Fiskalizacija 2.0 u RH: Treba li ISO/IEC 27001 da biste bili provider?
Sažetak (kratki odgovor)
Ako želite biti informacijski posrednik (provider) za Fiskalizaciju 2.0 u Republici Hrvatskoj,
ISO/IEC 27001 je obavezan. Zakon traži važeći certifikat prilikom prijave i
obvezu pravodobne obnove; u protivnom posrednik se briše s Popisa informacijskih posrednika.
- Obavezno za: informacijske posrednike (komercijalni provideri).
- Ne traži se unaprijed za: pristupne točke koje nisu posrednici (npr. veliki izdavatelj s vlastitim rješenjem) – ali moraju proći test sukladnosti.
- Rokovi: eRačuni i fiskalizacija B2B obvezni od 1. 1. 2026. (za PDV obveznike), a šire od 1. 1. 2027.
1) Što je Fiskalizacija 2.0
Fiskalizacija 2.0 je nova faza fiskalizacije u RH koja uz B2C gotovinske račune uvodi
obvezne strukturirane eRačune u B2B prometu i njihovu fiskalizaciju.
Cilj je digitalizacija, interoperabilnost i realno-vremenska razmjena s Poreznom upravom.
2) Tko je “informacijski posrednik”
Informacijski posrednik je pravna/fizička osoba koja uslužno za druge izdaje, šalje, prima i
fiskalizira eRačune te često pruža povezane servise (adresar/AMS, metapodatkovne servise/MPS, arhiviranje).
Posrednici se registriraju i uvrštavaju na javni popis nakon provjere sukladnosti.
3) ISO/IEC 27001 – zakonska obveza za providere
Zakon traži da informacijski posrednik prilikom prijave dostavi važeći ISO/IEC 27001 certifikat
(ISMS). Nakon isteka certifikata, posrednik je dužan u roku 60 dana dostaviti obnovljeni certifikat
– inače se briše s popisa ovlaštenih posrednika. Ukratko: bez ISO 27001 ne možete biti provider.
Za subjekte koji imaju vlastitu pristupnu točku (nisu posrednici) nije propisana prethodna dostava ISO certifikata,
ali je obavezno završno testiranje sukladnosti i primjena visokih sigurnosnih standarda (GDPR, kriptografija,
kontrola pristupa, kontinuitet, evidencije).
4) Checklist: što treba za provider status
- ISO/IEC 27001 certifikat (ISMS u produkciji, važeći).
- GDPR čl. 32 – dokumentirane tehničke i organizacijske mjere (enkripcija, pristupi, backup, IR plan).
- Izjava o lokaciji podataka – obrada i pohrana unutar EU (bez prijenosa izvan EU).
- Opis opsega usluga (što točno pružate: slanje/primanje, MPS, arhiva…).
- Tehnička sukladnost – format eRačuna (EN 16931), e-potpis, vremenski žig, AS4/HTTPS, TLS.
- Završno testiranje na službenom testnom portalu Porezne uprave i izdavanje Potvrde o sukladnosti.
- Uvrštenje na Popis informacijskih posrednika (tek tada smijete u produkciju kao provider).
5) Tehnički uvjeti i testiranje
Porezna uprava objavljuje tehničke specifikacije (strukturirani XML / UBL prema EN 16931, poruke, protokoli, greške)
te održava testni portal. U praksi trebate:
- digitalno potpisivanje i vremenski žig eRačuna,
- sigurnu komunikaciju (TLS) i razmjenu poruka (AS4/HTTPS),
- pravilno upravljanje adresarom (AMS) i metapodacima (MPS),
- robustan logging, monitoring, oporavak nakon grešaka i procedure incident response-a.
6) Vremenski plan (rokovi)
- 1. 1. 2026. – obveza eRačuna i fiskalizacije za PDV obveznike (B2B).
- 1. 1. 2027. – šira primjena i ostali subjekti izvan PDV-a.
7) Česta pitanja
Je li ISO 27001 “lijepo imati” ili obavezan?
Za informacijske posrednike – obavezan. Bez važećeg certifikata ne možete biti provider.
Imamo vlastitu pristupnu točku – treba li ISO 27001?
Nije propisana prethodna dostava certifikata, ali morate proći test sukladnosti i imati mjere sigurnosti na razini ISO prakse (GDPR, enkripcija, kontrole, kontinuitet).
Što ako propustimo obnovu ISO certifikata?
Postoji rok za dostavu novog certifikata; propuštanje vodi do brisanja s Popisa posrednika i gubitka statusa providera.
Preporučuje li se dodatno cyber osiguranje?
Da. Iako nije izričito propisano, preporučuje se polica cyber osiguranja i redoviti pen-testovi.
8) Napomena
Ovaj tekst je informativan i ne predstavlja pravni savjet. Propisi se mogu mijenjati –
prije odluke o statusu posrednika i certifikaciji provjerite službene objave Porezne uprave i važeće zakone/pravilnike.