EU compliance playbook za SaaS tvrtke koje ulaze u Europu: GDPR, NIS2, DORA, AI Act, ISO 27001, troškovi, rokovi i 90-dnevni roadmap.
| Regulativa | Primjena | Maks. kazna (redovito) | Ključno za |
|---|
| GDPR | Obrada osobnih podataka osoba u EU | 20 mil. EUR ili 4 % prometa | Sve tvrtke s korisnicima u EU |
| NIS2 | Digitalne usluge, kritični sektori | 10 mil. EUR ili 2 % prometa | Cloud, tržnice, pretraživači, kritična infrastruktura |
| DORA | Financijski sektor + IKT pružatelji za njih | Do 1 % prosj. dnevnog prometa | Banke, osiguranja, fintech, cloud za financije |
| AI Act | Sustavi umjetne inteligencije na EU tržištu | 35 mil. EUR ili 7 % prometa | Proizvođači i korisnici UI sustava |
Zašto je ovo važno? Ulazak na europsko tržište zahtijeva usklađenost s ovim propisima. Usklađenost nije samo izbjegavanje kazni, nego dokazivanje usklađenosti ubrzava sklapanje ugovora s europskim kupcima i gradi povjerenje.
| Aktivnost / profil | Primjenjivi propisi |
|---|---|
| Obrada osobnih podataka osoba u EU | GDPR |
| Digitalne usluge (cloud, tržnice, pretraživači) | NIS2 |
| Financijske usluge ili IKT za financijski sektor | DORA |
| Korištenje ili razvoj sustava umjetne inteligencije | AI Act |
Prvi korak: inventura. Koje podatke prikupljate, koje sustave koristite, koji su dobavljači. Na temelju toga odredite koji propisi se primjenjuju.
Uredba (EU) 2016/679 primjenjuje se od 25. svibnja 2018. i uređuje zaštitu osobnih podataka u EU.
Primjenjuje se na vas ako: obrađujete osobne podatke osoba u EU, nudite robu ili usluge osobama u EU ili pratite njihovo ponašanje.
Ključne obveze: pravni temelj za obradu, transparentnost, prava ispitanika (pristup, ispravak, brisanje, prenosivost, prigovor), sigurnosne mjere, evidencija aktivnosti obrade (čl. 30), prijava povrede u 72 sata, odgovor na zahtjev ispitanika u 30 dana. Ako nemate sjedište u EU, EU predstavnik (čl. 27).
Kazne: do 20 mil. EUR ili 4 % godišnjeg globalnog prometa.
Detaljno: Što je GDPR: kompletan vodič, GDPR u Hrvatskoj.
Direktiva (EU) 2022/2555 proširuje obveze kibernetičke sigurnosti. U Hrvatskoj: Zakon o kibernetičkoj sigurnosti (NN 14/24).
Primjenjuje se na vas ako: pružate digitalne usluge (tržnice, pretraživači, cloud), djelujete u kritičnim sektorima (energetika, promet, zdravstvo, financije) ili prema nacionalnim kriterijima (npr. 50+ zaposlenika ili promet 10+ mil. EUR).
Ključne obveze: upravljanje rizicima kibernetičke sigurnosti, prijava incidenata u 24 sata, sigurnost lanca opskrbe, redovite procjene rizika, plan kontinuiteta.
Kazne: do 10 mil. EUR ili 2 % godišnjeg prometa.
Detaljno: NIS2 direktiva: vodič za Hrvatsku.
Uredba (EU) 2022/2554 o digitalnoj operativnoj otpornosti: puna primjena od 17. siječnja 2025.
Primjenjuje se na vas ako: pružate financijske usluge (banke, osiguranja, investicijske tvrtke) ili ste IKT pružatelj koji pruža usluge financijskom sektoru (cloud, analitičari podataka).
Ključne obveze: upravljanje IKT rizicima, prijava IKT incidenata (4 h / 72 h / 1 mj), testiranje otpornosti (TLPT za značajne), upravljanje trećim stranama, registar informacija (predaja 30. travnja 2025.).
Kazne: do 1 % prosječnog dnevnog prometa (globalno).
Detaljno: DORA uredba: vodič.
Uredba (EU) 2024/1689 o umjetnoj inteligenciji: stupila na snagu 1. kolovoza 2024., primjena postupno do 2027.
Primjenjuje se na vas ako: razvijate sustave UI, koristite ih za donošenje odluka ili distribuirate UI sustave na EU tržištu.
Ključne obveze: klasifikacija sustava prema razini rizika (zabranjeni / visoki / ograničeni / minimalni), tehnička dokumentacija za visokorizične sustave, transparentnost prema korisnicima, ljudski nadzor, registracija u EU bazi gdje je predviđeno.
Kazne: do 35 mil. EUR ili 7 % godišnjeg globalnog prometa.
