Prilog II — važan entitet

NIS2/ZKS za velike maloprodajne lance i e-commerce operatore u Hrvatskoj — zahtjevi važnih entiteta

Ovaj vodiči je namijenjen IT direktorima, voditeljem sigurnosti i upraviteljima usklađenosti velikih maloprodajnih lanaca koji obrađuju podatke kupaca i procesuiraju plaćanja. Saznajte što točno moraju zaštititi, kako sustavima dokazati usklađenost i kako izbjeći kazne do 2026. godine.

Veliki maloprodajni lanci sa više od 250 zaposlenih ili godišnjom prometom većim od 50 milijuna eura te svi e-commerce operatori koji obrađuju osobne podatke kupaca i podatke o plaćanjima u Republici Hrvatskoj moraju se uskladiti s NIS2/ZKS. To uključuje klasične trgovine s POS sustavima, online prodavce s bazama lojalnosti i operatore koji koriste treće strane za logistiku i upravljanje zalihama.

Ključne obveze NIS2 za ovaj sektor

Zaštita POS infrastrukture i sustava obrade plaćanja

Svi POS terminali, platni gateway-i i sustavi obrade plaćanja moraju biti zaštićeni prema standardima PCI-DSS i NIS2. To znači šifriranje podataka kartice tijekom prijenosa, segmentaciju mreže između POS terminala i ostatka IT infrastrukture, redovita ažuriranja sigurnosnih zakrpa te redovitog testiranja penetracije. Legacy POS terminali koji nisu kompatibilni s novim sigurnosnim zahtjevima moraju biti zamijenjeni ili izolirani u vlastitu mrežnu zonu.

Zaštita podataka kupaca i baza lojalnosti

Baze lojalnosti i CRM sustavi koji sadrže osobne podatke, adrese i povijest kupovine moraju imati jasne politike čuvanja podataka s ograničenim vremenskim periodima. Većina maloprodajaca zadržava podatke lojalnosti predugo — NIS2 zahtijeva redovito brišanje ili anonimizaciju neaktualnih zapisa. Postavite kontrole pristupa kako bi samo autorizirani zaposlenici pristupili osjetljivim podacima, provjerite tko ima pristup CRM-u i implementirajte nadzor promjena.

Sigurnost dobavljača i pristup sustavima za upravljanje zalihama

Logistički partneri, distributeri i dobavljači često imaju pristup vašim sustavima za upravljanje zalihama. Svaki vanjski pristup mora biti kontroliran kroz VPN ili specifične API ključeve s ograničenim dozvolama. Zahtijevajte od dobavljača da potvrde minimalne sigurnosne mjere; NIS2 vas čini odgovornima za njihove blagajne ako ih pokušaj napadati preko vašeg sustava. Redovito auditurajte tko od vanjskih stranaka ima pristup i čemu.

Prijava sigurnosnih incidenata koji utječu na rad maloprodaje

Kad dođe do pada POS sustava, kvara e-commerce platforme ili neovlaštenog pristupa bazama kupaca, obavezni ste prijaviti to Sigurnosnoj agenciji (SOA) u roku od 72 sata ako bi to moglo utjecati na dostupnost usluge ili integritet podataka. To uključuje ransomware napade na sustave obrade plaćanja, curenja podataka lojalnosti i ozbiljne napade na vašu e-commerce infrastrukturu. Trebate imati plan reagiranja s jasnim koracima: detektiranje, brisanje od malvera, komunikacija s kupacima i dokumentacija.

Uspostava sigurnosti informacijskih sustava i kontinuiteta poslovanja

Trebate dokumente o sigurnosnoj politici, procedurama za upravljanje pristupom, planovima oporavka nakon katastrofe i redovitim testiranjem. NIS2 zahtijeva da na razini direkcije bude imenovan predstavnik za koordinaciju sigurnosti i da se godišnje provede procjena rizika. E-commerce operatori trebaju posebnu pažnju na redundanciju servera, backup sustave i plan vraćanja normalnog rada za slučaj da trgovina bude nedostupna nekoliko sati.

Tipični nedostaci usklađenosti u ovom sektoru

Preporučeni alati za ovaj sektor

Reglyze reglyze.com

Provjeri alat →
ISMS.online isms.online

Provjeri alat →
NordLayer nordlayer.com

Provjeri alat →

Često postavljana pitanja

Mogu li koristiti stare POS terminale ako su samo lokalno povezani na mrežu?

Ne — čak i lokalno povezani POS terminali moraju biti sigurni. Ako nisu kompatibilni s PCI-DSS ili NIS2, trebate ih zamijeniti ili staviti u izoliranu mrežnu zonu s dodatnim nadzorem. SOA će tražiti dokaz da su oni zaštićeni ekvivalentnim mjerama. Preporuka je da zamijените u roku do kraja 2025. godine.

Što trebam zahtijevati od svog logističkog partnera za usklađenost?

Trebate potpisati dodatak za sigurnost ili ugovor o obradi podataka koji jasno nabraja što on smije (pristup samo zalihama, bez pristupa CRM-u ili adresi kupaca), kako mora čuvati te podatke, kako pristupa (VPN ili API ključ) i što učiniti ako dođe do incidenta. Trebate godišnji audit njihove IT sigurnosti i dokaz da su oni usklađeni sa svojom verzijom NIS2.

Koja je kazna ako ne ispunim zahtjeve NIS2 do 2026. godine?

Kazne se kreću od 10 do 50 milijuna eura ili 2–5% godišnje prodaje, što je veće — za velike maloprodajne lance to može biti značajna kazna. Dodatno, SOA može odrediti mjere da maloprodajna platforma bude privremeno zatvorena ako je sigurnosni incident ozbiljan. Preporuka je da počnete s procjenom rizika do kraja 2024. i izvršite kritične promjene do sredine 2025.

Provjerite zahtjeve za vašu organizaciju

SOA/NIS2 · Hrvatska · 2026

Pokrenuti kalkulator →