Choć niemal 80% firm jest przekonanych, że posiadają warunki do tego, by ostatecznie spełnić wytyczne NIS2, aż dwie trzecie twierdzi, że nie dotrzyma zbliżającego się terminu przewidzianego w regulacji. A dyrektywa ta ma wejść w życie już 18 października 2024 roku. Ponadto tylko 43% przedsiębiorstw uważa, że regulacje NIS2 znacząco zwiększą poziom cyberbezpieczeństwa w UE. Takie wyniki przynosi najnowsze badanie Veeam Software.
Jednocześnie dziewięć na dziesięć firm doświadczyło w ciągu ostatnich dwunastu miesięcy przynajmniej jednego incydentu bezpieczeństwa, któremu unijna dyrektywa mogła zapobiec. Dodatkowo 44% respondentów padło ofiarą więcej niż trzech incydentów cybernetycznych. A trzy na pięć z tych incydentów (65%) zostały zakwalifikowane jako „wysoce krytyczne”.
Prezentowane wyniki pochodzą z badania przeprowadzonego przez Censuswide na zlecenie Veeam Software. Obejmują opinie ponad 500 liderów ds. IT z pięciu krajów europejskich: Belgii, Francji, Niemiec, Holandii i Wielkiej Brytanii.
Przeszkody na drodze do zgodności z NIS2
Dostosowanie do przepisów NIS2 wymaga od firm wdrożenia podstawowych środków ochrony. W tym określenia planu reagowania na incydenty cybernetyczne, zabezpieczenia łańcucha dostaw, a także analizy i oceny słabych punktów. Jednocześnie ogólnych poziomów bezpieczeństwa wszystkich powiązanych z firmą podmiotów, partnerów i elementów łańcucha dostaw. Wśród kluczowych przeszkód utrudniających dostosowanie się do unijnej regulacji badane firmy wskazują na:
- dług technologiczny (24%),
- brak zrozumienia kierownictwa dla wagi osiągnięcia zgodności z NIS2 (23%),
- niewystarczający budżet na inwestycje (21%).
Warto również odnotować, że 40% respondentów przyznało, iż od czasu ogłoszenia politycznego porozumienia w sprawie NIS2 (w styczniu 2023 roku), budżet IT ich firm zmniejszył się. Stało się tak pomimo surowych kar przewidzianych w dyrektywie. Są one porównywalne z inną unijną regulacją – rozporządzeniem o ochronie danych RODO. Sześć na dziesięć (63%) ankietowanych przedsiębiorstw postrzega przepisy RODO jako surowe. Zbliżony odsetek (62%) wyraża to samo zdanie na temat NIS2.
Obojętność wobec znaczenie dyrektywy
Za powolne tempo wdrażania NIS2 odpowiedzialna jest prawdopodobnie presja biznesowa i wielość obszarów wymagających od podmiotów jednoczesnego działania. To sprawia, że firmy oceniają NIS2 jako temat mniej pilny niż dziesięć innych kwestii. W tym m.in. luka kompetencyjna, rentowność biznesu czy transformacja cyfrowa. Co niepokojące, spośród respondentów zdaniem których NIS2 nie przyczyni się do poprawy cyberbezpieczeństwa w UE, aż 42% uważa, że jest to spowodowane nieadekwatnym poziomem konsekwencji grożących za nieprzestrzeganie przepisów. Takie nastawienie doprowadziło do powszechnej obojętności wobec znaczenia dyrektywy.
Inne kluczowe wnioski z badania wskazują, że:
- 74% respondentów dostrzega korzyści wynikające z NIS2, ale ponad połowa (57%) wątpi, że dyrektywa w znaczący sposób wpłynie na ogólną postawę firm UE w zakresie cyberbezpieczeństwa;
- w kontekście NIS2 firmy widzą szereg wyzwań, w tym: niewystarczający poziom kompleksowości przepisów (35%), przekonanie, że zgodność z NIS2 nie gwarantuje bezpieczeństwa (34%) oraz nakładanie się norm dyrektywy na inne już istniejące przepisy (25%);
- wśród innych barier wymieniane są również: brak koncentracji firmy na zgodności z NIS2 (20%), zbyt mało czasu na dostosowanie się (19%), brak umiejętności w zakresie cyberbezpieczeństwa (19%), złożoność przepisów dyrektywy (19%) oraz silosy organizacyjne w przedsiębiorstwie (19%);
- pomimo sprzecznych sygnałów, większość respondentów pozytywnie odnosi się do NIS2 w kontekście ogólnych obowiązków regulacyjnych w swojej firmie. Odczuwają optymizm (33%), pewność siebie (32%) oraz motywację (27%).
Jak to wygląda w Polsce?
Wyniki wspomnianego badania pokrywają się z nastrojami, które obserwowane są w Polsce i krajach Europy Środkowo-Wschodniej.
“Biorąc pod uwagę sytuację geopolityczną naszego kraju i dynamicznie rozwijający się krajobraz cyberzagrożeń, przedsiębiorstwa dostrzegają potrzebę zwiększania poziomu cyberodporności. Dotyczy to również odporności danych na nieprzewidziane awarie i ataki ransomware. Nie wszyscy są jednak przekonani, że wdrożenie NIS2 będzie w stanie tę odporność i ochronę firmom zapewnić” – komentuje Tomasz Krajewski, dyrektor Techniczny Sprzedaży na Europę Wschodnią w firmie Veeam. “Sytuacji nie ułatwia fakt, że choć do wejścia unijnej dyrektywy w życie pozostały trzy tygodnie, wciąż brakuje krajowych przepisów wykonawczych w tym zakresie. Projekt polskiej ustawy implementującej przepisy NIS2 znacząco odbiega od regulacji UE w niektórych kwestiach” – dodaje.
Do najważniejszych różnic należy zmiana definicji trzech branż (chemicznej, żywności i produkcyjnej) z podmiotów ważnych na kluczowe. A także zwiększenie kar finansowych i rozszerzenie listy osób w firmach, które mogą zostać pociągnięte do odpowiedzialności za niedostosowanie się do nowych wymagań. Obawy budzi również procedura identyfikowania dostawców wysokiego ryzyka (DWR) i konsekwencje dla firm, które znajdą się na liście DWR.
“Biorąc pod uwagę złożoność procesów legislacyjnych możliwe jest, że polskie prawo wprowadzające NIS2 zostanie uchwalone najwcześniej wiosną 2025 roku. Ten poślizg czasowy, w połączeniu z przepisami bardziej restrykcyjnymi niż w pozostałych krajach EU, stawia polskie firmy w niełatwej sytuacji. Może też utrudniać zachowanie konkurencyjności względem europejskich podmiotów. Wyzwaniem dla części przedsiębiorstw jest również kwestia inwestycji technologicznych potrzebnych do procesu dostosowywania się do wymagań NIS2. Wiadomo, że takie inwestycje trzeba podjąć, ale bez konkretnych przepisów ich skala może pozostawać niejasna, a to utrudni terminowe spełnienie unijnych wytycznych” – podsumowuje Tomasz Krajewski.
