Korporativna sigurnost danas nadilazi tradicionalne okvire fizičke zaštite imovine — ona obuhvaća sveobuhvatan sustav mjera, politika i procedura kojima se štiti organizacija od unutarnjih i vanjskih prijetnji. U vremenu sve češćih kibernetičkih napada, reputacijskih kriza, regulatornih izazova i geopolitičkih nestabilnosti, korporativna sigurnost postaje ključna za očuvanje kontinuiteta poslovanja, zaštitu podataka, ljudi i poslovne reputacije. Ona ne djeluje samo reaktivno, nego i proaktivno – pomaže organizacijama da prepoznaju ranjivosti, upravljaju rizicima i stvore kulturu otpornosti.
U hrvatskom poslovnom okruženju, koje obilježavaju mala i srednja poduzeća, sve veća digitalizacija poslovanja te rastuća ovisnost o vanjskim partnerima i tržištima, korporativna sigurnost postaje temelj održivog razvoja. Više nije riječ samo o zaštiti fizičke imovine ili osiguravanju objekata, već o strateškom pristupu koji uključuje informacijsku sigurnost, upravljanje reputacijom, krizno komuniciranje, usklađenost s regulativom te zaštitu poslovno osjetljivih podataka.
Mnoge hrvatske tvrtke suočavaju se s izazovima poput nedostatka interne ekspertize, nepostojanja sustavne procjene rizika ili nepovezanosti sigurnosnih funkcija. U takvom kontekstu, korporativna sigurnost omogućuje tvrtkama, osobito kroz vanjske stručnjake, da nadoknade te manjkavosti bez opterećivanja vlastitih resursa, posebno u sektorima poput turizma, IT-a i proizvodnje, gdje su rizici sve kompleksniji, korporativna sigurnost ne samo da štiti, već i povećava konkurentnost.
Korporativna sigurnost i otpornost na krize tako sve se više ističu kao ključni faktori održivog poslovanja, a hrvatska tvrtka Sector2 d.o.o. iz Varaždina postavlja nove standarde u tom segmentu. Osnovana 2022. godine, ova savjetodavna tvrtka pod vodstvom Gorana Košćaka, usmjerena je na pružanje stručnih i prilagođenih rješenja u područjima poslovne sigurnosti, upravljanja rizicima te sigurnosti u turizmu i organizaciji događanja.
Unatoč relativno kratkom poslovnom stažu, Sector2 se već ističe inovativnim pristupom – posebice kroz model vanjskog voditelja korporativne sigurnosti za mala i srednja poduzeća, što predstavlja rijetkost na domaćem tržištu. S obzirom na sve izraženije potrebe za integriranim pristupima sigurnosti, ova tvrtka profilirala se kao pouzdan partner brojnim organizacijama koje žele unaprijediti otpornost na interne i eksterne prijetnje.
U intervjuu za Financije.hr, razgovarali smo s osnivačem i direktorom Goranom Košćakom o tome kako je Sector2 pronašao svoju nišu, s kojim se izazovima suočavaju klijenti u današnjem sigurnosnom okruženju te zašto je upravo sada ključno strateški promišljati o poslovnoj otpornosti.
Koliko je svijest o korporativnoj sigurnosti porasla među malim i srednjim poduzećima u Hrvatskoj u posljednjih nekoliko godina?
