Prilog II — važan entitet

NIS2 za lančanike ljekarna u Hrvatskoj — obveze važnih entiteta 2026

Ovaj vodič namjenjen je managerima kvalitete, IT direktorima i vlasnicima farmaceutskih lanaca s 50+ zaposlenih koji trebaju uspostaviti NIS2 sukladnost prije 17. listopada 2026. Naučit ćete kako zaštititi sustave za upravljanje receptima, provjeriti integritet dobavljačke mreže i prijaviti incidente koji utječu na kontinuitet isporuke lijekova.

NIS2 obavezuje sve ljekarne, distributeore i proizvođače lijekova s najmanje 50 zaposlenih ili financijskom aktivnošću većom od 10 milijuna eura godišnje. U Hrvatsku spada i maloprodaja lijekova kroz fizičke i online kanale te farmaceutski grootisti koji direktno utječu na dostupnost lijekova. Ako vaš lanac posluje u najmanje jednoj državi EU i čuva receptne podatke bolesnika, podpadavate pod NIS2.

Ključne obveze NIS2 za ovaj sektor

Provjera integriteta opskrbnog lanca za nabavu lijekova

Morate implementirati sigurnosne mjere u sustavima za elektronsku narudžbu i upravljanje zalihama kako biste spriječili neovlašteni pristup ili manipulaciju podacima o lijekovima. Za svaki ključni dobavljač trebate dokumentirati sigurnosne standarde i redovito provjeravati njihovu usklađenost. Procjena rizika mora pokrivati sve sustave kroz koje teče informacija o ljekovitim proizvodima — od proizvođača do pacijenta.

Kontrola pristupa za platforme upravljanja receptima

Svaki zaposlenik koji radi s receptnim sustavima mora imati jedinstveni login i zaporku; zabranjeni su dijeljeni kredencijali na terminalima za izdavanje lijekova. Obvezna je višefaktorska autentifikacija za sve portale za naručivanje od dobavljača i pristup osjetljivim podatcima pacijenata. Trebate dokumentirati sve pristupe i redovito provjeravati tko ima dozvolu — najmanje jednom godišnje.

Izvještavanje incidenata koji utječu na kontinuitet isporuke

Ako hakerski napad, greška u sustavu ili drugi sigurnosni incident prekine ili ugrozi isporuku lijekova pacijentima, dužni ste to prijaviti Uredu za sigurnost a informacijskih sustava (UAIS) u roku od 72 sata. Incident se smatra 'važnim' ako je utjecao na najmanje 1.000 pacijenata ili ako je prekinuta isporuka trajala više od 4 sata. Trebate uspostaviti interni proces za brzo identificiranje i dokumentiranje takvih incidenata.

Zaštita podataka o receptima pacijenata (NIS2 + GDPR sjecište)

Receptni podaci spadaju pod pacijentske medicinske podatke i štićeni su i NIS2 i GDPR-om. Morate enkriptirati podatke u mirovanju i tijekom prijenosa, ograničiti pristup samo ovlaštenim farmaceutima i zdravstvenim radnicima te voditi detaljne zapise o svakom pristupu. Pacijenti imaju pravo na pristup svojim receptnim podacima; trebate uspostaviti kontrolirani proces za izdavanje kopija u roku od 30 dana.

Upravljanje rizicima i godišnje testiranje sigurnosti

Trebate provesti godišnju analizu rizika svih informacijskih sustava koji se koriste u ljekarnama i distribuaciji — od POS terminala do sustava za praćenje hladnog lanca. Ključni sustemi (elektronske recepte, upravljanje zalihama, komunikacija s dobavljačima) trebaju biti testirani najmanje jednom godišnje kroz simulacije napada ili vanjsku procjenu sigurnosti. Rezultati moraju biti dokumentirani i dostupni UAIS-u pri revidiranju.

Tipični nedostaci usklađenosti u ovom sektoru

Preporučeni alati za ovaj sektor

Reglyze reglyze.com

Provjeri alat →
ISMS.online isms.online

Provjeri alat →
NordLayer nordlayer.com

Provjeri alat →

Često postavljana pitanja

Kada ljekarna s 55 zaposlenih mora biti u punoj NIS2 sukladnosti?

Rokovi su postavljeni na 17. listopada 2026. Trebali bi odmah početi s procjenom rizika i dokumentacijom sadašnjeg stanja vaših IT sustava. Preporuka je da počnete s planiranjem tijekom Q4 2024 kako biste imali vremena za nabavu software-a, obuku zaposlenika i testiranje prije konačnog roka.

Što se smatra 'važnim' incidentom koji trebam prijaviti UAIS-u?

Incident je važan ako je promijenio ili zadržao podatke o receptima, ako je prekinuta isporuka lijekova pacijentima duže od 4 sata, ili ako je utjecao na više od 1.000 pacijenata. Primjer: ransomware koji je zaključao sustav za naručivanje 5 sati — trebate to prijaviti jer je utjecao na kontinuitet. Mali propusti u pristupnoj kontroli bez posljedica — nisu obvezna prijava.

Koje su kazne za nesukladnost s NIS2 do 2026?

Kazne mogu biti do 10 milijuna eura ili do 2% ukupnog godišnjeg prometa, ovisno što je veće. Za teže kršnje (npr. neuspješna prijava kritičnog incidenta) kazne mogu doseći 20 milijuna eura ili 4% prometa. Hrvatska će kažnjavati kroz UAIS, tako da je preporuka da počnete s implementacijom već sada kako biste izbjegli cjelokupno opterećenje sanacija u zadnjim mjesecima 2026.

Provjerite zahtjeve za vašu organizaciju

SOA/NIS2 · Hrvatska · 2026

Pokrenuti kalkulator →