Ovaj vodiči je namijenjen IT direktorima, voditeljem sigurnosti i upraviteljima usklađenosti velikih maloprodajnih lanaca koji obrađuju podatke kupaca i procesuiraju plaćanja. Saznajte što točno moraju zaštititi, kako sustavima dokazati usklađenost i kako izbjeći kazne do 2026. godine.
Veliki maloprodajni lanci sa više od 250 zaposlenih ili godišnjom prometom većim od 50 milijuna eura te svi e-commerce operatori koji obrađuju osobne podatke kupaca i podatke o plaćanjima u Republici Hrvatskoj moraju se uskladiti s NIS2/ZKS. To uključuje klasične trgovine s POS sustavima, online prodavce s bazama lojalnosti i operatore koji koriste treće strane za logistiku i upravljanje zalihama.
Svi POS terminali, platni gateway-i i sustavi obrade plaćanja moraju biti zaštićeni prema standardima PCI-DSS i NIS2. To znači šifriranje podataka kartice tijekom prijenosa, segmentaciju mreže između POS terminala i ostatka IT infrastrukture, redovita ažuriranja sigurnosnih zakrpa te redovitog testiranja penetracije. Legacy POS terminali koji nisu kompatibilni s novim sigurnosnim zahtjevima moraju biti zamijenjeni ili izolirani u vlastitu mrežnu zonu.
Baze lojalnosti i CRM sustavi koji sadrže osobne podatke, adrese i povijest kupovine moraju imati jasne politike čuvanja podataka s ograničenim vremenskim periodima. Većina maloprodajaca zadržava podatke lojalnosti predugo — NIS2 zahtijeva redovito brišanje ili anonimizaciju neaktualnih zapisa. Postavite kontrole pristupa kako bi samo autorizirani zaposlenici pristupili osjetljivim podacima, provjerite tko ima pristup CRM-u i implementirajte nadzor promjena.
Logistički partneri, distributeri i dobavljači često imaju pristup vašim sustavima za upravljanje zalihama. Svaki vanjski pristup mora biti kontroliran kroz VPN ili specifične API ključeve s ograničenim dozvolama. Zahtijevajte od dobavljača da potvrde minimalne sigurnosne mjere; NIS2 vas čini odgovornima za njihove blagajne ako ih pokušaj napadati preko vašeg sustava. Redovito auditurajte tko od vanjskih stranaka ima pristup i čemu.
Kad dođe do pada POS sustava, kvara e-commerce platforme ili neovlaštenog pristupa bazama kupaca, obavezni ste prijaviti to Sigurnosnoj agenciji (SOA) u roku od 72 sata ako bi to moglo utjecati na dostupnost usluge ili integritet podataka. To uključuje ransomware napade na sustave obrade plaćanja, curenja podataka lojalnosti i ozbiljne napade na vašu e-commerce infrastrukturu. Trebate imati plan reagiranja s jasnim koracima: detektiranje, brisanje od malvera, komunikacija s kupacima i dokumentacija.
Trebate dokumente o sigurnosnoj politici, procedurama za upravljanje pristupom, planovima oporavka nakon katastrofe i redovitim testiranjem. NIS2 zahtijeva da na razini direkcije bude imenovan predstavnik za koordinaciju sigurnosti i da se godišnje provede procjena rizika. E-commerce operatori trebaju posebnu pažnju na redundanciju servera, backup sustave i plan vraćanja normalnog rada za slučaj da trgovina bude nedostupna nekoliko sati.
Ne — čak i lokalno povezani POS terminali moraju biti sigurni. Ako nisu kompatibilni s PCI-DSS ili NIS2, trebate ih zamijeniti ili staviti u izoliranu mrežnu zonu s dodatnim nadzorem. SOA će tražiti dokaz da su oni zaštićeni ekvivalentnim mjerama. Preporuka je da zamijените u roku do kraja 2025. godine.
Trebate potpisati dodatak za sigurnost ili ugovor o obradi podataka koji jasno nabraja što on smije (pristup samo zalihama, bez pristupa CRM-u ili adresi kupaca), kako mora čuvati te podatke, kako pristupa (VPN ili API ključ) i što učiniti ako dođe do incidenta. Trebate godišnji audit njihove IT sigurnosti i dokaz da su oni usklađeni sa svojom verzijom NIS2.
Kazne se kreću od 10 do 50 milijuna eura ili 2–5% godišnje prodaje, što je veće — za velike maloprodajne lance to može biti značajna kazna. Dodatno, SOA može odrediti mjere da maloprodajna platforma bude privremeno zatvorena ako je sigurnosni incident ozbiljan. Preporuka je da počnete s procjenom rizika do kraja 2024. i izvršite kritične promjene do sredine 2025.