Unia nakłada nowy obowiązek dla firm. Czeka je spory wydatek lub gigantyczna kara
Unia Europejska nakłada na firmy szereg nowych obowiązków. W związku z dyrektywą NIS2 przedsiębiorstwa będą musiały zwiększyć swoje nakłady na cyberbezpieczeństwo nawet o 25 proc. Nowe wymagania muszą zostać dostosowane w każdym kraju członkowskim jeszcze w tym roku. Czas jest do 17 października 2024 r.
Czym jest dyrektywa NIS2? To nowa wersja dyrektywy dotyczącej cyberbezpieczeństwa. Już za kilka miesięcy firmy z poszczególnych sektorów będą musiały wykazać, że wdrożyły procedury zgodnie z nowymi wymaganiami bezpieczeństwa cyfrowego. Wśród branż, które zostały objęte nowymi obowiązkami są m.in.: transport, finanse, administracja publiczna czy dostawcy usług cyfrowych. Na razie jednak wciąż brakuje dokładnych wytycznych krajowych.
Firmy muszą znaleźć dodatkowe środki na cyberbezpieczeństwo
To może być wyjątkowo trudna sytuacja dla firm, bowiem wiąże się ze zwiększeniem budżetów na cyberbezpieczeństwo, jednak w gorszej sytuacji będą te organizacje, które do tej pory nie analizowały ryzyk i nie wypracowały odpowiednich procedur zabezpieczających ciągłość biznesu z perspektywy IT. Firmy będą musiały znaleźć w swoich budżetach wystarczające środki, aby zbudować nowe zespoły, zakupić sprzęt, oprogramowanie i usługi, sfinansować koszty administracyjne czy ponieść nakłady na wewnętrzne prace rozwojowe.
Ile firmy będą musiały poświęcić środków na wdrożenie nowych wytycznych? Na podstawie danych zebranych z organizacji, które dostosowywały się do pierwszej wersji dyrektywy w 2016 r., eksperci pracujący nad NIS2 oszacowali, że firmy, które dopiero będą budować swoje bezpieczeństwo IT od podstaw, będą musiały zwiększyć swoje wydatki na zabezpieczenia sieci i cyfrowych informacji o ok. 22 proc. w ciągu najbliższych 3-4 lat. Natomiast średnie przedsiębiorstwa powinny się przygotować na wzrost o około 25 proc.
Z kolei prognozy dla tych firmy, które zostały objęte pierwszą dyrektywą cyberbezpieczeństwa i już dysponują pewnym stopniem zabezpieczeń, wskazują na wzrost wydatków o około 12 proc. W przypadku średnich firm koszty mają wzrosnąć o około 15 proc.
Zdaniem Komisji Europejskiej koszty dostosowania się do przepisów NIS2 w perspektywie średnio- i długoterminowej mogą przynieść przedsiębiorstwom jedynie korzyści. I wymienia:
- zmniejszenie liczby incydentów naruszeń bezpieczeństwa i strat związanych z cyberprzestępczością,
- zmniejszenie kosztów niedostępności usług i odpowiedzialności za naruszenia,
- w efekcie wzrost zaufania klientów, poprawa reputacji firmy czy ochrona przed nieuczciwą konkurencją związaną np. ze szpiegostwem przemysłowym.
Czasu na przygotowanie się do nowych regulacji nie pozostało dużo, ale dobrą informacją jest możliwość skorzystania z usług firm zewnętrznych, zamiast budowania kompetencji wewnętrznych od podstaw. Jeśli organizacjom brakuje nie tylko procedur, ale także personelu, mogą skorzystać ze wsparcia dostawców usług IT, którzy zajmują się doradztwem oraz dostarczą usługi związane z utrzymaniem ciągłości biznesowej – monitoringiem systemów i usług IT, działaniami z obszaru security, rozwiązaniami backup i Disaster Recovery lub utrzymać swoją infrastrukturę IT w ośrodkach profesjonalnie do tego przygotowanych - radzi Wojciech Darłowski, Członek Zarządu Beyond.pl, dostawcy usług data center, chmury i Managed Services.
Więcej o cyberbezpieczeństwie przeczytasz na Bibzlog.pl:
Co jeszcze zmieni nowa dyrektywa?
Istotną zmianą, jaką wprowadza NIS2, jest odpowiedzialność zarządów (w tym również osobistą) za kwestie zapewnienia organizacji odpowiedniego poziomu bezpieczeństwa. Nowe regulacje przewidują również kary za naruszenia w wysokości nawet 10 mln euro lub określonego procenta od obrotów. W dodatku samo spełnianie nowych, szczegółowych wymogów nie wystarczy, gdyż organizacje, które zaliczają się do sektorów objętych nowymi zasadami, będą musiały udowodnić, że ich procedury są z nimi zgodne.
Potrzebne będą audyty obecnej sytuacji i sprawdzenie, z którymi wymogami organizacja jest już zgodna, a które obszary powinna wzmocnić - wyjaśnia Wojciech Darłowski.
I wskazuje, że podstawowe obszary wymagające weryfikacji to powiadamianie o zdarzeniach i wzmocnienie procedur dotyczących bezpieczeństwa IT. W dalszej kolejności ocena procesów w zakresie zarządzania ryzykiem oraz monitoringu infrastruktury IT.
To mogą być duże zmiany, wymagające dodatkowych budżetów, zwłaszcza dla średnich firm, które tych obszarów nie mają odpowiednio zaopiekowanych – dodaje ekspert.
Zmiany będą kosztowne, ale są też konieczne. Z raportu Agencji Unii Europejskiej ds. Cyberbezpieczeństwa (ENISA) wynika, że koszty poważnych incydentów cybernetycznych w 2022 r. w porównaniu do 2021 r. wzrosły o 25 proc. Jednak nie przełożyło się to na wzrost środków finansowych alokowanych na obszar firmowego bezpieczeństwa IT. Budżety organizacji na wydatki związane z cyberbezpieczeństwem wzrosły zaledwie o 0,4 proc. rok do roku. A to oznacza, że budżety i zaangażowanie organizacji w problem rośnie zdecydowanie wolniej niż wyzwania. Przykład największego polskiego wycieku danych z maja 2023 r., gdy 6 milionów loginów i haseł zostało wykradzionych, dobitnie wskazuje, że zwiększenie bezpieczeństwa w obszarze IT wymaganych przez NIS2 jest koniecznością.
