NIS2 jako szansa na biznes
W październiku tego roku upływa termin przyjęcia przez wszystkie państwa członkowskie Unii Europejskiej dyrektywy NIS2. Czy dostawcy mogą liczyć na wzrost sprzedaży usług i rozwiązań cybersecurity?
Co czwarta firma nie ma świadomości, że dyrektywa jej dotyczy.
Dyrektywa określa wymagania w zakresie cyberbezpieczeństwa dla „podmiotów kluczowych i ważnych” i dotyczy szeregu sektorów: energii, transportu, bankowości, infrastruktury rynku finansowego, zdrowia, wody pitnej, ścieków, infrastruktury cyfrowej, administracji publicznej, przestrzeni kosmicznej i żywności, a jednocześnie firm należących do ich łańcuchów dostaw.
– Nowa regulacja znacząco poszerzy liczbę podmiotów, które będą nią objęte. Szacujemy, że liczba przedsiębiorstw podlegających pod przepisy NIS2 wzrośnie dziesięciokrotnie w porównaniu do liczby organizacji objętych NIS1. Kryterium identyfikacji będzie wielkość przedsiębiorstwa. Ponadto NIS2 wymienia jedenaście nowych sektorów gospodarki, dla których, być może, wdrażanie procesów i narzędzi związanych z cyberbezpieczeństwem jest codziennością, ale wymogi ustrukturyzowane w formie aktu prawnego i ewentualne spotkanie z organem nadzorczym będą nowością. Nawiasem mówiąc, wcześniej takich sektorów było siedem – tłumaczy Michał Bursa, IT Security Senior Consultant z polskiego oddziału Accenture.
Organizacje, które zaliczają się do sektorów objętych NIS2 będą musiały spełniać wymogi i udowodnić, że ich procedury są zgodne z nowymi przepisami. Za ich naruszenia grożą kary do 10 mln euro lub 2 proc. obrotów. NIS2 wprowadza także odpowiedzialność zarządów, w tym również osobistą, za zapewnienie odpowiedniego poziomu bezpieczeństwa w firmie.
– NIS2 zdecydowanie zwiększyła zainteresowanie rozwiązaniami bezpieczeństwa, w szczególności ze strony nowych, wskazanych w dyrektywie sektorów. Podobnie jak w przypadku GDPR wprowadzenie sugerowanych progów kar za nieprzestrzeganie oraz wymogów zgłaszania incydentów, nadało większy priorytet w zdobywaniu informacji i budowaniu wyobrażenia, w jakie rozwiązania należy inwestować, by sprostać wymaganiom Parlamentu i Rady UE – uważa Artur Madejski, Product Manager w Exclusive Networks.
Z analizy przygotowanej na potrzeby Komisji Europejskiej i dotyczącej potencjalnych skutków wprowadzenia NIS2 wynika, że w ciągu 3–4 lat unijne firmy i instytucje będą musiały zwiększyć swoje wydatki na cyberbezpieczeństwo o około 22 proc. Przy czym prognoza ta dotyczy jedynie organizacji, które muszą budować bezpieczeństwo IT od podstaw według oczekiwań dyrektywy. W przypadku sektorów już wcześniej objętych NIS (ogłoszono ją w 2016 r.) i dysponujących cyberochroną na poziomie dotychczasowej dyrektywy, wzrost wydatków powinien wynieść niemal dwukrotnie mniej, bo około 12 proc.
Biorąc pod uwagę, że ryzyko kar powinno okazać się mobilizujące dla podmiotów objętych NIS2, należałoby się spodziewać zwiększonych zakupów na rynku cybersecurity. Z drugiej strony w przypadku RODO nadzieje na wielki ruch w biznesie pozostały w jakiejś mierze niespełnione. Jak zatem będzie w przypadku NIS2?
Wzrost z wieloma niewiadomymi
Potencjalny wzrost sprzedaży zależy od wielu czynników, w tym świadomości klientów odnośnie do potencjalnych zagrożeń i ich skutków. Jeśli klient zdaje sobie sprawę, że zapewnienie bezpieczeństwa jest niezbędne do niezakłóconego prowadzenia biznesu, pojawia się większa szansa, że skorzysta z usług integratora. Są też warunki „sprzedażowego sukcesu”, które nie zależą tylko od dostawcy.
– Obecnie nie znamy szczegółowych przepisów implementujących NIS2 do naszego systemu prawnego, więc trudno przewidzieć jak bardzo organizacje będą zdeterminowane, aby szybko wdrożyć odpowiednie rozwiązania i czy nastąpi to jeszcze w tym roku. Pamiętajmy, że wewnętrzne przepisy pojawią się dopiero na przełomie września i października. Firmy najprawdopodobniej będą miały od kilku do kilkunastu miesięcy, aby przystosować się do wymogów wskazanych w ustawie. Warto podkreślić, że dla kilku firm już świadczymy usługi związane z dyrektywą NIS2 – mówi Cyprian Gutkowski, specjalista ComCERT ds. bezpieczeństwa procesów IT.
