Odabir informacijskog posrednika – na što obratiti pažnju?
Odabir informacijskog posrednika danas je aktualno pitanje svakog poduzetnika koji želi sigurno i usklađeno poslovati u digitalnom okruženju.
U kontekstu fiskalizacije eRačuna i novih obveza prema Poreznoj upravi, uloga informacijskog posrednika prelazi okvire tehničke usluge i postaje osnovni element poslovanja, sigurnosti podataka i pouzdanosti razmjene. Bitno je napomenuti da posrednik nije samo kanal koji “razmjenjuje dokumente”, već partner koji preuzima odgovornost za pravilno slanje, zaprimanje, evidentiranje i arhiviranje eRačuna.
U ovom blogu detaljno ćemo pojasniti razliku između pristupne točke i informacijskog posrednika te naglasiti zašto se te dvije uloge nisu istoznačne. Nadalje, spomenuti ćemo na što treba pripaziti kada biramo između raznih rješenja na tržištu. Obradit ćemo kriterije kao što su prisutnost na tržištu, podržane vrste transakcija, mogućnosti integracije s ERP sustavima, dodatne funkcionalnosti i modeli naplate.
Poseban naglasak posvetit ćemo području sigurnosti, kao jednom od glavnih kriterija odabira. U tom kontekstu razmotrit ćemo najvažnije sigurnosne standarde, od NIS2 direktive, preko ISO certifikata, pa sve do osiguranja od profesionalne odgovornosti i cyber napada, bez kojih je danas nezamislivo upravljati osjetljivim poslovnim podacima.
Ovaj blog koncipiran je kao vodič kako bi vam olakšao proces odluke i omogućio informiran izbor informacijskog posrednika koji može dugoročno podržati vaše poslovanje.
Pristupna točka i informacijski posrednik
Iako se ovi termini često smatraju istim jer u praksi informacijski posrednik često istovremeno funkcionira kao pristupna točka, važno je razumjeti da su njihove funkcije različite.
Pristupna točka je tehnička infrastruktura (softver ili servis) putem koje se eRačuni, fiskalizacijske poruke i ostali zakonski definirani dokumenti razmjenjuju s Poreznom upravom.
Ako poduzeće ima vlastitu tehničku infrastrukturu i želi preuzeti potpunu kontrolu nad svojim novčanim tokovima, može uspostaviti svoju pristupnu točku. To zahtijeva vlastiti certifikat, test sukladnosti, održavanje sustava i tehničku stručnost.
Za veći dio tvrtki, isplativije je angažirati ovlaštenog informacijskog posrednika koji već ispunjava sve tehničke i regulativne uvjete.
U praksi, certificirani informacijski posrednik s potvrđenom pristupnom točkom predstavlja najjednostavniji put da eRačuni budu ispravno fiskalizirani, evidentirani i razmijenjeni, bez potrebe za internim razvojem i održavanjem.
No, moramo se osvrnuti i na ostale kriterije koje bi informacijski posrednik trebao osigurati kako bi vaši računi ostali sigurni, a vaše poslovanje bilo bez neometanog zastoja.
Vodič za odabir informacijskog posrednika
Budući da Zakon trenutno propisuje samo minimalne tehničke uvjete koje svaki posrednik mora zadovoljiti, u praksi je to ipak malo drugačije. Posljednjih godina svjedočili smo situacijama u drugim državama koje su bile metom kibernetičkih napada, što je posljedično dovelo do prekida razmjene podataka, blokade sustava pa čak i kompromitacije podataka.
U nastavku izdvajamo 6 osnovnih elemenata na koje vrijedi obratiti pozornost prilikom odabira informacijskog posrednika te smjernice koje mogu olakšati procjenu i donošenje informirane odluke.
Prisutnost na tržištu
Kao što smo već spomenuli, zakonski okvir definira samo minimalne tehničke uvjete, a postupak dobivanja statusa informacijskog posrednika relativno je jednostavan. Zato se u posljednjih dva mjeseca pojavio iznimno velik broj novih subjekata, i to uključujući i ona rješenja koja imaju tek nekoliko zaposlenika ili funkcioniraju kao one-man-band.
O ovim rizicima, govorilo se i proteklog tjedna u podcastu Poslovnog dnevnika, gdje su se otvorila upravo najvažnija pitanja o kvaliteti tržišta, operativnim kapacitetima novih posrednika i rizicima za poduzetnike.
