NIS2 Implementacijska Regulacija

Komisijska Implementacijska Regulacija (EU) 2024/2690: Kompletan Vodič za Hrvatske Pružatelje

Ako ste MSP, cloud pružatelj ili DNS provider — ova regulacija vas obavezuje od 7. siječnja 2025. Saznajte koje su vam 150+ specifične kontrole obvezne i kako započeti s usklađivanjem.

Zahtijevi Besplatnu Analizu →

Što je Regulacija 2024/2690 i Tko Joj Podleže?

Komisijska Implementacijska Regulacija (EU) 2024/2690 je detaljni skup zahtjeva koje je Europska komisija objavila kako bi se NIS2 direktiva primjenjivala na kritične digitalne subjekte. Ova regulacija nije opciona — ona je obvezatna od 7. siječnja 2025.

Regulacija se primjenjuje na:

  • DNS pružatelje
  • Registrare vremenski ograničenih domena (TLD)
  • Cloud pružatelje računalnih usluga
  • Pružatelje usluga podatkovnih centara
  • CDN pružatelje
  • Upravljane usluge pružatelje (MSP)
  • Upravljane sigurnosne usluge pružatelje (MSSP)
  • Operatore digitalnih tržnica
  • Operatore internetskih tražilica
  • Pružatelje društvenih mreža
  • Pružatelje povjerenih usluga

Ako vaša tvrtka spada u bilo koju od ovih kategorija, morate ispuniti 150+ specifičnih kontrola — nije dovoljno samo prihvatiti 10 općih mjera iz članka 21.

Zašto su MSP-i Ključni: Vaša Odgovornost i Ovisnost Klijenata

Upravljani uslužni pružatelji (MSP) su u posebnoj poziciji. Ne samo da ih regulacija obavezuje na compliance — već su i njihovi klijenti dio lanaca opskrbe koji se moraju oslanjati na njihove sigurnosne mjere.

To znači:

  • Kao MSP, vi ste dio kritične infrastrukture — mali pogrešak može utjecati na stotine klijenata
  • Vaši klijenti će vas pitati za dokaze compliance — audite, certifikate, izvještaje o kontrolama
  • Ako ne zadovoljite zahtjeve, vaši klijenti ne mogu zadovoljiti svoje NIS2 obveze
  • Kazne za neusklađivanje dosežu do €10 milijuna ili 2% globalnog godišnjeg prihoda

Regulacija također zahtijeva da MSP-i primijene specifičnu segmentaciju, monitoring, logging, upravljanje konfiguracijama i redovite revizije — ovo nije automatizirано. Trebate tehnologiju kao što je Reglyze kako bi upravljali svim 150+ kontrolama učinkovito.

13 Obitelj Kontrola: Pregled Zahtjeva Regulacije 2024/2690

Regulacija 2024/2690 organizira 150+ specifičnih kontrola u 13 obitelji:

  1. Identificiranje i upravljanje imovinom — evidencija svih IT resursa i ovisnosti
  2. Upravljanje pristupom i povjerenstvima — kontrola tko može pristupiti čemu i kada
  3. Kriptografija — enkriptiranje osjetljivih podataka u mirovanju i u prijenosu
  4. Fizička i ambijentalna sigurnost — kontrola pristupa podatkovnim centrima
  5. Upravljanje mrežom — segmentacija, zaštita od DDoS-a, monitoring prometa
  6. Upravljanje uređajima i softverom — patching, inventar softvera, kontrola provjere
  7. Upravljanje incidentima — detektiranje, izvještavanje, oporavak od 72 sata
  8. Kontinuitet poslovanja i oporavak od katastrofe — backup-i, RTO/RPO, testiranje
  9. Nadzor sigurnosti — SIEM, monitoring logaritama, anomalije
  10. Upravljanje ranjivostima — testiranje penetracije, procjena ranjivosti
  11. Upravljanje rizikom treće strane — procjena i monitoring dobavljača
  12. Svjesnost i obuka — redovna obuka za zaposlenike o sigurnosti
  13. Inženjering sigurnosti — sigurni razvoj softvera i arhitektura

Ključne Razlike od Standardnog NIS2: Stroži Zahtjevi za Kritične Digitalne Subjekte

Članak 21 NIS2 direktive zahtijeva samo 10 osnovnih mjera za većinu tvrtki. Međutim, Regulacija 2024/2690 je strožija za subjekte koje pokriva:

  • Stalno Monitoring — trebate 24/7 nadzor, a ne samo periodički pregledi
  • Detaljno Logiranje — svi sustavi moraju pisati detaljne dnevnike s vremenskim oznakama
  • Upravljanje Konfiguracijama — svaka promjena na sustavima mora biti dokumentirana i odobrena
  • Redovite Revizije — najmanje godišnje eksterno testiranje penetracije i ocjena ranjivosti
  • Segmentacija Mreže — kritični sustavi moraju biti odvojeni od ostatka infrastrukture
  • Vremenski Okviri Reagiranja — incidenti moraju biti prijavljeni regulatorima u roku od 72 sata

Razlika: standardni NIS2 je okvir; Regulacija 2024/2690 je preskriptivna lista od 150+ konkretnih, mjerljivih kontrola.

