Informacja prasowa
13 mar 2024  | Warszawa, PL

Co czwarta firma nie wie, czy podlega dyrektywie NIS2

Kontakt dla mediów

Powiązane tematy

Dyrektywa NIS2 kojarzona słusznie z cyberbezpieczeństwem, wejdzie w życie w październiku br., obejmując szerszą niż dotychczas grupę organizacji. Dodatkowo wprowadzi dotkliwe kary w wysokości nawet 10 mln euro lub 2% światowych obrotów dla podmiotów kluczowych, co sprawia, że powinny się nią zainteresować także Zarządy objętych przepisami przedsiębiorstw. Choć przed nowym Ministrem Cyfryzacji stoi zadanie pilnego przygotowania wytycznych w zakresie wprowadzenia unijnych przepisów, firmy powinny już teraz zacząć dostosowywać się do zmian. Tymczasem 25% z nich nie ma nawet świadomości, że dyrektywa ich dotyczy. Co więcej, co trzecie przedsiębiorstwo (32%) nie zwiększy swojego budżetu na cyberbezpieczeństwo mimo większych potrzeb. Organizacje nie postrzegają także nowych regulacji jako priorytetu – tylko 38% z nich planuje uruchomić oddzielny projekt w związku z wdrożeniem NIS2.

W obliczu coraz częstszych i bardziej wyrafinowanych zagrożeń cybernetycznych obowiązująca od 2016 roku unijna dyrektywa NIS przestała być wystarczająca. Wejście w życie 18 października 2024 r. jej nowej odsłony jest okazją do usprawnienia działań w obszarze cyberbezpieczeństwa dla wielu organizacji. Raport - W oczekiwaniu na NIS2: stan przygotowań - opracowany przez CSO Council, EY Polska oraz Trend Micro, analizuje gotowość firm w Polsce na przyjęcie unijnych przepisów oraz dostarcza ciekawych danych na ten temat, obejmując swoim zasięgiem szerszą niż dotychczas grupę organizacji.

- Właśnie ze względu na znaczenie regulacji NIS2 dla naszego kraju, skalę wyzwań związanych z jej wdrożeniem, ale też niepewność związaną z brakiem szczegółowych krajowych wytycznych, postanowiliśmy sprawdzić, na jakim etapie przygotowań są przedsiębiorstwa w Polsce. W tym celu przeprowadziliśmy ankietę głównie wśród członków społeczności CSO Council, zrzeszającej szefów działów cyberbezpieczeństwa i bezpieczeństwa informacji w największych przedsiębiorstwach – mówi Przemysław Gamdzyk, organizator społeczności CSO Council.

Jako główne wyzwanie najwięcej respondentów (60%) wskazało brak informacji o sposobie implementacji regulacji w polskim prawie. Ustawa o krajowym systemie cyberbezpieczeństwa wciąż nie została znowelizowana, przez co organizacje muszą bazować wyłącznie na wytycznych unijnych.

Im firmy szybciej zapoznają się z głównymi obowiązkami, jakie nakłada na nie dyrektywa NIS2, tym szansa na efektywne wdrożenie zmian będzie większa. Tym bardziej alarmujące są dane wskazujące, że aż 25% podmiotów w Polsce objętych nowymi przepisami nie ma tego świadomości. Na pytanie czy organizacja będzie podlegać regulacjom NIS2, 13% badanych wskazało odpowiedź – nie wiem – a kolejne 12% odpowiedziało – nie – mimo, że reprezentują podmioty, na których funkcjonowanie wpływ będzie miał NIS2. Równocześnie, jedynie 38% badanych przedsiębiorstw uważa, że dostosowanie się do nowych regulacji będzie zadaniem na tyle wymagającym, że planują w tym celu uruchomienie oddzielnego projektu. Z kolei połowa z nich (51%) zamierza przeprowadzić zmiany w ramach bieżących działań, a niemal 10% w ogóle nie rozważa podjęcia dodatkowych aktywności związanych z dostosowaniem do NIS2. 

