18 października 2024 r. państwa członkowskie UE powinny być gotowe do wdrożenia NIS2. Również firmy w tych krajach maja obowiązek dyrektywę stosować. Badanie zlecone przez Veeam Software pokazuje, że wiele z nich nie zdąży.
Na zlecenie Veeam Software firma badawcza Censuswide 29 sierpnia – 2 września 2024 r. przeprowadziła badanie wśród 500 liderów ds. IT dotyczące dyrektywy NIS2. Przebadano firmy z Belgii, Francji, Niemiec, Holandii i Wielkiej Brytanii.
Firmy nie ufają NIS2
Tylko 43 proc. badanych uważa, że dyrektywa znacząco zwiększą poziom cyberbezpieczeństwa na terenie Unii. Co ciekawe w ciągu ostatnich 12 miesięcy prawie 90 proc. firm doświadczyło incydentu bezpieczeństwa, któremu dyrektywa mogła zapobiec. Jednak zaufania do wprowadzanych przez nią zmian nie widać.
Tylko 4 proc. badanych dostrzega korzyści wynikające z NIS2. Ale aż 57 proc. wątpi, że wprowadzenie dyrektywy w znaczący sposób wpłynie na ogólną postawę firm UE w zakresie cyberbezpieczeństwa.
Chociaż 80 proc. badanych twierdzi, że ich firmy posiadają warunki do spełnienia wytycznych NIS2, to aż 66 proc. jest zdania, że nie uda im się tego zrobić do terminu wprowadzenia regulacji.
Największym problemem według firm jest dług technologiczny. Na to wskazało 24 proc. z nich. Problem stanowi także brak zrozumienia kierownictwa dla wagi osiągnięcia zgodności z NIS2. Ta odpowiedź pojawiła się w 23 proc. przypadków. Niewystarczające budżety inwestycyjne stroją na drodze wprowadzenia NIS2 w 21 proc. firm.
Firmy dostrzegają również szereg wyzwań problemów związanych z NIS2:
– niekompletność przepisów – 35 proc.,
– zgodność NIS2 nie jest gwarancją bezpieczeństwa – 34 proc.,
– nakładanie się norm dyrektywy na inne już istniejące przepisy – 25 proc.,
– brak koncentracji firmy na zgodności z NIS2 – 20 proc.,
– zbyt mało czasu na dostosowanie się do dyrektywy – 19 proc.,
– brak umiejętności w zakresie cyberbezpieczeństwa pracowników – 19 proc.,
– złożoność przepisów dyrektywy – 19 proc.
NIS2 w Polsce
Dyrektywa NIS2 w sprawie środków na rzecz wysokiego wspólnego poziomu cyberbezpieczeństwa na terytorium Unii Europejskiej weszła w życie 16 stycznia 2023 r.
18 października 2024 r. mija termin, w którym państwa członkowskie UE powinny dostosować lokalne prawodawstwo do jej wymogów. W Polsce wdrożenie NIS2 w tym terminie nie ma szansy nastąpić z uwagi na brak krajowych przepisów wykonawczych w tym zakresie.
– Projekt polskiej ustawy implementującej przepisy NIS2 znacząco odbiega od regulacji UE w niektórych kwestiach. Do najważniejszych różnic należy zmiana definicji trzech branż (chemicznej, żywności i produkcyjnej) z podmiotów ważnych na kluczowe; zwiększenie wysokości kar finansowych, a także rozszerzenie listy osób w firmach, które mogą zostać pociągnięte do odpowiedzialności za niedostosowanie się do wymagań nowego prawa. Obawy budzi również procedura identyfikowania dostawców wysokiego ryzyka (DWR) i konsekwencje dla firm, które znajdą się na liście DWR – komentuje Tomasz Krajewski, dyrektor techniczny sprzedaży na Europę Wschodnią w Veeam.
NIS2 dotyczy podmiotów działających w sektorach o wysokim stopniu krytyczności. Są to:
– energetyka,
– transport,
– zdrowie,
– finanse,
– usługi komunalne,
– infrastruktura cyfrowa.
To szeroki zakres firm, które zobowiązana są do przystosowania do NIS2. Podzielone zostały na podmioty kluczowe i ważne.
Niezależnie od tego podziału wszystkie muszą wdrożyć środki poprawiające cyberbezpieczeństwo, a także sprawozdawczość z incydentów. Firmy będą zobowiązane do wdrożenia środków ochrony infrastruktury IT i łańcucha dostaw, ustalania strategii i planów reagowania na incydenty, przygotowania analizy słabych punktów czy analizy ogólnego poziomu bezpieczeństwa wszystkich powiązanych z firmą podmiotów, partnerów i elementów łańcucha dostaw. To sporo pracy i nie wszystkie zdążą przed datą wdrożenia.
Tym bardziej, że w Polsce proces legislacyjny związany z NIS2 również się przedłuża.
– Biorąc pod uwagę złożoność procesów legislacyjnych możliwe jest, że polskie prawo wprowadzające NIS2 zostanie uchwalone najwcześniej wiosną 2025 roku. Ten poślizg czasowy, w połączeniu z przepisami bardziej restrykcyjnymi niż w pozostałych krajach EU, stawia polskie firmy w niełatwej sytuacji i może utrudniać zachowanie konkurencyjności względem europejskich podmiotów. Wyzwaniem dla części przedsiębiorstw jest również kwestia inwestycji technologicznych potrzebnych do procesu dostosowywania się do wymagań NIS2. Wiadomo, że takie inwestycje trzeba podjąć, ale bez konkretnych przepisów ich skala może pozostawać niejasna, a to utrudni terminowe spełnienie unijnych wytycznych – dodaje Krajewski.
Źródło: Computerworld.pl