01
Prekogranični podaci i lanci podizvršitelja
US clouds, indijske razvojne kuće, EU rezidentnost. Procjene utjecaja prijenosa po Schrems II množe se sa svakim novim dobavljačem.
IMPACTRevizije klijenata zapinju na trećem podizvršitelju.
SEKTORSKA PRAKSA · TEHNOLOGIJA I AI
EU usklađenost za tehnologiju i AI
Savjetovanje o EU AI Actu, GDPR-u za AI sustave, NIS2 i kibernetičkoj sigurnosti
REGULATIVE.STACK · TECH+AI● 09
GDPROsobni podaci, prijenosi, DPO
NIS2Kibernetička sigurnost ICT i clouda
AI ACTKlasifikacija rizika i sukladnost
DSAOnline posrednici i platforme
DMAObveze gatekeepera
DATA ACTRazmjena podataka i cloud switching
CRAKibernetička otpornost proizvoda
EPRIVACYKolačići, marketing, metapodaci
DORAAko poslužujete financijske subjekte
BESPLATNA 30-MIN KONZULTACIJA
Razgovor s iskusnim savjetnikom.
Odgovor unutar jednog radnog dana. Jasni sljedeći koraci i okvirna cijena.
ODGOVOR U 1 RADNOM DANU·NDA NA UPIT·BEZ OBVEZA
§ 01 / KOGA POSLUŽUJEMO
Tech sektori u kojima djelujemo
Primjenjivi propisi mijenjaju se s poslovnim modelom. Posložimo obveze koje konkretno obvezuju vaše poslovanje.
B2B SAAS
SaaS i API platforme
Multi-tenant podaci, lanci podizvršitelja, revizije klijenata.
GDPRNIS2CRADORA*
AI / ML
AI i ML platforme
Klasifikacija po Aneksu III, podrijetlo podataka za treniranje, GPAI.
AI ACTGDPRDATA ACT
PLATFORME
Marketplaceovi i posrednici
Provjera trgovca, transparentnost, uvjeti, ilegalni sadržaj.
DSADMAGDPR
CLOUD / INFRA
Cloud, hosting, IaaS i PaaS
Ključni subjekti po NIS2, switching, prijenosi klijenata.
NIS2DATA ACTGDPR
HARDWARE / IOT
Povezani proizvodi i embedded
Osnovni zahtjevi CRA, upravljanje ranjivostima.
CRANIS2GDPR
FINTECH
Platni promet, krediti, neobanke
Rizik trećih ICT strana, testiranje otpornosti, nadzorno izvještavanje.
DORAGDPRAMLNIS2
§ 02 / PEJZAŽ
Regulatorni sat za tehnologiju.
Osam propisa se isprepliće. Posložimo ih oko vašeg ritma izdanja.
NA SNAZIGDPR
NA SNAZI
Osobni podaci, prijenosi, DPO
Pravna osnova, lanac podizvršitelja po čl. 28, procjene utjecaja prijenosa po Schrems II, prijava povrede u 72 sata, prava ispitanika na skali.
NA SNAZINIS2
NA SNAZI
Kibernetička sigurnost ICT
Klasifikacija ključnih i važnih subjekata. Upravljanje rizicima, prijava u 24h i 72h, sigurnost lanca opskrbe, odgovornost uprave.
NA SNAZIAI ACT
NA SNAZI
Zabranjene prakse i GPAI obveze
Zabranjene prakse zabranjene (veljača 2025.). GPAI obveze od kolovoza 2025. Visokorizični sustavi iz Aneksa III od kolovoza 2026.
NA SNAZIDSA
NA SNAZI
Platforme i posrednici
Prijava i postupanje, transparentnost uvjeta, traceability trgovca za marketplaceove. Godišnje izvještavanje. VLOP-i imaju dodatne obveze.
SLIJEDIDATA ACT
RUJ 2025
Razmjena podataka i cloud switching
Pristup podacima povezanih proizvoda za korisnike. Obveze za cloud switching: prozori prenosivosti, ukidanje naknada do 2027.
KRITIČNOAI ACT
KOL 2026
Obveze visokorizičnih sustava
Sukladnost po Aneksu III, tehnički dosje (Aneks IV), nadzor nakon stavljanja na tržište, FRIA za korisnike.
KRITIČNOCRA
PRO 2027
Kibernetička otpornost proizvoda
Povezani proizvodi (hardware i software) moraju zadovoljiti osnovne zahtjeve, upravljati ranjivostima, prolaziti procjenu sukladnosti i nositi CE.
