NIS2 już w drzwiach. Ryzyko nadejdzie z najmniej oczekiwanej strony
Największe zagrożenie dla firm nie musi wcale przyjść „od frontu”. Coraz częściej wchodzi tylnymi drzwiami. Przez partnera, podwykonawcę albo dostawcę usług IT. Problem w tym, że polski biznes jest na ten scenariusz słabo przygotowany. I to dokładnie tam, gdzie nowe przepisy wymagają najwięcej.
Najnowsze badanie Business Growth Review pokazuje rzecz niepokojącą: bezpieczeństwo łańcucha dostaw to dziś najsłabszy element w dużych firmach w Polsce. Średnia dojrzałość w tym obszarze wynosi zaledwie 3,0 w pięciostopniowej skali.
To jedyny obszar, który nie przekracza nawet tej symbolicznej granicy.
A mówimy o firmach dużych – zatrudniających ponad 300 osób.
Firmy nie kontrolują swoich dostawców
W teorii każdy rozumie, że bezpieczeństwo to nie tylko własne systemy, ale cały ekosystem partnerów. W praktyce wygląda to zupełnie inaczej.
Blisko co trzecia firma w Polsce praktycznie nie zarządza ryzykiem cybernetycznym swoich dostawców. Nie sprawdza ich, nie audytuje, nie narzuca wymagań bezpieczeństwa.
Kolejne prawie 45 proc. robi to tylko częściowo – bez procedur i bez systemu.
Efekt? Tylko co czwarta firma ma realnie wdrożone, kompleksowe podejście do bezpieczeństwa łańcucha dostaw.
To oznacza jedno: jeśli dojdzie do ataku, bardzo często zacznie się on nie w samej firmie, ale u jej partnera.
Wyniki badania potwierdzają to, co obserwuję na co dzień w pracy z organizacjami z większości sektorów objętych NIS2 – faktycznie świadomość rośnie, ale gotowość procesowa jest bardzo nierówna. Najczęściej brakuje spójnego podejścia do zarządzania dostawcami, ryzykiem i incydentami – mówi Cyprian Gutkowski, prawnik i CISO (ang. Chief Information Security Officer, pol. szef bezpieczeństwa informacji).
Więcej w Bizblogu o cyberbezpieczeństwie
Regulacje są, gotowości nie ma
Problem w tym, że to nie jest już temat na jutro. NIS2 wymaga, by firmy uwzględniały ryzyko całego łańcucha dostaw. I tu pojawia się kolejny zgrzyt.
– obowiązek zarządzania ryzykiem (także w łańcuchu dostaw)
– konieczność zgłaszania incydentów nawet w 24 godziny
– odpowiedzialność zarządu za cyberbezpieczeństwo
– realne kary za brak wdrożenia wymogów
Aż 39,2 proc. firm wskazuje właśnie ten obszar jako najbardziej niejasny regulacyjnie.
Mamy więc klasyczną mieszankę ryzyka: niski poziom przygotowania i wysoką niepewność co do przepisów. To dokładnie ten moment, w którym zaczynają się problemy.
Atak to już nie „czy”, tylko „kiedy”
Skala zagrożeń nie jest teoretyczna. Ponad dwie trzecie firm doświadczyło w ostatnim roku co najmniej jednego poważnego incydentu cybernetycznego. Co czwarta – kilku. A ponad 11 proc. – sześciu lub więcej.
W takich warunkach pytanie nie brzmi już, czy dojdzie do ataku przez dostawcę.
Pytanie brzmi: kiedy.
Największy problem? Reakcja
Jeszcze gorzej wygląda zdolność reagowania.
Ponad 38 proc. firm nie ma jasno określonego, czym jest „poważny incydent”. Co piąta nie ma nawet procedury jego raportowania.
To szczególnie groźne, bo NIS2 wymaga zgłoszenia incydentu w ciągu 24 godzin.
Bez definicji i procedur – to praktycznie niewykonalne.
Firmy wiedzą, ale nie działają
Najciekawsze jest to, że firmy mają świadomość problemu. Co trzecia wskazuje zarządzanie dostawcami jako obszar wymagający wsparcia.
Ale wiedza nie przekłada się na działania.
Blokady są dość klasyczne. To braki kadrowe, brak kompetencji prawnych i compliance oraz dług technologiczny.
Braki kadrowe i ograniczony budżet stanowią dla biznesu najistotniejsze bariery wdrożenia NIS2. W tej sytuacji outsourcing zadań związanych z cyberbezpieczeństwem wydaje się najrozsądniejszym rozwiązaniem – mówi Marcin Lebiecki, wiceprezes Asseco Cloud.
To nie jest już tylko IT. To ryzyko biznesowe
W całej tej historii łatwo wpaść w pułapkę myślenia, że chodzi o technologię. Nie chodzi. Atak przez dostawcę to dziś jedno z największych ryzyk operacyjnych. Może zatrzymać produkcję, sparaliżować sprzedaż, wyłączyć systemy, a na końcu – kosztować firmę miliony.
Do tego dochodzą kary regulacyjne. Ale to i tak mniejszy problem niż utrata zaufania klientów.
I właśnie dlatego NIS2 nie jest kolejnym „obowiązkiem do odhaczenia”. To test, czy firma faktycznie rozumie, gdzie dziś zaczyna się jej bezpieczeństwo. Coraz częściej bowiem nie zaczyna się u niej.
