Prilog II — važan subjekt

NIS2 za odvjetničke kancelarije i pružatelje pravnih usluga u Hrvatskoj — Usklađenost važnog subjekta 2026.

Ovaj vodič pomaže odvjetnicima i pravnim tvrtkama da zaštite podatke o litigaciji i transakcijama prema NIS2 regulativi. Saznajte konkretne mjere za zaštitu povjerljive klijentske dokumentacije i obavezni incident reporting.

Odvjetničke kancelarije koje pružaju usluge važnih subjekata (financijske institucije, energetski sektor, zdravstvo, promet) ili samostalno čuvaju povjerljive podatke u važnim slučajevima (M&A transakcije, sporovi milijuna eura vrijedne) spadaju u obuhvat NIS2-a kao važni subjekti. Male lokalne kancelarije koja služe samo privatne klijente nisu obuhvaćene, ali one koje rade sa manjima vrijednostima mogu biti obuhvaćene ako čine dio lanca dobave važnih entiteta.

Ključne obveze NIS2 za ovaj sektor

Zaštita povjerljive komunikacije između odvjetnika i klijenta

Svi dokumenti koji sadrže vještine pohranjene na serverima, laptopima ili u oblačnim sustavima moraju biti enkriptirani u mirovanju i u prijenosu prema EN 27001 standardima. Odvjetničke kancelarije trebaju implementirati end-to-end enkripciju za e-mail komunikaciju i koristiti ISMS.online za reviziju pristupa povjerljivim datotekama. Pristup tim datotekama mora biti ograničen samo na attorney-client privilegirane osobe s dokumentiranim ovlastima.

Višefaktorska autentifikacija za sisteme upravljanja slučajima

Svi sustavi upravljanja slučajima (case management), e-discovery platforme i dokumentacijski serverai trebaju biti zaštićeni MFA (multi-factor authentication) za sve korisnike, uključujući admine. 1Password je preporučeni alat za upravljanje sigurnim pristupom i parolama bez dijeljenja lozinki po e-mailu. MFA mora biti obavezna za vanbirovne pristupe i rad s povjerljivim datotekama.

Incident reporting za kršenja koja utječu na aktivne sporove i M&A transakcije

Svaka sumnja na neovlašteni pristup ili curenje podataka koji se koriste u aktivnoj litigaciji ili transakciji mora biti prijavljena Agenciji za zaštitu od hakerskih napada (AZOP) u roku od 72 sata. Odvjetničke kancelarije trebaju dokumentirani plan incident response-a s jasnim rolama i nalazima koji će biti dostavljeni klijentu i nadležnim tijelima u zavisnosti od vrste podataka.

Sigurnost opreme i zaštita podataka na laptop uređajima

Svi laptopi odvjetnika trebaju biti zaštićeni punom disk enkriptacijom (full-disk encryption), sigurnosnim softverom s real-time zaštitom i automatskim ažuriranjem OS-a i aplikacija. Povjerljivi dokumenti nikada ne smiju biti prenosivi na USB ili ostale eksterne pogone bez šifriranja i logiranja pristupa. Redovite sigurnosne preglede trebaju biti dio godišnje procjene rizika koju provodi ISMS.online.

Procjena sigurnosti dobavljača pravnih tehnologija

Svaki dobavljač softvera koji čuva ili obrađuje povjerljive podatke (case management, e-discovery, cloud storage) trebao bi biti uključen u proces procjene rizika temeljen na NIS2 zahtjevima. Ugovori s dobavljačima trebaju sadržavati klauzule o enkripciji, incident reporting-u i redovitim sigurnosnim auditima. Reglyze može automatizirati procjenu rizika dobavljača i osigurati kontinuiranu nadzor.

Tipični nedostaci usklađenosti u ovom sektoru

Preporučeni alati za ovaj sektor

Reglyze reglyze.com

Provjeri alat →
1Password 1password.com

Provjeri alat →
ISMS.online isms.online

Provjeri alat →

Često postavljana pitanja

Je li moja mala odvjetnička kancelarija obvezna poštovati NIS2 ako čuva podatke samo lokalnih klijenata?

Ako vašu kancelariju koriste kao dio lanca dobave važnog subjekta (primjerice pružate usluge banci ili energetskoj kompaniji), tada ste obuhvaćeni NIS2-om. Ako ste potpuno samostalni bez klijentela iz važnih sektora, te ako ne imate preko 50 zaposlenih, vjerojatno niste u obuhvatu, ali preporučujemo formalnu procjenu s AZOP-om jer su litigacijski podaci često osjetljivi i zaslužuju visoku razinu zaštite.

Što trebam učiniti ako primijetim da je povjerljivi dokument procureo tijekom aktivnog spora ili M&A transakcije?

Odmah morate zaustaviti pristup tom dokumentu, dokumentirati sve detalje curenja (što je procurelo, kamo, kada) i prijaviti AZOP-u u roku od 72 sata. Trebate obavijestiti i klijenta prema ugovoru. ISMS.online može vam pomoći da dokumentirate incident i pratite sve korake obnove kako biste demonstrutirali brzu i odgovarajuću akciju.

Koja su kaznena djelovanja za nesukladnost s NIS2-om u odvjetničkim kancelarijama do kraja 2024?

AZOP može izdati redovitu preporuku s rokom od 3-6 mjeseci za ispravljanje, a ako je to teško kršenje, kaznena novčana санкција može biti do 10 milijuna eura ili 2% globalnog godišnjeg prometa, ovisno o tome što je više. Dodatno, klijenti mogu zahtijevati naknadu ako je curenje dovelo do štete u njihovom sporu ili transakciji, što stvara dodatnu financijsku izloženost.

Provjerite zahtjeve za vašu organizaciju

SOA/NIS2 · Hrvatska · 2026

Pokrenuti kalkulator →