Ochrona bez szefa. Po wejściu NIS2 nie będzie co zbierać z polskich firm
Unijna dyrektywa NIS2 wprowadza osobistą odpowiedzialność zarządów za cyberbezpieczeństwo. Tylko co z tego, skoro w wielu polskich firmach wciąż nie ma osób odpowiedzialnych za wdrożenie nowych zasad. W badaniu Business Growth Review przyznało się do tego aż 42 proc. przedsiębiorców.
NIS2 to nie tylko problem regulacyjny. Brak lub rozmyta odpowiedzialność za bezpieczeństwo cyfrowe to większe ryzyko incydentów, które mogą uderzyć w klientów. A w grę wchodzą przecież wycieki danych i paraliż usług online.
Większa kontrola, rozmyta odpowiedzialność
Business Growth Review przeprowadził badanie wśród 1018 firm zatrudniających ponad 300 pracowników. Powiedzieć, że wyniki nie napawają optymizmem, to nic nie powiedzieć.
42,1 proc. przedsiębiorstw nie wyznaczyło osoby odpowiedzialnej za program NIS2 i nie opracowało harmonogramu jego wdrożenia. Kolejne 32,5 proc. zrobiło to tylko częściowo. Zarządy przygotowane do wdrażania dyrektywy ma 25,3 proc. firm.
Fakt, że 42 proc. firm nie wyznaczyło właściciela programu NIS2 pokazuje, że największym wyzwaniem nie jest dziś technologia, lecz model odpowiedzialności i podejście do zarządzania – zauważa Grzegorz Soczewka, VP Sales Central and Eastern Europe w OVHcloud.
Zarządy nie wiedzą o zagrożeniach
Problem dotyczy najwyższego szczebla zarządzania. 37,4 proc. firm w ogóle nie informuje zarządu o ryzykach cybernetycznych i postępach we wdrażaniu NIS2. Kolejne 40,1 proc. robi to sporadycznie. Z regularnego raportowania do zarządu, czego wymaga dyrektywa, wywiązuje się 22,5 proc. badanych.
Efekt? W wielu firmach decyzje biznesowe zapadają bez pełnej wiedzy o zagrożeń w cyberprzestrzeni.
Łatwo o tym zapomnieć, bo cyberbezpieczeństwo nie trafia na pierwsze strony gazet, dopóki nie dochodzi do poważnego incydentu. A te najczęściej uderzają nie tylko w firmy, lecz także w ich klientów.
Wycieki danych, kradzież danych osobowych, blokady systemów czy przerwy w działaniu usług online. Wszystkie te zdarzenia zaczynają się zwykle od organizacyjnych luk w zarządzaniu bezpieczeństwem.
Tymczasem w 40,9 proc. przedsiębiorstw nie ustaliło nawet, czy podlega dyrektywie NIS2…
Sankcje mogą dotknąć zarządy
Warto w tym miejscu przypomnieć grającym na zwłokę przedsiębiorcom, że NIS2 wprowadza osobistą odpowiedzialność zarządów za cyberbezpieczeństwo.
W praktyce oznacza to możliwość ukarania finansowo bezpośrednio członka kierownictwa, obok sankcji nakładanych na organizację – podkreśla Przemysław Nowak, Head of Legal Department w Axians.
Jednocześnie tylko 26,4 proc. firm posiada dedykowany budżet na wdrożenie NIS2, a 16 proc. deklaruje jego całkowity brak.
Czytaj więcej w Bizblogu o cyberbezpieczeństwie
Największą barierą dla przedsiębiorstw pozostaje niedobór specjalistów. Ponad 57 proc. firm wskazuje brak ekspertów cyberbezpieczeństwa jako główny problem. Jednocześnie 44,9 proc. przyznaje, że ma trudności ze zrozumieniem NIS2, a 33,4 proc. w ogóle nie rozumie zasad odpowiedzialności zarządu.
Powstaje błędne koło. Bez specjalistów trudno przygotować plan wdrożenia, bez planu nie ma budżetu, a bez budżetu nie da się zatrudnić ludzi.
Jakie kary grożą za naruszenie NIS2
NIS2 przewiduje dotkliwe sankcje za brak odpowiednich zabezpieczeń lub niewywiązywanie się z obowiązków w obszarze cyberbezpieczeństwa.
Podmioty kluczowe: do 10 mln euro albo 2 proc. globalnego rocznego obrotu.
Podmioty ważne: do 7 mln euro albo 1,4 proc. globalnego rocznego obrotu.
Obowiązuje wyższa z tych kwot.
Dyrektywa przewiduje też osobistą odpowiedzialność członków zarządu.
Organ nadzorczy może dodatkowo nakazać audyt, wdrożenie zabezpieczeń i usunięcie naruszeń.
Coraz mniej czasu
Badanie pokazuje, że 16,3 proc. firm nie potrafi określić, kiedy osiągnie zgodność z NIS2, a 8,6 proc. nie podjęło jeszcze żadnych działań. Krajowe przepisy wdrażające dyrektywę zbliżają się wielkimi krokami. Jeśli przedsiębiorstwa nie uporządkują procedur i nadzoru nad cyberbezpieczeństwem, sytuacja łatwo może wymknąć się spod kontroli. Stracą wtedy nie tylko firmy, ale tysiące ich klientów.
