Z badania Business Growth Review wynika, że 4 na 10 dużych polskich firm nie wyznaczyło formalnego właściciela programu NIS2, mimo że dyrektywa nakłada osobistą odpowiedzialność na członków zarządów za cyberbezpieczeństwo. Wiele organizacji nie ma również opracowanego planu działań, a jedynie 25,3% firm ma pełną strukturę zarządczą gotową do wprowadzenia dyrektywy.
Problem ten sięga najwyższych szczebli zarządzania: 37,4% respondentów przyznaje, że zarząd ich firmy nie jest regularnie informowany o ryzyku cybernetycznym, a tylko 22,5% organizacji cyklicznie raportuje postępy związane z NIS2. Co więcej, 40,9% firm nie ustaliło swojego statusu w kontekście dyrektywy, co jest szczególnie niepokojące w sektorach kluczowych dla bezpieczeństwa narodowego.
Konsekwencje braku odpowiedzialności mogą być poważne. NIS2 wiąże się z osobistą odpowiedzialnością członków zarządów, a brak właściciela programu skutkuje brakiem budżetu, harmonogramu i rozliczalności. Zaledwie 26,4% firm ma dedykowany budżet na NIS2, a 57,3% wskazuje brak specjalistów jako główną barierę w dostosowaniu do nowego regulacyjnego środowiska.
Eksperci podkreślają, że największym wyzwaniem nie jest technologia, lecz model odpowiedzialności i zarządzania.
„NIS2, a w konsekwencji nowelizacja UKSC (Ustawa o Krajowym Systemie Cyberbezpieczeństwa), wskazuje na osobistą odpowiedzialność kadry zarządzającej – nie da się jej przenieść na inną osobę. W praktyce oznacza to możliwość ukarania finansowo bezpośrednio członka kierownictwa, obok sankcji nakładanych na organizację. Firmy posiadające dojrzałe systemy zarządzania bezpieczeństwem – na przykład oparte na ISO 27001 – mają już solidne fundamenty, ale potrzebują wsparcia w ich operacjonalizacji i integracji z wymaganiami regulacyjnymi. Najbliższe miesiące będą czasem porządkowania modeli nadzorczych i budowania trwałej odporności cyfrowej” – komentuje Przemysław Nowak, Head of Legal Department w Axians.
Zaledwie 13,9% badanych firm znajduje się na etapie utrzymania i doskonalenia zgodności z dyrektywą, podczas gdy 16,3% nie potrafi określić, kiedy osiągnie zgodność. Z kolei 8,6% nie podjęło jeszcze żadnych działań. W miarę zbliżania się terminów implementacji, luka między wymaganiami a gotowością organizacyjną staje się więc coraz bardziej niepokojąca.
Pełny raport oraz wyniki badania można znaleźć pod poniższym linkiem.
