Šira slika: U 2025. europsko tržište od SaaS dobavljača izvan EU traži dvije stvari — dokazivo upravljanje podacima i apsolutnu transparentnost. Brzina i dalje pobjeđuje, ali samo ako je compliance ugrađen u razvoj. Ovaj playbook sažima kako pripremamo klijente iz APAC-a, SAD-a i Bliskog istoka za ulazak na EU tržište.
1. Regulatorni pregled (ažurirano veljače 2025.)
| Regulativa | Kada se primjenjuje | Ključne aktivnosti prije lansiranja |
|---|---|---|
| GDPR | Obrada ili profiliranje EU rezidenata | Mapirajte tokove podataka, imenujte EU predstavnika ako nemate entitet, dovršite DPIA i evidencije obrada |
| NIS2 | "Bitni" ili "važni" digitalni pružatelji usluga | Imenovati sigurnosnog odgovornika, definirati pragove incidenata, pripremiti plan obavijesti u 24 sata |
| DORA | Financijski sektor ili ICT dobavljači koji ga podržavaju | Uskladiti upravljanje promjenama, testiranje otpornosti i nadzor trećih strana s člancima 15-30 |
| AI Act (primjena od sredine 2025.) | AI funkcionalnosti dostupne EU korisnicima | Klasificirati AI sustav, dokumentirati ljudski nadzor, pripremiti procjenu sukladnosti |
| Europski akt o pristupačnosti (lipanj 2025.) | B2C web i mobilna sučelja | Osigurati WCAG 2.2 AA, objaviti izjavu o pristupačnosti |
Savjet: Regulatori traže dokaze provedbe, ne samo politike. Sve artefakte držite u jedinstvenom repozitoriju — politike, zapise rizika, model kartice, upitnike dobavljača, potvrde o edukaciji.
2. 90-dnevna mapa puta
Faza 1 — Discovery (0.-15. dan)
- Okupite EU core tim (produkt, pravni, sigurnost, data) i dedicirani komunikacijski kanal.
- Pregledajte obećanja korisnicima: marketing, ugovore i tekstove u aplikaciji očistite od tvrdnji bez pokrića.
- Izradite heat-map regulatornih zahtjeva: koje funkcionalnosti obrađuju osobne podatke, kritične procese ili automatizirano odlučivanje.
Faza 2 — Dizajn (16.-45. dan)
- Napišite živu naraciju o GDPR usklađenosti: kontekst, pravne osnove, retention, procesi za prava ispitanika.
- Pokrenite procjenu rizika dobavljača. EU kazne za incidente trećih strana su stroge.
- Mapirajte NIS2 praznine: inventar imovine, incident response, komunikacijski lanac, predloške obavijesti regulatoru.
- Kreirajte registar AI modela čak i za niskorizične funkcionalnosti – pokazuje razumijevanje AI Acta.
Faza 3 — Implementacija (46.-75. dan)
- Implementirajte privacy-by-design user storije: granularni consent, preference centre, API-je za preuzimanje/brisanje podataka.
- Automatizirajte DPIA proces uz checklist-e u Confluence/Notionu i log odobrenja u Jiri ili Linearu.
- Postavite sigurnosnu observabilnost: mapirajte alarme na MITRE ATT&CK, definirajte runbooke s imenovanim odgovornim osobama.
- Lokalizirajte dokumentaciju: politika privatnosti, sigurnosni pregled, acceptable use s EU referencama.
Faza 4 — Launch readiness (76.-90. dan)
- Provedite tabletop simulaciju sigurnosnog incidenta i AI Act inspekcije.
- Finalizirajte popis obrađivača i podobrađivača te ga objavite na trust centru.
- Organizirajte penetration test koji pokriva EU podatkovne zone i business continuity zahtjeve NIS2.
- Upravljačkom timu isporučite memo sa statusom rizika, otvorenim stavkama i planovima ublažavanja.
3. Checklist za svaki sprint
- Identifikacija podataka – Dodiruje li funkcionalnost posebne kategorije podataka ili maloljetnike? Ako da, obavezno eskalirajte.
