Keselamatan Siber & Bandar Pintar
GCC: Peta Pasaran 2025–2026
Pasaran keselamatan siber di Timur Tengah dianggarkan bernilai antara USD 16.75 bilion hingga USD 18.27 bilion pada 2025, dengan kadar pertumbuhan tahunan gabungan (CAGR) sekitar 9–10% yang menjangkau dekad ini.
[MarketsandMarkets][Market Data Forecast] UAE dan Arab Saudi menjadi pemacu utama permintaan, didorong oleh Strategi Kebangsaan Keselamatan Siber UAE 2025–2031 dan agenda Vision 2030 Arab Saudi — dua program yang sedang menukar perbelanjaan keselamatan siber daripada pilihan kepada kewajipan undang-undang.
Namun gambaran ini lebih rumit daripada sekadar pertumbuhan berterusan. Penguatkuasaan mandatori bermula di UAE pada 2026 — dengan denda antara AED 100,000 hingga AED 3 juta untuk ketidakpatuhan — sedang mencipta gelombang pengadaan yang mendadak. [Liberty UAE] Pada masa yang sama, data kontrak khusus hampir tiada untuk umum, autoriti pembelian tersebar merentasi badan emirat dan persekutuan yang berbeza, dan program bandar pintar mega seperti NEOM membawa risiko pelaksanaan yang ketara. Pelabur yang menilai sektor ini perlu membezakan antara permintaan struktur yang kukuh dan pertumbuhan yang didorong oleh tarikh akhir pematuhan sekali sahaja.
Pasaran keselamatan siber di Timur Tengah berada di antara USD 16.75 bilion (anggaran MarketsandMarkets) dan USD 18.27 bilion (anggaran Market Data Forecast) pada 2025, dengan unjuran pertumbuhan antara 9% hingga 10% setahun. [MarketsandMarkets][Market Data Forecast] MarketsandMarkets mengunjurkan pasaran mencapai USD 26.04 bilion menjelang 2030. Perbezaan antara kedua-dua anggaran ini — lebih USD 1.5 bilion — adalah akibat langsung daripada ketiadaan data Tier 1 bebas seperti Gartner atau IDC khusus untuk rantau ini.
UAE dan Arab Saudi mendominasi permintaan rantau ini, didorong oleh agenda transformasi digital kerajaan yang besar. Bahagian MEA dalam pasaran keselamatan siber SMB global hanya 5.4% — bersamaan kira-kira USD 4.24 bilion daripada pasaran global USD 78.6 bilion pada 2025 — dengan Arab Saudi dan UAE sebagai pemacu utama dalam konteks GCC. [Market Intelo] Qatar dan Bahrain tidak mempunyai anggaran negara tersendiri dalam mana-mana sumber yang dikenal pasti, dan ini adalah jurang data yang signifikan bagi pelabur yang membandingkan peluang merentasi empat negara tersebut.
Pertumbuhan struktur pasaran ini bukan secara kebetulan — ia dikaitkan langsung dengan peningkatan mandatori kerajaan. Penguatkuasaan PDPL UAE pada 2026, keperluan pematuhan NCA Arab Saudi, dan program bandar pintar berskala besar semuanya menukar keselamatan siber daripada perbelanjaan budi bicara kepada kos operasi tetap. Mekanisme inilah yang memberikan keyakinan kepada unjuran pertumbuhan jangka panjang, walaupun angka pasaran tepat masih boleh diperdebatkan.
UAE memimpin dengan penguatkuasaan wajib pada 2026 — Arab Saudi dan Qatar ketinggalan dari segi ketelusan regulasi.
Penguatkuasaan PDPL UAE mencipta tarikh akhir yang konkrit; butiran setara bagi NCA Arab Saudi dan Qatar tidak tersedia secara awam.
UAE adalah negara GCC paling maju dari segi kerangka regulasi yang boleh dianalisis secara awam. Strategi Kebangsaan Keselamatan Siber (NCSS) 2025–2031, yang dikendalikan oleh Majlis Keselamatan Siber UAE, telah bertukar daripada pematuhan sukarela kepada mandatori sepenuhnya pada 2026. [Liberty UAE] Peraturan pelaksanaan PDPL yang berkuat kuasa pada 2026 menghendaki data peribadi sensitif disimpan dalam pusat data yang mematuhi UAE, manakala Majlis Keselamatan Siber menjalankan audit terhadap pengendali infrastruktur kritikal dan entiti kerajaan. [Cyber GL]
Meliputi semua entiti yang mengendalikan data peribadi, infrastruktur kritikal, dan entiti kerajaan/swasta. Majlis Keselamatan Siber UAE menjalankan audit kepatuhan.
