Prilog I — Bitni subjekt

NIS2 za upravljane davatelje usluga i davatelje sigurnosti u Hrvatskoj — Obveze 2026

Ova stranica je namijenjena MSP i MSSP davateljima koji upravljaju poslovnim okruženjima klijenata. Doznajte kako zadovoljiti Zakonu o kibernetskoj sigurnosti koji je stupio na snagu 2024. s rokom usklađenosti do kraja 2026.

MSP i MSSP davatelji su klasificirani kao bitni subjekti prema Zakonu o kibernetskoj sigurnosti ako pružaju upravljane usluge za informacijske sustave ili sigurnost većem broju poslovnih klijenata. U Republici Hrvatskoj, obveze se primjenjuju na sve registrirane davatelje upravljanih usluga koji imaju minimalnu prisutnost na tržištu s fokusom na kritičnu infrastrukturu ili financijsku sigurnost.

Ključne obveze NIS2 za ovaj sektor

Sigurnost alata za daljinski pristup s primjenom Zero-Trust modela

Svi alati za upravljanje klijentskim okruženjima (RMM, remote support) moraju imati obveznu višefaktorsku autentifikaciju (MFA) i moraju se primjenjivati na principu Zero-Trust pristupa. Zabranjeno je dijeljenje zajedničkih admin vjerodajnica između klijentskih okruženja; svaki pristup mora biti jedinstveno dodijeljen, logiran i revidiiran. Redovito testiranje penetracijom ovih alata mora biti obaveza minimalno jednom godišnje.

Izvještavanje o incidentima koji utječu na klijentske sustave

Kada je MSP/MSSP izložen kršenju sigurnosti koje utječe na podatke ili dostupnost klijentskih informacijskih sustava, davatelj mora izvijestiti SOA (Sabor obrane i sigurnosti) te pogođene klijente u skladu s pragovima NIS2. Izvještaj mora biti podnesen u roku od 72 sata od otkrivanja, s opisom mjere utjecaja na klijentsku infrastrukturu. Ako se incident dogodio na MSP infrastrukturi ali nije izravno zahvatio klijente, procjena mora biti dokumentirana.

Ugovorne obveze sigurnosti prema klijentima i dobavljačima

MSP i MSSP davatelji moraju u sve ugovore s klijentima uključiti eksplicitne zahtjeve za sigurnost, uključujući obaveze za segmentaciju, monitoring i izvještavanje o incidentima. Isti standardi sigurnosti moraju biti proslijeđeni i dobavljačima software-a i third-party integratorima (lanac ponude). Ugovori moraju jasno definirati odgovornosti za incident response i tijekove eskalacije.

Redoviti pregled sigurnosti ponude software-a i alata treće strane

MSP i MSSP davatelji moraju utvrđivati sigurnost svih ključnih software alata koje koriste za upravljanje klijentskom infrastrukturom putem formalnog sigurnosnog upitnika dobavljača (security questionnaire) minimalno jednom godišnje. Ako dobavljač ne prosleđuje evidenciju sigurnosnih testiranja ili certifikacije, preporuka je ograničiti korištenje tog alata ili implementirati dodatne kontrole mitigacije.

Kapaciteti za incidentni odgovor i oporavak sustava

MSP i MSSP davatelji moraju imati dokumentirani plan za brz incidentni odgovor (IR plan) s RTO/RPO vremenskim okvirima definiranima prema vrsti klijentskog okruženja. Kapaciteti za oporavak (backup, failover, forensiku) moraju biti testirati minimalno dva puta godišnje, s rezultatima dostupnima regulatornom nadzoru. Ako incidentni odgovor zahtijeva vanjske eksperte (forenziku), ugovorni odnosi moraju biti unaprijed određeni.

Tipični nedostaci usklađenosti u ovom sektoru

Preporučeni alati za ovaj sektor

Secfix secfix.com

Provjeri alat →
NordLayer nordlayer.com

Provjeri alat →
ISMS.online isms.online

Provjeri alat →

Često postavljana pitanja

Jesam li ja kao MSP obvezna uključiti sve troškove NIS2 compliance u cijenu usluge klijentima?

Ne — NIS2 compliance je regulatorna obaveza davatelja usluge, a troškovi infrastrukture i upravljanja (MFA, Zero-Trust, monitoring, incident response) su operativni troškovi MSP-a. Međutim, klijentima treba transparentno objasniti kakve sigurnosne mjere se koriste i koji troškovi su direktno povezani s njihovim klijentskim okruženjem. Clarification: Rizike i troškove compliance mora nositi davatelj usluge.

Koliko često moram testirati penetracijom sve RMM alate i infrastrukturu?

Minimalno jednom godišnje — ili nakon većih promjena u infrastrukturi (npr. novo klijentsko okruženje, novi alat za upravljanje). Preporuka je da MSP razmisli o tri puta godišnje ako ima veliki broj klijentskih okruženja ili ako upravlja financijskim ili kritičnom infrastrukturam. Rezultate penetracijskih testova trebao bi čuvati kao dokaz compliance za SOA audit.

Kakve penalizacije čekaju MSP koji ne izvijeste o incidentu koji je zahvatio klijentsku infrastrukturu u roku od 72 sata?

Prema NIS2 direktivi, propusti u izvještavanju mogu rezultirati kaznama do 4% godišnjeg prometa ili 20 milijuna eura (veće od dvoje). Dodatno, ako je incident zahvatio klijente koji su sami bitni subjekti, SOA može pokrenuti inspekciju MSP-a i zahtijevati korektivne mjere. Zbog toga je kritično imati automatizirane sisteme za detekciju i eskalaciju incidenata.

Provjerite zahtjeve za vašu organizaciju

SOA/NIS2 · Hrvatska · 2026

Pokrenuti kalkulator →