Izvjesno je kako postoji kontinuirani, čak i progresivni rast. Isti je potaknut međunarodnim događajima, nacionalnim agendama, promjenama na tržištu sigurnosnih proizvoda i potrebama poslovnih subjekata. Uobičajeno se svijest o sigurnosti može promatrati kroz prizmu značajnih globalnih ili regionalnih potresa u vidu sigurnosti i gospodarstva. Na konkretnom primjeru rasta svijesti o korporativnoj sigurnosti u malim i srednje velikim poduzećima, unazad nekoliko godina, izdvojio bih dva značajna događaja. Najprije smo, unazad pet godina, prolazili kroz epidemiju COVID-a, koja je u velikoj mjeri osvijestila sve globalne, nacionalne i lokalne aktere o potrebi promišljanja sigurnosnih procedura na organizacijskoj razini. Drugi, nazovimo događaj, sa značajnim utjecajem na mala i srednje velika poduzeća je u tijeku sada, a on podrazumijeva usklađivanje s paketom EU uredbi i direktiva poput NIS2, DORA-e, CER-a, CRA, AI Acta i drugih, koji su ili će se u doglednom vremenu transponirati u nacionalno zakonodavstvo. U Hrvatskoj je to već učinjeno kroz Zakon o kibernetičkoj sigurnosti (ZKS-NIS2) te posljedičnom Uredbom o provođenju ZKS-a, kroz Zakon o digitalnoj operativnoj otpornosti (ZDOO-DORA), dok nam Zakon o kritičnoj infrastrukturi (CER) i ostali tek slijede. Da parafraziram jednog kolegu, menadžera korporativne sigurnosti u bankarskom sektoru, tko se nije profilirao kroz ta dva procesa (COVID i NIS2/DORA) prilagodbe korporativne sigurnosti u organizacijama – vjerojatno treba razmisliti o drugom području djelovanja.
Također, kao relevantnog čimbenika u rastu svijesti malih i srednjih poduzeća na nacionalnoj razini smatram misiju te aktivnosti Hrvatske udruge menadžera sigurnosti (HUMS), koja svojim kontinuiranim edukacijama, akcijama podizanja svijest predmetne tematike, razmjenom iskustava te stvaranjem mreže stručnjaka na području korporativne sigurnosti značajno pridonose progresiji kvalitete usluga na području korporativne sigurnosti te općoj stabilnosti gospodarstva.
Kako gospodarska nestabilnost – poput inflacije, geopolitičkih napetosti ili energetske krize – utječe na prioritete ulaganja u sigurnost kod tvrtki?
Svakako utječe, ali krizna vremena često znaju biti upravo katalizator za ulaganja, a posebice u kontinuitet poslovanja poduzeća. Primjerice, tvrtke koje su imale značajan izvoz ili poslovnu suradnju na područjima koja su izložena ratnim zbivanjima (Ukrajina, Rusija, Bliski Istok) na drugačiji način su pogođene takvim oblicima međunarodne stabilnosti nego one koje posluju isključivo prema zapadu. Opet, one tvrtke koje imaju značajan volumen poslovanja s NR Kinom i SAD-om ne promatraju trenutačne aktualnosti oko nametanja carina na isti način kao one koje posluju isključivo nacionalnu ili unutar EU.
Pitanje svijesti malih i srednjih poduzeća, ali i velikih korporacija na nacionalnoj razini, ovisi u značajnoj mjeri o njihovom menadžmentu te na koji način ono procjenjuje rizike, prijetnje, ali i prilike u poslovanju. Sukladno tome, ne postoje dva jednaka poduzeća, ali i time dvije identične sigurnosne arhitekture koje se mogu preslikavati iz jednog u drugi pravni subjekt. Zbog toga je važno sagledati kontekst svake organizacije u pristupanju razvijanju arhitekture poslovne ili korporativne sigurnosti. Primjerice, Zakon o digitalnoj operativnoj otpornosti RH koji je usmjeren na održavanje otpornosti financijskog sektora EU (DORA), kroz svoje RTS-ove (regulatorne tehničke standarde) nameće svojim dobavljačima takozvanim Trećim stranama, da moraju implementirati visoke standarde sigurnosti u svome poslovanju. Često su te Treće strane upravo mala i srednja poduzeća, kojima postizanje visokih standarda digitalne operativne otpornosti nije uzeto u obzir prilogom definiranja budžeta u tekućoj godini. Ipak, ukoliko žele održati poslovanje s klijentima u financijskoj industriji bit će primorani dignuti vlastite standarde u svrhu održavanja i ispunjavanja postojećih i budućih ugovora. Svjedočio sam razmišljanju jednog klijenta, koji je provodio cost-benefit analizu implementacije sigurnosnih standarda u svrhu ispunjavanja zahtjeva klijenta u okviru DORA-e, gdje mu nigdje na popisu prioriteta ili benefita nije bila vlastita sigurnost, otpornost ili kontinuitet poslovanja.
