Hrvatska IT scena godinama se prepoznaje po fintechu, komunikacijskim alatima i sve snažnijem valu AI startupa. No u pozadini se, gotovo neprimjetno, formira nova niša – kibernetička sigurnost. Nekad percipirana kao „IT dodatak” i trošak u budžetu, danas se pretvara u samostalan ekosustav s vlastitim igračima, regulativom, izvorima financiranja i rastućom potražnjom.
Na taj zaokret utječu tri ključna faktora: novi zakonski okvir, sve veći broj i složenost napada te dostupnost europskog i nacionalnog novca. Zajedno stvaraju prostor u kojem se susreću specijalizirani startupi, etablirane IT kuće, osiguravatelji i konzultantske firme – i gdje se sve češće govori o produktizaciji sigurnosti, a ne samo o uslugama „gašenja požara”.
NIS2 i Zakon o kibernetičkoj sigurnosti: od preporuka do obveza
Prekretnica je 2024. stupanjem na snagu hrvatskog Zakona o kibernetičkoj sigurnosti i podzakonskih akata kojima se u domaće zakonodavstvo prenosi NIS2 direktiva. Dok su raniji propisi često ostajali na razini preporuka, novi okvir uvodi obveze, rokove i – što je presudno – odgovornost uprava.
Operatori ključnih usluga i važni subjekti u sektorima poput energetike, zdravstva, prometa, digitalne infrastrukture, financija i javne uprave sada moraju sustavno upravljati kibernetičkim rizicima. To uključuje:
- formalno definirane politike sigurnosti,
- redovite procjene rizika,
- tehničke i organizacijske mjere (od segmentacije mreže do upravljanja identitetima),
- obvezno prijavljivanje incidenata u propisanim rokovima.
„NIS2 praktički znači da kibernetička sigurnost više nije stvar dobre volje, nego poslovna obveza”, ističu domaći konzultanti koji već bilježe rast upita srednjih poduzeća iz proizvodnje, logistike i zdravstva. Uprave koje su sigurnost do jučer promatrale kao IT trošak, sada je vide kao regulatorni rizik i reputacijski problem – ali i kao priliku za diferencijaciju na tržištu.
NCSC‑HR i NCC‑HR: stvaranje institucionalne kičme ekosustava
Regulativa je dobila i jasnu institucionalnu potporu. Nacionalni centar za kibernetičku sigurnost (NCSC‑HR) unutar SOA‑e postao je središnje tijelo i kontaktna točka za većinu NIS2 sektora. Njegova uloga nije samo nadzor, već i koordinacija, razmjena informacija o prijetnjama te podrška u izgradnji nacionalne otpornosti.
Istodobno, CARNET je imenovan nacionalnim koordinacijskim središtem za industriju, tehnologiju i istraživanja u području kibernetičke sigurnosti (NCC‑HR). Dok NCSC‑HR pokriva sigurnosni i regulatorni aspekt, NCC‑HR je most prema gospodarstvu i istraživačkoj zajednici. Kroz njega se razvijaju projekti, pilot-rješenja i programi financiranja koji ciljaju upravo hrvatske tvrtke i timove.
Takva podjela uloga usklađena je s europskim modelom, ali u hrvatskom kontekstu ima dodatnu težinu: prvi put postoji relativno jasna adresa gdje poduzetnici, startupi i istraživači mogu tražiti informacije o natječajima, partnerstvima i mogućnostima uključivanja u veće europske konzorcije.
EU novac kao ubrzivač: od kaskadnog financiranja do pilot projekata
Kibernetička sigurnost u Hrvatskoj više nije samo trošak, nego i prilika za ulaganje. Kroz NCC‑HR i CARNET pokrenuti su programi kaskadnog financiranja i bespovratnih potpora za mikro, mala i srednja poduzeća. Iznosi se kreću od nekoliko tisuća do 60 tisuća eura po projektu, a namjena je vrlo konkretna:
- certificiranje (npr. ISO 27001, SOC 2),
- edukacija zaposlenika i specijalizirani treninzi,
- penetracijsko testiranje i sigurnosne provjere,
- uvođenje sustava za nadzor i odgovor na incidente,
- jačanje internih procesa upravljanja podacima i pristupima.
Uz to, Europska komisija je Hrvatskoj dodijelila dodatna sredstva za podršku trećim stranama u razvoju naprednih sigurnosnih rješenja. To otvara vrata domaćim istraživačkim timovima i startupima koji mogu razvijati prototipe i pilot-rješenja u suradnji s većim europskim igračima.
U praksi to znači da se projekti koji bi donedavno ostali u ladici zbog nedostatka budžeta – poput automatiziranog testiranja sigurnosti AI modela ili specijaliziranih alata za zaštitu industrijskih sustava (OT/ICS) – sada mogu financirati kroz kombinaciju EU grantova i domaćih programa. Poduzetnici ističu da je ključan benefit ne samo novac, već i pristup mreži partnera i mogućnost izlaska na veća tržišta.
Od integratora do AI sigurnosti: tko čini novi cyber lanac vrijednosti
Na tržištu se već jasno vide obrisi novog lanca vrijednosti. Prvu liniju čine domaći integratori i specijalizirane IT kuće koje grade vlastite Security Operations Centre (SOC) i nude „security as a service”. Njihovi klijenti su često tvrtke koje nemaju resurse za vlastiti 24/7 tim, ali moraju zadovoljiti NIS2 i druge standarde.
