PLATFORMA PARTNER

AI može postati CISO i spasiti tvrtke ne samo od hakera, nego i od NIS2 birokracije

Piše:

Objavljeno: 13. srpnja 2025. 14:06

Combis 1

Hrvatsko tržište kibernetičke sigurnosti suočava se s dvostrukim izazovom: drastičnim proširenjem regulatornih obveza i akutnim manjkom kadrova. S jedne strane, NIS2 direktiva i Zakon o kibernetičkoj sigurnosti (ZKS) proširili su obveznike s 7 na 19 sektora, obuhvaćajući više od 750 hrvatskih tvrtki. Trećina njih, približno 250, klasificirana je kao ključni subjekt. S druge strane, globalni manjak stručnjaka dosegao je 4,8 milijuna pozicija, dok Hrvatskoj nedostaje minimalno tisuću kvalificiranih profesionalaca.

Ova kombinacija stvara prilično nepovoljnu poziciju za tvrtke, koje moraju ispuniti stroge zahtjeve. Oni obuhvaćeni odredbama sada imaju obvezu uspostaviti sustave za upravljanje sigurnošću, redovito izvještavati o incidentima i provoditi detaljne analize rizika. No, problem je što na tržištu nedostaju odgovarajući resursi. Kazne za nepoštivanje propisa iznimno su visoke, jer mogu doseći 10 sedam milijuna eura ili 1,4 posto godišnjeg prihoda prometa tvrtke - primjenjuje se iznos koji je veći. Takva struktura sankcija dodatno naglašava hitnu potrebu za inovativnim rješenjima.

Problematična je i općenita situacija na području kibernetičke sigurnost, s brojem i intenzitetom napada koji se povećava iz godine u godinu. U posljednjih šest mjeseci svijet je svjedočio rekordnom broju kibernetičkih incidenata. Samo u prvoj polovici 2025. godine, prema podacima vodećih svjetskih izvora, zabilježeni su masovni proboji podataka s milijunima kompromitiranih korisničkih računa, a zdravstveni i financijski sektor ostaju najizloženiji. Istovremeno, rapidan rast korištenja umjetne inteligencije u napadima dodatno komplicira obranu.

Uzmimo za primjer samo ovogodišnji svibanj, koji su obilježile značajne kibernetičke prijetnje. Zabilježeno je 44 kibernetička incidenta s ukupno 1,4 milijarde kompromitiranih zapisa, uključujući masovne napade na Facebook s 1,2 milijarde zapisa i bazu podataka s 184 milijuna ukradenih pristupnih podataka.

Usluga umjesto zapošljavanja

Kao odgovor na ove probleme nameće se rješenje virtualnog CISO-a (vCISO), kao inovativan način za premošćivanje jaza između regulatornih zahtjeva i dostupnih ljudskih resursa. vCISO je senior-level cybersecurity stručnjak koji pruža CISO-level ekspertizu na part-time, remote ili ugovornoj osnovi, značajno smanjujući troškove i vrijeme implementacije, a istovremeno zadovoljavajući odredbe NIS2 i ZKS direktivi. Riječ je o usluzi koja putem AI platformi pruža stručnu, stratešku podršku na razini glavnog službenika za sigurnost informacija, ali bez potrebe za stalnim zapošljavanjem tog profila.

Usluga virtualnog CISO-a nudi gotovo sve prednosti internog CISO-a uz znatno niže troškove. vCISO ima prednost objektivne perspektive na sigurnosnu situaciju tvrtke - procjenjuje trenutačno stanje sigurnosti organizacije, identificira sigurnosne i regulatorne nedostatke te izrađuje plan sanacije. Istovremeno, kontinuirano prati i napredak u implementaciji dokumentiranih politika koje se odnose na upravljanje procesom informacijske sigurnosti (ISMS) i uključuju od krovne Sigurnosne politike još 37 sigurnosnih domena - od pristupa, sigurnosti krajnjih točaka, backupa, ranjivosti, sustava za elektroničku poštu, lozinki, web aplikacija pa sve do kontinuiteta poslovanja.

Primjer takvog rješenja je platforma izraelskog startupa Cynomi, koji je u 2025. prikupio 37 milijuna dolara za razvoj AI sustava koji može automatizirati do 80 posto aktivnosti potrebnih za usklađivanje s NIS2. sa Zakonom o kibernetičkoj sigurnosti u dokumentarnom dijelu. Ova platforma ne samo da generira potrebnu dokumentaciju i politike temeljene na međunarodnim standardima poput NIST-a i ISO 27001, već i integrira tehničke interne i vanjske skenove kako bi automatski provjeravala provedbu sigurnosnih mjera.

