Skip to content Skip to footer

NIS2 – cyberincydenty na celwoniku

90% firm doświadczyło incydentów, którym mogło zapobiec wdrożenie NIS2

Zaledwie kilka dni przed wejściem w życie unijnej dyrektywy NIS2, większość europejskich firm wciąż boryka się z jej wdrożeniem. Zlecone przez Veeam® Software, lidera na rynku rozwiązań z zakresu odporności danych, badanie ujawniło, że aż 90% przedsiębiorstw doświadczyło incydentu cyberbezpieczeństwa w ciągu ostatniego roku, któremu NIS2 mogła zapobiec. Co więcej, 44% firm padło ofiarą więcej niż trzech takich incydentów, z czego 65% zostało zaklasyfikowanych jako „wysoce krytyczne”.

Ograniczona wiara w skuteczność NIS2

Choć dyrektywa NIS2 ma na celu podniesienie standardów bezpieczeństwa w całej Unii Europejskiej, tylko 43% ankietowanych firm wierzy, że regulacje znacząco poprawią ogólny poziom cyberbezpieczeństwa. Co więcej, 57% respondentów wątpi w realny wpływ dyrektywy na postawę firm w UE w zakresie ochrony przed cyberzagrożeniami.

„NIS2 rozszerza odpowiedzialność za cyberbezpieczeństwo poza zespoły IT, obejmując nią także zarządy firm”, podkreśla Andre Troskie, Field CISO EMEA w Veeam. „Podczas gdy wiele przedsiębiorstw zdaje sobie sprawę ze znaczenia dyrektywy, trudności w jej wdrożeniu wskazują na istotne kwestie systemowe, które muszą zostać szybko rozwiązane”.

„NIS2 rozszerza odpowiedzialność za cyberbezpieczeństwo poza zespoły IT, obejmując nią także zarządy firm. Podczas gdy wiele przedsiębiorstw zdaje sobie sprawę ze znaczenia dyrektywy, trudności w jej wdrożeniu wskazują na istotne kwestie systemowe, które muszą zostać szybko rozwiązane” – Andre Troskie, Field CISO EMEA w Veeam

Przeszkody na drodze do zgodności z NIS2

Pomimo że 80% firm deklaruje gotowość do spełnienia wytycznych NIS2, aż 66% przyznaje, że nie dotrzyma terminu 18 października 2024 r. Wśród głównych barier firmy wskazują na:

  • dług technologiczny (24%),
  • brak zrozumienia kierownictwa dla wagi przepisów (23%),
  • niewystarczający budżet na inwestycje (21%).

Zaniepokojenie budzi również fakt, że od czasu ogłoszenia NIS2 w styczniu 2023 r., budżet IT w 40% firm zmniejszył się, co utrudnia przygotowania do nowej regulacji. Firmy jednocześnie wskazują na inne bariery, takie jak zbyt mało czasu na dostosowanie się (19%) oraz brak umiejętności w zakresie cyberbezpieczeństwa (19%).

NIS2 nie na pierwszym miejscu

Pomimo zagrożeń związanych z cyberatakami, wielu przedsiębiorców nie traktuje NIS2 jako priorytetu. Dla wielu firm, dyrektywa znajduje się wśród tematów mniej pilnych niż inne kluczowe kwestie, jak luka kompetencyjna, rentowność biznesu czy transformacja cyfrowa. Co więcej, 42% ankietowanych twierdzi, że nieadekwatny poziom kar za nieprzestrzeganie przepisów jest głównym powodem ich obojętności wobec regulacji.

Pozytywne nastawienie mimo wyzwań

Pomimo licznych wyzwań, większość firm patrzy na NIS2 pozytywnie. Aż 74% respondentów dostrzega korzyści z wdrożenia dyrektywy, a 33% czuje optymizm wobec zmian, które ona przyniesie. Zespoły IT oraz zarządy muszą jednak działać szybko, aby wypełnić luki w zabezpieczeniach i przygotować się na nadchodzące przepisy.

Andre Troskie podsumowuje: „W obliczu rosnącej liczby cyberzagrożeń, korzyści płynące z NIS2, takie jak wzrost odporności danych i zapobieganie krytycznym incydentom, są nieocenione. Zarządy firm muszą priorytetowo potraktować zgodność z przepisami, nie tylko w kontekście regulacyjnym, ale również w celu realnej ochrony kluczowych danych i zwiększenia odporności organizacyjnej”.