Menghendaki data peribadi sensitif disimpan dalam pusat data mematuhi UAE. Mencipta permintaan segera untuk perkhidmatan awan tempatan.
Pihak Berkuasa Keselamatan Siber Kebangsaan Arab Saudi aktif dalam penggubalan dasar. Lebih 75% perusahaan Saudi meningkatkan belanjawan keselamatan siber sejak 2022, selaras dengan regulasi.
Penekanan kepada ketahanan infrastruktur kritikal disebut dalam konteks rantau ini tetapi keperluan mandatori terperinci dan jadual penguatkuasaan tidak dikenal pasti dalam sumber yang tersedia.
Keperluan teknikal yang paling mempengaruhi pengadaan segera merangkumi: enkripsi data dalam transit dan penyimpanan, pengesahan pelbagai faktor (MFA) menggunakan kunci perkakasan tahan pancingan data, penilaian kerentanan dan ujian penembusan (VAPT), dan pengesanan pelanggaran dalam tempoh masa tertentu. [Dove Runner] Sektor yang menghadapi tekanan paling tinggi ialah perbankan (melalui CBUAE), penjagaan kesihatan (melalui ADHICS dengan enkripsi data pesakit hujung ke hujung), dan telekomunikasi (melalui keperluan kediaman data TDRA). Hukuman bagi ketidakpatuhan termasuk denda AED 100,000 hingga AED 3 juta dan liabiliti jenayah antara enam bulan hingga lima tahun penjara bagi pelanggaran serius. [Liberty UAE]
Untuk Arab Saudi dan Qatar, butiran setara tentang keperluan mandatori, jadual penguatkuasaan, dan mekanisme penalti tidak tersedia dalam sumber yang dikenal pasti. Ini bukan bermakna rangka kerja tidak wujud — NCA Arab Saudi adalah badan aktif — tetapi ketelusan awam adalah jauh lebih rendah berbanding UAE. Bagi pelabur, ini bermakna analisis risiko pematuhan adalah paling kukuh untuk UAE dan hanya anggaran untuk negara GCC yang lain.
Lima kuasa sedang memaksa perbelanjaan keselamatan siber GCC — tiga daripadanya bersifat struktur, bukan kitaran.
Tekanan regulasi, pengembangan AI, dan ancaman geopolitik bukan tren sementara — ia adalah kos operasi yang kekal.
Penguatkuasaan regulasi adalah pemacu permintaan yang paling dapat diukur pada 2025–2026. Penguatkuasaan PDPL UAE pada 2026 sahaja sudah memaksa beratus-ratus organisasi untuk melakukan analisis jurang, menghijrahkan data ke awan tempatan, dan melaksanakan kawalan teknikal baharu — semuanya dalam tempoh 12 hingga 18 bulan. [Liberty UAE] Ini bukan permintaan sukarela yang boleh ditangguhkan; ia adalah perbelanjaan yang dipaksa oleh tarikh akhir undang-undang.
Pengembangan pesat bandar pintar dan AI mencipta permukaan serangan yang lebih besar secara automatik. Projek seperti NEOM di Arab Saudi dan Lusail di Qatar mengintegrasikan sistem siber-fizikal berskala besar — bermakna setiap peranti baru yang disambungkan adalah titik masuk yang berpotensi. UAE mengalami lebih 10,000 serangan DDoS pada separuh kedua 2025, dengan rangkaian xIoT dikenal pasti sebagai kelemahan terbesar. [CYFIRMA] Ketegangan geopolitik menambah lagi lapisan risiko: insiden berkaitan Houthi dan ketegangan AS-Iran meningkatkan ancaman kepada infrastruktur telekomunikasi dan data center, yang kini bersaing dengan minyak sebagai aset ekonomi strategik. [CYFIRMA]
Pasaran dikawal oleh vendor global dan integrator tempatan — tetapi data kontrak khusus tidak tersedia untuk umum.
