specifične za sektor financijskih usluga.

Fintech tvrtke, procesor plaćanja, neobanke i platforme digitalnog kreditiranja registrirane u Hrvatskoj spadaju pod Prilog II ZKS-a ako pružaju usluge plaćanja, digitalne novčane usluge ili kreditiranje sa značajnim utjecajem na financijsku stabilnost i sigurnost građana. Obuhvaćene su i tvrtke sa manje od 500 zaposlenih ako upravljaju kritičnom infrastrukturom plaćanja ili obrađuju velike količine financijskih podataka.

Ključne obveze NIS2 za ovaj sektor

Upravljanje ICT rizicima proporcionalno veličini i kritičnosti

Svaka fintech tvrtka mora uspostaviti politiku upravljanja ICT rizicima koja uključuje identifikaciju rizika specifičnih za plaćanja i obrada podataka, procjenu mogućih gubitaka i primjenu mjera ublažavanja. Za neobanke: dokumentirajte sve sustave važne za neprekidnost plaćanja i definirajte prihvatljive vremenske periode oporavka (RTO) i točke oporavka (RPO).

Sigurnosno testiranje API-ja i mobilnih aplikacija nakon svakog ažuriranja

Obavezno je provođenje penetracijskih testova i sigurnosnih revizija koda svih API-ja koji se koriste za plaćanja, autentifikaciju ili transfer sredstava najmanje dva puta godišnje ili nakon značajnih izmjena. Dokumentirajte sve pronađene ranjivosti, vremenske rokove popravke i potvrdu otklanjanja.

Zaštita podataka korisnika usklađena s NIS2 i PSD2/GDPR

Primjena šifriranja (najmanje AES-256 za podatke u mirovanju), primjena TLS 1.2+ za podatke u prijenosu i implementacija kontrole pristupa na osnovi najmanje potrebe. Fintech tvrtke moraju dokumentirati sve slučajeve obrade osjetljivih podataka (IBAN, kartični brojevi) i održavati evidenciju pristupa barem 90 dana.

Zahtjevi sigurnosti za dobavljače i pružatelje cloud usluga

Sve ugovore s cloud provajderima, procesorima plaćanja i trećim stranama koji imaju pristup računalnoj infrastrukturi ili podatcima moraju sadržavati eksplicitne klauzule o: revizijama sigurnosti, obavijestima o incidentima unutar 24 sata, geografskim lokacijama skladištenja podataka i pravima na reviziju.

Izvještavanje o incidentima koji utječu na obradu plaćanja

Ako je prekid plaćanja ili curenje podataka povezano s ICT-om učinio uslugu nedostupnom duže od 30 minuta, procesor plaćanja ili neobank mora obavijestiti SOA (Sigurnosno-obavještajnu agenciju) u roku od 24 sata s detaljima o uzroku, broju pogođenih korisnika i poduzetim mjerama.

Tipični nedostaci usklađenosti u ovom sektoru

Preporučeni alati za ovaj sektor

Secfix secfix.com

Provjeri alat →
Reglyze reglyze.com

Provjeri alat →
Sprinto sprinto.com

Provjeri alat →

Često postavljana pitanja

Koja je razlika između NIS2 izvještavanja i PSD2 incident notifikacija koje već pružamo?

PSD2 zahtjeva obavijest korisnicima u roku od 72 sata ako je curenja podataka; NIS2 zahtjeva obavijest SOA-e u roku od 24 sata ako je ICT incident učinio plaćanja nedostupnima duže od 30 minuta. Oba izvještaja su obavezna i trebate dokumentirane procedure za oba scenarija.

Moramo li obaviti sigurnosno testiranje API-ja ako koristimo samo AWS ili cloud rješenja trećih strana?

Da, čak i ako koriste cloud infrastrukturu. Vi ostajete odgovorni za sigurnost vlastite aplikacije i API-ja na njoj. Testiranje mora biti redovito (najmanje dvije puta godišnje) ili nakon važnih ažuriranja. Obaveza je vaša, bez obzira na Cloud provider.

Koja su novčana kazna ako ne usklađimo NIS2 obveze do kraja 2026.?

Zakon o kibernetskoj sigurnosti predviđa novčane kazne do 50.000 eura za fizičke osobe i do 10% godišnjeg prometa ili 10 milijuna eura (ovisno što je veće) za pravne osobe kao važne entitete. Rok usklađenosti je 31. prosinca 2026.

Provjerite zahtjeve za vašu organizaciju

SOA/NIS2 · Hrvatska · 2026

Pokrenuti kalkulator →