Kibernetička sigurnost u Hrvatskoj ušla je u novu fazu. Od teme rezervirane za specijalizirane timove postaje horizontalni prioritet gotovo svakog poduzeća – od telekoma i banaka do logistike, zdravstva i malih SaaS tvrtki. Ključni okidač su nova regulativa, eksplozija AI‑potaknutih napada i sve veći pritisak klijenata da se jasno pokaže sigurnosna zrelost.
NIS2 i novi Zakon: rok 2025. kao crvena linija
Novi Zakon o kibernetičkoj sigurnosti, koji implementira NIS2 direktivu, do jeseni 2025. pod strože obveze stavit će stotine hrvatskih organizacija. Ne radi se više samo o kritičnoj infrastrukturi u užem smislu. U fokusu su operatori ključnih usluga i važni subjekti u sektorima poput energetike, prometa, zdravstva, financija, digitalne infrastrukture, javne uprave, ali i određenih IT pružatelja usluga.
Za njih to znači obvezno upravljanje rizicima, incident reporting, tehničke i organizacijske mjere, ali i osobnu odgovornost uprava. Kako je nedavno upozorio jedan domaći CISO na konferenciji FSEC: „NIS2 je prvi put jasno rekao da sigurnost nije samo posao IT‑a, već i uprave koja potpisuje rizik.“
Praksa pokazuje da se mnoge tvrtke s pripremama tek sada ozbiljno hvataju u koštac. Revizija sustava, izrada politika, klasifikacija podataka, uvođenje SIEM‑a, SOC‑a ili barem 24/7 nadzora – sve to traži vrijeme, ljude i budžet. Dodatni izazov je nedostatak stručnjaka, osobito izvan Zagreba, pa se i srednja poduzeća okreću specijaliziranim partnerima.
AI‑potaknuti napadi: od deepfake direktora do pametnog phishinga
Dok regulativa pritišće odozgo, s druge strane stiže novi val prijetnji potaknut umjetnom inteligencijom. Hrvatske tvrtke već bilježe slučajeve uvjerljivih phishing kampanja na hrvatskom jeziku, generiranih uz pomoć LLM‑ova, kao i pokušaje deepfake audio poziva u kojima se napadači predstavljaju kao članovi uprave.
U izvješćima domaćih sigurnosnih timova navodi se rast tzv. business email compromise (BEC) napada, gdje se AI koristi za imitiranje stila pisanja stvarnih zaposlenika. U kombinaciji s javno dostupnim podacima s društvenih mreža, napadači precizno ciljaju financijske, HR i prodajne odjele.
Mala i srednja poduzeća, koja su donedavno vjerovala da „nisu dovoljno zanimljiva napadačima“, postaju laka meta. Nemaju vlastiti SOC, često nemaju ni osnovne sigurnosne politike, a edukacija zaposlenika svodi se na povremeni interni mail. Upravo tu nastaje nova potražnja za domaćim cyber uslugama – od simuliranih phishing kampanja i awareness treninga do usluga „SOC‑as‑a‑Service“ prilagođenih MSP‑ovima.
Novi hrvatski cyber ekosustav: od Infobipa do specijaliziranih boutique tvrtki
U takvom okruženju brzo se formira novi hrvatski „cyber“ ekosustav. Veliki igrači poput Infobipa, Span‑a, Asseca SEE ili Combisa godinama su gradili interne sigurnosne kapacitete, često zbog zahtjeva stranih klijenata i regulatora. Danas ta iskustva, alate i standarde sve češće nude i domaćim organizacijama koje tek ulaze u priču s NIS2‑om.
Uz njih, raste i broj specijaliziranih boutique tvrtki fokusiranih na pentestove, red‑team vježbe, forenziku i sigurni razvoj softvera. Primjeri su domaći timovi koji nude usluge testiranja web i mobilnih aplikacija za strane klijente, ali sada sve češće potpisuju i ugovore s hrvatskim bankama, osiguravateljima i državnim tijelima.
Konzultantske i inženjerske kuće specijalizirane za NIS2, DORA i sigurnosne audite dobivaju novu ulogu. Od „nice to have“ dobavljača postaju ključni partneri u dizajnu sigurnosne arhitekture, izradi politika i pripremi dokumentacije za nadzorna tijela. Na tržištu se već jasno profiliraju timovi koji kombiniraju regulatorno znanje (GDPR, NIS2, DORA) i duboko tehničko razumijevanje cloud, DevOps i mrežne sigurnosti.
EU i nacionalni poticaji: do 60.000 eura za sigurnosni skok
Regulatorni pritisak pojačava se financijskim poticajima. Nacionalno koordinacijsko središte za kibernetičku sigurnost i CARNET kroz program Digitalna Europa otvaraju pozive vrijedne gotovo dva milijuna eura, namijenjene mikro, malim i srednjim poduzećima u Hrvatskoj.