EU se prilikom donošenja spomenutih standarda vodila jednostavnom paradigmom da je lanac jak kao najslabija karika. Pri tome se cijeli financijski sektor gleda kao jedinstven. Istina, takve okolnosti nisu u potpunosti fer prema malim i srednjim poduzećima, ali će zasigurno ubrzati njihovo sazrijevanje te selekciju na tržištu, ali kao nuspojavu će imati podizanje vlastitih sigurnosnih standarda i kapaciteta.
Koje su najčešće sigurnosne prijetnje s kojima se susreću mala i srednja poduzeća u Hrvatskoj danas? Jesu li to fizičke prijetnje, kibernetičke prijetnje, ili nešto treće?
Prijetnje koje bilježe najveći rast u svojoj realizaciji su svakako one kibernetičkog karaktera, ali ponovno se vraćamo kako je nužno je uvijek najprije sagledati kontekst neke organizacije. On značajno ovisni o stupnju digitalizacije poduzeća, implementiranim sigurnosnim ili zaštitnim mehanizmima, dobavljačima odnosno trećim stranama, od čega sve navedeno može utjecati na površinu napada izloženu napadačima.
Nadalje, ukoliko sagledamo krajolik najznačajnijih rizika World Economic Foruma (WEF, Global Risk Report 2025), možemo primijetiti kako je došlo do promjene na vrhu ljestvice prijetnji. Kao najznačajniji rizici prepoznati su Ratni sukobi među državama, Ekstremni vremenski uvjeti, Geoekonomski sukobi, Dezinformacijske kampanje, Socijalna polarizacija. Ukoliko spomenute prijetnje sagledavamo iz perspektive malih i srednjih tvrtki u Hrvatskoj, siguran sam kako bi redoslijed bio drugačiji. Važno je shvatiti kako se svaki potencijalni sigurnosni rizik može manifestirati kao različiti oblik prijetnje. Ratni sukobi među državama mogu imati dalekosežne posljedice prema dobavljačkim kanalima, kao i plasmanu proizvoda, ekstremni vremenski uvjeti mogu značajno utjecati na turističku sezonu, geoekonomski sukobi mogu dovesti do disrupcije ekonomskih migracija te značajno utjecati na radnu snagu na nekom tržištu, opća gospodarska situacija i socijalne politike mogu se preliti na gospodarski i organizirani kriminal na nacionalnoj razini i tome slično.
Kako poduzeća mogu sigurnost koristiti kao konkurentsku prednost, a ne kao dodatni trošak?
Važno je na sigurnost, otpornost ili kontinuitet poslovanja poslovnih subjekata interno gledati kao na investicijsko ulaganje, a ne kao na investiciju. Ukratko, osnovna razlika je u tome što investicija treba vraćati sama sebe, dok kod investicijskog ulaganja ostali segmenti poslovanja će bilježiti bolje rezultate te će biti osiguran povrat kroz njih. Spominjali smo važnost Trećih strana kod dobavljača prema DORA-i, ali i prema Zakonu o kibernetičkoj sigurnosti RH (NIS2). U Hrvatskoj je u tijeku kategorizacija subjekata obveznika ZKS-a te prema sadašnjim očekivanjima približno tisuću subjekata bit će obveznici tog zakona ili kao ključni ili kao važni subjekti. Treće strane (male i srednje tvrtke) bit će primorani u sljedećih godinu dana podići razinu sigurnosti svojeg poslovanja kako bi njihove usluge uopće bile konkurentne na tržištu. Nakon ZKS-a, dolazi i Zakon o Kritičnoj infrastrukturi (CER), koji će dodatno postaviti standarde koje će obveznici ili Treće strane morati ostvariti.
