Ovaj vodič je namijenjen hrvatskim i EU-operativnim B2B SaaS kompanijama, softverskim prodavačima i operatorima digitalnih platformi s preko 500 zaposlenika ili godinskim prometom iznad 50 milijuna EUR. Naučite kako zadovoljiti obveze sigurnog razvoja softvera, upravljanja ranjivostima i zaštite podataka korisnika prema NIS2 regulativi s rokom za primjenu do 17. listopada 2026.
B2B SaaS kompanije, softverski prodavači i operatori digitalnih platformi koji pružaju usluge EU tvrtkama kao klijentima spadaju pod Annex II ako imaju preko 500 zaposlenika ili godišnji promet veći od 50 milijuna EUR. U Republici Hrvatskoj regulaciju primjenjuje Sektor za otpornost informacijskih sustava (SOA) Vlade. Obaveza se primjenjuje na sve digitalne infrastrukture i servisne ponude dostavljene poslovnim korisnicima u EU, neovisno o mjesti registracije kompanije.
Morate uspostaviti i dokumentirati formalnu praksu sigurnog razvoja softvera koja obuhvaća sve faze razvoja — od zahtjeva do proizvodnje. Dokumentacija mora uključiti kontrole sigurnosti u svakoj fazi, redovito testiranje na ranjivosti, revizije koda i procese za brzu korekciju sigurnosnih grešaka. Ova dokumentacija mora biti dostupna tijelima nadzora i redovito ažurirana kada se prate nove pretnje.
Trebate objaviti i javno dostupnu politiku objavljivanja ranjivosti koja jasno definiše vremensko ograničenje za korekciju — najbolja praksa je 30 do 90 dana ovisno o težini. Politika mora uključiti sigurnu komunikaciju sa istraživačima, proces provjere i plan objave. Također trebate održavati SLA (sporazum o razini usluge) za distribuciju sigurnosnih ažuriranja većini korisnika u roku od 30 dana nakon dostupnosti zakrpe.
Kao provajder SaaS usluga, trebate implementirati šifriranje podataka u mirovanju i pri prijenosu, kontrolu pristupa baziranu na ulogama te redovite sigurnosne kopije. Trebate uspostaviti proces detekcije incidenta i obavijesti korisnika — od strane SOA-e se očekuje obavijest unutar 72 sata od otkrivanja kršenja. Dokumentirajte sve mjere zaštite podataka i redovito provjerite učinkovitost kroz treće strane audite.
Trebate uspostaviti proces provjere sigurnosti za sve vanjske komponente i open-source biblioteke koje koristite u svojoj produkciji. To uključuje automatizirano skeniranje u CI/CD cjevovodu, inventar ovisnosti s verzijama i redovite provjere na poznate ranjivosti. Dokumentirajte sve treće strane integracije i njihove sigurnosne certifikate, te imajte ugovornu obvezu s dobavljačima da vas obavijeste o incidentima unutar 72 sata.
Trebate provesti testiranje penetracijom najmanje dva puta godišnje, a dodatno kad god dodate nove značajne funkcionalnosti ili infrastrukturu. Test mora biti dokumentiran, rađen od kvalificiranog vanjskog tima, i trebate imati plan korekcije za pronađene probleme s vremenskim ograničenjima ovisno o težini. Također trebate redovito skenirati aplikacije na ranjivosti koristeći SAST (statička analiza) i DAST (dinamička analiza) alate integrirane u razvojni proces.
Trebate kontaktirati Sektor za otpornost informacijskih sustava (SOA) pri Vladi Republike Hrvatske, koji je nadležan za nadzor i primjenu NIS2/ZKS za važne subjekte. SOA je odgovoran za provjere, inkorporaciju zahtjeva u zakonodavstvo i uvođenje mjerki u slučaju neuređenosti. Registrirajte se u njihovoj evidenciji važnih subjekata čim utvrdite da ispunjavate kriterije Annex II.
Trebate provoditi testiranje penetracijom najmanje dva puta godišnje kao redovitu praksu — to nije samo provjera prije roka. Dodatno trebate testirati nakon svakog većeg dodavanja nove funkcionalnosti ili infrastrukture. Dokumentirajte sve testove, pronađene greške, vremenski plan korekcije i dokaze da ste ispravili probleme prije nego što se nova verzija pusti u produkciju.
NIS2 direktiva dozvoljava kazne do 10 milijuna EUR ili 2% godišnjeg prihodac kompanije — koji god broj je veći. U Hrvatskoj će SOA provesti inspekcije važnih subjekata i izdati naloge za korekciju. Ako ne ispunite naloga, očekuju se dodatne kazne. Ako dođe do incidenta i dokažu se propusti u sigurnosti, kazne i odgovornost mogu biti veće.