Dok se reflektori domaće IT scene posljednjih godina uglavnom okreću prema umjetnoj inteligenciji, SaaS-u i globalnim uspjesima poput Infobipa, Rimca ili Photomatha, u pozadini tiho sazrijeva još jedan segment – kibernetička sigurnost. Nije glamurozna kao AI, nema viralne demo videe, ali postaje strateški temelj gotovo svakog ozbiljnijeg poslovanja u Hrvatskoj.
Kombinacija novog Zakona o kibernetičkoj sigurnosti, EU direktive NIS2 i prvih namjenskih javnih poziva za bespovratna sredstva stvara preduvjete da se u Hrvatskoj formira zaseban ekosustav sigurnosnih tvrtki, proizvoda i stručnjaka. Ne više samo „još jedan IT odjel“, nego specijalizirana industrija s vlastitim igračima, edukacijom i izvoznim ambicijama.
Regulativa kao ubrzivač: Zakon o kibernetičkoj sigurnosti i NIS2
Novi Zakon o kibernetičkoj sigurnosti, usvojen 2024., u praksi zahvaća gotovo sve veće tvrtke u Hrvatskoj – od energetike, financija i zdravstva do logistike, telekoma i velikih proizvodnih sustava. Usklađivanje s NIS2 direktivom više nije tema „lijepo je imati“, već zakonska obveza uz rok do jeseni 2025.
Za tvrtke to konkretno znači:
- provedbu procjena rizika i kontinuirani nadzor sigurnosnog stanja
- uvođenje formalnih procesa, politika i dokumentacije
- tehničke mjere poput segmentacije mreže, višefaktorske autentifikacije, enkripcije i sigurnosnog logiranja
- jačanje internih timova ili angažiranje specijaliziranih pružatelja usluga
- obvezno prijavljivanje sigurnosnih incidenata u zadanim rokovima
„Do jučer je sigurnost bila tema kad se nešto dogodi. Danas je tema na razini uprava, revizijskih odbora i nadzornih vijeća“, opisuje jedan domaći CISO iz financijskog sektora koji je želio ostati anoniman. Upravo taj pomak – iz operativne u stratešku razinu – otvara prostor za rast cijelog ekosustava.
Država i NKS: od papira do realnog sektora
Regulativa sama po sebi ne stvara tržište ako ostane „mrtvo slovo na papiru“. U Hrvatskoj se, barem zasad, događa suprotno: Nacionalno koordinacijsko središte za kibernetičku sigurnost (NKS) i resorna ministarstva aktivno guraju temu prema realnom sektoru.
Nacionalne konferencije poput „Kibernetička sigurnost: novi izazovi – nove prilike“ pune su predstavnika banaka, industrije, zdravstva, ali i srednjih poduzeća koja su do jučer na sigurnost gledala isključivo kroz antivirus i firewall. Uz panele i predavanja, sve je više praktičnih radionica – od simulacija phishing napada do tabletop vježbi incident responsea.
Na tim događajima se sve češće susreću tri do sada odvojena svijeta:
- tradicionalni IT integratori
- novi sigurnosni startupi i specijalizirani konzultanti
- krajnji korisnici koji shvaćaju da im „Excel i dobra volja“ više nisu dovoljni
Rezultat je polagano, ali vidljivo formiranje tržišta na kojem se traže konkretna rješenja: od 24/7 nadzora sustava do edukacije zaposlenika u malim i srednjim poduzećima.
EU novac kao katalizator: bespovratna sredstva za MSP-ove
Dodatno ulje na vatru dolazi iz smjera EU fondova. Sredinom 2025. pokreće se poziv vrijedan gotovo dva milijuna eura bespovratnih sredstava za mikro, mala i srednja poduzeća koja žele unaprijediti svoju kibernetičku sigurnost.
Takvi programi imaju dvostruki učinak:
- MSP-ovi dobivaju priliku financirati revizije, alate, edukacije i uspostavu procesa koje bi inače teško platili
- domaći sigurnosni integratori, konzultanti i proizvođači softvera dobivaju konkretne projekte i reference
Tipični projekti uključuju:
- izgradnju ili modernizaciju sigurnosne infrastrukture
- uvođenje alata za nadzor i korelaciju događaja (SIEM)
- postavljanje sustava za upravljanje identitetima i pristupom (IAM)
- edukaciju zaposlenika kroz simulirane napade i e-learning platforme
- pripremu za certifikaciju prema ISO 27001 ili sličnim standardima
„Kad MSP-ovima objasnite da im država i EU pokrivaju 60–70% troška, sigurnost odjednom prestaje biti luksuz“, kaže jedan zagrebački sigurnosni konzultant. Upravo u tom segmentu manjih i srednjih tvrtki leži prostor za nove domaće proizvode – jednostavnije, prilagođene lokalnom jeziku i regulativi, bez kompleksnosti enterprise rješenja.
