Biznes musi znaleźć potężne pieniądze na cyberbezpieczeństwo. Nowe przepisy unijne

Firmom brakuje funduszy, by spełnić wymogi unijnej dyrektywy NIS 2. Ci, którzy zdają sobie sprawę z nowych regulacji, próbują łatać dziury w budżecie.

Publikacja: 05.11.2024 05:28

Przepisy o Krajowym Systemie Cyberbezpieczeństwa drenują budżety firm – obowiązki wynikające z ustaw

Przepisy o Krajowym Systemie Cyberbezpieczeństwa drenują budżety firm – obowiązki wynikające z ustawy, która ma wejść w życie w 2025 r. i poprawić ochronę IT, to dla nich potężne wyzwanie

Foto: AdobeStock

Firmy czeka sporo nowych obowiązków w zakresie poprawy bezpieczeństwa IT. Choć zapisy dyrektywy NIS 2 wdrażającej te wytyczne weszły w życie ponad dwa tygodnie temu, to na dostosowanie się do niej jest jeszcze trochę czasu. Wszystko przez opóźnienia związane z przyjęciem ustawy o Krajowym Systemie Cyberbezpieczeństwa (KSC). Transpozycja unijnych regulacji spodziewana jest w przyszłym roku. Nie oznacza to jednak, że biznes, którego przepisy o KSC będą dotykać na różne sposoby, może odetchnąć. Projekt ustawy o KSC zaostrzy brzmienie NIS 2, a spełnienie tych wymogów może się okazać kosztowne.

Problem w tym, że dziś przedsiębiorcy nie do końca wiedzą, czy i jak mocno nowela prawa wpłynie na ich działalność. Na razie firmy, o ile w ogóle zdają sobie sprawę z NIS 2, szukają pieniędzy niezbędnych do przygotowania się na tę cybernetyczną rewolucję.

Ograniczona pula

Eksperci alarmują: konieczność dostosowania do dyrektywy przekłada się na zwiększenie luki kompetencyjnej i „obciąża zasoby przedsiębiorstw”. I to mocno. Jak wynika z badań Censuswide, aż 95 proc. firm szuka dodatkowych budżetów, by sprostać wymaganiom Brukseli. Brak pieniędzy na NIS 2 sprawia, że przedsiębiorcy sięgają po środki, które były przeznaczone na inne cele. Problem z finansowaniem ma co piąty podmiot. Tym bardziej że – od czasu politycznego porozumienia w sprawie NIS 2 w styczniu ub.r. – aż 40 proc. firm zanotowało redukcję budżetu IT, a 20 proc. utrzymało go na tym samym poziomie. Efekt? Zdecydowana większość firm musiała przekierować środki z innych obszarów. Trzy na dziesięć podmiotów sięgnęły po pieniądze zarezerwowane na rekrutację pracowników. Co trzeci podmiot wykorzystał budżet przeznaczony na zarządzanie ryzykiem, 29 proc. – na zarządzanie kryzysowe. Co więcej, co czwarty badany przedsiębiorca musiał zaczerpnąć z rezerw awaryjnych.

Czytaj więcej

Tak wielkiego zagrożenia jeszcze nie było. Hakerzy użyją sztucznej inteligencji

– Zapewnienie odpowiedniego budżetu na cyberbezpieczeństwo często jest wyzwaniem. Surowe kary i nacisk NIS 2 na odpowiedzialność korporacyjną mogą ułatwić to zadanie. Biorąc jednak pod uwagę, że większość budżetów IT w firmach jest obniżana lub pozostaje w stagnacji z powodu rosnących kosztów prowadzenia biznesu oraz inflacji, pula pozostająca na NIS 2 jest ograniczona – mówi Edwin Weijdema z firmy Veeam.

