Nawet 90 proc. firm w Europie doświadczyło incydentów cyberbezpieczeństwa, którym mogło zapobiec wdrożenie NIS2 - wynika z najnowszego raportu firmy Veeam. 

Europejskie firmy znajdują się w środku kaskady mieszanych emocji wobec dyrektywy NIS2, której wejście w życie zaplanowane jest na 18 października 2024 roku. Zlecone przez Veeam Software, lidera pod względem udziału w rynku rozwiązań zapewniających odporność danych, badanie ujawniło, że tylko 43 proc.  ankietowanych przedsiębiorstw uważa, że regulacje NIS2 znacząco zwiększą poziom cyberbezpieczeństwa w UE.

Jednocześnie dziewięć na dziesięć firm doświadczyło w ciągu ostatnich dwunastu miesięcy przynajmniej jednego incydentu bezpieczeństwa, któremu unijna dyrektywa mogła zapobiec. Dodatkowo 44 proc. respondentów padło ofiarą więcej niż trzech incydentów cybernetycznych. Trzy na pięć z tych incydentów (65 proc.) zostały zakwalifikowane jako „wysoce krytyczne”.

Co wynika z raportu Veeam?

Incydenty cyberbezpieczeństwa: 90 proc. firm w Europie doświadczyło co najmniej jednego incydentu cybernetycznego w ostatnich 12 miesiącach, któremu mogłaby zapobiec dyrektywa NIS2, a 44 proc. firm miało ponad trzy incydenty.

Przygotowanie do NIS2: 80 proc. firm planuje dostosować się do wymogów NIS2, ale 66 proc. nie dotrzyma terminu 18 października 2024 r., kiedy dyrektywa wchodzi w życie.

Główne przeszkody: Firmy wskazują na dług technologiczny (24 proc.), brak wsparcia ze strony kierownictwa (23 proc.) i niedobór budżetu (21 proc.) jako główne przeszkody w osiągnięciu zgodności z NIS2.

Zaniedbania budżetowe: 40 proc. firm zmniejszyło budżety IT od czasu ogłoszenia dyrektywy, mimo wysokich kar za jej nieprzestrzeganie, porównywalnych z karami RODO.

Priorytety biznesowe: NIS2 nie jest uznawana za pilną, gdyż inne kwestie, takie jak luka kompetencyjna czy rentowność, są bardziej priorytetów. 

Korzyści i wyzwania: 74 proc. firm widzi korzyści z NIS2, ale 57 proc. wątpi, że wpłynie ona na postawy dotyczące cyberbezpieczeństwa. Przeszkodami są m.in. skomplikowanie przepisów, ich nakładanie się na inne regulacje oraz brak umiejętności w zakresie cyberbezpieczeństwa.

Pozytywne nastawienie: Mimo wyzwań, większość firm czuje optymizm (33 proc.), pewność siebie (32 proc.) i motywację (27 proc.) w kontekście dostosowania się do dyrektywy NIS2.

Komentarz eksperta

Tomasz Krajewski, Dyrektor Techniczny Sprzedaży na Europę Wschodnią w firmie Veeam:

Wyniki badania Veeam, wskazujące na mieszane odczucia europejskich firm względem dyrektywy NIS2, pokrywają się z nastrojami, które obserwujemy w Polsce i krajach Europy Środkowo-Wschodniej. Biorąc pod uwagę sytuację geopolityczną naszego kraju i dynamicznie rozwijający się krajobraz cyberzagrożeń, przedsiębiorstwa dostrzegają potrzebę zwiększania poziomu cyberodporności. Dotyczy to również odporności danych na nieprzewidziane awarie i ataki ransomware. Nie wszyscy są jednak przekonani, że wdrożenie NIS2 będzie w stanie tę odporność i ochronę firmom zapewnić.

Sytuacji nie ułatwia fakt, że choć do wejścia unijnej dyrektywy w życie pozostały trzy tygodnie, wciąż brakuje krajowych przepisów wykonawczych w tym zakresie. Projekt polskiej ustawy implementującej przepisy NIS2 znacząco odbiega od regulacji UE w niektórych kwestiach. Do najważniejszych różnic należy zmiana definicji trzech branż (chemicznej, żywności i produkcyjnej) z podmiotów ważnych na kluczowe; zwiększenie wysokości kar finansowych, a także rozszerzenie listy osób w firmach, które mogą zostać pociągnięte do odpowiedzialności za niedostosowanie się do wymagań nowego prawa. Obawy budzi również procedura identyfikowania dostawców wysokiego ryzyka (DWR) i konsekwencje dla firm, które znajdą się na liście DWR. 

Biorąc pod uwagę złożoność procesów legislacyjnych możliwe jest, że polskie prawo wprowadzające NIS2 zostanie uchwalone najwcześniej wiosną 2025 roku. Ten poślizg czasowy, w połączeniu z przepisami bardziej restrykcyjnymi niż w pozostałych krajach EU, stawia polskie firmy w niełatwej sytuacji i może utrudniać zachowanie konkurencyjności względem europejskich podmiotów. Wyzwaniem dla części przedsiębiorstw jest również kwestia inwestycji technologicznych potrzebnych do procesu dostosowywania się do wymagań NIS2. Wiadomo, że takie inwestycje trzeba podjąć, ale bez konkretnych przepisów ich skala może pozostawać niejasna, a to utrudni terminowe spełnienie unijnych wytycznych. 

Jednocześnie należy podkreślić, że dyrektywa NIS2 to bardzo ważna i potrzebna regulacja. Z raportu Veeam Data Protection Trends 2024 wynika, że w ubiegłym roku trzy na cztery badane globalne podmioty padły ofiarą ataku ransomware, a rekordziści (3 proc.) zostali zaatakowani aż sześć razy w ciągu dwunastu miesięcy. W warunkach, w których cyberatak to już nie kwestia „kiedy”, a „ile razy”, zasadność zwiększania poziomu cyberbezpieczeństwa w przedsiębiorstwie nie powinna być w ogóle kwestionowana.  

Dlatego jedną z kluczowych korzyści wynikających z unijnej regulacji jest to, że zmusza ona przedsiębiorstwa do wnikliwej analizy obecnego poziomu bezpieczeństwa i zidentyfikowania obszarów wymagających poprawy. Raport Veeam wskazuje także, że nawet przy mniejszej skali cyberataku tylko 1 proc. badanych firm na świecie jest w stanie odzyskać dane w mniej niż jeden dzień. Może to sugerować, że w większości firm nie ma odpowiednich procedur czy zautomatyzowanych procesów odzyskiwania zasobów. Jednocześnie aktualnie aż 96% cyberataków celuje w repozytoria kopii zapasowych i w trzech przypadkach na cztery przestępcy odnoszą sukces. W świetle tych statystyk wymieniony w NIS2 dekalog podstawowych środków cyberbezpieczeństwa powinien obowiązywać w każdej firmie, niezależnie od tego czy i w jakim stopniu unijna dyrektywa jej dotyczy. Pozwoli to minimalizować ryzyka i zabezpieczać przyszłość każdego biznesu w obliczu rosnącej liczby cyberzagrożeń.