Piše: Dijana Kladar, Head of Compliance Innovation & Client Services, Vision Compliance

Prošla je godina bila rekordna po broju kibernetičkih napada i povreda podataka. Više od milijardu zapisa kompromitirano je diljem svijeta, a najveći pojedinačni incident pogodio je 1,3 milijarde ljudi. Stoga se više ne postavlja pitanje hoće li se dogoditi incident, već kada – i koliko ćemo biti spremni reagirati. Globalni val kibernetičkih prijetnji itekako se odražava i na domaćem prostoru, gdje su sve češće mete napada različiti sektori koji pružaju usluge ili nude određene proizvode.

Kibernetički napadi više nisu rijetkost niti rezultat slučajnosti. Oni su planirani, ciljani i često tehnički vrlo sofisticirani, s jasnim ciljevima i značajnim posljedicama. Upravo zato kibernetička sigurnost više ne može biti tretirana isključivo kao tehničko pitanje – ona se danas sve više shvaća kao pitanje strateške važnosti koje zahtijeva jasno postavljene pravne okvire, institucionalnu suradnju i kontinuirano jačanje otpornosti – kako unutar društava, tako i na razini države.

ZAKON O KIBERNETIČKOJ SIGURNOSTI

U odgovoru na te izazove, Hrvatska je u 2024. godini donijela novi Zakon o kibernetičkoj sigurnosti, čime je u nacionalno zakonodavstvo prenesena Direktiva (EU) 2022/2555, poznata kao NIS2 Direktiva. Riječ je o krovnom europskom propisu u području kibernetičke sigurnosti koji značajno proširuje krug obveznika – tzv. ključni i važni subjekti.

U Hrvatskoj to uključuje stotine organizacija iz javnog i privatnog sektora, poput proizvođača, osiguravajućih kuća, pružatelja IT usluga, pružatelja digitalnih usluga i slično. Organizacija koja nije formalno određena kao ključni ili važni subjekt ne izuzima se automatski od obveze primjene sigurnosnih mjera predviđenih Direktivom NIS2, osobito u slučajevima kada surađuje s obveznicima, odnosno ključnim i važnim subjektima, jer tada može biti ugovorno, tehnički ili operativno obvezna provoditi određene mjere kibernetičke sigurnosti.

Time zakonodavni okvir funkcionalno proširuje doseg regulative, stvarajući mehanizam u kojem su i manji subjekti motivirani na usklađivanje kako bi mogli nastaviti ili uspostaviti suradnju s većim, zakonski obveznim sustavima.

Za ključne i važne subjekte zakon propisuje obveze kao što su provedba procjene rizika, uspostava tehničkih i organizacijskih sigurnosnih mjera, edukacija zaposlenika te prijava svih ozbiljnih incidenata putem nacionalne platforme PiXi, koju održava CARNET. Dodatno, ‘ključni subjekti’ obvezni su provoditi neovisne sigurnosne revizije i izrađivati planove poslovnog kontinuiteta kako bi se osigurala brza i učinkovita reakcija u slučaju incidenta.

CYBERSECURITY BLUEPRINT

Nadalje, na razini Europske unije, u lipnju 2025. donesen je EU Cybersecurity Blueprint, dokument koji uspostavlja koordinirani odgovor na velike prekogranične kibernetičke krize. Blueprint definira protokole za zajedničko djelovanje nacionalnih sigurnosnih timova (CERTova), agencije Europske unije za kibersigurnost (ENISA), tijela za upravljanje krizama i ostalih dionika. Umjesto da zamijeni nacionalne mehanizme, cilj Blueprinta je da ih poveže u cjelovitu, brzu i učinkovitu mrežu reagiranja na najopasnije prijetnje.

Kao država članica EU, Hrvatska ima obvezu uskladiti svoje nacionalne protokole s ovim mehanizmom i osigurati da Nacionalni centar za kibernetičku sigurnost (NCSC-HR) može pravovremeno komunicirati i djelovati zajedno s europskim institucijama. To u praksi znači organizaciju redovitih zajedničkih vježbi, ažuriranje internih procedura i jačanje stručnih kapaciteta u institucijama i društvima koja djeluju u sektorima od posebne važnosti.

