Większość firm nie zdąży przygotować się do wejścia NIS2
Krzysztof Bogacki
Najnowsze badanie Veeam Software pokazuje, że choć większość europejskich firm jest świadoma potrzeby dostosowania się do unijnej dyrektywy NIS2, aż dwie trzecie z nich nie będzie w stanie spełnić jej wymogów przed wyznaczonym terminem, czyli przed 18 października 2024 roku.
Wyniki badań wskazują, że 90% firm doświadczyło co najmniej jednego incydentu związanego z cyberbezpieczeństwem w ciągu ostatniego roku. 44% respondentów zgłaszało więcej niż trzy takie przypadki, a 65% z nich zostało zakwalifikowanych jako „wysoce krytyczne”. Dyrektywa NIS2 ma pomóc zapobiec wielu z tych zagrożeń, co podkreśla wagę wdrożenia nowych regulacji. Chociaż 80% przedsiębiorstw jest przekonanych, że ostatecznie spełnią wymagania, ich przygotowanie do wdrożenia regulacji stoi pod znakiem zapytania.
Dostosowanie się do NIS2 wymaga od firm wprowadzenia zaawansowanych środków ochrony, w tym stworzenia planów reagowania na incydenty i analizy ryzyka w łańcuchu dostaw. Pomimo zbliżającego się terminu, aż 40% firm odnotowało zmniejszenie budżetów IT od czasu ogłoszenia NIS2, co dodatkowo utrudnia przygotowania. Wysokie kary przewidziane w dyrektywie są porównywalne do tych w ramach RODO, co wywołuje obawy wśród wielu przedsiębiorstw.
Tylko 43% firm uważa, że NIS2 przyczyni się do realnej poprawy cyberbezpieczeństwa w UE, a wiele z nich postrzega regulację jako mniej priorytetową w porównaniu do innych problemów biznesowych. Wśród barier wymieniane są także zbyt skomplikowane przepisy, zbyt mała ilość czasu na wdrożenie oraz trudności w rekrutacji specjalistów ds. cyberbezpieczeństwa. Wyzwania, przed którymi stoją przedsiębiorstwa, obejmują według ankietowanych, dług technologiczny, brak wsparcia kierownictwa oraz niewystarczający budżet na konieczne inwestycje.
NIS2, słusznie kojarzony z bezpieczeństwem informatycznym, dotyka branż, które zostały określone jako kluczowe. Są to branża chemiczna, produkcyjna oraz spożywcza. To natomiast nakłada na firmy z tych branż dodatkowe zobowiązania. Pewne wątpliwości budzi także kwestia identyfikowania dostawców wysokiego ryzyka.
Warto przypomnieć, że przed wejście GDPR (RODO) także wiele firm nie przedstawiało szczególnie dobrego stanu przygotowań. Ostatecznie jednak, większość przedsiębiorstw zdołało się do przepisów dostosować. W przypadku NIS2 mówimy o bardziej wymagających zasadach, które wymagać będą znacznie większych nakładów pracy i inwestycji.