Dwie na trzy europejskie firmy nie zdążą wdrożyć NIS2 w terminie, choć 80 proc. planuje zastosować się do przepisów dyrektywy – wynika z badania zleconego przez Veeam. Co ciekawe, choć 74 proc. respondentów dostrzega korzyści wynikające z NIS2, to ponad połowa z nich (57 proc.) wątpi, że dyrektywa w znaczący sposób wpłynie na ogólną postawę firm UE w zakresie cyberbezpieczeństwa.
Przepisy dyrektywy NIS2 mają wejście w życie 18 października 2024 r. Według wyników zleconego przez Veeam Software badania, tylko 43 proc. ankietowanych przedsiębiorstw uważa, że regulacje NIS2 znacząco zwiększą poziom cyberbezpieczeństwa w UE. Jednocześnie dziewięć na dziesięć firm doświadczyło w ciągu ostatnich dwunastu miesięcy przynajmniej jednego incydentu bezpieczeństwa, któremu unijna dyrektywa mogła zapobiec. Dodatkowo 44 proc. respondentów padło ofiarą więcej niż trzech incydentów cybernetycznych. Trzy na pięć z tych incydentów (65 proc.) zostały zakwalifikowane jako „wysoce krytyczne”.
Prezentowane wyniki pochodzą z badania przeprowadzonego przez Censuswide i obejmują opinie ponad 500 liderów ds. IT z pięciu krajów europejskich: Belgii, Francji, Niemiec, Holandii i Wielkiej Brytanii. Ujawniają one aktualną sytuację na krócej niż miesiąc przed wejściem w życie dyrektywy, która ma na celu wzmocnienie cyberbezpieczeństwa w Unii Europejskiej poprzez rozszerzenie zakresu i zwiększenie wymogów bezpieczeństwa. Choć niemal 80 proc. badanych firm jest przekonanych, że posiadają warunki do tego, by ostatecznie spełnić wytyczne NIS2, aż dwie trzecie (66 proc.) twierdzi, że nie dotrzyma zbliżającego się terminu przewidzianego w regulacji.
Dostosowanie do przepisów NIS2 wymaga od firm wdrożenia podstawowych środków ochrony, w tym określenia planu reagowania na incydenty cybernetyczne, zabezpieczenia łańcucha dostaw, a także analizy i oceny słabych punktów oraz ogólnych poziomów bezpieczeństwa wszystkich powiązanych z firmą podmiotów, partnerów i elementów łańcucha dostaw. Wśród kluczowych przeszkód utrudniających dostosowanie się do unijnej regulacji badane przez Veeam firmy wskazują na dług technologiczny (24 proc. ), brak zrozumienia kierownictwa dla wagi osiągnięcia zgodności z NIS2 (23 proc.) oraz niewystarczający budżet na inwestycje (21 proc.).
Wart odnotowania jest również fakt, że 40 proc. respondentów przyznało, że od czasu ogłoszenia politycznego porozumienia w sprawie NIS2 w styczniu 2023 r., budżet IT ich firm zmniejszył się. Stało się tak pomimo surowych kar przewidzianych w dyrektywie, które są porównywalne z inną unijną regulacją – rozporządzeniem o ochronie danych RODO. Sześć na dziesięć (63 proc.) ankietowanych przedsiębiorstw postrzega przepisy RODO jako surowe, zbliżony odsetek (62 proc) wyraża to samo zdanie na temat NIS2.
Za powolne tempo wdrażania NIS2 odpowiedzialna jest prawdopodobnie presja biznesowa i wielość obszarów wymagających od podmiotów jednoczesnego działania. To sprawia, że firmy oceniają NIS2 jako temat mniej pilny niż dziesięć innych kwestii, w tym m.in. luka kompetencyjna, rentowność biznesu czy transformacja cyfrowa. Co niepokojące, spośród respondentów zdaniem których NIS2 nie przyczyni się do poprawy cyberbezpieczeństwa w UE, aż 42 proc. uważa, że jest to spowodowane nieadekwatnym poziomem konsekwencji grożących za nieprzestrzeganie przepisów. Takie nastawienie doprowadziło do powszechnej obojętności wobec znaczenia dyrektywy.
W kontekście NIS2 firmy widzą szereg wyzwań, w tym: niewystarczający poziom kompleksowości przepisów (35 proc.), przekonanie, że zgodność z NIS2 nie gwarantuje bezpieczeństwa (34 proc.) oraz nakładanie się norm dyrektywy na inne już istniejące przepisy (25 proc.).
