Prilog II — Važan entitet

NIS2/ZKS za telehealth platforme, usluge praćenja pacijenata i operatore zdravstvenih aplikacija u Hrvatskoj

Ovaj vodič je namijenjen operatorima telemedicine, pružateljima usluga daljinskog nadzora bolesnika i razvojnim timovima zdravstvenih aplikacija koji trebaju razumjeti obveze važnih entiteta prema Zakonu o kibernetskoj sigurnosti (ZKS). Saznajte kako osigurati sigurnost podataka pacijenata, uskladiti se s GDPR-om i NIS2-om te izbjeći kazne do 10 milijuna eura.

Telehealth platforme, pružatelji usluga daljinskog praćenja vitala pacijenata i operatori zdravstvenih digitalnih aplikacija kvalificiraju se kao važni entiteti ako imaju kontinuirane operacije kritične za zdravstvenu zaštitu u Hrvatskoj te ako obslužavaju značajnu klijentelu (bolnice, zdravstvene domove ili veći broj pojedinačnih pacijenata). Organizacije s više od 250 zaposlenih ili godišnjim prometom većim od 50 milijuna eura smatraju se važnim entitetima, kao i sve organizacije koje pružaju digitalne zdravstvene usluge povezane sa zdravstvenim informacijskim sustavima.

Ključne obveze NIS2 za ovaj sektor

Sigurnost prijenosa podataka pacijenata — end-to-end enkripcija

Sve videokonsultacije, poruke, medicinski zapisi i signali vitalnih znakova moraju biti zaštićeni end-to-end enkripciijom tijekom prijenosa i pohrane. Telehealth platforme trebaju implementirati TLS 1.3+ za sve mrežne komunikacije te osigurati da niti operatori platforme nemaju pristup dešifriranima sadržaju između pacijenta i liječnika. Ova obveza direktno proizlazi iz GDPR članka 32 i ZKS članka 19 te je kritična za sprječavanje neovlaštenog pristupa osjetljivim zdravstvenim informacijama.

Usklađenost GDPR-a i NIS2-a — integrirana strategija obrade podataka

Digitalne zdravstvene usluge trebaju uskladiti zahtjeve NIS2-a za kibernetsku sigurnost s GDPR-ovim obvezama za zaštitu podataka. To uključuje pisane dogovore o obradi podataka sa svim podprocesima (cloud davatelje, integratori EHR sustava, pružatelje analitike), redovne procjene utjecaja na zaštitu podataka (DPIA) te jasne procedure za izvještavanje o incidentima koji mogu utjecati na privatnost. Svaka treća strana koja ima pristup zdravstvenim podacima mora biti uključena u formalnu evidenciju i podložna sigurnosnim auditima.

Sigurnost dobavnog lanca — integracija s bolničkim EHR sustavima

Kad se telehealth aplikacija integrira s bolničkim elektroničkim zdravstvenim kartama (EHR), telehealth operator mora provjeriti sigurnost svakog API-ja, biblioteke za integraciju i postupka sinhronizacije podataka. To uključuje zahtjeve da pružatelji bolničkih sustava pružaju sigurnosne certifikate, redovne penetracijske testove i dokaze o sukladnosti s NIS2-om. Telehealth operatori su odgovorni za incidente koji nastanu kroz neprovjerene ili zastarjele integracije s bolničkim sustavima.

Izvještavanje o incidentima — obaveza prijave u 72 sata

Svaki sigurnosni incident koji utječe na dostupnost telehealth platforme, povjerljivost podataka pacijenata ili integritet zdravstvenih podataka mora biti prijavljen Agenciji za zaštitu konkurencije (SOA) u roku od 72 sata od otkrića. Incidenti koji dovode do prekida video konsultacija, gubitka poruka ili neslučajnog pristupa medicinskim zapisima trebaju biti dokumentirani s detaljima o broju utjecanih pacijenata, trajanju prekida i poduzatim mjerama. Operatori trebaju održavati dnevnik svih sigurnosnih događaja najmanje dvije godine.

Testiranje sigurnosti — obvezni penetracijski testovi i procjena ranjivosti

Telehealth platforme moraju provesti minimalno godišnje sukladne penetracijske testove koje provode akreditirani vanjski sigurnosni stručnjaci. Zdravstvene aplikacije trebaju redovito procjenjivati ranjivosti (najmanje kvartalno) i imati formalnu proceduru za upravljanje pronađenim greškama do zakrpljivanja. Svi sigurnosni testovi trebaju biti dokumentirani i dostupni za pregled od strane SOA-e tijekom inspekcija.

Tipični nedostaci usklađenosti u ovom sektoru

Preporučeni alati za ovaj sektor

Sprinto sprinto.com

Provjeri alat →
Secfix secfix.com

Provjeri alat →
Drata drata.com

Provjeri alat →

Često postavljana pitanja

Trebam li implementirati end-to-end enkripciju ako su naši pacijenti samo u privatnim bolnicama koje imaju vlastite sigurne mreže?

Da. ZKS članak 19 zahtijeva end-to-end enkripciju za sve zdravstvene podatke tijekom prijenosa, neovisno o tome jesu li bolnice na privatnih mrežama. Privatne mreže ne osiguravaju dostatan standard — samo enkripcija na razini aplikacije. Video, poruke i zapisi trebaju biti nečitljivi čak i ako haker presiječe promet u bolničkoj mreži.

Što se smatra 'incidentom' koji trebam prijaviti SOA-i u roku od 72 sata?

Incident je svaki nenamjeran sigurnosni događaj koji utječe na dostupnost (prekid videa duži od 30 minuta), povjerljivost (neovlašten pristup zdravstvenim podacima), ili integritet (promjena zapisa bez autorizacije). Primjeri: DDoS napad na platformu, SQL injection koji otkriva korisničke kredencijale, ili slučajni pristup pacijenta medicinski zapisima druge osobe. Incident koji utječe samo na jednog pacijenta i trajao minutu obično se ne prijavljuje, ali incident koji utječe na više od 10 pacijenata ili trajao sat vremena mora biti prijavljen.

Koja su najčešća kažnjenja ako operator telehealth-a ne uskladi se s NIS2-om do kraja 2025. godine?

Članice mogu izreći kazne do 10 milijuna eura ili 2% godišnjeg globalnog prometa (broj koji je viši) za teške povrede kao što su nepostojanje penetracijskih testova ili odsustvo plana izvještavanja o incidentima. Manji prekršaji (zastarjeli dogovori sa podprocesima) mogu izazvati kazne do 5 milijuna eura ili 1% prometa. SOA će početi s upozorenjem u 2025., a inspekcije će početi tijekom 2026. godine.

Provjerite zahtjeve za vašu organizaciju

SOA/NIS2 · Hrvatska · 2026

Pokrenuti kalkulator →