Ova stranica je namenjena IT outsourcing tvrtkama, system integratorima i IT konzultantima koji upravljaju infrastrukturom klijenata. Naučit ćete konkretne obveze sigurnosti, upravljanja pristupom i izvještavanja incidenata prema NIS2 propisu u Republici Hrvatskoj.
Kvalificirate se ako ste IT outsourcing tvrtka, system integrator ili IT konzultancija s najmanje 250 zaposlenih ili godišnjim prometom većim od 50 milijuna EUR, te upravljate kritičnom infrastrukturom ili sustavima klijenata iz sektora energetike, transporta, financija ili javne uprave. Obuhvaćeni ste i ako pružate usluge od posebnog značaja za održavanje digitalnih sposobnosti klijenata ili njihove sigurnosti podataka.
Morate implementirati višefaktorsku autentifikaciju za sve daljinske pristupe klijentskim sustavima, zatim redovito rotirati povlaštene vjerodajnice i nikada ih ne dijeliti između okruženja klijenata. Dokumentirajte sve pristupe, pratite aktivnosti privilegiranih korisnika u stvarnom vremenu te održavate revidirane zapise najmanje 12 mjeseci — to je kritično jer je daljinski pristup primarni vektor napada na vašu infrastrukturu.
Svaki ugovor s klijentom mora sadržavati eksplicitne zahtjeve za sigurnost podataka, dostupnost servisa, šifriranje prijenosa i skladištenja te periodičke sigurnosne revizije. Navedite koji NIS2 zahtjevi se primjenjuju na vašu uslugu, obavežite se prijaviti sve sigurnosne incidente klijentima unutar 24 sata otkrivanja te jasno definirajte odgovornosti za sigurnost na strani klijenta i vaše strane.
Ako sigurnosni incident ili tehnička greška u vašoj infrastrukturi uzrokuje prekid ili degradaciju klijentovog servisa, dužni ste prijaviti incident tijelu Sektora — Agenciji za zaštitu konkurencije (SOA) — ako klijent bude klasificiran kao važna entiteta. Prijavite incident bez odgode ako je ugrožena dostupnost, integritet ili povjerljivost klijentovih podataka, čak i ako je vaša uloga indirektna.
Morate mapirati sve podkontraktore koji imaju pristup klijentskoj infrastrukturi ili vašim sustavima (npr. cloud pružatelje, servisere, proizvođače softvera). Za svakog podkontraktora dokumentirajte sigurnosne mjere, certifikacije (ISO 27001, SOC 2) te proverite compliance s NIS2 zahtjevima prije sklapanja ugovora. Godišnje redovito procjenjujete i ažurirate sigurnosni profil svih ključnih dobavljača.
Izradite plan koji osigurava da možete nastaviti kritične usluge klijentima čak i nakon sigurosnog incidenta ili katastrofe — s minimalnom zaustavkom vremenom (RTO) i gubitkom podataka (RPO) koji su ugovoreni s klijentom. Testirajte plan najmanje godišnje i dokumentirajte rezultate; komunikacija tijekom oporavka s klijentima mora biti uspostavljena unaprijed.
Ako je klijent klasificiran kao važna entiteta prema NIS2, vi ste njegov servisni pružatelj i trebali bi ga pomoći s prijavljivanjem incidenata SOA-i bez kašnjenja. Ako klijent nije važna entiteta, čekate njegovu odluku — ali vi ste dužni dokumentirati incident interno i provjeriti je li prekršena vaša sigurnosna politika. Preporučujem da svaki ugovor jasno navedeže tko je odgovoran za prijavu.
Povlašteni pristup je svaki račun koji može čitati, pisati ili brisati konfiguraciju, podatke ili sigurnosne postavke — npr. domain admin, root, service accounts u Active Directory-u ili baze podataka, SSH ključevi s administratorskim dozvolama. NIS2 zahtjeva da ove pristupe zaštitite s MFA, šifriranjem, rotacijom vjerodajnica te detaljnom revizijom — nikad ih ne smijete dijeliti ili spremiti u lozinkomanažere s drugima.
Za važne entitete u Republici Hrvatskoj, kazne mogu dosegnuti do 10% ukupnog godišnjeg prometa ili 10 milijuna EUR (što je veće) — ako ste klasificirani kao Annex II (važna entiteta). Dodatno, Agencija (SOA) može izdati nalog za hitnu ispravku, suspenziju usluge ili javnu upozorenjie. Preporučujem da počnete s compliance akcijama odmah, jer rok je 17. listopada 2026.