SURADNJA SA SLOVENIJOM

U tom kontekstu vrijedi istaknuti i primjer dobre prakse regionalne suradnje između Hrvatske i Slovenije, koji je dodatno potvrđen u srpnju 2025. kroz projekt Cyber Range Connect 25. Riječ je o bilateralnoj inicijativi kojom su nacionalni cyber-trenažni centri povezani u zajedničku digitalnu infrastrukturu za simulaciju stvarnih napada i kriznih situacija. Cilj je bio ojačati sposobnost obrane od napada na energetske sustave, testirati reakciju timova te unaprijediti prekograničnu koordinaciju u realnom vremenu. Ovo je jedan od prvih primjera u EU gdje se dvije članice povezuju na tehničkoj, operativnoj i edukativnoj razini u području kibernetičke sigurnosti.

PROIZVODI S DIGITALNIM ELEMENTIMA

Osim toga, od kraja 2024. godine na snazi je i EU Cyber Resilience Act (Regulativa (EU) 2023/2847) kojom se uvode nove obveze za proizvođače i pružatelje digitalnih proizvoda. Puna primjena propisanih zahtjeva predviđena je od prosinca 2027. godine, čime se svim obveznicima ostavlja prijelazno razdoblje za usklađivanje s tehničkim i sigurnosnim standardima.

Ova regulativa nalaže da svi ‘proizvodi s digitalnim elementima’ moraju biti projektirani s ugrađenim sigurnosnim značajkama (princip security by design), moraju imati sustav nadogradnji, kao i mehanizme za pravovremeno prijavljivanje sigurnosnih ranjivosti. Time se odgovornost za sigurnost širi s korisnika na proizvođače i pružatelje usluga, čime se dodatno osnažuje zaštita digitalnog tržišta EU.

Sve navedeno pokazuje da se pristup kibernetičkoj sigurnosti razvija u smjeru složenog, višerazinskog sustava, u kojem se pravne obveze, tehnička rješenja i međunarodna suradnja moraju usklađeno provoditi. Upravljanje kibernetičkim rizicima više nije samo tehnički izazov za IT odjele – to je pravno, strateško i operativno pitanje koje zahtijeva angažman uprava, pravnih službi, sigurnosnih timova i državnih institucija.

ZAKLJUČAK

Svi dionici – od malih i srednjih poduzeća do velikih infrastrukturnih sustava – moraju se pripremiti na realnu mogućnost ozbiljnih incidenata. To uključuje više od pukog ispunjavanja zakonskih obveza: traži se aktivno upravljanje rizicima, redovita edukacija, vježbe i ulaganje u sigurnosne sustave. U eri digitalne povezanosti, otpornost sustava više nije prednost – ona je preduvjet opstanka i povjerenja. A to se postiže samo ako sigurnost prestane biti reakcija i postane navika.

Span centar kibernetičke sigurnosti dovodi u Hrvatsku najmodernije svjetske prakse i iskustvo te je namijenjen prijenosu znanja i osnaživanju poslovne zajednice da što efikasnije odgovori na sve prisutnije i sve sofisticiranije cyber prijetnje koje predstavljaju jedan od najvećih rizika za poslovanje.

Novootvoreni Centar nudit će edukacije, treninge i konzultantske usluge namijenjene zaposlenicima iz javnog i privatnog sektora, a program je prilagođen specifičnim potrebama polaznika ili tvrtke te podrazumijeva aktivno sudjelovanje u stvarnim situacijama, gdje profesionalni hakeri simuliraju stvarne napade na njihove poslovne sustave.   