PLANIRANOEPRIVACY
JOŠ 2026+
ePrivacy Uredba
Zamjenjuje nacionalne propise o kolačićima jedinstvenim režimom. Stroža privola, povjerljivost komunikacije, marketing.
§ 03 / ŠTO RJEŠAVAMO
Gdje tech i AI tvrtke zapinju.
02
NIS2 ulazi u digitalnu infrastrukturu
Cloud pružatelji, managed services, data centri klasificirani kao ključni. Važni subjekti SaaS od 250 zaposlenih ili 50 mil. eura prometa.
IMPACTOsobna odgovornost uprave. Kazne do 10 mil. eura ili 2% prometa.
03
Klasifikacija rizika po AI Actu
Zapošljavanje, scoring, biometrija, obrazovanje, kritična infrastruktura. Većina timova ima preuzak opseg.
IMPACTPogrešna klasifikacija znači povlačenje s tržišta.
04
CRA otpornost za povezane proizvode
Hardware i software proizvodi trebaju sukladnost, CE oznaku, upravljanje ranjivostima, podršku 5 godina.
IMPACTBez CE oznake nema EU polica od prosinca 2027.
05
Kolačići, ePrivacy i marketing u jednom
Fragmentacija nacionalnih propisa. Server-side tracking. Consent-or-pay debate. Auditabilnost marketing automation.
IMPACTNacionalne DPA daju šesteroznamenkaste kazne mjesečno.
06
Revizije klijenata kao blokator prodaje
Enterprise procurement traži SOC 2, ISO 27001, GDPR čl. 28, listu podizvršitelja, DPIA, mehanizme prijenosa.
IMPACTCiklusi se razvuku 6 do 12 tjedana po reviziji.
§ 04 / PONUDA
Naše usluge za tehnološki sektor
TX-01
GDPR program za SaaS i platforme
Evidencije obrade, lanac podizvršitelja, procjene prijenosa, paket za reviziju klijenata, DPO funkcija ili co-DPO model.
DROPADTIA bibliotekaDPaket za reviziju
TX-02
NIS2 spremnost i ISMS
Klasifikacija subjekta, gap procjena, izgradnja ISMS-a (ISO 27001), playbook prijave incidenata, due diligence lanca opskrbe.
DGap izvještajDISMSDSOP incident
TX-03
Klasifikacija i sukladnost po AI Actu
Inventar sustava, mapiranje Aneksa III, sustav upravljanja rizicima, tehnički dosje (Aneks IV), nadzor čovjeka, post-market monitoring.
DKlasifikacijaDAneks IV dosjeDPMM
TX-04
DSA i DMA program za platforme
Prijava i postupanje, provjera trgovca, transparentnost uvjeta, obrazloženja, godišnje izvješće. Procjene rizika za VLOP-e.
DDSA toolkitDNA workflowDIzvješća
TX-05
CRA sukladnost za povezane proizvode
Procjena osnovnih zahtjeva, secure-by-design, postupak ranjivosti, ruta sukladnosti, tehnička dokumentacija.
DCRA gapDSukladnostDCE paket
TX-06
Due diligence dobavljača i podizvršitelja
Pružatelji temeljnih modela, MLaaS, data labelleri, infra. Čl. 28 GDPR plus AI Act vrijednosni lanac plus DORA registar.
DRegistarDDPA stackDRisk score
TX-07
Kolačići, privola i ePrivacy
Pregled CMP-a, audit server-side trackinga, zakonitost marketing automation, obrana od DPA postupaka.
DCMP auditDCookie registarDObavijesti
TX-08
Odgovor na incident i prijava povrede
Prijava po NIS2 (24h/72h), GDPR čl. 33 u 72h, komunikacija s kupcima, kontakt s nadzorom, post-incident higijena.
DIR runbookDPrijavaDKontakt
TX-09
Vanjski DPO ili co-DPO
Imenovani viši savjetnik prema nadzornom tijelu, postupanje s DSAR-ima, pregled DPIA, ritam izvještavanja uprave.
DDPO ugovorDDSAR opsDMemo upravi
§ 05 / IZABRANE STUDIJE
Sve studije slučaja →Tech i AI angažmani.
CASE 01Series-C SaaS
GDPR i NIS2 program za EU SaaS sa 600 klijenata. Revizije s 8 tjedana na 5 dana.
600+
POKRIVENO KLIJENATA
5 dana
CIKLUS REVIZIJE
34
MAPIRANIH PODIZVRŠITELJA
OPSEGGDPR · NIS2 · ISO 27001 · Upravljanje podizvršiteljima
CASE 02B2B AI (HR-tech)
Visokorizična AI za zapošljavanje: sukladnost, CE oznaka, post-market monitoring uživo.