Tvrtke mogu dobiti do 60.000 eura bespovratnih sredstava za sigurnosna testiranja, edukaciju zaposlenika i podizanje razine „kibernetičke higijene“. U praksi to znači financiranje:
- penetracijskih testova web i mobilnih aplikacija,
- postavljanja osnovnog sustava nadzora i detekcije,
- edukacija zaposlenika kroz simulirane phishing kampanje,
- izrade sigurnosnih politika i incident response planova.
Dio domaćih IT kuća, poput Infinuma i niza specijaliziranih partnera, već se pozicionira kao tehnička i savjetodavna podrška za pripremu i provedbu tih projekata. Za MSP‑ove, koji inače teško izdvajaju veće budžete za sigurnost, ovo je rijetka prilika da u godinu dana naprave skok od „ad‑hoc zaštite“ do strukturiranog sigurnosnog programa.
Obrazovanje i zajednica: stvaranje kritične mase stručnjaka
Bez ljudi, regulativa i poticaji ostaju mrtvo slovo na papiru. Upravo zato važnu ulogu ima znanstveno‑obrazovni sustav i stručna zajednica. Fakulteti i istraživački centri – od FER‑a i FOI‑ja do regionalnih veleučilišta – ubrzano uvode kolegije posvećene kibernetičkoj sigurnosti, kriptografiji, digitalnoj forenzici i sigurnosti AI sustava.
FER‑ov Laboratorij za informacijsku sigurnost i privatnost (LISS) i slični istraživački timovi sve češće surađuju s industrijom na razvoju novih rješenja, od detekcije anomalija u mrežnom prometu do sigurnosti IoT uređaja. Studenti kroz projekte i natjecanja (poput CTF‑ova) rano ulaze u svijet praktične sigurnosti, što značajno skraćuje put do tržišno relevantnih vještina.
Paralelno raste broj specijaliziranih konferencija, meetupa i medijskih platformi. Konferencije poput FSEC‑a, InfoSec Day‑a, CARNET‑ove CUC konferencije i lokalnih cyber meetupa u Zagrebu, Splitu i Osijeku postaju mjesta gdje se susreću stručnjaci iz industrije, akademije i javnog sektora. Domaći portali i specijalizirani newsletteri redovito prate NIS2 implementaciju, nove prijetnje i dobre prakse, čime se podiže razina informiranosti menadžmenta i šire javnosti.
Sigurnost kao izvozna niša: hrvatski cyber proizvodi i usluge
Za hrvatsku IT scenu ovo je dvostruka prilika. Prva je podizanje vlastite otpornosti i smanjenje rizika za domaće klijente. Druga, strateški važnija, jest razvoj izvoznih proizvoda i usluga u području kibernetičke sigurnosti.
Na globalnom tržištu već postoji potražnja za specijaliziranim alatima za nadzor i analitiku, sigurnosnim modulima za fintech, rješenjima za zaštitu API‑ja i alatima za sigurnu integraciju AI modela u poslovne procese. Hrvatski timovi koji su navikli raditi za zahtjevne strane klijente sada mogu to iskustvo pretvoriti u proizvode i „security‑by‑design“ konzultantske pakete za industriju, financijski sektor i javnu upravu u EU.
Već danas se na tržištu vide primjeri domaćih rješenja za upravljanje privilegiranim pristupom, sigurnu razmjenu podataka ili nadzor cloud okruženja, koja konkuriraju međunarodnim igračima. Ako domaće tvrtke uspiju povezati regulatorni momentum NIS2/DORA, dostupna EU sredstva i rastuću potražnju, hrvatski „cyber“ štit mogao bi postati sljedeća tiha, ali vrlo profitabilna niša domaće IT industrije.
Što slijedi: od projekata do kulture sigurnosti
Sljedeće dvije godine bit će presudne. NIS2 rokovi i dostupni fondovi guraju organizacije da pokrenu projekte, ali prava promjena nastupa tek kada sigurnost postane dio organizacijske kulture. To znači da sigurnost ulazi u dizajn proizvoda, ugovore s dobavljačima, KPI‑eve menadžmenta i edukaciju svakog novog zaposlenika.
Za hrvatske IT tvrtke to je prilika da se pozicioniraju ne samo kao „implementatori alata“, već kao strateški partneri za otpornost. Oni koji će uspjeti bit će oni koji razumiju i tehnologiju i regulativu, ali i poslovne modele klijenata. U tom spoju leži budući hrvatski kibernetički štit – mreža ljudi, procesa i tehnologije koja će štititi ne samo servere, već i konkurentnost cijele domaće ekonomije.