„Kibernetički napadi ne događaju se nekom drugom, i to je činjenica koje svi moramo biti svjesni“, istaknuo je Nikola Dujmović, predsjednik Uprave Spana. „Edukacija je izrazito bitna te je osim kako se zaštititi, važno znati i kako suprotna strana radi, kako razmišljaju i djeluju napadači. Upravo zato smo za partnera odabrali Cybergym, čiji je know-how temeljen na stvarnom iskustvu u zemlji koja je jedna od najnapadanijih na svijetu.“

Čak 64 posto tvrtki u svijetu bilo je izloženo najmanje jednom obliku kibernetičkog napada, a 95 posto ovakvih napada uzrokovano je ljudskim faktorom. Ljudi čine jednu od glavnih karika u obrani organizacije od cyber kriminala, stoga je presudno da se na zaposlenike gleda kao na cjelinu i ključno je da sve razine zaposlenika – od IT profesionalaca, menadžmenta do svih ostalih u sustavu budu adekvatno educirani kako bi se točke ranjivosti organizacije smanjile na minimum. 

1 od 4

„Broj kibernetičkih napada u porastu je na globalnoj razini, oni uzrokuju veliku štetu i financijske gubitke,“ istaknuo je Ofir Hason, CEO Cybergyma. „Ljudi su najslabija karika u kibernetičkoj obrani kompanije – to je činjenica, stoga smo tijekom proteklih 10 godina razvili edukacijski sadržaj i metodologije temeljene na našem iskustvu rada za izraelsku energetsku tvrtku IEC, najnapadaniju izraelsku kompaniju.“  

Prema projekcijama u iduće dvije godine nedostajat će 3,5 milijuna stručnjaka za cyber sigurnost. Span centar kibernetičke sigurnosti prvi je ovog tipa u jugoistočnoj Europi, čime Hrvatska i regija dobivaju iznimno vrijedan edukativni resurs u stvaranju i jačanju stručnjaka za borbu protiv cyber kriminala.

„U Hrvatskoj je i dalje prisutno mišljenje da smo mali, pa samim time nismo interesantni hakerima,“ ističe Zoran Kežman, voditelj Span centra kibernetičke sigurnosti. „Ulaskom u EU postali smo izloženiji i trebamo biti svjesni da našu najveću vrijednost, uz zaposlenike, predstavljaju naši podaci koje treba adekvatno zaštititi. Ljudi su ključni faktor u prevenciji potencijalnih napada, a simulacija stvarnih stanja može prikazati svu složenost i ozbiljnost prijetnji koje dolaze iz cyber svijeta.“   

Digitalne tehnologije i dalje uzrokuju promjene u načinu rasta i poslovanja poduzeća, a povezani rizici i prilike potiču društva na širenje svojih strategija za upravljanje troškovima, pokazalo je najnovije Deloitteovo izvješće o rezultatima globalnog ispitivanja o upravljanju troškovima. Studija „Ušteda-radi-transformacije kao katalizator prihvaćanja novih digitalnih praksi” pokazuje da, premda su tradicionalne metode smanjenja troškova i dalje ključne, brojne organizacije ulažu velike iznose u digitalne tehnologije koje imaju moć transformacije kako bi se poboljšala operativna učinkovitost i povećale uštede, a istodobno unaprijedila sveukupna uspješnost i tržišna konkurentnost u svijetu u kojem je digitalna tehnologija sve zastupljenija.

Nove digitalne prakse pokretač su promjena dok je upravljanje troškovima i dalje vrlo važna zadaća na svjetskoj razini. Prema ispitivanju koje je obuhvatilo više od 1200 rukovoditelja na izvršnim funkcijama, 71% njih planira poduzeti inicijative za smanjenje troškova u sljedeća 24 mjeseca, 68% izvješćuje o ukupnim smanjenjima od 10% ili više, a ciljne vrijednosti smanjenja troškova skoro jedne trećine ispitanika (31%) iznose više od 20%. Međutim, 81% ispitanika izjavljuje kako nisu bili u mogućnosti u potpunosti ostvariti svoje ciljne vrijednosti smanjenja troškova tijekom protekle godine, što je 18% manje ispitanika nego 2017., zbog problema s provedbom, nedostatka djelotvornih sustava te neostvarivih ciljnih vrijednosti.

