Prilog II — važno određeno društstvo

NIS2/ZKS za osiguravajuća društva u Hrvatskoj — regulatorna zahtjeva i priprema do 2026.

Ova stranica je namenjena direktorima sigurnosti podataka, voditeljima tehnologije i vlastitim službenicima osiguravajućih društava u Hrvatskoj koja moraju osigurati kontinuitet poslovanja i zaštitu podataka osiguranika u skladu s NIS2 direktivom. Naučite koje su ključne tehnične i organizacijske mjere obavezne, kako izbjeći najčešće greške, i koja rješenja ubrzavaju usklađenost.

Osiguravajuća društva, brokeri osiguranja i reosiguravatelji sa sjedištem u Hrvatskoj čiji su sustavi za obradu podataka osiguranika, aktuarskoj analizi ili obrade zahtjeva za isplatu štete klasificirani kao kritična infrastruktura ili važne usluge prema Zakonu o kibernetičkoj sigurnosti (ZKS). Ukupan osiguranu imovinu ili broj aktivnih polica čini takvu organizaciju važnim određenim društvom.

Ključne obveze NIS2 za ovaj sektor

Sigurnost podataka osiguranika i aktuarskih sustava

Osiguravajuća društva moraju uspostaviti sveobuhvatnu kontrolu pristupa, šifriranje podataka osiguranika u mirovanju i u prijenosu te redovne revizije baza podataka polica. Sustavi za upravljanje aktuarskim izračunima i podacima o riziku zahtijevaju izdvojenu zaštitu, uključujući logiranje svih pristupa i eksplicitnog brisanja podataka prema politici čuvanja.

Kontinuitet poslovanja za platforme obrade zahtjeva i isplate štete

Society mora imati provjerenu strategiju oporavka nakon katastrofe (RTO manje od 4 sata, RPO manje od 1 sata) za sustave kritične za isplatu štete i upravljanje zahtjevima. Ovo zahtijeva geografski odvojene podatkovne centre, redovne testove failover-a najmanje dva puta godišnje te dokumentirane procedure aktiviranja.

Upravljanje rizikom dobavljačskog lanca za SaaS i software dobavljače

Osiguravajuća društva moraju provesti ocjenu rizika svih vanjskih dobavljača softvera za underwriting, procjenu štete i upravljanje brokerskima portalima. Svaki ugovor s dobavljačem mora sadržavati klauzule o sigurnosti podataka, pravima pristupa reviziji te obvezi obavijesti o incidentima u roku od 24 sata.

Zaštita digitalnih kanala distribucije i brokershih portala

Svi kanali za prodaju osiguranja (web portali, mobilne aplikacije, brokershke platforme) moraju biti zaštićeni sa multifaktorskom autentifikacijom, kontrolom rate-limitiranja te DDoS zaštitom. Potrebne su redovne penetracijske testove najmanje dva puta godišnje kako bi se identificirale sigurnosne ranjivosti.

Redovne procjene rizika i upravljanje zalihodiskom sigurnosti

Osiguravajuća društva moraju provesti formalne procjene kibernetičkog rizika najmanje godišnje, uključujući inventar svih IT sustava, legacy aplikacija, operacijskih sustava te licenciranih alata. Procjena mora identificirati popravke bez primjene, zastare tehnologije i nedostatke u patch management procesima.

Tipični nedostaci usklađenosti u ovom sektoru

Preporučeni alati za ovaj sektor

ISMS.online isms.online

Provjeri alat →
Reglyze reglyze.com

Provjeri alat →
NordLayer nordlayer.com

Provjeri alat →

Često postavljana pitanja

Koja osiguravajuća društva u Hrvatskoj moraju se usklađiti s NIS2/ZKS do 2026. godine?

Sva osiguravajuća društva, brokeri i reosiguravatelji sa sjedištem u Hrvatskoj koja su klasificirana kao važna određena društstva prema Zakonu o kibernetičkoj sigurnosti moraju se usklađiti. Tipično, to su društva s više od 50 zaposlenih, godišnjim premijem iznad 10 milijuna eura ili društva čiji sustavi obrađuju osjetljive podatke osiguranika na nacionalnoj razini.

Što ako naše osiguravajuće društvo koristi legacy sustave za upravljanje policama koji nisu kompatibilni s modernim alatima sigurnosti?

Legacy sustavi moraju biti uključeni u formalnu procjenu rizika i zahtijevaju minimalno: primjenu sigurnosnih zakrpi kada su dostupne, izdvojenu mrežu s ograničenim pristupom, redovito monitoring aktivnosti pristupa i plan zamjene sa datumom završetka. Ako je zamjena nemoguća, potrebna je dodatna kontrola kao što su web application firewalli (WAF) ispred starih sustava.

Koje su kazne za neusklađenost s NIS2/ZKS do 2026. godine?

Kazne za neusklađenost s NIS2 direktivom i ZKS-om mogu doseći do 10 milijuna eura ili 2% godišnjeg svjetskog prometa, ovisno o težini povrede. Hrvatski nadzorni organi (HALKOM i SOA) provode redovne inpekcije osiguravajućih društava nakon roka od 17. listopada 2024. godine kada je direktiva stupi na snagu.

Provjerite zahtjeve za vašu organizaciju

SOA/NIS2 · Hrvatska · 2026

Pokrenuti kalkulator →