Prilog II — važna entiteta

NIS2 za IT outsourcing tvrtke, integratere i IT konzultante u Hrvatskoj — Obveze važne entitete 2026.

Ova stranica je namenjena IT outsourcing tvrtkama, system integratorima i IT konzultantima koji upravljaju infrastrukturom klijenata. Naučit ćete konkretne obveze sigurnosti, upravljanja pristupom i izvještavanja incidenata prema NIS2 propisu u Republici Hrvatskoj.

Kvalificirate se ako ste IT outsourcing tvrtka, system integrator ili IT konzultancija s najmanje 250 zaposlenih ili godišnjim prometom većim od 50 milijuna EUR, te upravljate kritičnom infrastrukturom ili sustavima klijenata iz sektora energetike, transporta, financija ili javne uprave. Obuhvaćeni ste i ako pružate usluge od posebnog značaja za održavanje digitalnih sposobnosti klijenata ili njihove sigurnosti podataka.

Ključne obveze NIS2 za ovaj sektor

Sigurnost alata za daljinski pristup i upravljanje povlaštenim pristupom

Morate implementirati višefaktorsku autentifikaciju za sve daljinske pristupe klijentskim sustavima, zatim redovito rotirati povlaštene vjerodajnice i nikada ih ne dijeliti između okruženja klijenata. Dokumentirajte sve pristupe, pratite aktivnosti privilegiranih korisnika u stvarnom vremenu te održavate revidirane zapise najmanje 12 mjeseci — to je kritično jer je daljinski pristup primarni vektor napada na vašu infrastrukturu.

Ugovorne obveze sigurnosti prema klijentima

Svaki ugovor s klijentom mora sadržavati eksplicitne zahtjeve za sigurnost podataka, dostupnost servisa, šifriranje prijenosa i skladištenja te periodičke sigurnosne revizije. Navedite koji NIS2 zahtjevi se primjenjuju na vašu uslugu, obavežite se prijaviti sve sigurnosne incidente klijentima unutar 24 sata otkrivanja te jasno definirajte odgovornosti za sigurnost na strani klijenta i vaše strane.

Izvještavanje incidenata kada vaši sustavi uzrokuju klijentske smetnje

Ako sigurnosni incident ili tehnička greška u vašoj infrastrukturi uzrokuje prekid ili degradaciju klijentovog servisa, dužni ste prijaviti incident tijelu Sektora — Agenciji za zaštitu konkurencije (SOA) — ako klijent bude klasificiran kao važna entiteta. Prijavite incident bez odgode ako je ugrožena dostupnost, integritet ili povjerljivost klijentovih podataka, čak i ako je vaša uloga indirektna.

Transparentnost dobavljačkog lanca — sigurnosna procjena poddogovora

Morate mapirati sve podkontraktore koji imaju pristup klijentskoj infrastrukturi ili vašim sustavima (npr. cloud pružatelje, servisere, proizvođače softvera). Za svakog podkontraktora dokumentirajte sigurnosne mjere, certifikacije (ISO 27001, SOC 2) te proverite compliance s NIS2 zahtjevima prije sklapanja ugovora. Godišnje redovito procjenjujete i ažurirate sigurnosni profil svih ključnih dobavljača.

Planiranje i testiranje kontinuiteta poslovanja te oporavka od katastrofe

Izradite plan koji osigurava da možete nastaviti kritične usluge klijentima čak i nakon sigurosnog incidenta ili katastrofe — s minimalnom zaustavkom vremenom (RTO) i gubitkom podataka (RPO) koji su ugovoreni s klijentom. Testirajte plan najmanje godišnje i dokumentirajte rezultate; komunikacija tijekom oporavka s klijentima mora biti uspostavljena unaprijed.

Tipični nedostaci usklađenosti u ovom sektoru

Preporučeni alati za ovaj sektor

Secfix secfix.com

Provjeri alat →
NordLayer nordlayer.com

Provjeri alat →
Sprinto sprinto.com

Provjeri alat →

Često postavljana pitanja

Moramo li kao IT outsourcing tvrtka izvještavati Agenciju (SOA) o incidentima koji se dogode u klijentovoj infrastrukturi ako ga klijent nije formalno kao važnu entitetu?

Ako je klijent klasificiran kao važna entiteta prema NIS2, vi ste njegov servisni pružatelj i trebali bi ga pomoći s prijavljivanjem incidenata SOA-i bez kašnjenja. Ako klijent nije važna entiteta, čekate njegovu odluku — ali vi ste dužni dokumentirati incident interno i provjeriti je li prekršena vaša sigurnosna politika. Preporučujem da svaki ugovor jasno navedeže tko je odgovoran za prijavu.

Što se računaž kao 'povlašteni pristup' koji trebam štititi pod NIS2?

Povlašteni pristup je svaki račun koji može čitati, pisati ili brisati konfiguraciju, podatke ili sigurnosne postavke — npr. domain admin, root, service accounts u Active Directory-u ili baze podataka, SSH ključevi s administratorskim dozvolama. NIS2 zahtjeva da ove pristupe zaštitite s MFA, šifriranjem, rotacijom vjerodajnica te detaljnom revizijom — nikad ih ne smijete dijeliti ili spremiti u lozinkomanažere s drugima.

Koje kazne čekaju ako ne uspostavimo compliance s NIS2 do 2026. godine?

Za važne entitete u Republici Hrvatskoj, kazne mogu dosegnuti do 10% ukupnog godišnjeg prometa ili 10 milijuna EUR (što je veće) — ako ste klasificirani kao Annex II (važna entiteta). Dodatno, Agencija (SOA) može izdati nalog za hitnu ispravku, suspenziju usluge ili javnu upozorenjie. Preporučujem da počnete s compliance akcijama odmah, jer rok je 17. listopada 2026.

Provjerite zahtjeve za vašu organizaciju

SOA/NIS2 · Hrvatska · 2026

Pokrenuti kalkulator →