DIGITALNE PRAKSE I KIBERNETIČKA SIGURNOST

Potvrđujući važnu ulogu tehnologije u oblikovanju strategija za upravljanje troškovima, nove digitalne prakse popele su se na čelo ljestvice najvećih vanjskih rizika, prema mišljenju 61% ispitanika, u odnosu na samo 6% ispitanika u 2017. Samo je jedan drugi rizik povezan s tehnologijom – kibernetička sigurnost – premašio nove digitalne prakse, koji najvećim ili skoro najvećim vanjskim rizikom smatra 62% ispitanika diljem svijeta i u svim regijama osim Latinske Amerike. Pouzdanost i funkcionalnost informacijskog sustava smatraju se najvećim unutarnjim rizikom.

„U današnjem iznimno dinamičnom i konkurentnom okruženju, nove digitalne prakse mijenjaju način na koji društva vide sve aspekte svojeg poslovanja, uključujući prakse upravljanja troškovima”, smatra Zlatko Bazianec, rukovoditelj hrvatskog ureda i partner u Deloitteovom odjelu poslovnog savjetovanja.

Iskorištavanjem moći digitalne tehnologije za pojednostavnjenje struktura troškova i stvaranja uštede na troškovima, društva mogu u potpunosti iskoristiti najnovije digitalne inovacije i na taj način potaknuti promjene na tržištu umjesto izložiti se njihovu utjecaju

„Deloitteova studija dokazala je da su poduzeća sada svjesna kako moraju štedjeti radi transformacije, služeći se ulaganjima u digitalnu infrastrukturu kako bi potakla drastična poboljšanja u budućoj uspješnosti, učinkovitosti i tržišnom položaju“. Digitalni rizici potiču organizacije na služenje mehanizmom smanjenja troškova radi financiranja tehnološke transformacije. Ispitivanje je na globalnoj razini utvrdilo da se očekuje da će se uporaba umjetne inteligencije i strojnog učenja više nego udvostručiti, odnosno porasti sa 25% na 63%.

Nalazi isto tako upućuju na to da se slična stopa rasta očekuje i u području automatizacije i poslovnog izvješćivanja. Oblak je i dalje digitalna tehnologija s najširom uporabom kojom se služi 49% ispitanika te se očekuje da će ostati popularna zbog njezine mogućnosti jačanja sigurnosti podataka, kao i smanjenja troškova i povećanja produktivnosti. Međutim, očekuje se da će 47% ili više ispitanika uvesti sve tehnologije uključene u ispitivanje tijekom naredna 24 mjeseca, što upućuje na raširen učinak tehnološke inovacije na poslovanje.

RAST PRIHODA SVE VEĆI

Ispitivanjem je isto tako utvrđeno da su društva spremna za takvu transformaciju: naime, 86% ispitanika izvijestilo je o povećanju prihoda u protekle dvije godine. Ovi će se optimistični izgledi nastaviti i u budućnosti te istovjetan broj ispitanika očekuje rast prihoda u naredna 24 mjeseca s obzirom na to da tvrtke diljem svijeta svjedoče jednom od najduljih razdoblja gospodarske ekspanzije u povijesti. No unatoč optimističnim izgledima, progresivne su organizacije oprezne.

Gospodarski obrasci kreću se u ciklusima te se počinju pojavljivati naznake upozorenja. Konkretno, podaci iz ispitivanja upućuju na to da je broj ispitanika na svijetu zabrinutih zbog makroekonomskih rizika u narednim dvjema godinama porastao za 97%. Tijekom godina epohalnog gospodarskog rasta, smanjenje troškova postalo je ključan alat za pomoć poduzećima u financiranju njima potrebnih ulaganja u rast (ušteda radi rasta). Sada, međutim, brojna društva čine još i više te se služe digitalnim rješenjima za troškove i poboljšanjima u infrastrukturi.

„Prakse upravljanja troškovima i pristupi upravljanju troškovima postaju sve napredniji s vremenom te digitalna rješenja, premda se još uvijek oblikuju, sada čine najnapredniju razinu upravljanja troškovima”, ističe Bazianec te zaključuje: „Iskorištavanjem moći digitalne tehnologije za pojednostavnjenje struktura troškova i stvaranja uštede na troškovima, društva mogu u potpunosti iskoristiti najnovije digitalne inovacije i na taj način potaknuti promjene na tržištu umjesto izložiti se njihovu utjecaju.”