Neven Stanivuk, voditelj odjela informacijske sigurnosti iz mera, posebno je upozorio na takvu situaciju:
“Bit će problema i kod informacijskih posrednika; trenutno je 27 registriranih, to su firme koje su svakakve, one-man bend firme bez ijednog zaposlenika, itd. Što će se dogoditi? Ljudi će početi slati fakture, većina faktura će završiti tamo gdje treba završiti, međutim jedan dio neće, iz raznih razloga. Što to znači izdavatelju računa? To znači kao da taj račun nije ni poslao. A račun je lova.”
Slično je naglasio i Vlaho Hrdalo, odvjetnik i partner u odvjetničkom društvu Hrdalo & Krnic, ukazujući na ozbiljne strukturne izazove:
“Osim što ima one-man bendova imate i tri-četiri firme gdje je u pozadini isti čovjek. Ima i jdoo-ova, osnovanih jučer s dva eura temeljnog kapitala. Imate Islanđana, Čeha… koji se uopće ne moraju upisati u Hrvatski sudski registar. Tri su smiješna uvjeta koja morate ispuniti da se upišete kao informacijski posrednik, zato ih se toliko namnožilo.”
Ovakva situacija jasno pokazuje da formalna registracija ne znači automatski stabilnost niti sposobnost pružanja sustavne operativne podrške.
Iskustvo, infrastruktura i dugoročna prisutnost na tržištu, trebali bi biti kriteriji pri odabiru partnera.
Vrste transakcija
Prije odabira informacijskog posrednika, također je važno provjeriti koje vrste transakcija određeno rješenje podržava i u kako. U kontekstu fiskalizacije eRačuna, posrednik mora omogućiti razmjenu u B2B i B2G segmentu, ali za pojedine poslovne modele poduzeća važno je i da postoji mogućnost slanja računa krajnjim potrošačima (B2C), što se u praksi odnosi na fiskalizaciju 1.
Važno je naglasiti i da neće svaki posrednik imati integriranu podršku za sve ove transakcijske tokove. Pojedina rješenja funkcioniraju samo za osnovne procese razmjene, dok su za dodatne procese potrebne dodatne aplikacije ili certifikati.
S druge strane, postoje posrednici koji nude cjelokupno rješenje bez potrebe za dodatnim implementacijama ili tehničkim prilagodbama.
ERP integracije
Integracija informacijskog posrednika s ERP sustavima također je jedan je od kriterija pri odabiru. Što je broj podržanih ERP rješenja veći, to će implementacija eRačuna biti jednostavnija, brža i tehnički stabilnija, bez potrebe za dodatnim razvojem.
To znači da će posrednik koji već ima razvijene integracije moći odmah omogućiti automatsko slanje, zaprimanje i fiskalizaciju eRačuna, bez ručnih unosa ili korištenja dodatnih aplikacija.
Rješenja koja nemaju široku mrežu integracija često zahtijevaju dodatne module ili vlastiti razvoj, što produžuje vrijeme implementacije i generira dodatne troškove.
Postoje posrednici, poput mera, koji su povezani s nekoliko stotina ERP sustava, što korisnicima omogućuje brzu aktivaciju i jednostavniji prijelaz na slanje i fiskalizaciju eRačuna. U takvim slučajevima razmjena i upravljanje dokumentima odvijaju se unutar postojećeg poslovnog sustava, što dodatno olakšava svakodnevni rad korisnika.
Dodatni alati i usluge
Osim same usluge razmjene eRačuna, informacijski posrednik može ponuditi i dodatne usluge ili aplikacije koje olakšavaju digitalno poslovanje. Takve usluge nisu propisane Zakonom, ali u praksi predstavljaju značajnu dodanu vrijednost, osobito u kontekstu automatizacije procesa i smanjenja administrativnog opterećenja.
Prvi element na koji treba obratiti pozornost jest način na koji se digitalni dokument obrađuje nakon što je poslan ili zaprimljen. Budući da se eRačun ne može likvidirati kao papirnati račun, važno je osigurati da i postupak odobravanja bude digitalan. U tom smislu, sustavi za upravljanje dokumentima (DMS) omogućuju digitalnu likvidaciju, automatsku evidenciju i arhiviranje eRačuna.
Dodatno, informacije poput provjera financijskih podataka, boniteta ili poslovnih pokazatelja također se nadovezuju na digitalno poslovanje te mogu poslužiti za bržu provjeru poslovnih partnera i donošenje financijskih odluka.
Za korisnike koji nemaju vlastiti ERP sustav, važno je provjeriti postoji li aplikacija ili web rješenje za kreiranje i slanje računa, kako bi se izbjegla potreba za dodatnim troškovima za male poduzetnike.