- Pravna osnova – Mapirajte korisničke tokove na privolu, ugovor ili legitimni interes. Zabilježite balanse legitimnog interesa.
- Pohrana & rezidencija – Provjerite S3 buckete, baze, logove – jesu li u EU ili pokriveni SCC/BCR mjerama.
- Automatizirana prava ispitanika – Testirajte API-je za izvoz, brisanje i ispravak podataka unutar roka od 30 dana.
- Transparentnost algoritama – Dokumentirajte svrhu modela, ulazne podatke, metrike i zaštitne mehanizme u model kartici.
- Sigurnosne kontrole – MFA obavezna, provjere privilegiranih pristupa mjesečno, alerti ažurirani.
4. Komercijalni i lokalizacijski koraci
- Ugovori: EU kupci očekuju DPA, SLA za dostupnost i popise podizvođača. Pripremite Trust Kit.
- Jezik: Lokalizirajte ključne dodirne točke – politiku privatnosti, onboarding, podršku. Profesionalni prijevodi za glavna tržišta (DE, FR, HR).
- Podrška: Omogućite podršku u EU radnom vremenu, javno objavite politiku incidentne komunikacije u skladu s NIS2.
- Trust Center: Prikažite certifikate (ISO 27001, SOC 2), dijagrame arhitekture, sažetak DPIA procesa.
- Thought leadership: Kvartalno objavljujte compliance uvide (presedani, smjernice, analize kazni) kako biste gradili povjerenje.
5. KPI-jevi i ritam upravljanja
- Time-to-DPIA – Medijan dana od ideje do odobrene DPIA (cilj <12 dana).
- Access review completion – Postotak dovršenih revizija privilegiranih pristupa (cilj 100%).
- Incident drill speed – Minute potrebne za pripremu obavijesti regulatoru u simulacijama (<120 min).
- Svježina registra AI modela – % modela ažuriranih u zadnjih 90 dana.
- Customer trust metričke – Smanjenje ciklusa sigurnosnih upitnika, CTR na newsletter s compliance temama.
Mjesečno održavajte EU Governance Council: pregled registra rizika, incidenata, statusa audita, horizon scanning regulativa i zahtjeva ključnih kupaca.
6. Učestale greške i prevencija
| Greška | Posljedica | Prevencija |
|---|---|---|
| "Popravit ćemo kasnije" | Retroaktivni rad povećava trošak razvoja 20-30% | Definirajte compliance kriterije dovršenosti u sprint planiranju |
| Copy/paste politike | Regulatori brzo uoče nedosljednosti | Kreirajte dokumente s EU odvjetnicima, citirajte članke i presedane |
| Ignoriranje change managementa | DORA provjerava release procese | Mapirajte pipelineove, odobrenja, rollback planove i evidenciju |
| Tišina u incidentu | NIS2 kazne rastu zbog zakašnjele komunikacije | Pripremite predloške za regulatore i kupce, uskladite PR i pravni tim |
7. Usklađivanje ljudi i procesa
RACI pregled
- Responsible: Produkt timovi za privacy-by-design, SecOps za detekciju, Data Science za model kartice.
- Accountable: VP Produkta (privatnost & AI Act), CISO (NIS2), COO (DORA spremnost ugovora).
- Consulted: Lokalni EU pravnici, customer success, marketing.
- Informed: Uprava, partneri, ključni kupci.
Provodi kvartalne treninge o GDPR novostima, AI Act obvezama i incident responseu; evidentirajte prisutnost.
8. Ideje za ubrzanje u 2025.
- Pokrenite privacy engineering guild s reusable komponentama (consent banner, DSAR API).
- Ugradite compliance checkpoint u product analytics — feature flag se ne aktivira bez odobrene DPIA-e.
- Aktivirajte customer advisory board s reguliranim EU klijentima.
- Testirajte continuous controls monitoring platforme za rano otkrivanje odstupanja.
Sljedeći korak
Rezervirajte besplatni sastanak s Vision Compliance timom. Pregledat ćemo vaš regulatorni heat-map, prioritizirati aktivnosti i dati predloške koje koristimo za ubrzanje enterprise prodaje.