Europejskie firmy znajdują się w środku kaskady mieszanych emocji wobec dyrektywy NIS2, której wejście w życie zaplanowane jest na 18 października 2024 roku. Zlecone przez Veeam® Software, lidera pod względem udziału w rynku rozwiązań zapewniających odporność danych, badanie ujawniło, że tylko 43% ankietowanych przedsiębiorstw uważa, że regulacje NIS2 znacząco zwiększą poziom cyberbezpieczeństwa w UE. Jednocześnie dziewięć na dziesięć firm doświadczyło w ciągu ostatnich dwunastu miesięcy przynajmniej jednego incydentu bezpieczeństwa, któremu unijna dyrektywa mogła zapobiec. Dodatkowo 44% respondentów padło ofiarą więcej niż trzech incydentów cybernetycznych. Trzy na pięć z tych incydentów (65%) zostały zakwalifikowane jako „wysoce krytyczne”.
Prezentowane wyniki pochodzą z badania przeprowadzonego przez Censuswide i obejmują opinie ponad 500 liderów ds. IT z pięciu krajów europejskich: Belgii, Francji, Niemiec, Holandii i Wielkiej Brytanii. Ujawniają one aktualną sytuację na krócej niż miesiąc przed wejściem w życie dyrektywy, która ma na celu wzmocnienie cyberbezpieczeństwa w Unii Europejskiej poprzez rozszerzenie zakresu i zwiększenie wymogów bezpieczeństwa. Choć niemal 80% badanych firm jest przekonanych, że posiadają warunki do tego, by ostatecznie spełnić wytyczne NIS2, aż dwie trzecie (66%) twierdzi, że nie dotrzyma zbliżającego się terminu przewidzianego w regulacji.
Przeszkody na drodze do zgodności z NIS2
Dostosowanie do przepisów NIS2 wymaga od firm wdrożenia podstawowych środków ochrony, w tym określenia planu reagowania na incydenty cybernetyczne, zabezpieczenia łańcucha dostaw, a także analizy i oceny słabych punktów oraz ogólnych poziomów bezpieczeństwa wszystkich powiązanych z firmą podmiotów, partnerów i elementów łańcucha dostaw. Wśród kluczowych przeszkód utrudniających dostosowanie się do unijnej regulacji badane przez Veeam firmy wskazują na dług technologiczny (24%), brak zrozumienia kierownictwa dla wagi osiągnięcia zgodności z NIS2 (23%) oraz niewystarczający budżet na inwestycje (21%).
Wart odnotowania jest również fakt, że 40% respondentów przyznało, że od czasu ogłoszenia politycznego porozumienia w sprawie NIS2 w styczniu 2023 roku, budżet IT ich firm zmniejszył się. Stało się tak pomimo surowych kar przewidzianych w dyrektywie, które są porównywalne z inną unijną regulacją – rozporządzeniem o ochronie danych RODO. Sześć na dziesięć (63%) ankietowanych przedsiębiorstw postrzega przepisy RODO jako surowe, zbliżony odsetek (62%) wyraża to samo zdanie na temat NIS2.
Cyberzagrożenia tylko jednym z priorytetów
Za powolne tempo wdrażania NIS2 odpowiedzialna jest prawdopodobnie presja biznesowa i wielość obszarów wymagających od podmiotów jednoczesnego działania. To sprawia, że firmy oceniają NIS2 jako temat mniej pilny niż dziesięć innych kwestii, w tym m.in. luka kompetencyjna, rentowność biznesu czy transformacja cyfrowa. Co niepokojące, spośród respondentów zdaniem których NIS2 nie przyczyni się do poprawy cyberbezpieczeństwa w UE, aż 42% uważa, że jest to spowodowane nieadekwatnym poziomem konsekwencji grożących za nieprzestrzeganie przepisów. Takie nastawienie doprowadziło do powszechnej obojętności wobec znaczenia dyrektywy.
Inne kluczowe wnioski z badania wskazują, że:
• 74% respondentów dostrzega korzyści wynikające z NIS2, ale ponad połowa (57%) wątpi, że dyrektywa w znaczący sposób wpłynie na ogólną postawę firm UE w zakresie cyberbezpieczeństwa;
• w kontekście NIS2 firmy widzą szereg wyzwań, w tym: niewystarczający poziom kompleksowości przepisów (35%), przekonanie, że zgodność z NIS2 nie gwarantuje bezpieczeństwa (34%) oraz nakładanie się norm dyrektywy na inne już istniejące przepisy (25%);
• wśród innych barier wymieniane są również brak koncentracji firmy na zgodności z NIS2 (20%), zbyt mało czasu na dostosowanie się (19%), brak umiejętności w zakresie cyberbezpieczeństwa (19%), złożoność przepisów dyrektywy (19%) oraz silosy organizacyjne w przedsiębiorstwie (19%);
• pomimo sprzecznych sygnałów, większość respondentów pozytywnie odnosi się do NIS2 w kontekście ogólnych obowiązków regulacyjnych w swojej firmie. Odczuwają optymizm (33%), pewność siebie (32%) oraz motywację (27%).
Andre Troskie, Field CISO EMEA w Veeam, komentuje: – NIS2 rozszerza odpowiedzialność za cyberbezpieczeństwo poza zespoły IT, obejmując nią także zarządy firm. Podczas gdy wiele przedsiębiorstw zdaje sobie sprawę ze znaczenia dyrektywy, stwierdzone w badaniu trudności z dostosowaniem się do jej wymogów, wskazują na istotne kwestie systemowe. Presja pozostałych priorytetów biznesowych w połączeniu z wyzwaniami IT może tłumaczyć opóźnienia, ale nie sprawia, że z działaniem można zwlekać. W obliczu rosnącej częstotliwości i dotkliwości cyberzagrożeń, nie da się przecenić potencjalnych korzyści płynących z NIS2 w zapobieganiu krytycznym incydentom i wzmacnianiu odporności danych. Zespoły kierownicze muszą działać szybko, aby wypełnić luki i zapewnić zgodność z przepisami, nie tylko pod kątem regulacyjnym, ale również po to, by faktycznie zwiększyć wytrzymałość organizacyjną oraz ochronę kluczowych danych.