Konieczność dostosowania do dyrektywy NIS2 obciąża zasoby przedsiębiorstw w UE
Z badania zleconego przez spółkę Veeam Software, zajmującą się cyberbezpieczeństwem w firmach – wynika, iż większość liderów IT planuje spełnić wymogi NIS2. Jest to dyrektywa UE, mająca przeciwdziałać cyberprzestępczości, która doprecyzowała i rozszerzyła przepisy zwiększające bezpieczeństwo sieci i systemów informatycznych. Tymczasem wspomniane badanie uwypukliło już istniejące w firmach bariery, takie jak ograniczone zasoby i niedobór wykwalifikowanych specjalistów. Raport wskazuje lukę kompetencyjną jako główne wyzwanie europejskich firm we wdrażaniu NIS2. Aby wesprzeć działania związane z wprowadzaniem regulacji 30% podmiotów skorzystało z budżetów przeznaczonych na rekrutację pracowników.
Budżet na NIS2 zabezpieczony dużym kosztem
Jak zaznacza Veeam z przeprowadzonego przez Censuswide badania wynika, iż choć liderzy IT zdołali zebrać środki finansowe na spełnienie wymagań dyrektywy NIS2, nie obyło się to bez wyrzeczeń. Prawie siedem na dziesięć firm (68%) otrzymało dodatkowy budżet konieczny do wdrożenia dyrektywy, jednak dla 20% niewystarczające fundusze są istotną przeszkodą w osiągnięciu zgodności z unijnymi przepisami. To wpisuje się w szerszą perspektywę: od czasu ogłoszenia politycznego porozumienia w sprawie NIS2 w styczniu 2023 roku, 40% firm zanotowało redukcję budżetu IT, a 20% utrzymało go na tym samym poziomie.
Aby pokryć koszty związane z wdrożeniem NIS2, 95% przedsiębiorstw musiało przekierować środki z innych obszarów działalności. Co trzeci (34%) podmiot wykorzystał budżet przeznaczony na zarządzanie ryzykiem, 30% sięgnęło po fundusze rekrutacyjne, a 29% po pieniądze na zarządzanie kryzysowe. Jedna na cztery firmy (25%) musiała zaczerpnąć z rezerw awaryjnych. Te przetasowania budżetowe podkreślają wpływ NIS2 na i tak ograniczone zasoby finansowe przedsiębiorstw.
NIS2 nie powinien być traktowany jako sytuacja kryzysowa
– Zapewnienie odpowiednego budżetu na cyberbezpieczeństwo często jest dla liderów IT wyzwaniem. Surowe kary i nacisk NIS2 na odpowiedzialność korporacyjną mogą ułatwić to zadanie. Biorąc jednak pod uwagę, iż większość budżetów IT w firmach jest obniżana lub pozostaje w stagnacji z powodu rosnących kosztów prowadzenia biznesu oraz inflacji, pula pozostająca na NIS2 jest ograniczona. Szczególnie niepokoi też fakt, iż fundusze na wdrożenie unijnej dyrektywy są przekierowywane z rezerw rekrutacyjnych i awaryjnych. NIS2 nie powinien być traktowany jako sytuacja kryzysowa, a co czwarta firma wydaje się tak go właśnie postrzegać – mówi Edwin Weijdema, Field CTO EMEA w Veeam.
Środki pozwalające spełnić wymagania NIS2 muszą zostać znalezione
Pomimo ogólnej tendencji do redukcji budżetów IT w ciągu ostatnich dwóch lat, przedsiębiorstwa znalazły z puli IT lub innych działów dodatkowe fundusze na zapewnienie zgodności z NIS2. To może wyjaśniać, jak 80% budżetów IT europejskich firm podlegających pod unijną dyrektywę jest w tej chwili przeznaczanych na cyberbezpieczeństwo. Nie pozostawia to wiele przestrzeni na zajęcie się najważniejszymi wyzwaniami liderów IT, takimi jak luka kompetencyjna, zwiększenie rentowności biznesu oraz transformacja cyfrowa.
– Zapewnienie bezpieczeństwa i zgodności z przepisami jest najważniejsze dla każdej firmy. Jednocześnie fakt, iż pochłania to w tej chwili większość budżetu IT pokazuje, jak bardzo przedsiębiorstwa są nieprzygotowane i nie mają odpowiednich zasobów. choćby przy ograniczonych budżetach liderzy IT muszą znaleźć środki pozwalające spełnić wymagania NIS2. jeżeli przyjmą kompleksowe podejście do bezpieczeństwa i wykorzystania najlepszych praktyk jeszcze zanim zobowiąże ich do tego dyrektywa, będą później odczuwać mniejszą presję. To pozwoli im lepiej zająć się innymi kluczowymi priorytetami i wyzwaniami – wskazuje Andre Troskie, Field CISO EMEA w Veeam.
Dyrektywa UE znacząco rozszerzyła liczbę sektorów objętych nowymi przepisami
– Bariery, na jakie napotykają firmy we wdrażaniu dyrektywy NIS2 pokazują krajobraz wyzwań, przed którymi stoi biznes również w Polsce. Unijna dyrektywa znacząco rozszerzyła liczbę sektorów objętych nowymi przepisami i wprowadziła obowiązki, którym sprostać będą musiały nie tylko duże firmy, ale również wiele podmiotów z sektora MŚP. Wśród średnich i małych przedsiębiorstw, które mają ograniczone budżety IT albo nie mają ich wcale, budzi to zrozumiałe obawy. Te firmy często nie mogą sobie pozwolić na sięgnięcie do funduszy rezerwowych, a takie wyzwania jak brak zasobów czy luka kompetencyjna także ich nie omijają. Nie wspominając o rosnących kosztach prowadzenia działalności i walce o utrzymanie rentowności biznesu – komentuje Andrzej Niziołek, dyr. regionalny na Europę Środkowo-Wschodnią w Veeam.