Drugu liniju čine novi startupi usmjereni isključivo na sigurnost. Dio njih fokusira se na zaštitu generativnog AI‑ja – od otkrivanja prompt injection napada do nadzora modela u produkciji – dok drugi razvijaju alate za automatizirano testiranje aplikacija i infrastrukture. Pojavljuju se i specijalizirana rješenja za sektore poput zdravstva, gdje je zaštita medicinskih podataka i medicinskih uređaja postala prioritet.
Treću liniju čine osiguravatelji, koji uvode ili proširuju police cyber osiguranja za mala i srednja poduzeća. Potaknuti rastom broja napada i iznosa prijavljenih šteta, osiguravatelji sve češće traže suradnju s IT tvrtkama i konzultantima. U praksi nastaju paketi u kojima se kombiniraju:
- procjena kibernetičkog rizika,
- minimalne tehničke mjere (backup, MFA, EDR),
- polica osiguranja koja pokriva dio troškova incidenta.
„Klijent danas ne želi samo policu, želi partnera koji će mu pomoći smanjiti rizik prije nego što se dogodi šteta”, kaže jedan od domaćih stručnjaka za cyber osiguranja. Time se stvara lanac u kojem IT tvrtke, osiguravatelji i konzultanti nastupaju zajednički prema krajnjim korisnicima, a sigurnost se prodaje kao kombinacija tehnologije, procesa i financijske zaštite.
Rast napada i manjak kadrova: realnost domaćeg tržišta
Razlog zbog kojeg se cyber niša ubrzano formira nije samo regulativa, već i realni pritisak prijetnji. Prema podacima domaćih CERT i CSIRT timova, broj prijavljenih incidenata u Hrvatskoj raste dvoznamenkasto iz godine u godinu, a posebno se izdvajaju ransomware napadi, phishing kampanje i kompromitacije poslovne e‑pošte.
Mala i srednja poduzeća pritom su najranjivija. Često nemaju interne sigurnosne stručnjake, a IT im je povjeren vanjskom dobavljaču koji nije specijaliziran za sigurnost. Svaki veći incident za njih može značiti višednevni prekid poslovanja, gubitak podataka i dugotrajnu reputacijsku štetu.
S druge strane, domaća industrija suočava se s kroničnim manjkom stručnjaka za kibernetičku sigurnost. Fakulteti uvode nove kolegije i smjerove, od FER‑a i FOI‑a do sveučilišta u Splitu i Rijeci, ali tržište traži više. Tvrtke zato sve češće ulažu u interne akademije, prekvalifikacije i suradnje s udrugama poput HIZ‑a ili CISEx‑a, koje organiziraju radionice, certifikacijske programe i specijalizirane meetupe.
Konferencije, community i partnerstva: sljedeća faza ekosustava
Sljedeća faza razvoja bit će izgradnja vidljivije zajednice. Dok su generalne IT konferencije (poput LEAP Summita, Advanced Technology Daysa ili lokalnih DevOps i cloud meetupa) već uvele sigurnoske trake, sada se sve više pojavljuju događaji posvećeni isključivo kibernetičkoj sigurnosti.
Specijalizirani meetupi u Zagrebu, Osijeku, Rijeci i Splitu okupljaju stručnjake iz SOC‑ova, red‑teamera, forenzičare i pravnike koji se bave NIS2 i GDPR‑om. Državne institucije, sveučilišta i privatni sektor počinju formalizirati partnerstva: od zajedničkih istraživačkih projekata do studentskih natjecanja u etičkom hakiranju (CTF) i programa stručne prakse u sigurnosnim timovima.
Hrvatska već sada ima ključne sastojke za zrelu cyber nišu:
- jasnu regulativu i obveze za ključne sektore,
- nacionalne centre (NCSC‑HR i NCC‑HR) kao institucionalnu kičmu,
- dostupna sredstva za MSP‑ove i istraživačke timove,
- prve high‑tech primjere iz područja AI sigurnosti i automatiziranog testiranja.
Od nišnog znanja do globalnih proizvoda
Pitanje više nije hoće li se kibernetička sigurnost profilirati kao samostalan segment hrvatske IT scene, nego koliko brzo će domaće tvrtke iskoristiti priliku. One koje danas grade kompetencije u područjima poput sigurnosti AI modela, zaštite industrijskih sustava ili upravljanja identitetima i pristupima (IAM) sutra mogu nuditi proizvode i usluge na europskoj razini.
Iskustvo domaćih SaaS i fintech tvrtki pokazuje da hrvatski timovi mogu iz niše izgraditi globalno relevantne proizvode. Cyber sigurnost sada prolazi sličnu tranziciju: od „nevidljivog” troška u pozadini IT sustava prema zasebnoj vertikali koja generira prihode, otvara nova radna mjesta i privlači investicije.
U tom kontekstu, kibernetička sigurnost više nije samo tehničko pitanje. To je poslovna strategija, regulatorni imperativ i nova razvojna šansa hrvatske IT industrije – možda tiša od AI hypea, ali s potencijalno jednako dubokim utjecajem na domaće gospodarstvo.
