Prilog II — važan subjekt

NIS2 za B2B SaaS kompanije u Hrvatskoj — obveze važnog subjekta u digitalnoj platformi

Ovaj vodič je namijenjen hrvatskim i EU-operativnim B2B SaaS kompanijama, softverskim prodavačima i operatorima digitalnih platformi s preko 500 zaposlenika ili godinskim prometom iznad 50 milijuna EUR. Naučite kako zadovoljiti obveze sigurnog razvoja softvera, upravljanja ranjivostima i zaštite podataka korisnika prema NIS2 regulativi s rokom za primjenu do 17. listopada 2026.

B2B SaaS kompanije, softverski prodavači i operatori digitalnih platformi koji pružaju usluge EU tvrtkama kao klijentima spadaju pod Annex II ako imaju preko 500 zaposlenika ili godišnji promet veći od 50 milijuna EUR. U Republici Hrvatskoj regulaciju primjenjuje Sektor za otpornost informacijskih sustava (SOA) Vlade. Obaveza se primjenjuje na sve digitalne infrastrukture i servisne ponude dostavljene poslovnim korisnicima u EU, neovisno o mjesti registracije kompanije.

Ključne obveze NIS2 za ovaj sektor

Dokumentacija sigurnog razvoja softvera (SSDLC)

Morate uspostaviti i dokumentirati formalnu praksu sigurnog razvoja softvera koja obuhvaća sve faze razvoja — od zahtjeva do proizvodnje. Dokumentacija mora uključiti kontrole sigurnosti u svakoj fazi, redovito testiranje na ranjivosti, revizije koda i procese za brzu korekciju sigurnosnih grešaka. Ova dokumentacija mora biti dostupna tijelima nadzora i redovito ažurirana kada se prate nove pretnje.

Javna politika objavljivanja ranjivosti i upravljanje zakrpama

Trebate objaviti i javno dostupnu politiku objavljivanja ranjivosti koja jasno definiše vremensko ograničenje za korekciju — najbolja praksa je 30 do 90 dana ovisno o težini. Politika mora uključiti sigurnu komunikaciju sa istraživačima, proces provjere i plan objave. Također trebate održavati SLA (sporazum o razini usluge) za distribuciju sigurnosnih ažuriranja većini korisnika u roku od 30 dana nakon dostupnosti zakrpe.

Sigurnost podataka kupaca i obavijesti o kršenjima

Kao provajder SaaS usluga, trebate implementirati šifriranje podataka u mirovanju i pri prijenosu, kontrolu pristupa baziranu na ulogama te redovite sigurnosne kopije. Trebate uspostaviti proces detekcije incidenta i obavijesti korisnika — od strane SOA-e se očekuje obavijest unutar 72 sata od otkrivanja kršenja. Dokumentirajte sve mjere zaštite podataka i redovito provjerite učinkovitost kroz treće strane audite.

Sigurnost lanaca dostave i upravljanje open-source ovisnostima

Trebate uspostaviti proces provjere sigurnosti za sve vanjske komponente i open-source biblioteke koje koristite u svojoj produkciji. To uključuje automatizirano skeniranje u CI/CD cjevovodu, inventar ovisnosti s verzijama i redovite provjere na poznate ranjivosti. Dokumentirajte sve treće strane integracije i njihove sigurnosne certifikate, te imajte ugovornu obvezu s dobavljačima da vas obavijeste o incidentima unutar 72 sata.

Redovito testiranje penetracijom i procjena ranjivosti

Trebate provesti testiranje penetracijom najmanje dva puta godišnje, a dodatno kad god dodate nove značajne funkcionalnosti ili infrastrukturu. Test mora biti dokumentiran, rađen od kvalificiranog vanjskog tima, i trebate imati plan korekcije za pronađene probleme s vremenskim ograničenjima ovisno o težini. Također trebate redovito skenirati aplikacije na ranjivosti koristeći SAST (statička analiza) i DAST (dinamička analiza) alate integrirane u razvojni proces.

Tipični nedostaci usklađenosti u ovom sektoru

Preporučeni alati za ovaj sektor

Sprinto sprinto.com

Provjeri alat →
Secfix secfix.com

Provjeri alat →
Drata drata.com

Provjeri alat →

Često postavljana pitanja

Koju instituciju u Hrvatskoj trebam kontaktirati za NIS2 compliance kao B2B SaaS kompanija?

Trebate kontaktirati Sektor za otpornost informacijskih sustava (SOA) pri Vladi Republike Hrvatske, koji je nadležan za nadzor i primjenu NIS2/ZKS za važne subjekte. SOA je odgovoran za provjere, inkorporaciju zahtjeva u zakonodavstvo i uvođenje mjerki u slučaju neuređenosti. Registrirajte se u njihovoj evidenciji važnih subjekata čim utvrdite da ispunjavate kriterije Annex II.

Trebam li provoditi testiranje penetracijom tijekom cijele godine ili samo godišnje prije roka za NIS2?

Trebate provoditi testiranje penetracijom najmanje dva puta godišnje kao redovitu praksu — to nije samo provjera prije roka. Dodatno trebate testirati nakon svakog većeg dodavanja nove funkcionalnosti ili infrastrukture. Dokumentirajte sve testove, pronađene greške, vremenski plan korekcije i dokaze da ste ispravili probleme prije nego što se nova verzija pusti u produkciju.

Koja je kazna ako ne ispunim NIS2 obaveze do 17. listopada 2026?

NIS2 direktiva dozvoljava kazne do 10 milijuna EUR ili 2% godišnjeg prihodac kompanije — koji god broj je veći. U Hrvatskoj će SOA provesti inspekcije važnih subjekata i izdati naloge za korekciju. Ako ne ispunite naloga, očekuju se dodatne kazne. Ako dođe do incidenta i dokažu se propusti u sigurnosti, kazne i odgovornost mogu biti veće.

Provjerite zahtjeve za vašu organizaciju

SOA/NIS2 · Hrvatska · 2026

Pokrenuti kalkulator →