Mamy rosnące opóźnienie w dostosowaniu krajowego prawa do wymogów dyrektywy NIS2, czyli unijnych przepisów dotyczących cyberbezpieczeństwa. Termin wyznaczony na dostosowanie prawa krajowego minął 17 października, a prace nad nowelizacją ustawy o krajowym systemie cyberbezpieczeństwa ciągle trwają. Tymczasem organizacje objęte tą dyrektywą w całej Europie, przystosowują się już do nowej rzeczywistości .
Europejska Agencja ds. Cyberbezpieczeństwa (ENISA) zebrała informacje na temat tego, w jaki sposób organizacje objęte dyrektywą NIS2 planują swoje budżety na ochronę przed zagrożeniami cyfrowymi i zabezpieczają się w obliczu nowych wymagań regulacyjnych, wyzwań związanych z personelem oraz rozwojem sztucznej inteligencji. Dane zebrano od 1350 organizacji ze wszystkich państw członkowskich UE. Badanie obejmowało wszystkie sektory NIS2 o wysokiej krytyczności oraz przedsiębiorstwa produkcyjne.
Inwestycje w bezpieczeństwo
W odpowiedzi na rosnącą liczbę cyberzagrożeń firmy w Unii Europejskiej intensyfikują wydatki na bezpieczeństwo IT. Organizacje reagują na problem nie tylko zwiększaniem wydatków, ale także zmianą priorytetów. Mediana budżetów przeznaczanych na cybersecurity podwoiła się w ciągu roku – z 0,7 mln euro w 2022 roku do 1,4 mln euro w 2023 roku. Wzrost mediany całkowitych wydatków na technologie IT był znacząco mniejszy: z 10 mln euro w 2022 roku do 15 mln euro w 2023 roku. Ta dysproporcja potwierdza, że bezpieczeństwo staje się kluczowym elementem strategii technologicznych.
Eksperci podkreślają, że ten trend wynika z konieczności ochrony danych klientów oraz zachowania ciągłości działania w coraz bardziej cyfrowym środowisku biznesowym.
– Zwiększenie wydatków na cyberbezpieczeństwo to naturalna odpowiedź organizacji na rosnące ryzyko cyberataków i nowe wymogi prawne, takie jak dyrektywa NIS2 – zauważa Robert Ługowski, Cybersecurity Architect z firmy Safesqr, specjalizującej się w cyberbezpieczeństwie. – Wzrost wydatków na zabezpieczenie danych w 2023 roku pokazuje, że firmy zaczynają traktować ochronę danych jako niezbędną inwestycję, a nie jedynie koszt. Kluczowe będzie jednak zapewnienie efektywności tych wydatków, szczególnie w kontekście rosnącego uzależnienia od nowych technologii, takich jak sztuczna inteligencja oraz konieczności spełniania nowych regulacji prawnych. Inwestycje w zabezpieczenia teleinformatyczne muszą iść w parze z długoterminową strategią i oceną ryzyka, która powinna uwzględniać dojrzałość korporacyjną i aspiracje organizacji, a także współpracę branżową oraz międzynarodową, aby sprostać coraz bardziej złożonym zagrożeniom – dodaje.
Specjaliści ds. cyberbezpieczeństwa pilnie poszukiwani
Dane pokazują także drugą stronę medalu i sytuację związaną z brakiem specjalistów ds. cyberbezpieczeństwa na rynku. Czwarty rok z rzędu zmniejszył się odsetek czasu pracy (FTE) działów IT przeznaczonych na zapewnienie bezpieczeństwa teleinformatycznego: z 11,9 proc. do 11,1 proc. Aż 32 proc. organizacji i 59 proc. firm z sektora MŚP ma trudności z obsadzeniem stanowisk związanych z zabezpieczeniem IT, zwłaszcza tych wymagających specjalistycznej wiedzy technicznej. Wszystko wskazuje na to, że w najbliższej przyszłości łatwiej nie będzie, bo wraz ze zmieniającymi się wymaganiami prawnymi, wynikającymi z konieczności dostosowania się do NIS2, 89 proc. organizacji spodziewa się, że będą potrzebować dodatkowego personelu ds. cyberbezpieczeństwa.
