Wyzwania przed wdrożeniem NIS2
Badanie przeprowadzone przez Veeam wykazało, że 90% europejskich firm doświadczyło incydentów związanych z cyberbezpieczeństwem, którym mogłaby zapobiec implementacja dyrektywy NIS2. Mimo że 8 na 10 firm planuje dostosować się do nowych przepisów, 66% z nich przewiduje, że nie zdąży tego zrobić w terminie ustalonym przez Unię Europejską.
Z badań, w których wzięło udział ponad 500 liderów IT z Belgii, Francji, Niemiec, Holandii i Wielkiej Brytanii, wynika, że przed nadchodzącym terminem wdrożenia NIS2 (18 października 2024 r.) jedynie 43% przedsiębiorstw uważa, że nowe regulacje istotnie zwiększą poziom cyberbezpieczeństwa w Europie. Co więcej, dziewięć na dziesięć firm w ciągu ostatniego roku zmagało się z co najmniej jednym incydentem, któremu dyrektywa mogła zapobiec. Wśród nich, 44% firm doświadczyło więcej niż trzech ataków, z czego 65% z nich uznano za "wysoce krytyczne".
Zwiększone zagrożenie cyberatakami w Europie
Z ankiety wynika, że choć 80% przedsiębiorstw jest przekonanych, że w dłuższej perspektywie dostosują się do NIS2, to aż 66% nie zdoła tego zrobić przed wyznaczonym terminem. Główne wyzwania to zaległości technologiczne (24%), brak wsparcia ze strony zarządu (23%) oraz niedostateczne budżety na inwestycje w cyberbezpieczeństwo (21%).
Pomimo tego, że dyrektywa przewiduje surowe kary za jej nieprzestrzeganie, przypominające te z RODO, aż 40% firm przyznało, że od czasu zatwierdzenia porozumienia politycznego w sprawie NIS2 w styczniu 2023 roku ich budżet IT został zmniejszony. Dla 63% firm RODO jest postrzegane jako surowe, a 62% ma podobną opinię na temat NIS2.
Powolne wdrażanie NIS2 wynika w dużej mierze z presji biznesowej oraz konieczności radzenia sobie z wieloma innymi priorytetami, takimi jak luka kompetencyjna, rentowność biznesu czy transformacja cyfrowa. Zaniepokojenie budzi fakt, że 42% firm, które nie wierzą w poprawę cyberbezpieczeństwa w UE, uważa, że wynika to z braku dostatecznych konsekwencji za naruszenia regulacji.
Czy NIS2 przyniesie realne zmiany w cyberbezpieczeństwie?
Dodatkowe wyniki badania wskazują, że:
- 74% firm dostrzega korzyści wynikające z NIS2, lecz 57% wątpi w jej realny wpływ na cyberbezpieczeństwo;
- 35% firm uważa, że przepisy NIS2 są niewystarczająco kompleksowe, a 34% twierdzi, że zgodność z dyrektywą nie gwarantuje pełnego bezpieczeństwa;
- inne problemy to nakładanie się przepisów NIS2 z istniejącymi regulacjami (25%), brak koncentracji na zgodności (20%), zbyt krótki czas na dostosowanie (19%) oraz niedobór kompetencji w obszarze cyberbezpieczeństwa (19%).
Mimo wyzwań, większość respondentów patrzy na dyrektywę z optymizmem (33%) i poczuciem pewności siebie (32%), a 27% z nich jest zmotywowana do spełnienia wymogów regulacyjnych.
Komentarz eksperta
- NIS2 rozszerza odpowiedzialność za cyberbezpieczeństwo poza zespoły IT, obejmując nią także zarządy firm. Podczas gdy wiele przedsiębiorstw zdaje sobie sprawę ze znaczenia dyrektywy, stwierdzone w badaniu trudności z dostosowaniem się do jej wymogów, wskazują na istotne kwestie systemowe. Presja pozostałych priorytetów biznesowych w połączeniu z wyzwaniami IT może tłumaczyć opóźnienia, ale nie sprawia, że z działaniem można zwlekać. W obliczu rosnącej częstotliwości i dotkliwości cyberzagrożeń, nie da się przecenić potencjalnych korzyści płynących z NIS2 w zapobieganiu krytycznym incydentom i wzmacnianiu odporności danych. Zespoły kierownicze muszą działać szybko, aby wypełnić luki i zapewnić zgodność z przepisami, nie tylko pod kątem regulacyjnym, ale również po to, by faktycznie zwiększyć wytrzymałość organizacyjną oraz ochronę kluczowych danych - powiedział Andre Troskie, Field CISO EMEA w Veeam.