SOC-ovi, telekomi i data centri: baza znanja za novi val startupa
Dok se MSP-ovi tek zagrijavaju, veće hrvatske IT kompanije, telekomi i data centri već nekoliko godina razvijaju vlastite sigurnosne operativne centre (SOC), usluge nadzora i incident response timove. Hrvatski Telekom, A1, Span, Asseco SEE, ali i manji specijalizirani igrači, nude upravljane sigurnosne usluge regionalnim klijentima.
Ti timovi rade u 24/7 režimu, prate tisuće događaja u sekundi, reagiraju na incidente i usklađuju se s domaćim i EU regulatornim zahtjevima. Njihova iskustva u implementaciji standarda, vođenju forenzičkih istraga i komuniciranju s regulatorima postaju dragocjena baza znanja.
Na tu bazu mogu se nasloniti novi startupi koji razvijaju:
- nišne AI alate za detekciju prijetnji prilagođene hrvatskom jeziku i specifičnim obrascima napada u regiji
- platforme za samoprocjenu sukladnosti s NIS2, GDPR-om i nacionalnim propisima
- rješenja za gamificiranu edukaciju zaposlenika, lokalizirana i kulturno prilagođena
- specijalizirane alate za sektor zdravstva, energetike ili javne uprave
Dio domaćih tvrtki već gradi takve proizvode, često „ispod radara“, kao interne alate koji s vremenom prerastaju u samostalne komercijalne platforme. U tom smislu, hrvatska scena podsjeća na rane dane fintech revolucije – prvo se rješavaju vlastiti problemi, a tek potom izlazi na tržište.
Akademija, certifikati i manjak ljudi: usko grlo ekosustava
Nijedan tech ekosustav ne može rasti bez ljudi. Hrvatska nije iznimka. Potražnja za stručnjacima za kibernetičku sigurnost već godinama nadmašuje ponudu, a NIS2 će taj jaz dodatno produbiti.
Fakulteti poput FER-a, FOI-ja, FESB-a i PMF-a posljednjih godina uvode ili šire kolegije iz informacijskih sigurnosti, kriptografije i digitalne forenzike. Pojavljuju se i specijalizirani diplomski programi te stručni studiji. No industrija i dalje traži brže i praktičnije rješenje.
Zato raste važnost stručnih certifikata (npr. CISSP, CISM, CEH, OSCP) i intenzivnih edukacijskih programa koje organiziraju privatne tvrtke i udruge. Hrvatska udruga za otvorene sustave i Internet (HrOpen), lokalne OWASP zajednice i sigurnosne konferencije poput FSec-a u Varaždinu postaju mjesta na kojima se spajaju studenti, stručnjaci i poslodavci.
„Trebat će nam sve – od analitičara u SOC-u do stručnjaka za sigurnost u oblaku i pravnika koji razumiju tehnologiju“, ističe jedan od organizatora domaće sigurnosne konferencije. Manjak ljudi tako postaje i prilika: za prekvalifikacije, za ulazak developera u sigurnosni svijet, ali i za povrat dijaspore koja već radi u globalnim sigurnosnim timovima.
Od troška do izvoza: može li sigurnost biti nova hrvatska niša?
Ključno pitanje za domaću IT scenu glasi: hoće li kibernetička sigurnost ostati samo „nužan trošak“ ili može postati prepoznatljiv izvozni segment, poput fintech ili gaming niše?
Preduvjeti postoje:
- regulatorni pritisak koji osigurava stabilnu domaću potražnju
- dostupno financiranje kroz EU fondove i nacionalne programe
- postojeća ekspertiza u telekomima, data centrima i velikim IT kompanijama
- akademska baza koja se postupno prilagođava tržištu
Da bi sigurnost zaista postala nova hrvatska izvozna priča, trebat će nekoliko dodatnih koraka:
- bolje povezivanje industrije, akademije i startup zajednice kroz zajedničke projekte i istraživanja
- poticanje zajedničkih nastupa na stranim tržištima (sajmovi, misije, EU projekti)
- fokus na specifične niše u kojima Hrvatska može biti među prvima, a ne „još jedan vendor“
- razvoj proizvoda koji rješavaju vrlo konkretne probleme regionalnih i EU klijenata, umjesto generičkih rješenja
Hrvatska IT scena već je dokazala da zna izgraditi globalno relevantne nišne igrače. Sigurnosni alati za specifične regulirane industrije, managed security usluge za regionalne banke i osiguravatelje, specijalizirane edukacijske platforme – to su segmenti u kojima domaće tvrtke već sada konkuriraju.
Nova fronta domaće IT scene
Kibernetička sigurnost u Hrvatskoj više nije sporedna tema. Zakon o kibernetičkoj sigurnosti, NIS2, nacionalne inicijative i EU fondovi stvorili su okruženje u kojem sigurnost postaje nova fronta domaće IT scene – s vlastitim igračima, događanjima, karijerama i izvoznim ambicijama.
Pitanje više nije hoće li hrvatske tvrtke ulagati u sigurnost, već kako i s kim. Oni koji se na vrijeme pozicioniraju – bilo kao pružatelji usluga, proizvođači specijaliziranih alata ili edukacijski centri – mogli bi u sljedećih pet do deset godina postati nositelji novog, do sada nedovoljno vidljivog, ali strateški ključnog tech ekosustava.