Ketidaktersediaan data kontrak yang disahkan adalah penemuan penting: ia menunjukkan pasaran beroperasi melalui pengadaan tertutup, bukan tender awam yang terbuka.
Landskap persaingan GCC merangkumi tiga lapisan: vendor keselamatan siber global (Cisco, Palo Alto Networks), integrator sistem serantau (Help AG yang dimiliki Etisalat/e&, Bahwan CyberTek), dan syarikat teknologi berasaskan kerajaan seperti Elm di Arab Saudi dan CPX di Abu Dhabi. Setiap lapisan beroperasi dalam ceruk yang berbeza — vendor global menyediakan platform dan lesen perisian, integrator serantau mengendalikan pelaksanaan dan sokongan, manakala entiti berkait kerajaan mendapat akses pilihan kepada projek sektor awam.
Tiada kontrak yang diberikan kepada mana-mana syarikat ini antara 2023 dan 2026 dengan nilai dan skop yang didedahkan secara awam. Ini bukan kelemahan penyelidikan — ini adalah ciri pasaran. Pengadaan kerajaan GCC lazimnya diuruskan melalui proses tertutup atau separa tertutup, portal seperti Etimad di Arab Saudi tidak menerbitkan nilai kontrak secara awam, dan pemenang tender jarang diumumkan dengan butiran lengkap. Bagi pelabur, ini bermakna aliran hasil yang dikaitkan dengan kontrak kerajaan sukar disahkan secara bebas.
Abu Dhabi Investment Office (ADIO) telah memperuntukkan USD 1.3 bilion dalam insentif untuk menarik syarikat permulaan keselamatan siber — angka ini mengesahkan komitmen kerajaan kepada sektor ini tetapi tidak mendedahkan syarikat mana yang menerima atau jumlah sebenar yang diagihkan. [MarketsandMarkets]
Projek bandar pintar mega GCC menjana permintaan keselamatan yang besar — dengan risiko pelaksanaan yang belum dikira sepenuhnya.
NEOM, Lusail, dan program bandar pintar UAE bukan sekadar projek infrastruktur — ia adalah eksperimen keselamatan siber berskala nasional.
Pasaran bandar pintar global dianggarkan oleh MarketsandMarkets mencapai pertumbuhan yang ketara dalam tempoh 2025–2030, dan GCC adalah salah satu rantau yang paling aktif dalam pelaburan bandar pintar. [MarketsandMarkets Smart Cities] NEOM di Arab Saudi, Lusail di Qatar, dan inisiatif pelbagai peringkat di UAE mewakili pelaburan infrastruktur berbilion dolar yang semuanya memerlukan lapisan keselamatan siber yang kompleks — daripada pengurusan grid tenaga pintar kepada sistem pengawasan dan kawalan trafik bersepadu.
Namun risiko pelaksanaan adalah nyata. Laporan keterlambatan projek, semakan skop, dan kekangan bajet dalam program mega seperti NEOM telah menjejaskan keyakinan bahawa aliran perbelanjaan keselamatan siber yang dikaitkan dengan projek ini akan berlaku mengikut jadual yang diumumkan. Bagi pembekal teknologi keselamatan siber, ini bermakna kontrak yang sepatutnya bermula pada 2024–2025 mungkin ditangguhkan atau dikurangkan skopnya. Pelabur harus memantau pengumuman fasa penggunaan kontrak, bukan sekadar saiz projek yang diumumkan.
Abu Dhabi Investment Office (ADIO) telah memperuntukkan USD 1.3 bilion dalam insentif untuk menarik syarikat permulaan dan perusahaan keselamatan siber ke UAE. [MarketsandMarkets] Ini adalah isyarat komitmen kerajaan yang paling konkrit yang dapat dikenal pasti — namun angka ini adalah insentif yang dijanjikan, bukan modal yang digunakan, dan syarikat penerima khusus tidak didedahkan secara awam.
Untuk pelaburan VC, PE, dan dana kekayaan negara — termasuk ADQ, STV, dan Wa'ed Ventures — tiada rekod transaksi khusus ke syarikat keselamatan siber atau bandar pintar GCC antara Januari 2023 dan April 2026 yang dapat dikenal pasti dalam data awam. Ketiadaan data ini adalah penemuan penting: pasaran modal swasta untuk keselamatan siber GCC beroperasi hampir sepenuhnya tanpa ketelusan awam. Ini berbeza ketara dengan pasaran seperti Israel atau AS di mana pengumuman pusingan pendanaan adalah perkara biasa.
