Ovaj vodič namjenjen je managerima kvalitete, IT direktorima i vlasnicima farmaceutskih lanaca s 50+ zaposlenih koji trebaju uspostaviti NIS2 sukladnost prije 17. listopada 2026. Naučit ćete kako zaštititi sustave za upravljanje receptima, provjeriti integritet dobavljačke mreže i prijaviti incidente koji utječu na kontinuitet isporuke lijekova.
NIS2 obavezuje sve ljekarne, distributeore i proizvođače lijekova s najmanje 50 zaposlenih ili financijskom aktivnošću većom od 10 milijuna eura godišnje. U Hrvatsku spada i maloprodaja lijekova kroz fizičke i online kanale te farmaceutski grootisti koji direktno utječu na dostupnost lijekova. Ako vaš lanac posluje u najmanje jednoj državi EU i čuva receptne podatke bolesnika, podpadavate pod NIS2.
Morate implementirati sigurnosne mjere u sustavima za elektronsku narudžbu i upravljanje zalihama kako biste spriječili neovlašteni pristup ili manipulaciju podacima o lijekovima. Za svaki ključni dobavljač trebate dokumentirati sigurnosne standarde i redovito provjeravati njihovu usklađenost. Procjena rizika mora pokrivati sve sustave kroz koje teče informacija o ljekovitim proizvodima — od proizvođača do pacijenta.
Svaki zaposlenik koji radi s receptnim sustavima mora imati jedinstveni login i zaporku; zabranjeni su dijeljeni kredencijali na terminalima za izdavanje lijekova. Obvezna je višefaktorska autentifikacija za sve portale za naručivanje od dobavljača i pristup osjetljivim podatcima pacijenata. Trebate dokumentirati sve pristupe i redovito provjeravati tko ima dozvolu — najmanje jednom godišnje.
Ako hakerski napad, greška u sustavu ili drugi sigurnosni incident prekine ili ugrozi isporuku lijekova pacijentima, dužni ste to prijaviti Uredu za sigurnost a informacijskih sustava (UAIS) u roku od 72 sata. Incident se smatra 'važnim' ako je utjecao na najmanje 1.000 pacijenata ili ako je prekinuta isporuka trajala više od 4 sata. Trebate uspostaviti interni proces za brzo identificiranje i dokumentiranje takvih incidenata.
Receptni podaci spadaju pod pacijentske medicinske podatke i štićeni su i NIS2 i GDPR-om. Morate enkriptirati podatke u mirovanju i tijekom prijenosa, ograničiti pristup samo ovlaštenim farmaceutima i zdravstvenim radnicima te voditi detaljne zapise o svakom pristupu. Pacijenti imaju pravo na pristup svojim receptnim podacima; trebate uspostaviti kontrolirani proces za izdavanje kopija u roku od 30 dana.
Trebate provesti godišnju analizu rizika svih informacijskih sustava koji se koriste u ljekarnama i distribuaciji — od POS terminala do sustava za praćenje hladnog lanca. Ključni sustemi (elektronske recepte, upravljanje zalihama, komunikacija s dobavljačima) trebaju biti testirani najmanje jednom godišnje kroz simulacije napada ili vanjsku procjenu sigurnosti. Rezultati moraju biti dokumentirani i dostupni UAIS-u pri revidiranju.
Rokovi su postavljeni na 17. listopada 2026. Trebali bi odmah početi s procjenom rizika i dokumentacijom sadašnjeg stanja vaših IT sustava. Preporuka je da počnete s planiranjem tijekom Q4 2024 kako biste imali vremena za nabavu software-a, obuku zaposlenika i testiranje prije konačnog roka.
Incident je važan ako je promijenio ili zadržao podatke o receptima, ako je prekinuta isporuka lijekova pacijentima duže od 4 sata, ili ako je utjecao na više od 1.000 pacijenata. Primjer: ransomware koji je zaključao sustav za naručivanje 5 sati — trebate to prijaviti jer je utjecao na kontinuitet. Mali propusti u pristupnoj kontroli bez posljedica — nisu obvezna prijava.
Kazne mogu biti do 10 milijuna eura ili do 2% ukupnog godišnjeg prometa, ovisno što je veće. Za teže kršnje (npr. neuspješna prijava kritičnog incidenta) kazne mogu doseći 20 milijuna eura ili 4% prometa. Hrvatska će kažnjavati kroz UAIS, tako da je preporuka da počnete s implementacijom već sada kako biste izbjegli cjelokupno opterećenje sanacija u zadnjim mjesecima 2026.