Detaljno: AI Act: priručnik za hrvatske timove.
| Korak | Sadržaj |
|---|---|
| Tim | Voditelj projekta, pravna, IT, uprava; kanali i odgovornosti |
| Inventura | Koje osobne podatke prikupljate? Koje sustave UI koristite? Tko od dobavljača ima pristup podacima? Koje usluge nudite u EU? |
| Primjenjivi propisi | Tablica: obrada podataka → GDPR; digitalne usluge → NIS2; financije / IKT za financije → DORA; UI → AI Act |
| Korak | Sadržaj |
|---|---|
| Dokumenti | Politika privatnosti (HR + EN), evidencija obrade (čl. 30), DPA s izvršiteljima, DPIA za rizične obrade |
| Tehničke mjere | Enkripcija u prijenosu i mirovanju, kontrola pristupa, sigurnosne kopije, bilježenje događaja |
| Procedure | Odgovor na zahtjeve ispitanika (30 dana), prijava povrede (72 h GDPR, 24 h NIS2), procjena UI prema AI Actu, plan oporavka |
| Korak | Sadržaj |
|---|---|
| Kontrole | Privola, pristup/izvoz/brisanje podataka, MFA, upozorenja o sigurnosnim događajima |
| Edukacija | Osnovna obuka za sve, napredna za IT i pravnu, kvartalna osvježavanja, evidencija |
| Dobavljači | Pregled koji obrađuju podatke, potpisani DPA, provjera sigurnosti ključnih, popis podobrađivača |
| Korak | Sadržaj |
|---|---|
| Testiranje | Simulacija incidenta, test prijave povrede, provjera odgovora na zahtjeve ispitanika, verifikacija kontrola |
| Dokumentacija | Sažetak mjera, materijali za kupce (sigurnosni pregled), javno dostupne informacije (politika, popis dobavljača), arhiva dokaza |
| Održavanje | Kvartalni pregled, godišnja revizija procedura, praćenje regulatornih promjena |
Savjet: Usklađenost je kontinuirani proces. 90 dana je realan okvir za osnovnu usklađenost; planirajte redovito ažuriranje i praćenje promjena.
| Pogreška | Posljedica | Rješenje |
|---|---|---|
| Odgađanje | Veći trošak, rizik kazni | Započnite odmah, barem inventurom i prioritetima |
| Kopiranje tuđih dokumenata | Nedosljednosti, prepoznatljivo regulatorima | Dokumenti prilagođeni vašem poslovanju |
| Samo tehnologija | Propusti u procesima i ljudima | Uravnotežite tehničke, organizacijske i edukacijske mjere |
| Jednokratni projekt | Zastarjela dokumentacija | Kvartalni/godišnji pregled i ažuriranje |
| Ignoriranje dobavljača | Odgovornost za njihove propuste | Procjena, DPA, redoviti pregled |
Europski B2B kupci često traže dokaze usklađenosti. Pripremite:
Javna stranica s: politikom privatnosti, popisom podobrađivača, sigurnosnim certifikatima (ISO 27001, SOC 2), opisom tehničkih mjera.
Tipična pitanja: Gdje se podaci pohranjuju? Tko ima pristup? Kako se postupa u slučaju incidenta? Koji certifikati postoje? Pripremite kratke, dosljedne odgovore.
Za GDPR: ako obrađujete osobne podatke osoba u EU, a nemate sjedište u EU, dužni ste imenovati EU predstavnika (čl. 27). NIS2/DORA/AI Act imaju vlastite uvjete primjene.
S organiziranim pristupom osnovna usklađenost moguća je u 90 dana. Potpuna usklađenost ovisi o složenosti poslovanja, a održavanje je kontinuiran proces.
GDPR, NIS2, DORA i AI Act su EU propisi. Pravila su uniformna; nacionalna tijela provode nadzor. Jedan set dokumenata i mjera pokriva cijelo EU tržište.
Inventura: koje podatke prikupljate, koje sustave koristite, koji dobavljači imaju pristup. Na temelju toga odredite primjenjive propise i prioritete.
| Izvor | Poveznica |
|---|---|
| GDPR | EUR-Lex 32016R0679 |
| NIS2 | EUR-Lex 32022L2555 |
| DORA | EUR-Lex 32022R2554 |
| AI Act | EUR-Lex 32024R1689 |
| AZOP | azop.hr |
| CERT.hr | cert.hr |
| HANFA | hanfa.hr |
EU usklađenost nije samo prepreka, nego dokazana usklađenost ubrzava ugovore s europskim kupcima i gradi povjerenje. Ključno je identificirati primjenjive propise, provesti plan (npr. u 90 dana), dokumentirati mjere i redovito ih održavati.
Trebate pomoć? Vision Compliance nudi procjenu regulatornog profila i plan usklađivanja za tech tvrtke koje ulaze na EU tržište. Zakažite besplatne konzultacije →
Izvori: EUR-Lex (GDPR, NIS2, DORA, AI Act), Europska komisija
Robert savjetuje organizacije o GDPR-u, NIS2, EU AI Actu i financijskoj regulativi, isporučuje dokumentaciju spremnu za reviziju i programe usklađenosti u reguliranim industrijama.
Pomažemo organizacijama u EU klasificirati AI sustave, izraditi tehnički dosje i postaviti upravljanje koje propisi traže. Krenite s 30-minutnim razgovorom.