Na kraju, važno je procijeniti koliko je rješenje prilagođeno suradnji s knjigovodstvenim servisima, od dijeljenja dokumenata do praćenja svih poslovnih obveza. U praksi, ovakvi alati ubrzavaju tijek razmjene između klijenata i njihovih knjigovodstava te smanjuju mogućnost pogrešaka.
Cijena i model naplate
Naravno da je i cijena bitan kriterij odluke, no važno je razumjeti da ona ne bi trebala biti jedini kriterij pri odabiru informacijskog posrednika. Posrednik ne služi samo za tehničku razmjenu podataka, on je partner koji preuzima odgovornost za sigurnost, stabilnost, fiskalizaciju, porezno izvještavanje, arhiviranje i korisničku podršku, a to su elementi koji izravno utječu na poslovanje.
Iz tog razloga, cijenu usluge možemo promatrati slično kao i kod usluga osiguranja: iznos koji plaćamo omogućuje da naše poslovanje bude zaštićeno, stabilno i bez zastoja. Konačno, sigurnost poslovnih procesa i dostupnost sustava često imaju daleko veću vrijednost od same cijene usluge, jer potencijalni prekid razmjene ili gubitak podataka može proizvesti puno veći trošak od iznosa mjesečne naknade.
Isto tako, manji trošak u startu može značiti manju razinu sigurnosti, slabiju infrastrukturu ili ograničene funkcionalnosti, što može rezultirati većim rizikom. U tom kontekstu treba imati na umu da ozbiljna sigurnosna infrastruktura, održavanje sustava, osiguravateljske police i stalna podrška stvaraju realne troškove poslovanja. Stoga se, u slučaju izrazito niske cijene, opravdano nameće pitanje na koji način takav posrednik osigurava sve zahtjeve koje propisuje zakon i tržišna praksa, osobito u segmentu sigurnosti.
Zato je poželjno usporediti ne samo cijenu, već i ono što je uključeno u nju. Plaćate da vaši podaci budu sigurni, da sustav bude konstantno dostupan, da razmjena bude pravovaljana te da poslovanje ne bude izloženo rizicima kao što su prekid razmjene, kašnjenje računa ili potencijalno curenje podataka.
Sigurnost i zaštita podataka
Sigurnost je najvažniji kriterij pri odabiru informacijskog posrednika. Dok se tehnička funkcionalnost slanja eRačuna danas može implementirati relativno jednostavno, sigurnosna infrastruktura znatno je kompleksnija te jedina može jamčiti da se poslovni podaci ne mogu kompromitirati, manipulirati ili zloupotrijebiti.
Informacijski posrednici prenose iznimno osjetljive informacije: financijske podatke, podatke o kupcima i dobavljačima, transakcijama, vrijednostima računa i poslovnim procesima. Upravo zato opravdana je zabrinutost da pojedini posrednici, posebno oni s izrazito niskom cijenom, nemaju izgrađene sigurnosne standarde ili infrastrukturu, što otvara pitanje zaštite podataka i mogućnosti njihove zloupotrebe.
U posljednjih godinu dana Europska unija uvela je dodatne regulatorne zahtjeve kroz DORA i NIS2 direktivu, čime se značajno podiže prag sigurnosti za sve koji obrađuju ili razmjenjuju digitalne poslovne podatke, uključujući i informacijske posrednike.
ISO certifikati (ISO/IEC 27001)
ISO/IEC 27001 međunarodni je standard koji definira zahtjeve za upravljanje informacijskom sigurnošću i predstavlja temeljni okvir za zaštitu podataka, procese upravljanja rizicima, kontrolu pristupa i sigurnost IT infrastrukture.
U kontekstu informacijskih posrednika, ISO 27001 ima posebnu važnost jer je jedini certifikat koji je izričito propisan Zakonom o fiskalizaciji kao uvjet za dobivanje statusa informacijskog posrednika. Bez njega, posrednik ne može pristupiti završnom testiranju sukladnosti niti biti upisan kao certificirani informacijski posrednik.
ISO 27001 služi kao dokaz da sustav razmjene eRačuna ispunjava minimalne zahtjeve sigurnosti i da postoji dokumentiran proces upravljanja rizicima, zaštite podataka i nadzora nad sustavom.
To ne znači da su svi posrednici jednako sigurni, ali predstavlja početni regulatorni kriterij bez kojeg razmjena eRačuna ne bi bila dopuštena.
