Prilog I — Esencijalni subjekt

NIS2 za hrvatske bolnice i specijalizirane klinike — zahtjevi u 2026.

Ova stranica je pisana za upravitelje IT sigurnosti, medicinskog inženjerstva i voditelje bolničkih mreža sa 50+ zaposlenih. Saznajte točne obveze, tipične propuste i kako uspostaviti NIS2 sukladnost u zdravstvenom sustavu.

Bolnice, bolničke mreže, privatne klinike i centri specijalizirane zdravstvene zaštite u Republici Hrvatskoj s 50 ili više zaposlenih ili koje služe regionalnoj populaciji su klasificirani kao esencijalni subjekti prema NIS2 Prilogu I. Ova klasifikacija obavezuje vas na primjenu svih mjera Zakona o kibernetskoj sigurnosti (ZKS) koje primjenjuje Sigurnosno-obavještajnu agenciju kao nadležnu autoritet.

Ključne obveze NIS2 za ovaj sektor

Izvještavanje incidenata unutar 24h i 72h

Bolnice moraju prijaviti sve incidente vezane uz medicinske uređaje, klinički informacijski sustave i vitalne podatke Hrvatskom CSIRT-u u roku od 24 sata za rano upozorenje, a detaljnu analizu unutar 72 sata. Incidenti koji utječu na pacijentsku sigurnost ili dostupnost kritičnih sustava (npr. monitorinzi, ventilatori, PACS) trebaju biti izveštavani odmah nakon detekcije.

Segmentacija medicinske opreme od administrativne IT mreže

Klinički uređaji (CT, MRI, ventilatori, srčani monitori) i SCADA/OT sustavi moraju biti odvojeni u zasebne mrežne segmente s aktivnom kontrolom pristupa (firewall, VLAN) kako bi se spriječilo neovlašteno preusmjeravanje podataka ili zloupotrebu. Medicinski uređaji ne smiju imati izravnu vezu na office Wi-Fi ili javnu Internet mrežu bez posebnog kontrolnog sloja.

Upravljanje lancem opskrbe za medicinski softver i uređaje

Bolnice trebaju uspostaviti formalan proces provjere sigurnosti svih dobavljača medicinske opreme i softverskih rješenja, uključujući analizu koda, certifikate sigurnosti i redovite sigurnosne ažuriranja. Sporazumi s dobavljačima moraju sadržavati odredbe o incidentnom odgovoru, dostupnosti ažuriranja i suradnji pri forenzičnoj analizi ako je potrebna.

Kontinuitet poslovanja i oporavak od katastrofe za životno kritične sustave

Bolnice trebaju imati dokumentirane planove oporavka za sve sustave koji direktno utječu na sigurnost pacijentata, s testiranjem najmanje dva puta godišnje. To uključuje backup elektranu, redundantne baze podataka, replicirane medicinske informacijske sustave i alternative za slučaj pada glavnih telekomunikacijskih veza.

Redovna cybersecurity obuka kliničkog i administrativnog osoblja

Svi zaposlenici bolnice trebaju obaviti minimalno jednu godišnju obuku o kibernetskoj sigurnosti, s fokusom na prepoznavanje phishing napada, sigurne lozinke i meldiranje osumnjivanih aktivnosti. Klinički vrhunski korisnici i IT administratori trebaju specijalnu obuku na osnovu njihove uloge i pristupa osjetljivim medicinskim sustavima.

Tipični nedostaci usklađenosti u ovom sektoru

Preporučeni alati za ovaj sektor

Secfix secfix.com

Provjeri alat →
ISMS.online isms.online

Provjeri alat →
Vanta vanta.com

Provjeri alat →

Često postavljana pitanja

Što se smatra 'incidentom' koji trebam prijaviti hrvatskom CSIRT-u u roku od 24 sata?

Incident je bilo koja sigurnosna pretnja ili napad koja utječe na povjerljivost, integritet ili dostupnost medicinskih podataka ili sustava — primjerice neovlašteni pristup pacijentskim zbivanjima, otkaz kritičnog uređaja zbog malvera, gubitak podataka ili ukradene vjerodajnice kliničkog osoblja. Rizici za pacijentsku sigurnost (npr. kompromitiran monitor za vitalne znakove) trebaju biti izveštavani bez odgode, čak i prije punog 24-satnog roka.

Trebam li ažurirati Windows na staroj CT/MRI opremi ako proizvođač ne podržava nove verzije?

Da, ali sa strateškim pristupom: prvo radite s proizvođačem da testira kompatibilnost ažuriranja; ako je nemoguće, izolirajte uređaj na zasebnom mrežnom segmentu bez izravne veze na internet, s formalnom dozvolom za izuzeće i dodatnim monitoring-om za detekciju napada. Dokumentirajte rizik i plan smanjenja jer će vas inspektor Sigurnosno-obavještajne agencije pitati zašto je neispravljeno.

Koji su kazneni elementi ako ne uspostavim NIS2 sukladnost do 2026. godine?

Zakoni o kibernetskoj sigurnosti (ZKS) predviđa novčane kazne za esencijalne subjekte do 500.000 kuna za neadekvatne mjere sigurnosti, plus dodatne kazne za neuspješno ili kasno izvještavanje incidenata. Pored toga, regulatorne inspekcije mogu rezultirati upozorenjima javnosti i zabranom pružanja određenih zdravstvenih usluga ako je sigurnost pacijentata u pitanju.

Provjerite zahtjeve za vašu organizaciju

SOA/NIS2 · Hrvatska · 2026

Pokrenuti kalkulator →