Procesy dostosowawcze
Dyrektywa NIS2, w porównaniu do poprzedniej wersji, rozszerzyła zakres obowiązywania na nowe sektory rynku. Okazuje się, że większość firm i instytucji z tych branż podjęło już działania, aby dostosować się do nowych wytycznych. Nowe sektory NIS2 wypadły porównywalnie pod względem wydatków na bezpieczeństwo informatyczne do podmiotów objętych pierwszą dyrektywą dotyczącą bezpieczeństwa sieci i informacji. Ich inwestycje dotyczą głównie rozwijania i utrzymywania podstawowych zdolności w zakresie ochrony systemów IT.
Z badania ENISA wynika, że większość organizacji przewiduje jednorazowe lub stałe zwiększenie swoich budżetów na cyberbezpieczeństwo w celu zapewnienia zgodności z NIS2. Warto zauważyć, że znaczna liczba podmiotów deklaruje, że nie będzie w stanie uzyskać wymaganego dodatkowego budżetu, przy czym odsetek ten jest szczególnie wysoki w przypadku MŚP (34 proc.). W Polsce niemal połowa badanych (47 proc.) deklaruje, że nie będzie potrzebowała dodatkowego budżetu na bezpieczeństwo w celu utrzymania zgodności z NIS2, 26 proc. podmiotów przewiduje stały wzrost budżetu, a 17 proc. nie będzie w stanie poprosić o dodatkowy budżet.
Rosnąca świadomość zagrożeń
Aż 9 na 10 podmiotów spodziewa się wzrostu liczby cyberataków w przyszłym roku, zarówno pod względem ich liczby, jak i kosztów obsługi. Aż 74 proc. przebadanych organizacji deklaruje wymianę informacji głównie ze wskazanymi prawnie krajowymi podmiotami, raczej nie uczestnicząc w inicjatywach branżowych lub ponadnarodowych. Ten aspekt wymaga wzmocnienia, ponieważ skuteczna współpraca branżowa i międzynarodowa w zakresie zarządzania incydentami na dużą skalę może zostać osiągnięta tylko na tych wyższych szczeblach.
Ogólna świadomość zmian wśród podmiotów objętych zakresem dostosowania do NIS2 jest pozytywna, bo 92 proc. z nich zdaje sobie sprawę z ogólnego zakresu lub szczegółowych przepisów dyrektywy NIS2. Jeśli chodzi o Polskę, ten wynik jest nawet nieco lepszy, bo aż 94 proc. badanych deklaruje przynajmniej ogólną znajomość dyrektywy NIS2. Jednak istnieje także odsetek podmiotów w niektórych nowych sektorach NIS2, który nie wie o istnieniu dyrektywy, co może budzić obawy o powodzenie wprowadzenia tych istotnych zmian.
Jak respondenci badania oceniają swoją dojrzałość w kwestii zarządzania ryzykiem cybernetycznym w skali od 1 do 10? Średni wynik we wszystkich sektorach i krajach wynosi 6,7, co wskazuje, że badane organizacje postrzegają się jako rozumiejące zagrożenia cybernetyczne. Polska wypada tutaj nawet powyżej średniej unijnej, z oceną 7,1. Oczywiście taki wynik niekoniecznie świadczy o rzeczywistej dojrzałości, a jedynie o pewnym postrzeganiu rzeczywistości.
Regulacje działają
Sektory, które już wcześniej objęto wymogami bezpieczeństwa sieci i informacji, radzą sobie znacznie lepiej niż te, które dopiero teraz włączono do NIS2. Firmy z nowych obszarów często mniej angażują się w działania związane z cyberbezpieczeństwem i rzadziej uczestniczą w inicjatywach przygotowawczych. To wyraźnie pokazuje, że dyrektywa NIS działa – pomaga sektorom lepiej chronić się przed zagrożeniami cyfrowymi. Rozszerzenie tych regulacji na nowe branże to szansa, by także one znacząco poprawiły swoje bezpieczeństwo. Warto, by nowo objęte firmy jak najszybciej zaczęły z niej korzystać.