No, uzmimo sada u obzir sljedeću perspektivu. Nakon što se svi navedeni usklade sa spomenutim zakonskim uvjetima, ostat će dio tržišta koje će te obveze zaobići. Mislite li da će onda za isti proizvod na tržištu klijenti radije odabrati pravni subjekt A, koji je investirao u sigurnost i otpornost svojeg poslovanja, ili subjekt B, koji je zaobišao spomenute investicije te nije investirao. Subjekt B će nužno izgubiti dio tržišta. No, pokušajmo promotriti okolnosti sa strane napadača. Hoće li neki napadač targetirati subjekt A, koji je poznati dobavljač ključnih i važnih subjekata iz ZKS-a/DORA-e, ili će radije usmjeriti svoja nastojanja prema subjektu B, koji nije ništa učinio po pitanju vlastite sigurnosti. U sigurnosnoj profesiji je potonja situacija poznata kao „low haning fruit“ – laka meta u slobodnom prijevodu.
S obzirom na gospodarsku neizvjesnost, koje su tri ključne stvari koje bi svaka tvrtka trebala učiniti kako bi ojačala svoju otpornost?
Kako se ne bismo gubili u terminologiji, razlučimo između sigurnosti i otpornosti. Svatko tko je proveo značajnije profesionalno razdoblje u sigurnosnoj industriji ili državnim sigurnosnim institucijama, jamačno će vam objasniti kako ne postoji stopostotna sigurnost. Drugim riječima, nije pitanje hoće li se neki napad ili drugačija kompromitacija sigurnosti dogoditi, nego je pitanje kada će se dogoditi. To ne znači da pravni subjekti neće implementirati sigurnosne mjere, alate ili ulagati u osobe koje se bave sigurnošću, baš naprotiv. Otpornost se referira na sposobnost tih pravnih subjekata koji pretrpe neki oblik napada ili disrupcije poslovanja, da se upravo zbog implementiranih mjera, osviještenosti kadrova, efektivnosti postojećih alata i procedura, vrate na razinu poslovanja prije realiziranog napada ili disrupcije.
Kako bi se ojačala otpornost svaki bi subjekt morao prihvatiti činjenicu kako je sigurnost te posljedična otpornost poslovnog subjekta u njihovim vlastitim rukama, a ne prepuštati ili se u potpunosti oslanjati na javne institucije ili na tržište. Jednom kada se postigne taj korak u spoznaji poslovnog okruženja, vlastitih kapaciteta nužno slijedi analiza, procjena, planiranje te implementacija planova u vlastitu otpornost. Ovisno o sposobnostima i trenutnom poslovnom statusu subjekta isto je moguće kroz investiciju u razvoj vlastitih sigurnosnih kapaciteta, angažman dostupnih stručnjaka na tržištu rada ili kroz eksternalizaciju ključnih sigurnosnih uloga/usluga. Nakon toga, razvijanje upravljanja kontinuitetom poslovanja sa svim njegovim elementima, od identifikacije ključnih procesa, upravljanja rizicima i incidentima, kreacijom Planova kontinuiteta poslovanja, razvijanja kriznog menadžmenta, kreiranje planova krizne komunikacije i drugim elementima.
Kakvu ulogu igra kontinuitet poslovanja u sve nesigurnijem poslovnom okruženju, i koliko ga hrvatske firme uzimaju ozbiljno?
Uzimanje kontinuiteta poslovanja ozbiljno u Hrvatskoj ovisi o sektoru odnosno industriji. Primjerice, financijski, a posebno bankarski sektor, zatim telekomi, pojedini ICT subjekti, podatkovni centri, tehnološki giganti svakako prednjače u ovom segmentu. Kontinuitet poslovanja može igrati ključnu ulogu u nesigurnom poslovnom okruženju, ali nažalost svijest o tome prečesto dolazi tek kada se nametne nekom subjektu ili kada se dogodi incident koji značajno utječe na poslovanje.
Ključni trenutak ili bolje rečeno početak uspostavljanja upravljanja kontinuitetom poslovanja svakako leži u kvalitetno kreiranim analizama utjecaja na poslovanje (BIA), kroz koje se prepoznaju ključni poslovni procesi i njihovi utjecaji. Ukoliko se BIA-e kvalitetno izrade i redovito se obnavljaju, kvalitetnije će se moći pristupiti upravljanju rizicima te ostalim koracima upravljanja kontinuitetom poslovanja. To isto upravljanje u velikoj mjeri će omogućiti subjektima da na vrijeme prepoznaju rizike, prijetnje i nedostatke u vlastitom poslovanju te pravovremeno poduzmu korake kako isti ne bi utjecali na cjelokupno poslovanje. To se u velikoj mjeri odnosi na poslovno okruženje u kojem se nalaze, što je ono nesigurnije postoji veći broj potencijalnih utjecaja na poslovne procese koji se moraju uzeti u obzir.