Więcej podmiotów i możliwe kary

Nowa dyrektywa wprowadza dwie istotne zmiany, nakładając obowiązek zapewnienia zgodności z przepisami o cyberbezpieczeństwie na nowe podmioty oraz umożliwiając nakładanie kar. Organizacje zostały podzielone na dwie grupy: kluczowe i ważne. Do pierwszej z nich należą te działające w dziesięciu kluczowych sektorach, zatrudniające co najmniej 50 pracowników oraz o rocznym obrocie przekraczającym 10 mln euro. Wśród tych priorytetowych obszarów znajdziemy najważniejsze dziedziny polskiej gospodarki – energetykę, transport i bankowość, ale również te szczególnie istotne dla funkcjonowania państwa, takie jak ochrona zdrowia, infrastruktura cyfrowa, ścieki, woda pitna czy administracja publiczna.

Organizacje, które będą uchylać się od spełnienia nowych obowiązków, czekają surowe kary. W przypadku podmiotów kluczowych mogą wynieść nawet 10 mln euro lub 2% łącznego światowego obrotu, co będzie szczególnie dotkliwe dla firm globalnych. Natomiast podmioty ważne (m.in. firmy średniej wielkości z kluczowych sektorów, dostawcy usług cyfrowych i pocztowych oraz producenci żywności) mogą otrzymać karę do 7 mln euro lub 1,4% łącznego światowego obrotu w poprzednim roku.

Nieświadomość zmian

Dyrektywa NIS2 stanowi rewolucję w kwestii budowania cybernetycznej odporności wielu sektorów gospodarki. Biorąc pod uwagę jej wpływ na dotychczasowy model zarządzania cyberbezpieczeństwem, co trzeci ankietowany (36%) jeszcze nie analizował tego zagadnienia. Z kolei 30% organizacji przyjrzało się już temu aspektowi, ale nie odnotowało istotnego wpływu na przyjęty sposób działania. Z jednej strony może to oznaczać, że nie wszystkie podmioty w pełni zdają sobie sprawę z następstw zapisów NIS2 – chodzi m.in. o raportowanie zagrożeń, cyberbezpieczeństwo łańcucha dostaw czy obowiązek szyfrowania. Z drugiej, część firm o większej dojrzałości w tym obszarze mogła już wcześniej podjąć kroki w kierunku spełniania wymagań dyrektywy. Co piąty ankietowany (19%) odnotował jej wpływ i już wdraża zmiany, zaś 15% uważa, że NIS2 wymaga istotnych poprawek w ich modelu zarządzania cyberbezpieczeństwem.

– Organizacje jak najszybciej powinny oszacować skalę zmian i dostosowań, z jakimi będą musiały się zmierzyć. Może to być szczególnym wyzwaniem dla grup kapitałowych lub przedsiębiorstw wielooddziałowych o różnym poziomie zaawansowania w obszarze cyberbezpieczeństwa. Aby nie wynajdywać koła na nowo, warto przeanalizować już istniejącą architekturę bezpieczeństwa oraz zakupione narzędzia. Z ich pomocą można opracować nowe procesy, które spełnią unijne wymagania. Na zakończenie tych działań firmy mają już mało czasu, więc przedsiębiorcy powinni już teraz zacząć namierzać, jakiego rodzaju braki występują w ich podmiotach i jakimi technicznymi lub organizacyjnymi środkami najefektywniej będą mogli je naprawić – radzi Patryk Gęborys, Partner EY, Zespół Bezpieczeństwa Informacji i Technologii.

Braki specjalistów i niewystarczające budżety

Zdaniem 45% ankietowanych dużym wyzwaniem na drodze do wdrożenia NIS2 jest brak odpowiedniej liczby specjalistów w tym obszarze. Z kolei co czwarta organizacja (28%) uważa, że dysponuje nieadekwatnym budżetem. Z badania wynika, że wprowadzenie nowych regulacji spowoduje wzrost środków na cyberbezpieczeństwo jedynie u 34% firm. Tymczasem u kolejnych 32% pozostaną one na takim samym poziomie pomimo większych potrzeb. A te mogą jeszcze wzrosnąć, gdyż wśród nowych obowiązków wynikających z NIS2 znajduje się m.in. przeprowadzanie obowiązkowych szkoleń z zakresu cyberbezpieczeństwa dla pracowników oraz testów bezpieczeństwa.

