Ovaj vodič je namenjen vlasnicima agencija za nekretnine, upraviteljima zgrada i proptech platformama koje obrađuju podatke o nekretninama i upravljanju zgradama u Hrvatskoj. Saznajte kako zadovoljiti NIS2 obaveze i zaštititi podatke svojih stanara i klijenata.
Agencije za nekretnine, upravljači imovine i platforme proptech sa svojstvima digitalne infrastrukture koja pružaju usluge relevantne za upravljanje zgradama ili transakcije nekretninama. U hrvatskom kontekstu, organizacije sa osobitim fokusom na e-poslovanje ili digitalne sisteme za upravljanje klijentskim podacima i smart zgrade kvalificiraju se kao važne subjekte prema NIS2.
Morate primenjati tehnike šifrovanja i kontrole pristupa za sve sisteme koji čuvaju podatke o stanaricama, klijentima i transakcijama nekretninama. To uključuje podatke o licima u relevantnim sistemima za upravljanje imovinom, kao što su baze podataka stanarskih informacija i sistemi za upravljanje kritičnom infrastrukturom zgrada. Regularno analizirajte i ažurirajte šeme pristupa kako bi osigurali da samo ovlašćeni zaposleni mogu pristupiti osjetljivim podacima.
Svi sistemi za kontrolu pristupa, rasvetu, grejanje i ventilaciju moraju biti fizički i digitalno izolovani od nesigurnih mreža i pristupa internetu bez zaštite. Uvesti višestepeno provjeru identiteta za sve administrativne pristupe sistemima za upravljanje zgradama. Redovno testirati i aktualizirati sve kontrole pristupa kako bi sprečili neovlašćen pristup kritičnoj infrastrukturi.
Za sve dobavljače softvera i usluga (CRM sisteme, platforme za upravljanje svojstvima, sisteme za pametne zgrade), morate provesti redovne sigurnosne procene i zahtevati ugovorne obaveze oko sigurnosti podataka. Dokumentujte sve sigurnosne zahteve u ugovorima sa dobavljačima i pratite njihove zakrpe za sigurnost. Odredite lice odgovorno za upravljanje rizicima dobavljača.
Ako dođe do sigurnosnog incidenta koji utiče na sisteme kontrole pristupa, alarmne sisteme ili druge kritične sisteme za upravljanje zgradama, morate to prijaviti nadležnom organu (Agenciji za cybersigurnost i zaštitu podataka u Hrvatskoj) u roku od 72 sata. Uspostavite proceduru brzog evidentiranja i eskalacije svih incidenata u interno dostupnom sistemu.
Razradite pisane planove za nastavak rada u slučaju sigurnosnog napada ili prekida IT sistema koji bi mogao uticati na upravljanje svojstvima, kontrolu pristupa zgradama ili pristup podacima klijenata. Godišnje testiranje ovih planova mora biti dokumentovano. Plan mora uključiti uloge zaposlenih, prioritete za obnovu i kontakte za hitne slučajeve.
Organizacije sa više od 50 zaposlenih ili godišnjim prometom većim od 10 miliona eura, koje održavaju digitalne sisteme za upravljanje nekretninama i klijentskim podacima, smatraju se važnim subjektima prema NIS2. Manje agencije sa ograničenim softverskim infrastrukturom mogu biti izuzete, ali ako koriste platforme za upravljanje zgradama ili pametne sisteme, trebalo bi da se konsultuju sa Agencijom za cybersigurnost.
Morate prijaviti incident nadležnoj agenciji (Agenciji za cybersigurnost i zaštitu podataka) u roku od 72 sata od otkrivanja. Trebalo bi da imate brz plan odgovora koji uključuje izolovanje zahvaćenih sistema, obaveštavanje uticanih stanara i dokumentovanje svih koraka. Neuspeh da se prijavi može rezultirati kaznama od nekoliko hiljada eura i mogućim prekidima dozvola.
Da, NIS2 zahteva godišnje testiranje i redovne provere sigurnosti (penetracijske testove) svih kritičnih sistema. Za sisteme kontrole pristupa i upravljanja zgradama, minimalno trebalo bi da sprovedete godišnje sigurnosne provere i da pratite redovne zakrpe dobavljača. Rezultati testiranja moraju biti dokumentovani i deljeni sa upravom kompanije.