CISO kao ključni savjetnik, a ne operativac

Time se uloga CISO-a mijenja iz operativnog izvršitelja u strateškog savjetnika, oslobođenog administrativnih zadataka, što je u praksi iznimno važno jer stručnjaci u prosjeku troše, pokazala su istraživanja, stotine ili tisuće sati godišnje na compliance aktivnosti. U novoj situaciji, CISO postaje ključni poslovni savjetnik, a ne samo operativac zadužen za tehničke detalje.

U Hrvatskoj je Combis, vodeći sistemski integrator i član HT Grupe, prepoznao ovu priliku i u suradnji s Cynomijem lansirao vCISO uslugu prilagođenu lokalnim potrebama. Kombinacija globalne tehnologije i lokalnog znanja omogućuje da se platforma personalizira prema specifičnostima hrvatskog tržišta i zakonodavnog okvira. Početna faza usluge uključuje detaljnu GAP analizu koja pokriva više od trideset sigurnosnih područja, a na temelju koje se kreira prioritizirani plan sanacije s jasnim zadacima za IT timove. Ovim pristupom osigurava se da sigurnosne politike nisu samo formalnost već funkcionalni alati prilagođeni stvarnim poslovnim procesima. Takav pristup omogućuje tvrtkama da sigurnost doista postane "odijelo po mjeri", a compliance alat za pametno planiranje ulaganja, a ne samo birokratska obveza.

Hrvatska je pionir u regiji

Hrvatska se, zahvaljujući brzoj implementaciji NIS2 i partnerstvima s globalnim tehnološkim liderima, pozicionira kao jedan od pionira u regiji. Očekuje se da će tržište kibernetičke sigurnosti u 2025. godini dosegnuti 106,79 milijuna dolara, s godišnjom stopom rasta od gotovo 8 posto. Najveći segment čine sigurnosne usluge, a ključni pokretači rasta su upravo potreba za usklađivanjem s novom regulativom i zaštitom kritične infrastrukture. Nacionalni koordinacijski centar za kibernetičku sigurnost (NCC-HR) dodatno jača domaći ekosustav kroz europske projekte i financiranje razvoja naprednih rješenja.

Budućnost kibernetičke sigurnosti leži u hibridnom modelu, točnije, spoju umjetne inteligencije i ljudske ekspertize. Dok AI omogućuje brzinu i preciznost u obradi podataka i automatizaciji rutinskih zadataka, iskusni stručnjaci donose kritičko razmišljanje i razumijevanje konteksta. Ovakav "čovjek + AI" pristup posebno je važan u borbi protiv novih prijetnji, poput neovlaštene upotrebe AI alata unutar organizacija (tzv. shadow AI), s kojom se danas suočava sve veći broj tvrtki.

Digitalna transformacija kibernetičke sigurnosti nije više opcija, već nužnost. Inovacije poput vCISO platforme omogućuju tvrtkama da ostanu korak ispred prijetnji i regulatornih zahtjeva, a istovremeno optimiziraju ulaganja i jačaju otpornost poslovanja.Kako umjetna inteligencija i automatizacija mijenjaju uloge u kibernetičkoj sigurnosti

Kristina Oršanić Kopić, savjetnica za kibernetičku sigurnost Combisa:

"Ono što danas vidimo s NIS2 regulativom je nešto s čime sam se i sama suočavala kao CISO u velikim sustavima. Nerazmjer između onoga što se mora napraviti i resursa koje imate na raspolaganju. Najveći izazov nije tehnika, već birokracija - praćenje, izvještavanje i beskonačna dokumentacija. Tehnologija danas mijenja pravila igre. Platforme poput vCISO-a, koju smo prilagodili za naše tržište, preuzimaju ulogu neumornog asistenta. Ona odrađuje velik dio procesa procjene rizika (uključujući i treće strane), upravljanja kontinuitetom poslovanja, automatizira planove i taskove, znatno olakšava dokumentacijski dio posla, što oslobađa interne stručnjake da se bave stvarnom zaštitom poslovanja. To je ključna transformacija. Umjesto da gasimo požare i popunjavamo tablice, konačno imamo priliku graditi otpornost i to po mjeri naše IKT okoline - kaže nam Kristina Oršanić Kopić, savjetnica za kibernetičku sigurnost Combisa."