- Czasu coraz mniej, zatem chcąc zrealizować wszystkie wymogi, najlepiej postawić na jak największą automatyzację i rozwiązanie platformowe. Podejście to pozwala na modularne budowanie środowiska bezpieczeństwa z uwzględnieniem istniejącej infrastruktury oraz, co równie ważne, na podstawie zidentyfikowanego ryzyka – podsumowuje Joanna Dąbrowska, CEE Security Platform Leader w Trend Micro. - NIS2 wymaga bowiem zarządzania cyberbezpieczeństwem w oparciu o monitorowanie ryzyka dla wszystkich zasobów w trybie ciągłym – dodaje Dąbrowska.

Piętrzące się wyzwania i brak przygotowania firm do wdrożenia dyrektywy to nie tylko polska specyfika. Według niemieckich źródeł rządowych zaledwie 40% podmiotów z ogólnej liczby około 30 tysięcy spełnia podstawowe wymogi nowej regulacji. Szacuje się, że jednorazowe koszty związane z dostosowaniem istniejących procesów lub ich wprowadzeniem wyniosą ok. 1,37 mld euro. 

NIS2 stawia nowe wyzwania zarówno przed przedsiębiorstwami, jak i administracją państwową. Biorąc pod uwagę brak nowelizacji ustawy o krajowym cyberbezpieczeństwie i zbliżający się nieuchronnie termin wejścia w życie zapisów NIS2, autorzy raportu rekomendują najważniejsze działania, jakie firmy powinny podjąć, aby już teraz zacząć prace nad dostosowaniem do nowych przepisów. 

O badaniu

Badanie zostało przeprowadzone wśród 60 CISO i menedżerów ds. bezpieczeństwa z największych przedsiębiorstw w Polsce w IV kwartale 2023 roku. Respondenci reprezentujący różne sektory m.in.: IT/telekomunikacja, finanse/bankowość, handel/e-commerce oraz przemysł odpowiadali na pytania w formie ankiety online.

O firmie EY

Celem działalności EY jest budowanie lepiej funkcjonującego świata - poprzez wspieranie klientów, pracowników i społeczeństwa w tworzeniu trwałych wartości - oraz budowanie zaufania na rynkach kapitałowych.

Wspomagane przez dane i technologię, zróżnicowane zespoły EY działające w ponad 150 krajach, zapewniają zaufanie dzięki usługom audytorskim oraz wspierają klientów w rozwoju, transformacji biznesowej i działalności operacyjnej.

Zespoły audytorskieconsultingoweprawnestrategicznepodatkowe i transakcyjne zadają nieoczywiste pytania, by móc znaleźć nowe odpowiedzi na złożone wyzwania, przed którymi stoi dziś świat.

 EY w Polsce to ponad 5000 specjalistów pracujących w 8 miastach: w Warszawie, Gdańsku, Katowicach, Krakowie, Łodzi, Poznaniu, Wrocławiu i Rzeszowie oraz w Centrum Usług Wspólnych EY.

Działając na polskim rynku co roku EY doradza tysiącom firm, zarówno małym i średnim przedsiębiorstwom, jak i największym firmom. Tworzy unikatowe analizy, dzieli się wiedzą, integruje środowisko przedsiębiorców oraz angażuje się społecznie. Działająca od ponad 20 lat Fundacja EY wspiera rozwój i edukację dzieci oraz młodzieży z rodzin zastępczych, zwiększając ich szanse na dobrą przyszłość, a także pomaga opiekunom zastępczym w ich codziennej pracy. Każdego roku Fundacja EY realizuje około 20 projektów pomocowych, wspierając w ten sposób ponad 1300 rodzin zastępczych.

EY Polska od 2003 roku prowadzi polską edycję międzynarodowego konkursu EY Przedsiębiorca Roku, której zwycięzcy reprezentują Polskę w międzynarodowym finale World Entrepreneur of the Year organizowanym co roku w Monte Carlo. To jedyna tej rangi, międzynarodowa inicjatywa promująca najlepszych przedsiębiorców.

EY Polska jest sygnatariuszem Karty Różnorodności i pracodawcą równych szans. Realizuje wewnętrzny program „Poziom wyżej bez barier”, aktywnie wspierający osoby z niepełnosprawnościami na rynku pracy. EY był w Polsce wielokrotnie wyróżniany tytułem „Pracodawca Roku®” w rankingu prowadzonym przez międzynarodową organizację studencką AIESEC. EY jest również laureatem w rankingach Great Place to Work oraz Idealny Pracodawca według Universum.

