Tomasz Krajewski, Dyrektor Techniczny Sprzedaży na Europę Wschodnią w
firmie Veeam w komentarzu eksperckim o bliskiej perspektywie wejścia w życie dyrektywy NIS2.
Wyniki badania Veeam, wskazujące na mieszane odczucia europejskich firm względem dyrektywy NIS2, pokrywają się z nastrojami, które obserwujemy w Polsce i krajach Europy Środkowo-Wschodniej. Biorąc pod uwagę sytuację geopolityczną naszego kraju i dynamicznie rozwijający się krajobraz cyberzagrożeń, przedsiębiorstwa dostrzegają potrzebę zwiększania poziomu cyberodporności. Dotyczy to również odporności danych na nieprzewidziane awarie i ataki ransomware. Nie wszyscy są jednak przekonani, że wdrożenie NIS2 będzie w stanie tę odporność i ochronę firmom zapewnić.
Sytuacji nie ułatwia fakt, że choć do wejścia unijnej dyrektywy w życie pozostały trzy tygodnie, wciąż brakuje krajowych przepisów wykonawczych w tym zakresie. Projekt polskiej ustawy implementującej przepisy NIS2 znacząco odbiega od regulacji UE w niektórych kwestiach. Do najważniejszych różnic należy zmiana definicji trzech branż (chemicznej, żywności i produkcyjnej) z podmiotów ważnych na kluczowe; zwiększenie wysokości kar finansowych, a także rozszerzenie listy osób w firmach, które mogą zostać pociągnięte do odpowiedzialności za niedostosowanie się do wymagań nowego prawa. Obawy budzi również procedura identyfikowania dostawców wysokiego ryzyka (DWR) i konsekwencje dla firm, które znajdą się na liście DWR.
Biorąc pod uwagę złożoność procesów legislacyjnych możliwe jest, że polskie prawo wprowadzające NIS2 zostanie uchwalone najwcześniej wiosną 2025 roku. Ten poślizg czasowy, w połączeniu z przepisami bardziej restrykcyjnymi niż w pozostałych krajach EU, stawia polskie firmy w niełatwej sytuacji i może utrudniać zachowanie konkurencyjności względem europejskich podmiotów. Wyzwaniem dla części przedsiębiorstw jest również kwestia inwestycji technologicznych potrzebnych do procesu dostosowywania się do wymagań NIS2. Wiadomo, że takie inwestycje trzeba podjąć, ale bez konkretnych przepisów ich skala może pozostawać niejasna, a to utrudni terminowe spełnienie unijnych wytycznych.
Jednocześnie należy podkreślić, że dyrektywa NIS2 to bardzo ważna i potrzebna regulacja. Z raportu Veeam Data Protection Trends 2024 wynika, że w ubiegłym roku trzy na cztery badane globalne podmioty padły ofiarą ataku ransomware, a rekordziści (3%) zostali zaatakowani aż sześć razy w ciągu dwunastu miesięcy. W warunkach, w których cyberatak to już nie kwestia „kiedy”, a „ile razy”, zasadność zwiększania poziomu cyberbezpieczeństwa w przedsiębiorstwie nie powinna być w ogóle kwestionowana.
Dlatego jedną z kluczowych korzyści wynikających z unijnej regulacji jest to, że zmusza ona przedsiębiorstwa do wnikliwej analizy obecnego poziomu bezpieczeństwa i zidentyfikowania obszarów wymagających poprawy. Raport Veeam wskazuje także, że nawet przy mniejszej skali cyberataku tylko 1% badanych firm na świecie jest w stanie odzyskać dane w mniej niż jeden dzień. Może to sugerować, że w większości firm nie ma odpowiednich procedur czy zautomatyzowanych procesów odzyskiwania zasobów. Jednocześnie aktualnie aż 96% cyberataków celuje w repozytoria kopii zapasowych i w trzech przypadkach na cztery przestępcy odnoszą sukces. W świetle tych statystyk wymieniony w NIS2 dekalog podstawowych środków cyberbezpieczeństwa powinien obowiązywać w każdej firmie, niezależnie od tego czy i w jakim stopniu unijna dyrektywa jej dotyczy. Pozwoli to minimalizować ryzyka i zabezpieczać przyszłość każdego biznesu w obliczu rosnącej liczby cyberzagrożeń.
Raport z badania NIS2 EMEA Survey firmy Veeam wskazuje, że dwie na trzy europejskie firmy nie zdążą wdrożyć NIS2 w terminie, choć 80% planuje zastosować się do przepisów dyrektywy – wynika z badania zleconego przez Veeam. Wśród kluczowych przeszkód firmy wymieniają dług technologiczny, brak zrozumienia ze strony kierownictwa oraz zbyt mały budżet na inwestycje.
- 90% badanych firm doświadczyło w ciągu ostatniego roku przynajmniej jednego incydentu bezpieczeństwa, któremu wdrożenie NIS2 mogło zapobiec;
- 65% z tych incydentów uznano za „wysoce krytyczne”;
- ponad połowa repondentów (57%) wątpi, że dyrektywa poprawi poziom cyberbezpieczeństwa UE.