Je li hrvatski zakonodavni okvir dovoljno fleksibilan i ažuran kad govorimo o sigurnosnim izazovima s kojima se gospodarstvo danas suočava?
Apsolutno jest. Najbolji primjer nam je posljednja transpozicija NIS2 u nacionalno zakonodavstvo kroz ZKS. Hrvatska je bila druga zemlja EU koja je provela transpoziciju nakon Belgije, dakle prije svih ostalih 25 zemalja članica. Također, isto je učinila unutar propisanog roka, što također ostale članice EU nisu uspjele. Upravo zbog toga, mnoge multinacionalne kompanije, upravo na njihovim pravnim subjektima u Hrvatskoj testiraju zakonske okvire NIS2 kroz ZKS. Ipak, valja uzeti u obzir da svaka zemlja članica EU ima pravo transponirati NIS2 u vlastito zakonodavstvo na način koji preferiraju imajući u vidu smjernice ENISA-e (Agencije EU za kibernetičku sigurnost). Primjerice, Slovenija i Mađarska, da spomenemo samo neke od nama bliskih zemalja, još uvijek nisu u potpunosti transponirale NIS2, a kategorizaciju su prepustile samim pravnim subjektima da prema svojem nahođenju procijene pripadaju li u potencijalne obveznike.
Ponavljam, prečesto se pravni subjekti oslanjaju na državne institucije da ih štite u gospodarskom okruženju ili na njihovom tržištu uz minimalna vlastita ulaganja u vlastite sigurnosne kapacitete. Hrvatski zakonodavni okvir zasigurno ne sprječava poslovne subjekte da isti ulažu u vlastitu sigurnost i otpornost, štoviše potiče ih na isto.
Kakve vještine i znanja bi trebali imati budući stručnjaci za korporativnu sigurnost da odgovore na potrebe tržišta koje se brzo mijenja?
Iako se možebitno podrazumijeva, krenuo bih od sustava vrijednosti koji menadžer korporativne sigurnosti mora personificirati. Lojalnost prema poslovnom subjektu za koji radi ili kojem pruža usluge, odnosno preklapanje vizije subjekta s osjećajem odgovornosti za isti. S obzirom na to da gospodarstvo EU prolazi kroz konstantu digitalizaciju poslovanja, osnove ili viši stupanj digitalnih kompetencija svakako su oportune. No, vraćamo se na kontekst organizacije. Prepoznavanje organizacijske specifičnosti te njezinog okruženja, nužno će doprinijeti boljem organiziranju korporativne sigurnosti, ali i prepoznavanju potrebnih kompetencija za izvršavanje zadaća na najvišoj razini. Organizacijske i upravljačke sposobnosti su esencijalne. Nadalje, upravljanje rizicima postao je značajan element svih navedenih europskih zakonodavnih akata i uredbi koje stručnjaci u korporativnoj sigurnosti nužno moraju prigrliti. Izdvojio bih također kompetencije na području provođenja internih istraga, koje su cijeli jedan svijet za sebe, naravno ukoliko su popraćene adekvatnim internim propisima.
Pročitajte još:
Stručnjake za korporativnu sigurnost krasi konstantno ulaganje u vlastiti set stručnosti, nova znanja i potrebne certifikate. Iako je kreativan pristup u kontekstu sigurnosti u pravilu rezerviran za napadače, upravo u posljednjem razdoblju svjedočimo kako i pojedinci iz područja korporativne sigurnosti uvelike koriste kreativan pristup obrambenim zadaćama osiguravanja otpornosti i kontinuiteta poslovanja.
Iz svega navedenog nameće se zaključak kako se korporativnoj sigurnosti valja pristupati holistički, jer jedino tako možemo doći na korak od postizanja otpornosti poslovnih subjekata u Hrvatskoj.
