Z powodu NIS2 w ciągu 3-4 lat organizacje będą musiały zwiększyć swoje wydatki na cyberbezpieczeństwo o około 22 proc. Średnie przedsiębiorstwa powinny się przygotować na wzrost o około 25 proc. Te prognozy dotyczą organizacji, które muszą budować bezpieczeństwo IT od podstaw według oczekiwań dyrektywy.

W przypadku sektorów objętych już wcześniej NIS (ogłoszono ją w 2016 r.) i dysponujących już cyberochroną na poziomie dotychczasowej dyrektywy, prognozowany jest wzrost wydatków o około 12 proc. Dla średnich firm koszty mają pójść w górę o ok. 15 proc.

Dlaczego będzie drożej

Dane te pochodzą z dokumentu Komisji Europejskiej, dotyczącego potencjalnych skutków wprowadzenia NIS2. Wyższe koszty dostosowania się do nowej dyrektywy wynikają z konieczności rozbudowy zespołów, zakupu sprzętu, oprogramowania i usług, kosztów administracyjnych i poniesienia nakładów na wewnętrzne prace rozwojowe.

NIS2 wchodzi w życie już w październiku 2024 r. Tymczasem według danych ENISA, unijnej agencji ds. cyberbezpieczeństwa, w 2022 r. budżety organizacji na cyberochronę wzrosły średnio zaledwie o 0,4 proc. rok do roku. Wskazuje to, że przynajmniej w niektórych przypadkach środki mogą być nieadekwatne do ryzyka.

Jakie firmy i organizacje muszą zainwestować

NIS2 stawia wymagania w zakresie cyberbezpieczeństwa dla tzw. podmiotów kluczowych i ważnych – jak je określono. Dotyczy m.in. sektora energetyki, opieki zdrowotnej, firm IT, bankowości i finansów, transportu, gospodarowania ściekami, usług pocztowych i kurierskich, produkcji, przetwarzania i dystrybucji żywności. Z tym że dla niektórych sektorów wymagania obowiązują niezależnie od wielkości firmy, dla innych od określonego pułapu zatrudnienia i obrotów.

Szczegółowe informacje zawiera dyrektywa NIS2, z którą można zapoznać się na stronie EUR-Lex.

Prezesi odpowiedzą osobiście

Organizacje, które zaliczają się do sektorów objętych NIS2 będą musiały spełniać wymogi i udowodnić, że ich procedury są zgodne z nowymi przepisami. Za naruszenia grożą kary do 10 mln euro lub 2 proc. obrotów. NIS2 wprowadza odpowiedzialność zarządów, w tym również osobistą, za zapewnienie odpowiedniego bezpieczeństwa w firmie. Ryzyko kar może okazać się mobilizujące dla przedsiębiorstw i szefów, by nie czekać z założonymi rękami.

Potrzebne będą na pewno audyty i sprawdzenie, z którymi wymogami organizacja jest już zgodna, a co trzeba poprawić.

„Podstawowe obszary wymagające weryfikacji to powiadamianie o zdarzeniach i wzmocnienie procedur dotyczących bezpieczeństwa IT. W dalszej kolejności ocena procesów w zakresie zarządzania ryzykiem oraz monitoringu infrastruktury IT. To mogą być duże zmiany, wymagające dodatkowych budżetów, zwłaszcza dla średnich firm, które tych obszarów nie mają odpowiednio zaopiekowanych” – twierdzi Wojciech Darłowski z zarządu Beyond.pl.

Może wzrosnąć zainteresowanie outsourcingiem

W obliczu poważnych wymaganych zmian i bliskiego terminu wiele organizacji może być zainteresowanych outsourcingiem zadań i procesów (personel, doradztwo, usługi związane z utrzymaniem ciągłości biznesowej i in.), aby wywiązać się z nowych obowiązków .

Bruksela mówi o korzyściach

Jak przekonuje Komisja Europejska, koszty dostosowania się do przepisów NIS2 w perspektywie średnio- i długoterminowej mogą przynieść przedsiębiorstwom takie korzyści, jak zmniejszenie liczby incydentów naruszeń bezpieczeństwa i strat związanych z cyberprzestępczością, ograniczenie kosztów niedostępności usług i odpowiedzialności za naruszenia, a w efekcie wzrost zaufania klientów, poprawa reputacji firmy i ochrona przed nieuczciwą konkurencją związaną np. ze szpiegostwem przemysłowym.