Fatalna seria w firmach. Wygląda na to, że NIS2 zbierze obfite żniwo
Małe i średnie firmy deklarują, że cyberbezpieczeństwo to dla nich priorytet. Tylko że połowa z nich w ciągu ostatnich dwóch lat doświadczyła incydentu naruszenia bezpieczeństwa.
Dlaczego? Wiele przedsiębiorstw nie wdrożyło nawet podstawowych zabezpieczeń, takich jak wieloskładnikowe logowanie czy regularna weryfikacja kopii zapasowych. Nadchodzące przepisy wdrażające dyrektywę NIS2 nie zostawiają miejsca na deklaracje, odpowiedzialność przestanie być sprawą działu IT i trafi na biurka zarządów.
Blisko 80 proc. firm z sektora MŚP przypisuje cyberbezpieczeństwu wysoki priorytet. Jednak tylko 47 proc. stosuje wieloskładnikowe uwierzytelnianie, a 46 proc. regularnie wykonuje kopie zapasowe kluczowych danych. Część organizacji nie ma powtarzalnych procedur weryfikacji poprawności backupów, a bardziej zaawansowane zabezpieczenia wdrażane są jeszcze rzadziej. Takie wnioski przynosi badanie przygotowane przez PMR by Hume’s Institute na zlecenie EXEA Data Center.
Z sondażu jasno wynika, że rozdźwięk między świadomością a realnymi działaniami jest wyraźny.
Świadomość zagrożeń jest wysoka, ale bez uporządkowanych procesów i jasno przypisanej odpowiedzialności trudno mówić o realnej odporności – podkreśla Magdalena Mike, prezes zarządu EXEA.
Incydent to już nie wyjątek
Najmocniejsza liczba w raporcie jest jednak inna. Połowa badanych firm odnotowała incydent naruszenia bezpieczeństwa w ciągu ostatnich 24 miesięcy. W grupie średnich przedsiębiorstw poważne zdarzenia wskazało 14 proc. podmiotów.
To oznacza, że cyberatak przestaje być abstrakcyjnym zagrożeniem. Staje się doświadczeniem operacyjnym, które może oznaczać przestoje, utratę danych, koszty prawne czy wizerunkowe.
Dyrektywa NIS2, która na poziomie Unii Europejskiej obowiązuje od października 2024 r., a w Polsce ma zostać wdrożona poprzez nowelizację ustawy o Krajowym Systemie Cyberbezpieczeństwa, rozszerza odpowiedzialność poza działy IT. Zarządy będą musiały wykazać, że realnie zarządzają ryzykiem – od procedur reagowania po ciągłość działania.
Łukasz Ozimek, dyrektor zarządzający EXEA, zauważa, że o skutkach incydentu decyduje nie to, czy firma posiada konkretne narzędzia, ale czy ma jasno określone role i procedury.
Organizacje mogą realnie poprawić swoją odporność, porządkując procesy reagowania, testując je w praktyce i zapewniając ciągłość monitoringu – podkreśla Łukasz Ozimek, dyrektor zarządzający EXEA.
Więcej w Bizblogu o cyberbezpieczeństwie
Regulacja oznacza realne koszty
Nowe przepisy to nie tylko zmiana podejścia organizacyjnego, ale także wzrost wydatków. Aż 91 proc. firm planuje inwestycje IT związane z dostosowaniem do NIS2 i nowelizacji KSC, a 81 proc. deklaruje wzrost budżetów na cyberbezpieczeństwo w ciągu najbliższych dwóch lat. Co więcej, 58 proc. przedsiębiorstw przewiduje, że koszty te mogą wymusić podniesienie cen oferowanych produktów lub usług.
Cyberbezpieczeństwo przestaje więc być wyłącznie kosztem technologicznym. Staje się elementem modelu biznesowego, który może bezpośrednio przełożyć się na ofertę dla klientów.
Barierą pozostają kompetencje. 35 proc. firm wskazuje brak wykwalifikowanych pracowników jako istotne wyzwanie we wdrażaniu wymogów. W efekcie 72 proc. organizacji wybiera model hybrydowy, łącząc własne zespoły zewnętrznymi partnerami.
Minuty zamiast deklaracji
Raport pokazuje, że problemem nie jest już brak świadomości zagrożeń. Problemem jest brak uporządkowanych procesów i jasnej odpowiedzialności. NIS2 ma to zmienić, wymuszając zarządzanie ryzykiem, ciągły monitoring i gotowość do działania.
Dla wielu małych i średnich firm będzie to moment, w którym cyberbezpieczeństwo przestanie być tematem dla IT, a stanie się kwestią strategiczną i finansową na poziomie całej organizacji.