DORA direktiva
Digital Operational Resilience Act (DORA) europska je regulativa koja definira zahtjeve za operativnu otpornost digitalnih i financijskih sustava. Iako DORA trenutno nije zakonska obveza za informacijske posrednike, njezini sigurnosni standardi izravno se odnose na sustave koji obrađuju financijske podatke i osjetljive poslovne informacije. mer je obveznik DORE kao financijska institucija regulirana od HNB-a.
DORA uvodi strože sigurnosne prakse poput upravljanja incidentima, kontinuiteta poslovanja, procjene rizika, planova oporavka, sustava dostupnosti i redovite sigurnosne revizije. Ova regulativa osigurava da sustav može nastaviti s radom čak i u slučaju kibernetičkih napada ili tehničkih poteškoća, što je osnova za neometan tijek poslovnog procesa.
NIS2 direktiva
NIS2 je europska direktiva o kibernetičkoj sigurnosti čiji je cilj povećati razinu zaštite digitalnih usluga i kritičnih sustava u Europskoj uniji. NIS2 proširuje obveze u odnosu na prethodni okvir i uključuje nove kategorije obveznika, među kojima se nalaze i informacijski posrednici koji sudjeluju u digitalnoj razmjeni podataka i financijskim transakcijama.
NIS2 također uvodi obvezu procjene rizika, dokumentiranja sigurnosnih mjera, upravljanja pristupima, kontrole dobavljača i redovnih sigurnosnih analiza. To znači da će informacijski posrednici morati podići razinu tehničke i organizacijske sigurnosti, kao i odgovornost za digitalne podatke koje obrađuju.
Kako objašnjava Slaven Smojver iz HNB-ove Direkcije supervizije informacijskih sustava,
"dok NIS2 pokriva širi spektar sektora i usmjeren je na opću kibernetičku sigurnost i upravljanje rizicima, DORA je specifično usmjerena na financijski sektor, naglašavajući digitalnu operativnu otpornost i upravljanje IKT rizicima.”
Osiguranje od profesionalne odgovornosti
Osiguranje od profesionalne odgovornosti pokriva situacije u kojima bi korisnik mogao pretrpjeti financijsku štetu zbog, primjerice hakerskog napada ili pogreške posrednika.
Ova polica nije zakonski obvezna, što znači da je mnogi posrednici uopće nemaju. Međutim, za korisnika predstavlja dodatnu razinu sigurnosti jer potvrđuje da će potencijalna financijska šteta biti pokrivena, a ne prepuštena poreznom obvezniku ili prepuštena dugotrajnom rješavanju odgovornosti.
Polica cyber osiguranja
Polica cyber osiguranja pokriva rizike povezane s kibernetičkim napadima, krađom podataka, ransomware incidentima, povredama sigurnosti i drugim oblicima digitalnih prijetnji. Za razliku od klasičnih polica osiguranja, cyber osiguranje pokriva troškove nastale zbog kompromitacije sustava, prekida poslovanja ili curenja poslovnih podataka.
Iako cyber osiguranje nije zakonski uvjet za informacijske posrednike, predstavlja važan sigurnosni alat u situacijama kada dođe do kibernetičkog incidenta.
Za korisnika to znači da posrednik ima dodatnu razinu zaštite i resurse za brzo reagiranje u slučaju sigurnosnog incidenta, što je posebno bitno u razmjeni financijskih i poslovnih podataka, budući da su takve vrste razmjene česta meta hakerskih napada.
Posljedice odabira loših rješenja
Odabir informacijskog posrednika koji zadovoljava samo zakonske uvjete može dugoročno predstavljati rizik za poslovanje. Posrednici koji nemaju stabilnu infrastrukturu, sigurnosnu zaštitu ili održivu podršku izloženi su većoj vjerojatnosti prekida razmjene, tehničkih pogrešaka, gubitka podataka ili neispravne fiskalizacije eRačuna.
To može rezultirati kašnjenjem naplate, pogrešno fiskaliziranim računima, kompromitacijom osjetljivih podataka ili poslovnim zastojem. Dodatni rizik predstavlja činjenica da se dio posrednika pojavljuje na tržištu bez iskustva, bez adekvatnih certifikata i bez polica osiguranja, što povećava mogućnost hakerskih napada.
Budući da informacijski posrednik izravno utječe na financijske procese i novčane tokove, a odgovornost za pravilno slanje i fiskalizaciju uvijek ostaje na poreznom obvezniku, odabir nepouzdanog rješenja može vam generirati troškove koji višestruko premašuju inicijalnu cijenu usluge.
Zato je važno odabrati partnera koji osigurava stabilnost, sigurnost i kontinuitet poslovanja, a ne samo tehničku mogućnost razmjene eRačuna.