Lebih daripada 75% perusahaan Saudi telah meningkatkan belanjawan keselamatan siber dalaman mereka sejak 2022 menurut PwC — ini menunjukkan pertumbuhan perbelanjaan korporat yang kukuh walaupun tanpa pelaburan ekuiti luaran yang kelihatan. [PwC]
Lima Daya Porter: kuasa pembeli dan ancaman pemain sedia ada adalah risiko terbesar dalam pasaran ini.
Pembeli kerajaan GCC mempunyai kuasa tawar yang amat besar — mereka boleh menentukan syarat pematuhan tempatan yang secara efektifnya mengecualikan vendor asing.
Kuasa pembeli adalah faktor paling menonjol dalam pasaran ini. Kerajaan GCC bukan sahaja pembeli terbesar — mereka juga penggubal peraturan yang boleh menetapkan keperluan kediaman data, pensijilan tempatan, dan syarat pemilikan yang secara langsung mempengaruhi siapa yang boleh bersaing. Apabila UAE mewajibkan penyimpanan data tempatan, ia secara automatik mencipta permintaan untuk vendor awan tempatan dan mengurangkan daya saing vendor awan global tanpa pusat data UAE.
Ancaman pengganti adalah sederhana tetapi meningkat. Model AI generatif untuk pengesanan ancaman dan keselamatan siber berasaskan agen sedang tumbuh pesat secara global — MarketsandMarkets menganggarkan pasaran keselamatan siber AI generatif global bernilai USD 8.65 bilion pada 2025 dengan CAGR 26.5% menjelang 2031, manakala Grand View Research menganggarkan keselamatan siber berasaskan agen AI bernilai USD 30.27 bilion pada 2025 dengan CAGR 34.4%. [MarketsandMarkets][Grand View] Alat AI yang lebih murah dan lebih mudah digunakan boleh menurunkan halangan masuk dan mengurangkan ketergantungan kepada vendor tradisional.
Tiga senario untuk pasaran keselamatan siber GCC menjelang 2028 — kes asas kekal kukuh, tetapi risiko pelaksanaan adalah nyata.
Pertumbuhan struktur hampir pasti; kadar pertumbuhan dan pengagihan nilai antara pemain adalah apa yang masih tidak menentu.
Kes asas — pertumbuhan berterusan pada CAGR 9–10% — disokong oleh tiga pemacu yang tidak bergantung kepada satu faktor sahaja: penguatkuasaan regulasi yang sudah bermula, pengembangan infrastruktur AI yang semakin pesat, dan ancaman siber yang meningkat seiring dengan pengembangan permukaan serangan. Kes asas tidak memerlukan harga minyak yang tinggi atau penyelesaian geopolitik untuk kekal sah.
- Piawaian pematuhan keselamatan siber GCC yang selaras dilancarkan menjelang 2027
- Projek NEOM mencapai fasa penggunaan ICT mengikut jadual
- Harga minyak stabil melebihi USD 80 sesosong, mengekalkan bajet projek mega
- Insentif ADIO berjaya menarik 10+ syarikat permulaan keselamatan siber bernilai tinggi ke UAE
- UAE mengekalkan momentum penguatkuasaan PDPL; Arab Saudi dan Qatar terus di belakang dari segi ketelusan
- Projek mega mengalami kelewatan sederhana tetapi tidak dibatalkan
- Vendor global dan integrator serantau wujud berdampingan tanpa pemenang yang dominan
- CAGR 9–10% kekal sah; pasaran mencapai USD 22–25 bilion menjelang 2028
- Konflik serantau yang mengganggu infrastruktur data center atau telekomunikasi secara material
- Kejatuhan harga minyak yang teruk memaksa semakan semula peruntukan projek mega
- Fragmentasi regulasi GCC memaksa vendor untuk mengekalkan tiga set produk yang berbeza
- Vendor China mendapat dominasi dalam infrastruktur bandar pintar, mengurangkan peluang untuk pemain Barat
Risiko utama kepada kes positif adalah bukan penurunan permintaan tetapi fragmentasi pasaran — keperluan kediaman data yang berbeza merentasi negara GCC, percambahan piawaian yang tidak selaras, dan keutamaan vendor China dalam projek infrastruktur tertentu boleh memecah-mecahkan apa yang sepatutnya menjadi pasaran bersepadu. Pelabur yang memantau isyarat berikut akan mendapat amaran awal: laporan keterlambatan penggunaan NEOM, pengumuman piawaian GCC yang tidak selaras, atau peningkatan melebihi 20% dalam serangan DDoS ke atas infrastruktur kritikal yang menunjukkan pertahanan sedia ada sudah tidak mencukupi.
