Z powodu NIS2 wydatki firm na cyberbezpieczeństwo wzrosną o 22 proc.
Przedsiębiorstwa powinny zaplanować rezerwy w budżetach. Dyrektywa wchodzi w październiku br.
Za naruszenia NIS2 grożą kary do 10 mln euro lub 2 proc. obrotów, jak też odpowiedzialność zarządów.
Z powodu NIS2 w ciągu 3-4 lat organizacje będą musiały zwiększyć swoje wydatki na cyberbezpieczeństwo o około 22 proc. Średnie przedsiębiorstwa powinny się przygotować na wzrost o około 25 proc. Te prognozy dotyczą organizacji, które muszą budować bezpieczeństwo IT od podstaw według oczekiwań dyrektywy.
W przypadku sektorów objętych już wcześniej NIS (ogłoszono ją w 2016 r.) i dysponujących już cyberochroną na poziomie dotychczasowej dyrektywy, prognozowany jest wzrost wydatków o około 12 proc. Dla średnich firm koszty mają pójść w górę o ok. 15 proc.
Dlaczego będzie drożej
Dane te pochodzą z dokumentu Komisji Europejskiej, dotyczącego potencjalnych skutków wprowadzenia NIS2. Wyższe koszty dostosowania się do nowej dyrektywy wynikają z konieczności rozbudowy zespołów, zakupu sprzętu, oprogramowania i usług, kosztów administracyjnych i poniesienia nakładów na wewnętrzne prace rozwojowe.
NIS2 wchodzi w życie już w październiku 2024 r. Tymczasem według danych ENISA, unijnej agencji ds. cyberbezpieczeństwa, w 2022 r. budżety organizacji na cyberochronę wzrosły średnio zaledwie o 0,4 proc. rok do roku. Wskazuje to, że przynajmniej w niektórych przypadkach środki mogą być nieadekwatne do ryzyka.
Jakie firmy i organizacje muszą zainwestować
NIS2 stawia wymagania w zakresie cyberbezpieczeństwa dla tzw. podmiotów kluczowych i ważnych – jak je określono. Dotyczy m.in. sektora energetyki, opieki zdrowotnej, firm IT, bankowości i finansów, transportu, gospodarowania ściekami, usług pocztowych i kurierskich, produkcji, przetwarzania i dystrybucji żywności. Z tym że dla niektórych sektorów wymagania obowiązują niezależnie od wielkości firmy, dla innych od określonego pułapu zatrudnienia i obrotów.
Szczegółowe informacje zawiera dyrektywa NIS2, z którą można zapoznać się na stronie EUR-Lex.
Prezesi odpowiedzą osobiście
Organizacje, które zaliczają się do sektorów objętych NIS2 będą musiały spełniać wymogi i udowodnić, że ich procedury są zgodne z nowymi przepisami. Za naruszenia grożą kary do 10 mln euro lub 2 proc. obrotów. NIS2 wprowadza odpowiedzialność zarządów, w tym również osobistą, za zapewnienie odpowiedniego bezpieczeństwa w firmie. Ryzyko kar może okazać się mobilizujące dla przedsiębiorstw i szefów, by nie czekać z założonymi rękami.
Potrzebne będą na pewno audyty i sprawdzenie, z którymi wymogami organizacja jest już zgodna, a co trzeba poprawić.
„Podstawowe obszary wymagające weryfikacji to powiadamianie o zdarzeniach i wzmocnienie procedur dotyczących bezpieczeństwa IT. W dalszej kolejności ocena procesów w zakresie zarządzania ryzykiem oraz monitoringu infrastruktury IT. To mogą być duże zmiany, wymagające dodatkowych budżetów, zwłaszcza dla średnich firm, które tych obszarów nie mają odpowiednio zaopiekowanych” – twierdzi Wojciech Darłowski z zarządu Beyond.pl.
Może wzrosnąć zainteresowanie outsourcingiem
W obliczu poważnych wymaganych zmian i bliskiego terminu wiele organizacji może być zainteresowanych outsourcingiem zadań i procesów (personel, doradztwo, usługi związane z utrzymaniem ciągłości biznesowej i in.), aby wywiązać się z nowych obowiązków .
Bruksela mówi o korzyściach
Jak przekonuje Komisja Europejska, koszty dostosowania się do przepisów NIS2 w perspektywie średnio- i długoterminowej mogą przynieść przedsiębiorstwom takie korzyści, jak zmniejszenie liczby incydentów naruszeń bezpieczeństwa i strat związanych z cyberprzestępczością, ograniczenie kosztów niedostępności usług i odpowiedzialności za naruszenia, a w efekcie wzrost zaufania klientów, poprawa reputacji firmy i ochrona przed nieuczciwą konkurencją związaną np. ze szpiegostwem przemysłowym.
Podobne aktualności
63 proc. organizacji wdrożyło zero-trust
Strategia zerowego zaufania zwykle ogranicza mniej niż połowę cyberryzyka przedsiębiorstwa
Ochrona infrastruktury IT w polskich bankach dużym wyzwaniem
96 proc. ankietowanych z branży bankowej uważa, że trzeba znacznie wzmocnić cyberbezpieczeństwo w sektorze.