Wyzwania i możliwości

Nowe przepisy oznaczają w dużej mierze nowe obowiązki dla wielu podlegających im podmiotów. Jednocześnie dają szansę na ożywienie i rozwój rynku rozwiązań dla cyberbezpieczeństwa. Według szacunków Komisji Europejskiej w ciągu najbliższych 3–4 lat firmy nie podlegające wcześniej regulacjom dyrektywy NIS będą musiały zwiększyć wydatki na cyberbezpieczeństwo średnio o około 22 proc., a przedsiębiorstwa średniej wielkości nawet o 25 proc. W przypadku podmiotów objętych już obowiązującą od 2016 r. dyrektywą prognozowany wzrost wydatków ma wynieść około 12 proc., a dla średnich firm 15 proc. To może być szansa na rozwój biznesu dla wielu firm oferujących produkty i usługi z zakresu bezpieczeństwa systemów teleinformatycznych.

Przy czym nie chodzi tylko o sprzedaż potrzebnych dla zapewnienia odpowiedniego poziomu cyberbezpieczeństwa produktów i narzędzi, czy wdrożenie określonych aplikacji i systemów. Prognozowane jest również zwiększone zapotrzebowanie na różnego rodzaju usługi, na przykład dotyczące audytu czy doradztwa, jak również na outsourcing wielu zadań, procesów i funkcji związanych z wynikającymi z dyrektywy obowiązkami. Jest to konieczne w związku z trapiącym polskie przedsiębiorstwa brakiem specjalistów od cyberbezpieczeństwa. Jak wynika z tegorocznego raportu unijnej agencji ds. cyberbezpieczeństwa ENISA, aż 39 proc. polskich firm nie zatrudnia ani jednego pracownika odpowiedzialnego za ten obszar, a 45 proc. tylko jednego.

Dostosowanie się poszczególnych sektorów i działających w ich ramach przedsiębiorstw do wymogów nowej dyrektywy będzie w dużej mierze zależało od stopnia dotychczasowego zaawansowania rozwoju systemów cyberbezpieczeństwa. Z niedawnego badania Fortinetu wynika, że wśród branż z polskiego rynku największą gotowość na NIS 2 deklarują: energetyka (45 proc. pozytywnych odpowiedzi), produkcja żywności (39 proc.) oraz infrastruktura cyfrowa (27 proc.). Z kolei w najmniejszym stopniu przygotowana czuje się ochrona zdrowia (13 proc.). Jednocześnie zaś, jak pokazują dane Check Point Research, dane pacjentów polskich szpitali i innych placówek medycznych stają się coraz bardziej pożądanym łupem cyberprzestępców. Przed tą branżą, jak również wieloma innymi, stoją więc w najbliższym czasie poważne wyzwania, których realizacji może paradoksalnie pomóc konieczność sprostania wymogom dyrektywy NIS 2.

Przydatne narzędzia i systemy

Specjaliści są zgodni, że NIS 2 zaostrza przepisy dotyczące ochrony infrastruktury IT przed cyberzagrożeniami, co może skutkować zwiększonym zapotrzebowaniem na specjalistyczne narzędzia informatyczne. Przy czym w grę wchodzi oferta obejmująca szerokie spektrum różnorodnych produktów i usług. Podejście do bezpieczeństwa, zgodne z założeniami dyrektywy, powinno bowiem bazować na: zarządzaniu ryzykiem, zasobami i kontrolą dostępu do nich, jak też segmentacją sieci oraz rejestrowaniu i monitorowaniu ruchu, jaki się poprzez nią odbywa.

W praktyce do monitorowania sieci i urządzeń końcowych oraz aplikacji w celu wykrycia zagrożeń i anomalii mogą służyć rozwiązania klasy EDR, XDR, DLP, IDS oraz IPS. Wśród rozwiązań do zarządzania incydentami oraz monitorowania stanu bezpieczeństwa i realizacji funkcji ochronnych wymienić można jeszcze systemy FW, AV, 2FA, IAM i PAM (jednym z wymogów dyrektywy jest stosowanie uwierzytelniania wieloskładnikowego lub ciągłego).

W większych firmach zastosowanie znajdą systemy klasy SIEM oraz SOAR. Może się też pojawić zwiększone zapotrzebowanie na rozwiązania z obszaru Cyber Threat Intelligence. W kontekście zapewnienia ciągłości działania i zarządzania kryzysowego w polu zainteresowania znajdą się produkty z kategorii backupu i disaster recovery. W użyciu będą narzędzia do kryptografii i szyfrowania. Do sprostania wymogom NIS 2konieczne są także firewalle. Z drugiej strony w wielu firmach pojawi się potrzeba powołania własnych SOC-ów lub skorzystania z ich funkcji w formie usługi.

Coraz mniej czasu  

Dyrektywa NIS 2 obowiązuje od stycznia 2023 r., ale państwa członkowskie Unii Europejskiej mają czas na dostosowanie swoich krajowych przepisów do jej wymogów do 17 października 2024 r. W Polsce ma się to odbyć w ramach nowelizacji ustawy o krajowym systemie cyberbezpieczeństwa (KSC). Przyjęcie projektu przez Radę Ministrów planowane jest na trzeci kwartał tego roku. 51 proc. polskich firm biorących udział w badaniu Fortinetu nie potrafiło jednak stwierdzić, czy zostaną objęte nowymi regulacjami, chociaż niemal 75 proc. słyszało o wchodzącej w życie dyrektywie.