ENISA zgromadziła dane pochodzące z 1350 organizacji ze wszystkich państw członkowskich UE. Badanie obejmowało wszystkie sektory NIS2 o wysokiej krytyczności oraz przedsiębiorstwa produkcyjne.
Inwestycje w bezpieczeństwo informacji
W wyniku rozwoju cyberzagrożeń przedsiębiorstwa w Unii Europejskiej intensyfikują wydatki na bezpieczeństwo IT. W 2023 roku na cyberochronę przeznaczono już 9% budżetów IT – o 1,9 punktu procentowego więcej niż rok wcześniej.
Organizacje reagują na problem nie tylko zwiększaniem wydatków, ale także zmianą priorytetów. Mediana budżetów przeznaczanych na cybersecurity podwoiła się w ciągu roku – z 0,7 mln euro w 2022 roku do 1,4 mln euro w roku 2023. Wzrost mediany całkowitych wydatków na technologie IT był znacząco mniejszy - z 10 mln euro w 2022 roku do 15 mln euro w 2023. Potwierdza to, że bezpieczeństwo staje się kluczowym elementem strategii technologicznych. Zdaniem ekspertów ten trend wynika z konieczności ochrony danych klientów oraz zachowania ciągłości działania w coraz bardziej cyfrowym środowisku biznesowym.
Poszukiwani są specjaliści ds. cyberbezpieczeństwa
Na rynku brakuje odpowiednich specjalistów. Czwarty rok z rzędu zmniejszył się odsetek czasu pracy (FTE) działów IT przeznaczony na zapewnienie bezpieczeństwa teleinformatycznego - z 11,9 do 11,1%. Aż 32% organizacji i 59% firm z sektora MŚP ma trudności z obsadzeniem stanowisk związanych z zabezpieczeniem IT, zwłaszcza tych wymagających specjalistycznej wiedzy technicznej. W najbliższej przyszłości łatwiej nie będzie, gdyż wraz ze zmieniającymi się wymaganiami prawnymi, wynikającymi z konieczności dostosowania się do NIS2, 89% organizacji spodziewa się, że będą potrzebować dodatkowego personelu. Brak wykwalifikowanej kadry nie tylko ogranicza zdolności do reagowania na zagrożenia, ale komplikuje firmom uzyskanie zgodności z wymaganiami prawnymi. Obecnie brakuje specjalistów technicznych, ale też osób zajmujących się ryzykiem, procesami czy zarządzających strategią bezpieczeństwa.
W firmach trwają procesy dostosowawcze do NIS2
Dyrektywa NIS2, w porównaniu do poprzedniej wersji, rozszerzyła zakres obowiązywania na nowe sektory rynku. Okazuje się, że większość firm i instytucji z tych branż podjęło już działania, by się dostosować. Nowe sektory NIS2 wypadły porównywalnie pod względem wydatków na bezpieczeństwo informatyczne do podmiotów objętych pierwszą dyrektywą dotyczącą bezpieczeństwa sieci i informacji. Ich inwestycje dotyczą głównie rozwijania i utrzymywania podstawowych zdolności w zakresie ochrony systemów IT.
Z badania ENISA wynika, że większość organizacji przewiduje jednorazowe lub stałe zwiększenie swoich budżetów na cyberbezpieczeństwo w celu zapewnienia zgodności z NIS2. Jednak znaczna liczba podmiotów deklaruje, że nie będzie w stanie uzyskać wymaganego dodatkowego budżetu, przy czym odsetek ten jest szczególnie wysoki w przypadku MŚP (34%). W Polsce niemal połowa badanych (47%) deklaruje, że nie będzie potrzebowała dodatkowego budżetu na bezpieczeństwo w celu utrzymania zgodności z NIS2, 26% podmiotów przewiduje stały wzrost budżetu, a 17% nie będzie w stanie poprosić o dodatkowy budżet.
Rośnie świadomość zagrożeń cyberatakami i konieczności wprowadzania zmian
Aż 9 na 10 podmiotów spodziewa się wzrostu liczby cyberataków w 2025 roku, zarówno pod względem ich liczby, jak i kosztów obsługi. Aż 74% przebadanych organizacji deklaruje wymianę informacji głównie ze wskazanymi prawnie krajowymi podmiotami, raczej nie uczestnicząc w inicjatywach branżowych lub ponadnarodowych, a skuteczna współpraca branżowa i międzynarodowa w zakresie zarządzania incydentami na dużą skalę może zostać osiągnięta tylko na wyższych szczeblach.
Ogólna świadomość zmian wśród podmiotów objętych zakresem dostosowania do NIS2 jest pozytywna - 92% z nich zdaje sobie sprawę z ogólnego zakresu lub szczegółowych przepisów dyrektywy NIS2. Jeśli chodzi o Polskę, ten wynik jest nawet nieco lepszy - 94% badanych deklaruje przynajmniej ogólną znajomość dyrektywy NIS2. Jednak istnieje także odsetek podmiotów w niektórych nowych sektorach NIS2, który nie wie o istnieniu dyrektywy.
Jak respondenci badania oceniają swoją dojrzałość w kwestii zarządzania ryzykiem cybernetycznym w skali od 1 do 10? Średni wynik we wszystkich sektorach i krajach wynosi 6,7, co wskazuje, że badane organizacje postrzegają się jako rozumiejące zagrożenia cybernetyczne. Polska wypada tutaj nawet powyżej średniej unijnej - z oceną 7,1. Taki wynik jednak niekoniecznie świadczy o rzeczywistej dojrzałości, a jedynie o pewnym postrzeganiu rzeczywistości.
Regulacje zawarte w dyrektywie NIS działają
Sektory, które już wcześniej objęto wymogami bezpieczeństwa sieci i informacji, radzą sobie znacznie lepiej niż te, które dopiero teraz włączono do NIS2. Firmy z nowych obszarów często mniej angażują się w działania związane z cyberbezpieczeństwem i rzadziej uczestniczą w inicjatywach przygotowawczych. To pokazuje, że dyrektywa NIS działa, pomagając sektorom lepiej chronić się przed cyberzagrożeniami.
Raport ENISA - https://www.enisa.europa.eu/news/navigating-cybersecurity-investments-in-the-time-of-nis-2
Źródło: inPlus Media