Dla przedsiębiorstw NIS 2 to kolejne wyzwanie na liście. Działy IT borykają się bowiem z licznymi problemami, poczynając od niewystarczającego poziomu transformacji cyfrowej, po obawy o rentowność biznesu (na ten aspekt wskazuje odpowiednio 23 i 24 proc. respondentów). Dodatkowe wydatki związane z NIS 2 zatem nikogo nie cieszą. Tym bardziej że muszą w konsekwencji zrealizować szereg zadań. Co zatem robią firmy, by spełnić unijne wymogi? Raport Veeam wskazuje, że głównie przeprowadzają audyty IT oraz dokonują przeglądu procesów i najlepszych praktyk w zakresie cyberbezpieczeństwa (po 29 proc. deklaracji badanych), opracowują nowe zasady i procedury, a także inwestują w nowe technologie czy zwiększają budżet przeznaczony na cyberochronę (po 28 proc.).

Kara? Ale za co?

Ale żeby takie kroki podejmować, trzeba w ogóle mieć świadomość takich wyzwań. W firmie Fortinet podkreślają, iż w ustawie o KSC znalazło się kilka odważnych propozycji zaostrzenia przepisów w zakresie cyfrowej ochrony. Akt zakłada m.in. przeprowadzanie w firmach szczegółowych audytów bezpieczeństwa systemów informatycznych. Równocześnie jednak – jak zauważają eksperci Fortinetu – wiele przedsiębiorstw nie zdaje sobie sprawy, że będą je obowiązywały nowe reguły. Taki brak wiedzy dotyczy ponad połowy podmiotów, które objęte zostaną NIS 2.

– W projekcie ustawy od początku zaznaczano, że przeprowadzaniem audytu musi się zająć podmiot zewnętrzny. Wciąż jednak brakuje ostatecznego doprecyzowania, kto dokładnie mógłby to zrobić. Czy wystarczy zaangażowanie firmy audytorskiej? Czy raport każdej z nich będzie uznany za ważny? Być może taki usługodawca musi spełniać określone kryteria lub zdobyć konkretny certyfikat? Nie znamy jeszcze odpowiedzi na te pytania – komentuje Jolanta Malak, dyrektorka Fortinet w Polsce.

Według niej problemem dziś jest nie tylko brak świadomości wśród przedsiębiorców nowych obowiązków, ale też o znaczeniu roli ich samych w całym procesie ochrony łańcucha dostaw. – Nie zdają sobie sprawy, jak rozległe mogą być konsekwencje ewentualnego incydentu naruszenia bezpieczeństwa po ich stronie. W związku z tym nie podejmują żadnych konkretnych działań na rzecz zwiększenia poziomu ochrony swojego cyfrowego środowiska – wyjaśnia.

Za niespełnienie wymogów NIS 2 przewidziano kary finansowe. Dyrektorka Fortinet nie wyklucza sytuacji, w której jakiś podmiot dostanie grzywnę, nie rozumiejąc dlaczego. – Stąd należy więc przede wszystkim edukować, a dopiero później karać – apeluje.

Firmy czeka sporo nowych obowiązków w zakresie poprawy bezpieczeństwa IT. Choć zapisy dyrektywy NIS 2 wdrażającej te wytyczne weszły w życie ponad dwa tygodnie temu, to na dostosowanie się do niej jest jeszcze trochę czasu. Wszystko przez opóźnienia związane z przyjęciem ustawy o Krajowym Systemie Cyberbezpieczeństwa (KSC). Transpozycja unijnych regulacji spodziewana jest w przyszłym roku. Nie oznacza to jednak, że biznes, którego przepisy o KSC będą dotykać na różne sposoby, może odetchnąć. Projekt ustawy o KSC zaostrzy brzmienie NIS 2, a spełnienie tych wymogów może się okazać kosztowne.

Pozostało 88% artykułu
2 / 3
artykułów
Czytaj dalej. Subskrybuj
IT
Nowa funkcja w Google Maps. Tym razem nie dla kierowców
IT
Nowy sposób przejmowania kont pocztowych. Cyberprzestępcy kradną pliki cookie
IT
Social media dopiero od 15. roku życia? Norwegia chce wprowadzić limit wiekowy
IT
Zaskakujące przyspieszenie. Polacy odrabiają cyfrowe zapóźnienie
Materiał Promocyjny
Klimat a portfele: Czy koszty transformacji zniechęcą Europejczyków?
IT
Koniec kolejek w urzędach i nowe możliwości. Polacy mają zyskać totalny dostęp online