Powiązane informacje prasowe

Badanie EY: Przemysł otwarty na AI. W Polsce 62% firm produkcyjnych już postawiło na tę technologię

Banki w Polsce w sposób ograniczony finansują działalność kwalifikującą się do Taksonomii: w zdecydowanej większości banków badanych przez EY udział zielonego finansowania (tzw. kwalifikującego się do taksonomii) w aktywach nie przekracza 1%. Brak ujednoliconej polityki raportowania wpływu banków na środowisko naturalne uniemożliwia podejmowanie odpowiednich decyzji inwestycyjnych.

Co czwarta firma nie wie, czy podlega dyrektywie NIS2

Dyrektywa NIS2 kojarzona słusznie z cyberbezpieczeństwem, wejdzie w życie w październiku br., obejmując szerszą niż dotychczas grupę organizacji. Dodatkowo wprowadzi dotkliwe kary w wysokości nawet 10 mln euro lub 2% światowych obrotów dla podmiotów kluczowych, co sprawia, że powinny się nią zainteresować także Zarządy objętych przepisami przedsiębiorstw. Choć przed nowym Ministrem Cyfryzacji stoi zadanie pilnego przygotowania wytycznych w zakresie wprowadzenia unijnych przepisów, firmy powinny już teraz zacząć dostosowywać się do zmian. Tymczasem 25% z nich nie ma nawet świadomości, że dyrektywa ich dotyczy. Co więcej, co trzecie przedsiębiorstwo (32%) nie zwiększy swojego budżetu na cyberbezpieczeństwo mimo większych potrzeb. Organizacje nie postrzegają także nowych regulacji jako priorytetu – tylko 38% z nich planuje uruchomić oddzielny projekt w związku z wdrożeniem NIS2.

Badanie EY: większość ekspertów od cyberbezpieczeństwa uznaje działania swoich organizacji za nieefektywne

Z opracowanego przez EY Global Cybersecurity Leadership Insights Study wynika, że tylko jeden na pięciu liderów ds. cyberbezpieczeństwa uważa, że podejście jego organizacji do zwalczania wirtualnych zagrożeń jest skuteczne. Jednym z głównych wyzwań na drodze do budowania efektywnej ochronny przed cyberatakami jest szybkie wykrywanie incydentów i minimalizowanie potencjalnych szkód.

Badanie EY: Polacy obawiają się kradzieży danych, ale chętnie je udostępniają, jeśli generuje to korzyści

Wyniki polskiej edycji badania EY Future Consumer Index 2023 wskazują na dużą sprzeczność w podchodzeniu konsumentów do kwestii cyfrowego bezpieczeństwa. Aż 80% Polaków obawia się sprzedaży ich danych osobowych przez firmy stronie trzeciej, a 78% ich nieuprawnionej eksploracji. Równocześnie 56% deklaruje chęć udostępnienia danych w celu ułatwienia zakupów online, a 55% aby otrzymać spersonalizowane rekomendacje tańszych alternatyw. Polacy z dystansem

Badanie EY: Niemal połowa nastolatków ma własne konta bankowe, ale zaniedbuje bezpieczeństwo środków

Upowszechnienie się zakupów online oraz coraz łatwiejsze płatności bezgotówkowe sprzyjają zakładaniu dzieciom własnych kont bankowych. Z badania EY wynika, że 42 proc. nastolatków posiada imienne rachunki, zaś 5 proc. korzysta z kont i kart dorosłych. Jednak edukacja finansowa młodych ludzi nie powinna ograniczać się wyłącznie do budowania umiejętności rozporządzania pieniędzmi, ale także obejmować kwestie bezpieczeństwa środków i unikania ryzykownych zachow

Badanie EY Polska: Dzieci chętniej pokażą rodzicom śmieszny filmik niż powiedzą o przykrym zdarzeniu w sieci

Świat cyfrowy, podobnie jak ten realny, niesie ze sobą wiele zagrożeń, dlatego rola rodziców bywa kluczowa w nauczeniu dzieci bezpiecznego korzystania z internetu. Tymczasem z badania EY Polska wynika, że większość młodych ludzi nie rozmawia z opiekunami o niebezpiecznych sytuacjach w sieci, a dorośli zbyt mało uwagi przywiązują do tematu wirtualnych ryzyk. Aby zaopatrzyć ich w odpowiednią wiedzę, eksperci EY przygotowali pomocne materiały dostępne na stronie Ostrożni w sieci | EY Polska.

