Ova stranica je namenjena direktorima sigurnosti podataka, voditeljima tehnologije i vlastitim službenicima osiguravajućih društava u Hrvatskoj koja moraju osigurati kontinuitet poslovanja i zaštitu podataka osiguranika u skladu s NIS2 direktivom. Naučite koje su ključne tehnične i organizacijske mjere obavezne, kako izbjeći najčešće greške, i koja rješenja ubrzavaju usklađenost.
Osiguravajuća društva, brokeri osiguranja i reosiguravatelji sa sjedištem u Hrvatskoj čiji su sustavi za obradu podataka osiguranika, aktuarskoj analizi ili obrade zahtjeva za isplatu štete klasificirani kao kritična infrastruktura ili važne usluge prema Zakonu o kibernetičkoj sigurnosti (ZKS). Ukupan osiguranu imovinu ili broj aktivnih polica čini takvu organizaciju važnim određenim društvom.
Osiguravajuća društva moraju uspostaviti sveobuhvatnu kontrolu pristupa, šifriranje podataka osiguranika u mirovanju i u prijenosu te redovne revizije baza podataka polica. Sustavi za upravljanje aktuarskim izračunima i podacima o riziku zahtijevaju izdvojenu zaštitu, uključujući logiranje svih pristupa i eksplicitnog brisanja podataka prema politici čuvanja.
Society mora imati provjerenu strategiju oporavka nakon katastrofe (RTO manje od 4 sata, RPO manje od 1 sata) za sustave kritične za isplatu štete i upravljanje zahtjevima. Ovo zahtijeva geografski odvojene podatkovne centre, redovne testove failover-a najmanje dva puta godišnje te dokumentirane procedure aktiviranja.
Osiguravajuća društva moraju provesti ocjenu rizika svih vanjskih dobavljača softvera za underwriting, procjenu štete i upravljanje brokerskima portalima. Svaki ugovor s dobavljačem mora sadržavati klauzule o sigurnosti podataka, pravima pristupa reviziji te obvezi obavijesti o incidentima u roku od 24 sata.
Svi kanali za prodaju osiguranja (web portali, mobilne aplikacije, brokershke platforme) moraju biti zaštićeni sa multifaktorskom autentifikacijom, kontrolom rate-limitiranja te DDoS zaštitom. Potrebne su redovne penetracijske testove najmanje dva puta godišnje kako bi se identificirale sigurnosne ranjivosti.
Osiguravajuća društva moraju provesti formalne procjene kibernetičkog rizika najmanje godišnje, uključujući inventar svih IT sustava, legacy aplikacija, operacijskih sustava te licenciranih alata. Procjena mora identificirati popravke bez primjene, zastare tehnologije i nedostatke u patch management procesima.
Sva osiguravajuća društva, brokeri i reosiguravatelji sa sjedištem u Hrvatskoj koja su klasificirana kao važna određena društstva prema Zakonu o kibernetičkoj sigurnosti moraju se usklađiti. Tipično, to su društva s više od 50 zaposlenih, godišnjim premijem iznad 10 milijuna eura ili društva čiji sustavi obrađuju osjetljive podatke osiguranika na nacionalnoj razini.
Legacy sustavi moraju biti uključeni u formalnu procjenu rizika i zahtijevaju minimalno: primjenu sigurnosnih zakrpi kada su dostupne, izdvojenu mrežu s ograničenim pristupom, redovito monitoring aktivnosti pristupa i plan zamjene sa datumom završetka. Ako je zamjena nemoguća, potrebna je dodatna kontrola kao što su web application firewalli (WAF) ispred starih sustava.
Kazne za neusklađenost s NIS2 direktivom i ZKS-om mogu doseći do 10 milijuna eura ili 2% godišnjeg svjetskog prometa, ovisno o težini povrede. Hrvatski nadzorni organi (HALKOM i SOA) provode redovne inpekcije osiguravajućih društava nakon roka od 17. listopada 2024. godine kada je direktiva stupi na snagu.