Blisko 80% polskich małych i średnich przedsiębiorstw przyznaje, że cyberbezpieczeństwo jest priorytetem, lecz połowa z nich wciąż nie chroni swoich danych w pełni – raport „Cyberbezpieczeństwo w sektorze MŚP w Polsce”, przygotowany przez PMR dla EXEA Data Center, pokazuje skalę zagrożeń, kosztów i potrzeb w obliczu dyrektywy NIS2.
Choć świadomość zagrożeń w sektorze MŚP rośnie, realny poziom ochrony pozostaje niewystarczający. Zaledwie połowa firm wdrożyła podstawowe mechanizmy bezpieczeństwa, a 50% doświadczyło incydentu w ciągu ostatnich dwóch lat – wynika ze wspomnianego raportu. Dane pokazują, że wyzwania nie ograniczają się do technologii, lecz obejmują także procesy biznesowe i zarządzanie ryzykiem.
Dyrektywa NIS2, obowiązująca w UE od października 2024 roku, oraz nowelizacja krajowej ustawy o KSC rozszerzają odpowiedzialność firm poza działy IT na całą organizację. W praktyce wymaga to inwestycji w zabezpieczenia techniczne, uporządkowania procesów, wdrożenia procedur reagowania na incydenty oraz stałego monitorowania bezpieczeństwa.
Wdrażanie podstawowych zabezpieczeń w MŚP wciąż jest ograniczone. Wieloskładnikowe uwierzytelnianie stosuje 47% firm, kopie zapasowe wykonuje 46%, a szyfrowanie dysków 34%. „Świadomość zagrożeń jest wysoka, ale bez uporządkowanych procesów i jasno przypisanej odpowiedzialności trudno mówić o realnej odporności” – komentuje Magdalena Mike, Prezes Zarządu EXEA.
Co druga firma odnotowała incydent naruszenia bezpieczeństwa. Skala zagrożenia rośnie wraz z wielkością przedsiębiorstwa – w średnich podmiotach poważne incydenty zgłosiło 14%, w małych 5%. „Wyzwanie dotyczy nie tylko technologii, lecz gotowości organizacyjnej i zdolności praktycznego reagowania” – podkreśla Łukasz Ozimek, Dyrektor Zarządzający EXEA.
NIS2 napędza inwestycje, ale podnosi koszty operacyjne
Jak się okazuje, nowe regulacje stymulują inwestycje IT – 91% firm planuje wydatki w związku z NIS2, a 81% zwiększy budżety na cyberbezpieczeństwo w ciągu najbliższych dwóch lat. W najmniejszych przedsiębiorstwach 36% zapowiada znaczący wzrost nakładów.
Dostosowanie do wymogów NIS2 to wyzwanie nie tylko technologiczne, ale też ekonomiczne i organizacyjne. 58% firm przewiduje, że koszty cyberbezpieczeństwa mogą podnieść ceny produktów lub usług, a brak wykwalifikowanych pracowników wskazuje 35% respondentów. Dlatego 72% firm wybiera model hybrydowy, łącząc własne zespoły IT ze wsparciem zewnętrznych dostawców, którzy w 29% przypadków stają się głównym źródłem wiedzy o bezpieczeństwie.
Od kopii zapasowej do realnej odporności operacyjnej
Pomimo rosnącej roli chmury, strategie ochrony danych pozostają tradycyjne – backup wykonywany jest najczęściej na urządzeniach NAS (52%) i serwerach wewnętrznych (48%), a w chmurze tylko 40% firm. Zaledwie 30% ma procedury weryfikacji kopii zapasowych. Jednocześnie 42% planuje wdrożenie profesjonalnego backupu i disaster recovery w ciągu 24 miesięcy.
„W realnym świecie o skutkach incydentu decyduje nie to, czy firma posiada konkretne narzędzia, ale czy ma jasno określone role, procedury i sposób podejmowania decyzji w momencie kryzysu. Organizacje mogą realnie poprawić swoją odporność, porządkując procesy reagowania, testując je w praktyce i zapewniając ciągłość monitoringu. NIS2 wymusza właśnie takie podejście, bo w sytuacji incydentu liczą się minuty i gotowość do działania, a nie szumne deklaracje” – podsumowuje Łukasz Ozimek.
Pełen raport „Cyberbezpieczeństwo w sektorze MŚP w Polsce” można pobrać pod poniższym linkiem.
