Wprowadzenie NIS2 spowoduje, że w ciągu trzech do czterech lat firmy będą musiały zwiększyć swoje wydatki na cyberbezpieczeństwo o około 22 proc. W przypadku średnich przedsiębiorstw nakłady mogą wzrosnąć nawet o 25 proc.
NIS2 to aktualizacja dyrektywy NIS w sprawie bezpieczeństwa sieci i systemów informatycznych. Wprowadza ona regulacje dotyczące infrastruktury krytycznej. W życie wejdzie 17 października 2024 r.
Prognozy wzrostu wydatków dotyczą firm i organizacji, które muszą budować bezpieczeństwo IT od podstaw według wytycznych NIS2. Jednak prognozuje się, że także sektory objęte już wcześniej NIS i dysponujące cyberochroną na poziomie dotychczasowej dyrektywy, będą musiały liczyć się ze wzrostem wydatków o około 12 proc. Średnie firmy mogą odnotować nawet wzrost kosztów na poziomie 15 proc.
Jak NIS2 podniesie wydatki firm?
Na większe wydatki wskazuje dokument Komisji Europejskiej dotyczący potencjalnych skutków wprowadzenia NIS2. Jest to związane z obowiązkiem poniesienia kosztów dostosowania się do nowej dyrektywy poprzez rozbudowę zespołów, zakup sprzętu, oprogramowania czy usług, a także kosztów administracyjnych. Firmy będą musiały także postarać się o audyty i sprawdzenie, z którymi wymogami organizacja jest już zgodna, a w których rejonach należy działanie jeszcze poprawić.
Chociaż NIS2 wchodzi w życie w październiku tego roku, to dane ENISA – unijnej agencji ds. cyberbezpieczeństwa- pokazują, że w 2022 r. budżety organizacji na cyberochronę wzrosły jedynie o 0,4 proc. rdr. Oznacza to, ze firmy odkładają inwestycję do momentu, gdy może być na to za późno lub będzie to wymagało natychmiastowego poniesienia sporych nakładów.
Kto musi inwestować z uwagi na NIS2?
NIS2 to wymagania z obszaru cyberbezpieczeństwa dla tzw. podmiotów kluczowych i ważnych. Tak zostały określone w dyrektywie. O jakie podmioty chodzi? Przede wszystkim te z obszaru:
– energetyki,
– opieki zdrowotnej,
– IT,
– bankowości i finansów,
– transportu,
– gospodarowania ściekami,
– usług pocztowych i kurierskich,
– produkcji,
– przetwarzania i dystrybucji żywności.
Jak widać zakres firm, które objęte są NIS2 jest spory. Dla niektórych sektorów wymagania obowiązują niezależnie od wielkości firmy. W przypadku innych jest to zależne od pułapu zatrudnienia i obrotów.
– Podstawowe obszary wymagające weryfikacji to powiadamianie o zdarzeniach i wzmocnienie procedur dotyczących bezpieczeństwa IT. W dalszej kolejności ocena procesów w zakresie zarządzania ryzykiem oraz monitoringu infrastruktury IT. To mogą być duże zmiany, wymagające dodatkowych budżetów, zwłaszcza dla średnich firm, które tych obszarów nie mają odpowiednio zaopiekowanych – mówi Wojciech Darłowski z zarządu Beyond.pl.
W przypadku niewypełnienia obowiązków na firmę uznaną za „podmiot istotny” może być nałożona kara w wysokości do 10 mln euro lub 2 proc. obrotów. W pozostałych przypadkach kary wynoszą od 1,4 proc. globalnego obrotu lub 7 mln euro.
NIS2 wprowadza odpowiedzialność zarządów, w tym również osobistą, za zapewnienie odpowiedniego bezpieczeństwa w firmie.
Źródło: crn.pl