Badanie EY Polska: Antywirusy – chętniej, programy kontroli rodzicielskiej – rzadziej. Jak młodzież chroni się w sieci i czy dorośli są realnym wsparciem?

Wirtualny świat, mimo że daje mnóstwo możliwości związanych z dynamicznym rozwojem nowych technologii, jest również pełen cyberzagrożeń. Współcześni nastolatkowie, chociaż dorastają w scyfryzowanym społeczeństwie, nie są do końca świadomi potencjalnych niebezpieczeństw. Natomiast, jak wynika z badania EY Polska, ich rodzice nie wykorzystują w pełni dostępnych narzędzi. Chodzi nie tylko o oprogramowanie do kontroli rodzicielskiej, ale również zapewnienie odpowiedniego antywirusa. W efekcie nastolatkowie są w cyfrowym świecie często pozostawieni sami sobie.

Badanie EY Polska: Młodzi w internecie – bez kontroli, bez ograniczeń, bez świadomości zagrożeń

Współcześni nastolatkowie dorastają w pełni scyfryzowanym społeczeństwie, w którym dostęp do internetu jest łatwy i szybki. Nie znaczy to jednak, że potrafią omijać zagrożenia występujące w wirtualnym świecie. Z badania EY Polska „Ostrożni w Sieci” wynika, że wielu młodych ludzi nie identyfikuje niebezpiecznych sytuacji, a rodzice zbyt mało uwagi przywiązują do tematu wirtualnych zagrożeń.

Rewolucja komputerów kwantowych głównym motorem transformacji w najbliższych latach

Komercjalizacja technologii kwantowej będzie rewolucyjną zmianą dla firm. Sprzedaż usług na bazie technologii kwantowych powinna wzrosnąć do 8,6 mld USD w 2027 r., prognozuje IDC.

ZPF and EY: Credit product fraud and cyberattacks are still the main problem, but the financial sector feels prepared to fight fraud

Wyłudzenia produktów finansowych i cyberataki pozostają najistotniejszym wyzwaniem w kontekście nadużyć w sektorze finansowym – wynika z najnowszego raportu Związku Przedsiębiorstw Finansowych w Polsce (ZPF) i EY Polska „Nadużycia w sektorze finansowym. Edycja 2022”.

Podstawowy poziom cyberdojrzałości w transporcie

Poziom cyberbezpieczeństwa w sektorze transportu wzrósł znacząco w ostatnich latach, zwłaszcza dzięki wdrożeniu ustawy o krajowym systemie cyberbezpieczeństwa. Wszystkie badane podmioty zapewniają ochronę przed cyberatakami na co najmniej podstawowym poziomie – wynika z raportu Dojrzałość w obszarze cyberbezpieczeństwa sektora transportu w Polsce, przygotowanego przez EY Polska, Ministerstwo Infrastruktury i Państwowy Instytut Badawczy NASK.

Badanie EY: Inflacja odwraca pandemiczny trend i ogranicza liczbę cyfrowych rozrywek

Badanie EY - Decoding the digital home 2022 – pokazuje, że pandemia zwiększyła zależność gospodarstw domowych od technologii. Wejście w kolejny okres pandemii odznaczający się mniejszą liczbą restrykcji, a także rosnący poziom inflacji wywierają presję na dostawcach usług i zmieniają podejście klientów.

Badanie EY: ponad 40% osób odpowiedzialnych za bezpieczeństwo informacji w firmach, jak nigdy dotąd niepokoi się o zdolność organizacji do odpierania cyberzagrożeń

43% ankietowanych przez EY oficerów ds. bezpieczeństwa informacji (CISO) nigdy dotąd nie martwiło się w takim stopniu jak obecnie, o zdolność ich firm do odpierania cyberzagrożeń.

41% ankietowanych niepokoi się wpływem Internetu na dobre samopoczucie bardziej niż przed pandemią – wynika z badania EY

Jak pokazało przeprowadzone przez EY badanie Global Digital Home. Decoding the digital home, zmęczenie cyfrowe zmusza blisko połowę (47%) ankietowanych do przerw w korzystaniu z urządzeń z dostępem do Internetu, a co czwarty użytkownik chciałby zmniejszyć liczbę platform streamingowych, z których korzysta.