Szczególnie istotną zmianą dla tysięcy organizacji ma być wprowadzenie dyrektywy NIS 2 oraz nowelizacji ustawy o Krajowym Systemie Cyberbezpieczeństwa. Nowe regulacje obejmują obowiązek wdrażania systemów, zgłaszania incydentów i raportowania ich do centralnych rejestrów. Zmieniła się też klasyfikacja podmiotów – na „kluczowe” i „ważne”. Warto więc zadać sobie pytanie, czy wraz z wprowadzeniem NIS 2, rozszerzającej definicję sektorów i podmiotów istotnych dla gospodarki i państwa, wzrósł poziom ich ochrony? Czy idzie za tym większy ruch w biznesie cyberbezpieczeństwa? A jeśli tak, to sprzedaż jakich usług i rozwiązań można wiązać bezpośrednio z wpływem dyrektywy?

Przed wejściem w życie NIS 2 firma Censuswide przeprowadziła na zlecenie Veeam Software badanie, z którego wynikało, że choć europejscy liderzy IT zdołali zebrać środki finansowe na spełnienie wymagań dyrektywy, nie obyło się to bez wyrzeczeń. Niemal siedem na dziesięć firm miało dodatkowy budżet konieczny do wdrożenia dyrektywy, jednak dla 20 proc. z nich niewystarczające fundusze były istotną przeszkodą w osiągnięciu zgodności z unijnymi przepisami. Te problemy finansowe wpisywały się w szerszą perspektywę: od czasu ogłoszenia politycznego porozumienia w sprawie NIS 2 w styczniu 2023 r., 40 proc. firm zanotowało redukcję budżetu IT, a 20 proc. utrzymało go na tym samym poziomie. Dlatego, aby pokryć koszty związane z wdrożeniem NIS 2, zdecydowana większość przedsiębiorstw musiała przekierować środki z innych obszarów działalności.

Obecnie, z perspektywy ponad pół roku od 17 października 2024 r. (daty transponowania NIS 2 przez państwa członkowskie UE), optymizm wśród dostawców wzrasta. Ci, z którymi rozmawialiśmy, nie mają wątpliwości, że wprowadzane regulacje, takie jak NIS 2, UKSC czy DORA, podnoszą poziom cyberbezpieczeństwa i zwiększają odporność operacyjną organizacji. Ponieważ nakładają obowiązek wdrożenia dobrych praktyk, regularnych audytów, zarządzania ryzykiem, szkoleń oraz szybkiego i szczegółowego raportowania incydentów, firmy i instytucje są lepiej przygotowane na cyberataki i awarie, a zarządzanie ciągłością działania staje się integralną częścią strategii organizacyjnej.

– Rozszerzenie definicji sektorów i podmiotów kluczowych, zaostrzenie wymogów oraz wprowadzenie kar sięgających 10 milionów euro stworzyły zupełnie nowe realia dla biznesu. W ostatnich miesiącach obserwujemy wyraźny wzrost inwestycji w cyberbezpieczeństwo – firmy zwiększają budżety nawet o jedną czwartą. Szczególnym zainteresowaniem cieszą się audyty zgodności, oceny ryzyka oraz kompleksowe programy ochrony tożsamości cyfrowej oparte na rozwiązaniach klasy IGA i PAM. To efekt nie tylko nowych obowiązków prawnych, ale i rosnącej świadomości, że cyberbezpieczeństwo stało się strategicznym priorytetem dla zarządów organizacji – mówi Artur Wrześniewski, Delivery Director w Integrity Partners.

Także z perspektywy dystrybutora rozwiązań cyberbezpieczeństwa, jakim jest Dagma, wejście w życie NIS 2 oraz zbliżająca się nowelizacja UKSC znacząco wpłynęły na wzrost zainteresowania usługami cybersecurity wśród polskich przedsiębiorstw. Organizacje objęte nowymi wymogami zaczęły aktywnie poszukiwać partnerów specjalizujących się w tym zakresie, co przełożyło się na zwiększony popyt na usługi audytów bezpieczeństwa, wdrażania Systemów Zarządzania Bezpieczeństwem Informacji (SZBI) oraz testów penetracyjnych.

– W związku z obowiązkiem zarządzania incydentami bezpieczeństwa, firmy wykazują wzmożone zainteresowanie systemami klasy XDR, UTM oraz SIEM, które pozwalają na efektywne monitorowanie, analizę i reakcję na zagrożenia. Warto podkreślić, że specyfika potrzeb znacząco różni się w zależności od sektora. Otóż firmy działające w obszarze technologii operacyjnych OT mają przed sobą inne wyzwania niż organizacje oparte wyłącznie na klasycznym IT. Istotnym trendem, który widzimy w związku z nowymi regulacjami, jest także rosnąca popularność naszej usługi SOC as a Service. Dla wielu podmiotów stworzenie własnego Security Operations Center jest przedsięwzięciem zbyt kosztownym i złożonym, dlatego organizacje coraz częściej decydują się na outsourcing – twierdzi Stanisław Horak, dyrektor handlowy w Dagmie.

Świadomość rośnie szybciej niż popyt

Przykładowo, z perspektywy polskiego oddziału Cisco nie widać jeszcze istotnego wzrostu zakupów rozwiązań cyberbezpieczeństwa, który można bezpośrednio powiązać z implementacją dyrektywy NIS 2.

– Sytuacja ta wynika głównie z braku krajowych przepisów wykonawczych. Konsultacje unijnych rekomendacji technologicznych, które trwały od listopada do stycznia, do tej pory nie zakończyły się publikacją finalnych wytycznych. Widzimy natomiast, że zarówno sektor publiczny, jak i samorządy mają świadomość nadchodzących obowiązków. Szacuje się, że NIS 2 obejmie około 30 tysięcy organizacji w Polsce – mówi Marcin Klimowski, Cybersecurity Sales Specialist w Cisco.

Jednak brak jasnych wytycznych dotyczących wymagań powoduje niepewność wśród instytucji i przedsiębiorstw. Nadal nie wiadomo, jakie dokładnie wymagania będą musiały spełnić podmioty podlegające dyrektywie i czy otrzymają na ten cel finansowanie – dotyczy to zwłaszcza instytucji publicznych. Chociaż funkcjonują takie programy wsparcia, jak Cyberbezpieczny Samorząd, często są wykorzystywane do poprawiania i unowocześniania samej infrastruktury – co jest konieczne, nie zawsze jednak bezpośrednio do wzmacniania systemów cyberbezpieczeństwa.

– Nie odnotowaliśmy w ostatnim czasie znaczącego wzrostu zapytań o takie rozwiązania, jak systemy do wykrywania i raportowania incydentów, wieloskładnikowe uwierzytelnianie (MFA) czy zarządzanie podatnościami. Choć klienci są świadomi nadchodzących wymagań, wciąż nie mają pewności, jakie działania będą konieczne. Możliwe, że jest jeszcze za wcześnie na znaczący wzrost popytu na rozwiązania związane z obszarami objętymi NIS 2, ale obserwujemy rosnącą świadomość tej problematyki – uważa Marcin Klimowski.