Komentarz eksperta:

Tomasz Krajewski, Dyrektor Techniczny Sprzedaży na Europę Wschodnią w firmie Veeam

Wyniki badania Veeam, wskazujące na mieszane odczucia europejskich firm względem dyrektywy NIS2, pokrywają się z nastrojami, które obserwujemy w Polsce i krajach Europy Środkowo-Wschodniej. Biorąc pod uwagę sytuację geopolityczną naszego kraju i dynamicznie rozwijający się krajobraz cyberzagrożeń, przedsiębiorstwa dostrzegają potrzebę zwiększania poziomu cyberodporności. Dotyczy to również odporności danych na nieprzewidziane awarie i ataki ransomware. Nie wszyscy są jednak przekonani, że wdrożenie NIS2 będzie w stanie tę odporność i ochronę firmom zapewnić.

Sytuacji nie ułatwia fakt, że choć do wejścia unijnej dyrektywy w życie pozostały trzy tygodnie, wciąż brakuje krajowych przepisów wykonawczych w tym zakresie. Projekt polskiej ustawy implementującej przepisy NIS2 znacząco odbiega od regulacji UE w niektórych kwestiach. Do najważniejszych różnic należy zmiana definicji trzech branż (chemicznej, żywności i produkcyjnej) z podmiotów ważnych na kluczowe; zwiększenie wysokości kar finansowych, a także rozszerzenie listy osób w firmach, które mogą zostać pociągnięte do odpowiedzialności za niedostosowanie się do wymagań nowego prawa. Obawy budzi również procedura identyfikowania dostawców wysokiego ryzyka (DWR) i konsekwencje dla firm, które znajdą się na liście DWR.

Biorąc pod uwagę złożoność procesów legislacyjnych możliwe jest, że polskie prawo wprowadzające NIS2 zostanie uchwalone najwcześniej wiosną 2025 roku. Ten poślizg czasowy, w połączeniu z przepisami bardziej restrykcyjnymi niż w pozostałych krajach EU, stawia polskie firmy w niełatwej sytuacji i może utrudniać zachowanie konkurencyjności względem europejskich podmiotów. Wyzwaniem dla części przedsiębiorstw jest również kwestia inwestycji technologicznych potrzebnych do procesu dostosowywania się do wymagań NIS2. Wiadomo, że takie inwestycje trzeba podjąć, ale bez konkretnych przepisów ich skala może pozostawać niejasna, a to utrudni terminowe spełnienie unijnych wytycznych.

Jednocześnie należy podkreślić, że dyrektywa NIS2 to bardzo ważna i potrzebna regulacja. Z raportu Veeam Data Protection Trends 2024 wynika, że w ubiegłym roku trzy na cztery badane globalne podmioty padły ofiarą ataku ransomware, a rekordziści (3%) zostali zaatakowani aż sześć razy w ciągu dwunastu miesięcy. W warunkach, w których cyberatak to już nie kwestia „kiedy”, a „ile razy”, zasadność zwiększania poziomu cyberbezpieczeństwa w przedsiębiorstwie nie powinna być w ogóle kwestionowana.

Dlatego jedną z kluczowych korzyści wynikających z unijnej regulacji jest to, że zmusza ona przedsiębiorstwa do wnikliwej analizy obecnego poziomu bezpieczeństwa i zidentyfikowania obszarów wymagających poprawy. Raport Veeam wskazuje także, że nawet przy mniejszej skali cyberataku tylko 1% badanych firm na świecie jest w stanie odzyskać dane w mniej niż jeden dzień. Może to sugerować, że w większości firm nie ma odpowiednich procedur czy zautomatyzowanych procesów odzyskiwania zasobów. Jednocześnie aktualnie aż 96% cyberataków celuje w repozytoria kopii zapasowych i w trzech przypadkach na cztery przestępcy odnoszą sukces. W świetle tych statystyk wymieniony w NIS2 dekalog podstawowych środków cyberbezpieczeństwa powinien obowiązywać w każdej firmie, niezależnie od tego czy i w jakim stopniu unijna dyrektywa jej dotyczy. Pozwoli to minimalizować ryzyka i zabezpieczać przyszłość każdego biznesu w obliczu rosnącej liczby cyberzagrożeń.

Show CommentsClose Comments

Leave a comment