Część specjalistów deklaruje, że obserwuje na rynku spore poruszenie wynikające z nadchodzących zmian w przepisach związanych z cyberbezpieczeństwem. Z każdym miesiącem dostawcy odnotowują też wzrost liczby zapytań dotyczących dyrektywy NIS2.
– Przedsiębiorstwa objęte nowymi przepisami zgłaszają się do nas po pomoc lub konkretne systemy, które mają ich przybliżyć do zgodności z dyrektywą. Wiele organizacji musiało mocno zrewidować swoje plany projektowe i przyśpieszyć implementację brakujących rozwiązań cybersecurity, takich jak EDR czy SIEM – twierdzi Michał Sroka, Enterprise Account Manager w Dagma Bezpieczeństwo IT.
Także Grzegorz Świrkowski, CEO w Net Complex, uważa że o tym, jak NIS2 wpłynie na nasz rynek i jakie będą rzeczywiste konsekwencje dla branży IT, będzie więcej wiadomo, gdy europejskie regulacje dyrektywy zostaną już przetransponowane do polskiego prawa.
– Bez wątpienia spodziewamy się, że będzie to miało pewien wpływ na naszą sprzedaż. Istnieją dwie główne grupy klientów, które będą szczególnie zainteresowane. Pierwsza grupa to ci, którzy po dokładnym przemyśleniu i planowaniu działań uznają, że potrzebują konkretnych produktów lub rozwiązań, które wspierają ich cyfrową odporność i zamykają luki w zabezpieczeniach. Drugą grupę mogą z kolei stanowić jednostki, które zdają sobie sprawę, że muszą coś zrobić, ale niekoniecznie wiedzą, co dokładnie – tłumaczy szef specjalizującego się w bezpieczeństwie integratora.
Zdaniem specjalisty
Michał Sroka, Enterprise Account Manager, Dagma Bezpieczeństwo IT Świadomość przedsiębiorców odnośnie do NIS2 rośnie, ale wciąż jest wiele organizacji, które nie wiedzą o dyrektywie lub bagatelizują jej znaczenie. Dlatego podejmujemy wiele działań, aby zwiększać świadomość klientów – organizujemy dla nich eventy, prowadzimy webinary, kontaktujemy się za pośrednictwem mediów społecznościowych, edukujemy naszych partnerów… W 2023 roku dołączyliśmy do programu współpracy w cyberbezpieczeństwie PWCyber i wraz z Ministerstwem Cyfryzacji rozpoczęliśmy w tym roku cykl webinarów dla podmiotów objętych dyrektywą NIS2. Stworzyliśmy również dedykowaną dyrektywie stronę internetową, na której znajdują się niezbędne informacje na temat planowanych zmian oraz wymagań wobec organizacji podlegających NIS2.
Artur Madejski, Product Manager, Exclusive Networks Chociaż może się wydawać, że informacji o NIS2 jest dużo, to potrzebne są wzmożone działania producentów i partnerów w zakresie promowania nadchodzących zmian. Efektem tego będzie większa wiedza o NIS2 podmiotów wskazanych w dyrektywie. Należy przy tym pamiętać, że lokalne przepisy, według których będą wdrażane postanowienia NIS2 oraz rekomendacje sektorowe, mogą doprecyzować niektóre kwestie pozostające obecnie pojemnymi hasłami. A to ułatwi podmiotom monitorowanie zgodności z przyszłymi wymaganiami. Istotne jest podkreślanie w komunikacji z klientami, że wdrożenie zaleceń NIS2 to nie tylko obowiązek prawny, ale również inwestycja w długoterminową ochronę i stabilność biznesu.
Podobne artykuły
Rising Stars: lokalne rozwiązania na fali
Suwerenność cyfrowa i odwrót od globalnych rozwiązań cyberbezpieczeństwa – przez pryzmat tych wątków rozmawiano o biznesie podczas VI konferencji Rising Stars of Cybersecurity.
Cyfryzacja przemysłu ma swoją cenę
Cyberzagrożenia dla zakładów produkcyjnych w Polsce rosną, co wynika zarówno z postępu technologicznego, jak i sytuacji geopolitycznej.
Phishing i ransomware: wyjątkowo groźny tandem
Od lat jak bumerang powraca pytanie: czy i na jakich zasadach można liczyć na wygraną z cyberprzestępcami?