Co druga firma w Polsce padła ofiarą cyberataku. NIS2 zmienia zasady gry dla MŚP

Raport „Cyberbezpieczeństwo w sektorze MŚP w Polsce”, przygotowany przez PMR by Hume’s Institute na zlecenie EXEA Data Center, pokazuje skalę wyzwań stojących przed firmami w kontekście nadchodzącej nowelizacji ustawy o Krajowym Systemie Cyberbezpieczeństwa.

NIS2 rozszerza odpowiedzialność poza IT

Dyrektywa NIS2 obowiązuje na poziomie Unii Europejskiej od października 2024 r. W Polsce jej wymagania będą egzekwowane wraz z wejściem w życie nowelizacji ustawy o Krajowym Systemie Cyberbezpieczeństwa, nad którą trwają obecnie prace legislacyjne. Nowe regulacje zmieniają dotychczasowe podejście do cyberbezpieczeństwa, przenosząc odpowiedzialność z samych działów IT na całą organizację, w tym zarząd oraz kluczowe procesy biznesowe.

W praktyce oznacza to konieczność inwestycji w zabezpieczenia techniczne, uporządkowanie procesów wewnętrznych, wdrożenie procedur reagowania na incydenty oraz stały monitoring bezpieczeństwa. Dla wielu MŚP wiąże się to z dodatkowymi kosztami operacyjnymi oraz większym zaangażowaniem kadry menedżerskiej w zarządzanie ryzykiem.

Deklaracje nie idą w parze z wdrożeniami

Choć blisko 80 proc. firm z sektora MŚP deklaruje, że cyberbezpieczeństwo jest dla nich wysokim priorytetem, wdrożenie podstawowych mechanizmów ochrony pozostaje ograniczone. Wieloskładnikowe uwierzytelnianie stosuje 47 proc. badanych organizacji, a regularne kopie zapasowe wykonuje 46 proc. firm. Szyfrowanie dysków deklaruje 34 proc. respondentów, a wymuszoną zmianę haseł – 33 proc.

– Cyberbezpieczeństwo przestało być dodatkiem do IT, a stało się jednym z fundamentów ciągłości działania organizacji. Świadomość zagrożeń jest wysoka, ale bez uporządkowanych procesów i jasno przypisanej odpowiedzialności trudno mówić o realnej odporności – komentuje Magdalena Mike, prezes zarządu EXEA.

Incydenty cybernetyczne realnym doświadczeniem MŚP

Z raportu wynika, że 50 proc. firm z sektora MŚP doświadczyło incydentu naruszenia bezpieczeństwa w ciągu ostatnich 24 miesięcy. Skala problemu rośnie wraz z wielkością organizacji – poważne incydenty wskazało 14 proc. średnich przedsiębiorstw, podczas gdy wśród małych firm było to 5 proc.

– Aż połowa firm ma za sobą incydent naruszenia bezpieczeństwa, a jednocześnie tylko niewielka część organizacji uważa proces dostosowania do NIS2 za zakończony. To pokazuje, że wyzwanie dotyczy nie tylko technologii, ale przede wszystkim gotowości organizacyjnej, stałej obserwacji i zdolności do praktycznego reagowania – podkreśla Łukasz Ozimek, Dyrektor Operacyjny Exea Data Center.

NIS2 impulsem do inwestycji i zmian organizacyjnych

Nowe regulacje stają się istotnym czynnikiem stymulującym inwestycje technologiczne. Aż 91 proc. firm planuje wydatki IT związane z dostosowaniem do dyrektywy NIS2 i nowelizacji KSC, a 81 proc. deklaruje wzrost budżetów na cyberbezpieczeństwo w perspektywie najbliższych dwóch lat. Największą dynamikę planowanych inwestycji widać w najmniejszych przedsiębiorstwach.

Jednocześnie wdrożenie nowych wymogów wiąże się z barierami kosztowymi i kompetencyjnymi. Ponad połowa firm przewiduje, że rosnące koszty cyberbezpieczeństwa mogą przełożyć się na ceny produktów lub usług, a 35 proc. respondentów wskazuje brak wykwalifikowanych pracowników jako jedną z głównych przeszkód.

Zewnętrzni partnerzy i ochrona danych nadal kluczowe

W odpowiedzi na deficyt kompetencji aż 72 proc. firm decyduje się na model hybrydowy, łączący własne zespoły IT ze wsparciem zewnętrznych dostawców. To właśnie oni są dziś dla wielu MŚP głównym źródłem wiedzy o cyberbezpieczeństwie.

Mimo rosnącej popularności rozwiązań chmurowych strategie backupu wciąż opierają się głównie na infrastrukturze lokalnej. Jednocześnie 42 proc. firm planuje wdrożenie profesjonalnych rozwiązań backupu i disaster recovery w ciągu najbliższych dwóch lat.