Prilozi II — važan subjekt

NIS2 za proizvođače medicinskih uređaja u Hrvatskoj — ključni subjekt

Ova stranica je za proizvođače i distribuatore medicinskih uređaja s programskom komponentom ili uključenom softverom koji moraju usklađiti svoju kibernetsku sigurnost s NIS2 te EU MDR zahtjevima. Saznajte kako ispuniti obaveze do kraja 2026. godine.

Proizvođači medicinskih uređaja koji distribuiraju proizvode u Europskoj uniji i čija programska rješenja ili integrirana softverska komponenta mogu utjecati na sigurnost pacijenata kvalificiraju se kao važni subjekti prema NIS2. To uključuje tvrtke s najmanje 50 zaposlenih ili godišnjim prometom većim od 10 milijuna eura koje pružaju kritične usluge u zdravstvenom sektoru.

Ključne obveze NIS2 za ovaj sektor

Izrada i održavanje Software Bill of Materials (SBOM)

Za svaki medicinski uređaj s programskom komponentom morate izraditi detaljnu SBOM koja navodi sve komponente otvorenog koda, vanjske biblioteke i izvore od strane tretjih osoba. SBOM mora biti dostupna pri plaćanju i ažurirana sa svakom klinički značajnom zakrpom ili nadogradnjom. Ova dokumentacija je kritična za utvrđivanje ranjivosti i omogućavanje brzog reagiranja na sigurnosne inidente.

Post-tržišno nadziranje kibernetske sigurnosti i upravljanje ispravama

Trebate uspostaviti formalnu strukturu nadziranja koja prati javljene ranjivosti vezane uz vaše uređaje tijekom cijelog životnog vijeka proizvoda. Dogovorite dokumentirane procese za verifikaciju, testiranje i siguran razvoj isprava prije nego ih objavite korisnicima. Za bolnički sustav, to znači osiguravanje da se kritične ispravke mogu implementirati bez prekida kliničkih operacija.

Incident reporting vezano uz kibernetsku sigurnost i sigurnost pacijenta

Kada uočite ranjivost ili incidenta koji može utjecati na sigurnost pacijentskog zdravlja, morate o tome izvijestiti Hrvatsku agenciju za cybersigurnost i Agenciju za ljekove i medicinske proizvode u propisivanom vremenu. Incident treba biti dokumentiran sa detaljima kako je otkrivena ranjivost i kako je eliminirana, te s procjenom rizika za klinički rad.

Sigurnost opskrbnog lanca i upravljanje rizicima od dobavljača

Morate provesti procjenu sigurnosti svih vanjskih dobavljača koji pružaju kritične komponente, firmware ili usluge razvoja. Odgovorite na sigurnosnu upitanu listu dobavljača, provjerite njihove kontrole i osigurajte da su uključeni u vašu strategiju reagiranja na incidente. To je posebno važno za dobavljače mikrokontrolera, operacijskih sustava i komunikacijskih biblioteka.

Usklađenost s EU MDR Article 5(5) — kibernetska sigurnost kao dio procjene rizika

Kibernetska sigurnost mora biti sastavni dio vašeg sustava upravljanja rizikom prema EU MDR. U tehničkoj dokumentaciji trebate prikazati kako ste identificirali kibernetske prijetnje, kako ste ih ublažili kroz arhitekturne odluke i kako pratite nove prijetnje nakon puštanja na tržište. To zahtijeva redovite sigurnosne procjene i penetracijske testove s vanjskim stručnjacima.

Tipični nedostaci usklađenosti u ovom sektoru

Preporučeni alati za ovaj sektor

Secfix secfix.com

Provjeri alat →
Vanta vanta.com

Provjeri alat →
Sprinto sprinto.com

Provjeri alat →

Često postavljana pitanja

Trebam li SBOM za sve svoje medicinske uređaje ili samo za nove proizvode?

SBOM je obavezan za sve medicinske uređaje s programskom komponentom, uključujući naslijeđene proizvode koji su još uvijek u klinički aktivnoj upotrebi. Za produkte puštene na tržište prije 2026. godine, možete početi s onim koji se najčešće koriste ili koji imaju najveći rizik, ali SBOM mora biti dostupna pri plaćanju.

Koji je vremenski rok za izvještavanje o sigurnosnoj ranjivosti Hrvatskoj agenciji za cybersigurnost?

Trebate izvijestiti u roku od 24 sata od kada ste sigurni da postoji ranjivost koja može utjecati na sigurnost pacijentske opskrbe. Ako je ranjivost kritična i zahtijeva hitnu kliničku akciju, trebate dokumentirati sve korake reagiranja i preventivne mjere koje ste poduzeli.

Koje kazne griju proizvodačima koji ne usklađe zahtjeve NIS2 do kraja 2026. godine?

Hrvatska agencija za cybersigurnost može nametnuti upravne novčane kazne do 10 milijuna eura ili do 2% svjetskog godišnjeg prometa, što je veće. Povrh toga, neizvršavanje NIS2 kontrola može dovesti do uklanjanja proizvoda s europskog tržišta ili suspenzije distribucije kroz zdravstvene sustave.

Provjerite zahtjeve za vašu organizaciju

SOA/NIS2 · Hrvatska · 2026

Pokrenuti kalkulator →