Key things to remember
About About this report
Laporan ini memetakan saiz, struktur, persekitaran regulasi, dan dinamik risiko pasaran keselamatan siber dan teknologi bandar pintar merentasi UAE, Arab Saudi, Qatar, dan Bahrain.
Laporan ini disediakan untuk pelabur yang menilai peluang sektor di GCC, pengasas syarikat teknologi keselamatan, dan perunding yang memberi taklimat kepada klien tentang landskap pasaran.
Ren menyelidik menggunakan sumber Tier 2 dan Tier 3 yang tersedia secara awam, termasuk laporan firma penyelidikan pasaran, panduan pematuhan regulasi, dan analisis ancaman siber — dengan ketiadaan sumber Tier 1 yang bebas diakui secara eksplisit.
Data utama adalah dari 2025–2026; beberapa anggaran pasaran menggunakan angka 2024–2025 sebagai tahun asas dan harus ditafsirkan dengan sewajarnya.
Sources Sumber & Metodologi
Kajian dijalankan 16 Apr 2026. Semua statistik mengandungi penanda rujukan dalam talian.
Saiz pasaran keselamatan siber Timur Tengah 2025–2026 — MarketsandMarkets — USD 16.75 bilion pada 2025, CAGR 9.2% kepada USD 26.04 bilion 2030 vs Market Data Forecast — USD 18.27 bilion pada 2026, CAGR 9.3% kepada 2034. Kedua-dua sumber digunakan dan perbezaan didedahkan secara eksplisit. Tiada sumber boleh ditetapkan sebagai lebih tepat tanpa metodologi Tier 1 yang bebas. Laporan ini mempersembahkan julat, bukan satu angka, sebagai gambaran yang lebih jujur.
Tiada sumber Tier 1 bebas (Gartner, IDC, McKinsey) untuk saiz pasaran keselamatan siber GCC khusus negara ditemui. Semua anggaran pasaran adalah Tier 2 dan harus ditafsirkan dengan batas keyakinan yang sesuai. Bahagian saiz pasaran ditetapkan pada keyakinan MEDIUM.
Tiada data kontrak khusus yang disahkan secara awam untuk mana-mana vendor (Elm, CPX, Help AG, Cisco, Palo Alto Networks) dalam pengadaan keselamatan siber atau bandar pintar GCC antara 2023 dan 2026. Ketiadaan ini mencerminkan ciri struktur pengadaan tertutup kerajaan GCC, bukan kegagalan penyelidikan.
Qatar dan Bahrain tidak mempunyai anggaran pasaran negara khusus, butiran rangka kerja regulasi yang tersedia secara awam, atau rekod pelaburan yang dikenal pasti dalam mana-mana sumber. Analisis untuk kedua-dua negara ini adalah anggaran berasaskan dinamik serantau sahaja.
Data pelaburan VC, PE, dan dana kekayaan negara khusus ke syarikat keselamatan siber dan bandar pintar GCC (termasuk ADQ, STV, Wa'ed Ventures) tidak tersedia secara awam. Bahagian aliran modal ditetapkan pada keyakinan LOW.
Keperluan mandatori khusus NCA Arab Saudi dan jadual penguatkuasaan tidak tersedia dalam sumber yang dikenal pasti. Hanya UAE yang mempunyai maklumat regulasi terperinci yang boleh dianalisis.
Laporan ini dihasilkan untuk tujuan maklumat sahaja. Ia tidak merupakan nasihat kewangan, undang-undang, atau pelaburan. Semua data diperolehi daripada maklumat awam pada tarikh kajian. Renatus Ventures tidak membuat sebarang representasi mengenai kelengkapan atau ketepatan data pihak ketiga.