Kako Reglyze Pomaže MSP-ima: Upravljanje 150+ Kontrola

Reglyze je ISMS platforma izgrađena specifično za regulatorne zahtjeve kao što je 2024/2690. Za MSP-e, Reglyze nudi:

  • Mapiranje kontrola — Regulacija je već uređena u platformu; vidite sve 150+ kontrole s uputama za primjenu
  • Automatizirano Evidentiranje — sustav prati sve akcije, što je kritično za dokaze compliance-a
  • Upravljanje Rizikom Treće Strane — pratite sigurnost svojih dobavljača i klijenata
  • Izvještavanje i Audit Trail — generirajte dokaze za regulatore i klijente
  • Timska Suradnja — dodjelite zadatke timovima, pratite napredak

Reglyze je dizajniran za MSP specifičnu arhitekturu — s tisućama klijenata trebate centralizirani sustav koji može skalirati. Alternativne opcije uključuju Secfix i ISMS.online, ali Reglyze ima najbolje pokrivanje za 2024/2690.

Korak po Korak: Kako Započeti s Usklađivanjem kao MSP

1. Procjena Jaza (Week 1-2)
Prikupite sve dokumentacije: politike, proceduri, IT infrastruktura, pristupe, incidente. Usporedite sa svim 150+ kontrola iz Regulacije 2024/2690. Korištenjem Reglyze-a ubrzajte ovaj proces — platforma vam omogući automatsku procjenu.

2. Mapiranje Kontrola (Week 2-4)
Za svaku od 13 obitelji kontrola, identificirajte koje ste već primjenjujete, a koje trebate implementirati. Prioritizirajte kritične oblasti: upravljanje pristupom, monitoring, upravljanje incidentima.

3. Implementacija (Week 5+)
Počnite od visokog rizika. Primjerice: ako nemate SIEM, je li Splunk ili Elastic vam dostupan? Ako nemate redovite procjene ranjivosti, odaberite alat (nessus, Qualys). Dokumentirajte sve.

4. Testiranje (Month 3-4)
Testirajte penetraciju, audirujte logove, provjerite incidente. Trebate dokaze da kontrole funkcioniraju.

5. Certifikacija ili Izjava
Objavite izjavu o usklađivanju za svoje klijente.

Što Vaši Klijenti Mogu Zahtijevati Od Vas: Odgovornosti Lanaca Opskrbe

Regulacija 2024/2690 sadrži Članak 26 koji se fokusira na upravljanje rizikom treće strane. Kao MSP, vaši klijenti (koji su možda i sami subjekti NIS2-a) mogu zahtijevati:

  • Dokaze Compliance-a — izvješće o kontrolama ili certifikat (ISO 27001, SOC 2)
  • Ugovorne Klauzule o Sigurnosti — vi ste obvezni primjenjivati određene mjere navedene u ugovoru
  • Pristupa Auditi — klijenti mogu zahtijevati da vas audiraju ili da komisariate treću stranu
  • Obavijesti o Incidentima — ako dođe do incidenta, trebate obavijestiti klijente u roku od 72 sata
  • Podatke o Infrastrukturi — gdje su podaci pohrani? Koji su kooperanti uključeni?

Ako niste usklađeni, klijenti će vas zamijeniti drugima. To je realna poslovna prijetnja — regulacija to čini obvezom, a ne opcijom.

Checklist Inicijalnih Koraka za MSP Compliance

Često Postavljana Pitanja o Regulaciji 2024/2690

Regulacija je potpuno obvezatna od 7. siječnja 2025. Nije prijedlog. Ako ste MSP, cloud pružatelj ili DNS — trebate je implementirati odmah. Kazne za neusklađivanje kreću se od €5 do €10 milijuna ili 2% globalnog godišnjeg prihoda.

Izjava je minimum, ali ISO 27001 je jača pozicija. Regulacija zahtijeva 150+ kontrola — većina njih je pokrivena ISO 27001, ali nisu sve. Best practice je ISO 27001 plus dodatne mjere specifične za 2024/2690 (npr. 72-satno izvještavanje o incidentima, detaljno logiranje). Koristite Reglyze da pratite oboje odjednom.

Regulatori će vas prvo upozoriti, zatim će provesti audit. Ako ne budete u compliance-u, grešit će vam značajne kazne, mogućnost suspenzije licence za pružanje usluga (obično 30-90 dana), te gubitak povjerenja klijenata. Neki klijenti mogu prekinuti ugovore ako niste usklađeni.

Primjenjuje se na sve MSP-e bez obzira na veličinu. Nema pragova zaposlenika ili prihoda — ako ste MSP, trebate joj udovoljiti. Manji MSP-ovi mogu imati pojednostavljene kontole (npr. manja obuka), ali 13 obitelji kontrola su obvezne za sve.

Secfix i ISMS.online su solidne alternative, ali Reglyze ima najdetaljnije mapiranje za 2024/2690 i bolje je podržava multi-tenant arhitekture koju koriste MSP-ovi. Procijeni sve tri — odaberi onu koja najbolje odgovara vašem timu i budžetu.

Počnite Vaš Put k Compliance-u Danas

Ako ste MSP, cloud pružatelj ili operator kritične digitalne infrastrukture, vrijeme za akciju je sada. Regulacija 2024/2690 je već obvezatna. Besplatna procjena pokazat će vam gdje ste i što trebate učiniti sljedeće.

Zahtijevam Besplatnu Procjenu