Fortinet przedstawił dzisiaj wyniki badania, które zostało przeprowadzone wśród firm, które będą objęte unijną dyrektywą NIS 2 wprowadzającą nowe przepisy dotyczące cyberbezpieczeństwa, które powinny być stosowane od 18 października 2024. Wykazało ono m.in., że ponad połowa z nich nie wiedziała, czy nowe regulacje będą ich dotyczyły. 43 proc. badanych firm twierdzi, że zdąży z implementacją wymagań NIS 2 do października 2024 r., tyle samo respondentów (43 proc.) nie jest tego pewna, a 14 proc. odpowiedziała, że nie zdąży.
NIS 2 – będące rozszerzeniem obowiązującej od 2016 r. dyrektywy NIS, powstałej w celu ujednolicenia zasad cyberbezpieczeństwa w Unii Europejskiej –nakłada na działające w Europie przedsiębiorstwa wiele nowych zobowiązań w zakresie analizy ryzyka oraz reagowania na cyfrowe incydenty. Niespełnienie tych norm będzie grozić znaczącymi karami sięgającymi nawet do 10 mln euro lub maksymalnie 2 proc. obrotów firmy.
Oprócz nowych obowiązków (jak min. zabezpieczanie łańcuchów dostaw), zaktualizowany akt zwiększa również grupę podmiotów, które mają mu podlegać. Podczas gdy dyrektywa NIS koncentrowała się na operatorach usług kluczowych, NIS 2 uwzględnia także średnie i duże firmy z różnych branż, jak energetyka, infrastruktura cyfrowa oraz opieka zdrowotna. Szacuje się, że około 8 tys. firm w Polsce zostanie objętych nowymi przepisami. 
Choć wielu respondentów (niemal 75 proc,) słyszało o wchodzącej w życie w październiku dyrektywie NIS 2, ponad połowa badanych (51 proc.) nie potrafiła stwierdzić, czy ich firmy zostaną objęte nowymi regulacjami, a 12 proc. uważało, że nowe przepisy nie będą ich dotyczyły.
– Fakt, że tak wiele firm nie zdaje sobie sprawy, iż podlega dyrektywie NIS 2, jest alarmujący. Wśród uczestników badania obecni byli również respondenci, którzy uważali, że nadchodzące zmiany ich nie dotyczą. Odpowiedź tę wyjaśniali przywołując błędne argumenty, takie jak to, że nie świadczą usług dla struktur państwowych. Jednakże, kwestia ta nie zwalnia podmiotu z przestrzegania wytycznych zawartych w NIS 2 – mówiła Jolanta Malak, dyrektorka Fortinet w Polsce.
Wśród branż największą gotowość na NIS2 deklarują: energetyka (45 proc.), produkcja żywności (39 proc.) oraz infrastruktura cyfrowa (27 proc.).
Za trzy największe wyzwania związane z osiągnięciem zgodności z dyrektywą NIS 2, ankietowani uznali:
- obowiązek wprowadzenia polityki ryzyka i bezpieczeństwa systemów informatycznych (38 proc.),
- zapewnienie ciągłości działania procesów w obliczu cyberataku (33 proc.),
- konieczność wprowadzenia standardów, które pomagałyby w ocenie skuteczności środków zarządzania ryzykiem (26 proc.).
Dodatkowo, przedstawiciele przedsiębiorstw zwracali uwagę na niewystarczającą klarowność regulacji zawartych w NIS 2. Treść dyrektywy jest zrozumiała dla 46 proc. respondentów, a 43 proc. nie było w stanie udzielić jednoznacznej odpowiedzi na to pytanie. Pozostali uznali, że przepisy NIS 2 są dla nich niezrozumiałe – dotyczy to firm, które słyszały o dyrektywie oraz nie zaprzeczały, że zostaną nią objęte.
W grupie firm, które słyszały o dyrektywie oraz nie zaprzeczały, że będą nią objęte, 27 proc. badanych nie zdaje sobie sprawy z potencjalnych konsekwencji wynikających z niedostosowania się do unijnych wymogów.
Ankietowani, którzy odpowiedzieli, że ich firmy zostaną objęte NIS 2, a także ci, którzy nie byli w stanie jednoznacznie stwierdzić swojej zależności od dyrektywy, zostali zapytani o plany względem nadchodzących regulacji. 38 proc. respondentów w tej grupie deklaruje, że podczas wdrażania wymaganych zmian zamierza wspomagać się międzynarodowymi standardami. Wśród nich dominuje (56 proc.) ISO 27001 – zalecany w procesie wdrażania rozwiązań wynikających z NIS 2. Równocześnie jednak 31 proc. badanych nie było w stanie jednoznacznie nazwać standardu, z którego mają zamiar skorzystać, ponieważ nie są z nimi odpowiednio zaznajomieni.
– Ponad połowa firm (54 proc.) już korzysta lub planuje skorzystać z usług podmiotów doradczych oraz konsultingowych przy implementacji zaleceń wynikających z NIS 2. Drugą popularną opcją jest stworzenie wewnętrznych zespołów odpowiedzialnych za sprawdzanie zgodności działalności przedsiębiorstwa z regulacjami przedstawionymi w NIS 2 – wyjaśnia Jolanta Malak. 40 proc. respondentów wskazało, że w ich firmie istnieje lub zostanie powołana osoba lub zespół odpowiedzialny za wdrożenie rozwiązań wymaganych przez NIS 2.
Jak wynika z badania Fortinet, wiele firm nie będzie miało szans na osiągnięcie zgodności z unijną dyrektywą, ponieważ wierzą, że ta ich nie dotyczy. Dla znacznej liczby podmiotów NIS 2 nie jest aktualizacją przepisów dyrektywy NIS z 2016 r., lecz zestawem zupełnie nowych wymogów. Ponad 60 proc. respondentów, którzy nie zaprzeczali, że będą objęci NIS 2, nie było w stanie stwierdzić, które elementy nowej dyrektywy są uzupełnieniem NIS, co może wskazywać również na nieznajomość tego pierwotnego aktu.
Badanie świadomości przedsiębiorstw w Polsce na temat dyrektywy NIS 2 zostało przeprowadzone na zlecenie firmy Fortinet przez centrum badawczo-rozwojowe Biostat. Przeprowadzono je na grupie 150 średnich i dużych podmiotów z branży produkcyjnej, energetycznej, infrastruktury cyfrowej, ochrony zdrowia, produkcji żywności oraz transportowej.