Interna
RUTA SUKLADNOSTI
11/11
REVIZIJE
€8,4M
ZADRŽAN ARR
OPSEGAI Act visokorizično · Podrška korisnicima · ISO 42001
CASE 03Online marketplace
DSA toolkit prije roka. Prijava, provjera trgovca, obrazloženja u radu u 14 tjedana.
Da
U ROKU
< 24h
LATENCIJA NA
Predano
GODIŠNJE IZVJEŠĆE
OPSEGDSA · GDPR · Prava potrošača · Moderacija sadržaja
§ 06 / BESPLATAN ALAT
Mapirajte stack prema EU pravilima.
Osam pitanja o poslovnom modelu, veličini i tokovima podataka. Dobijete indikativnu mapu obveza kroz GDPR, NIS2, AI Act, DSA, CRA, DORA i ePrivacy. Bez upisivanja maila.
Pokrenite mapper~ 4 MINMAPPER.PREVIEWKORAK 4 / 8
Hosta li vaša platforma sadržaj trećih strana, oglase ili ponude trgovaca EU korisnicima?
Da, marketplace ili posrednikA
Da, UGC u opsegu (više od 45M EU korisnika)B
Ne, samo vlastiti sadržajC
Nisam siguranD
INDIKATIVNO → DSA POSREDNIK · ČL. 16 + ČL. 30
§ 07 / ČESTA PITANJA
Često postavljana pitanja
01Jesmo li u opsegu NIS2 ako smo SaaS tvrtka?+
Vjerojatno jeste ako poslujete kao digitalna infrastruktura, managed service, data centar ili cloud-computing usluga, i prelazite 50 zaposlenih ili 10 mil. eura prometa. Tipična kategorija su važni subjekti. Ključni subjekti odnose se na najveće cloud i DNS pružatelje.
02Koristimo AI od trećih strana. Jesmo li i dalje u opsegu AI Acta?+
Da. Korisnici (deployeri) imaju vlastite obveze po čl. 26: nadzor čovjeka, praćenje i (za neke sustave) procjena utjecaja na temeljna prava. Nabavne ugovore treba ažurirati kako bi dokazali sukladnost pružatelja.
03Primjenjuje li se AI Act i na interne alate?+
Primjenjuje se kad god se izlaz koristi u Uniji, bez obzira gdje je sustav razvijen ili postavljen. Interni HR ili produktivnost AI koji utječu na zaposlenike u EU su u opsegu.
04Kako se DSA primjenjuje na B2B SaaS?+
Čisti B2B SaaS bez hostiranja sadržaja trećih strana obično je izvan opsega DSA. Čim hostate korisničke oglase, komentare ili ponude trgovaca prema EU potrošačima, posredničke obveze DSA aktiviraju se.
05Što za nas znači Cyber Resilience Act?+
CRA pokriva povezane proizvode s digitalnim elementima stavljene na EU tržište od prosinca 2027. Procjena sukladnosti, CE oznaka, upravljanje ranjivostima, sigurnosna ažuriranja najmanje 5 godina. Pomažemo procijeniti osnovne zahtjeve i odabrati rutu sukladnosti.
06Može li jedna dokumentacija pokriti GDPR DPIA i AI Act sukladnost?+
Uglavnom da. Radimo kombinirani dokazni paket pa se ne vode dva paralelna programa. Mapiranje po člancima je uključeno.
07Kako radite uz naše SOC 2 i ISO 27001?+
Uklapamo EU-specifične kontrole u postojeći certifikacijski program, mapirajući klauzule između okvira tako da jedan dokazni temelj pokriva SOC 2, ISO 27001, GDPR čl. 32, NIS2 čl. 21 i osnovne zahtjeve CRA-e.
08Radite li s našim postojećim engineering i ML timovima?+
Da. Compliance ugrađujemo u vaš SDLC i MLOps, ne paralelno. Inženjeri ostaju u svojim alatima. Mi instrumentiramo dokaze.
§ 08 / POVEZANO
Povezane prakse.
Zaštita podataka (DPO)
GDPR program, DPIA biblioteka, paket za reviziju klijenata i kontakt s nadzorom.
Otvori praksu →AI usklađenost
AI Act sukladnost, provedba ISO 42001 i upravljanje AI rizicima za pružatelje i korisnike.
Otvori praksu →Kibernetička sigurnost
ISMS, ISO 27001, NIS2 kontrole, program ranjivosti i spremnost za revizije klijenata.
Otvori praksu →09 / GET STARTED
Pripremite svoju tech tvrtku za EU propise
Tipični ishodi: klasifikacija rizika AI-ja, provedene potrebne kontrole, pripremljena dokumentacija.