Raport ENISA: Zaledwie co trzecia europejska firma traktuje cyberbezpieczeństwo priorytetowo

Dane ENISA, czyli Agencji Unii Europejskiej ds. Cyberbezpieczeństwa oraz DG CNECT wskazują, że również w Polsce mamy problem z umiejętnościami cyfrowymi oraz zatrudnieniem wykwalifikowanych specjalistów w organizacjach. To może mieć poważne konsekwencje dla bezpieczeństwa danych – zarówno firm, jak i obywateli.  

Powodów takiego stanu jest kilka. Sporym problemem jest niedostatek specjalistów – aż 39% polskich firm nie zatrudnia ani jednego pracownika odpowiedzialnego za cyberbezpieczeństwo, ujawnia raport „Cyberskills”. Jednego pracownika odpowiedzialnego za cyfrowe bezpieczeństwo zatrudnia 45% firm, a dwóch do trzech pracowników zatrudnia 8% przedsiębiorstw. Najmniej firm bez żadnego specjalisty jest w Luksemburgu (co piąta), a najwięcej w Bułgarii (65%). Dodatkowym problemem mogą być niskie kwalifikacje tych osób. Na tle średniej europejskiej, gdzie tylko 21% firm zatrudnia osoby z formalnymi kwalifikacjami lub certyfikowanym przeszkoleniem, polskie przedsiębiorstwa wyróżniają się co prawda pozytywnie – 36% z nich posiada certyfikowanych specjalistów. Jednak to i tak niewiele, bo tylko co trzeci specjalista ma formalne kwalifikacje w obszarze cyberbezpieczeństwa.

NIS2, DORA – wyzwań nie brakuje

Ten deficyt jest najmocniej odczuwalny nie tylko z powodu ograniczonej liczby inżynierów, ale wyzwań, z którymi muszą się oni mierzyć.

“Znajdujemy się w dość specyficznym momencie. Z jednej strony mamy bardzo wymagającą sytuację geopolityczną i niesamowicie szybko rosnącą liczbę cyberataków. Z drugiej, nowe regulacje w obszarze cyberbezpieczeństwa, takie jak NIS2 czy DORA, którym firmy muszą sprostać. I większość z nich samodzielnie nie jest w stanie się do nich dostosować” – tłumaczy Paweł Kulpa z firmy Safesqr. “Te zmiany prawne będą wiązały się z nowymi obowiązkami, koniecznością przeprowadzenia analizy obecnej sytuacji, zdefiniowaniem na nowo potrzeb, dopasowaniem do nich odpowiednich procedur i ich skutecznym wdrożeniem” – dodaje.

Sporo unijnych firm pozyskuje swoich specjalistów ds. cyberbezpieczeństwa w ramach wewnętrznej rekrutacji lub zmian organizacyjnych. Największą grupę pracowników odpowiedzialnych za cyfrowe bezpieczeństwo stanowią pracownicy, którzy zostali wchłonięci do tej roli z innego stanowiska w organizacji – dzieje się tak w 53% polskich firm (wobec 57% w UE). Zaledwie co dziesiąty specjalista ds. cyberbezpieczeństwa w polskiej firmie to osoba, która wcześniej specjalizowała się w tym obszarze (wobec średniej 18% w całej UE).

Brak szkoleń

Można powiedzieć, że cała Europa ignoruje problem cyberbezpieczeństwa: zaledwie 29% polskich firm przeprowadziło szkolenia z tego zakresu w ciągu ostatnich 12 miesięcy, podczas gdy średnia unijna wynosi 25%, wynika z raportu. Brak odpowiednich szkoleń i podnoszenia świadomości pracowników w zakresie zagrożeń cybernetycznych może prowadzić do poważnych luk w zabezpieczeniach firm, które staną się łatwym celem dla cyberprzestępców.

Potwierdzają to opinie przedstawicieli przedsiębiorstw – niemal co drugi ankietowany wśród największych wyzwań wskazuje trudności ze znalezieniem wykwalifikowanych kandydatów, a co piąty szybko zmieniające się technologie.

Badanie „Cyberskills” przeprowadzono wiosną 2024 roku na 13 tys. pracownikach firm z sektorów: produkcji, przemysłu, handlu, transportu, usług oraz opieki zdrowotnej. Ankietowane były przedsiębiorstwa z wszystkich 27 krajów UE.