11 grudnia br. ENISA opublikowała sprawozdanie na temat inwestycji ponoszonych przez sektor prywatny związanych z wdrażaniem Dyrektywy NIS – pierwszego ogólnounijnego aktu prawnego dotyczącego bezpieczeństwa cyberbezpieczeństwa. Przygotowanie raportu, było jednym z wkładów w przeprowadzony przez Komisję Europejską przegląd Dyrektywy NIS. Badanie zostało przeprowadzone wśród 251 organizacji, w tym: operatorów usług kluczowych i dostawców usług cyfrowych z Francji, Niemiec, Włoch, Hiszpanii i Polski. Zdecydowana większość ankietowanych uważa, że dyrektywa NIS miała pozytywny wpływ na podniesienie poziomu cyberbezpieczeństwa w ich organizacji oraz wzmocniła ogólnokrajowe systemy cyberbezpieczeństwa.
Aż 82% ankietowanych oceniło wprowadzenie Dyrektywy NIS jako czynnik mający pozytywny wpływ na zwiększanie poziomu cyberbezpieczeństwa w nich organizacjach. Respondenci są jednak zgodni, że finansowanie cyberbezpieczeństwa wciąż nie jest wystarczające oraz nie we wszystkich obszarach poczyniono odpowiednie inwestycje. Ponadto, w porównaniu do USA, w UE na cyberbezpieczeństwo przeznaczanych jest średnio o 41% mniej finansów.
Zebrane dane sprawozdania ukazują, że:
- Ponad 80 % badanych organizacji zadeklarowało, że program wdrożeniowy postanowienia dyrektywy NIS zakończył się lub jest w trakcie realizacji. Przeciętne okres wdrażania postanowień wynosi od 14 do 18 miesięcy.
- Średni budżet na projekty związane z wdrażaniem dyrektywy wynosi około 175 mln EUR.
- Nieco mniej niż 50% badanych organizacji musiało zatrudnić dodatkowych ekspertów ds. cyberbezpieczeństwa.
- Z perspektywy badanych organizacji najważniejsze obszary związane z cyberbezpieczeństwem to:
- zarządzanie,
- ryzyko i zgodność z przepisami,
- bezpieczeństwo sieci,
- zarządzania ciągłością działania (BCM),
- zarządzania podatnościami (Vulnerability Management – VM).
- Ponadto z przeprowadzonych badań wynika, że aż 64% respondentów zamówiło rozwiązania w zakresie gromadzenia danych dotyczących incydentów związanych z bezpieczeństwem, a także usługi w zakresie podnoszenia świadomości i szkolenia w dziedzinie bezpieczeństwa.
- „Niejasne oczekiwania” (35%) oraz „ograniczone wsparcie ze strony władz krajowych” (22%) należą do najważniejszych wyzwań, przed którymi stoją badane organizacje podczas wdrażania dyrektywy NIS.
- 81% badanych organizacji wdrożyło procedury zgłaszania incydentów cyberbezpieczeństwa do organów krajowych.
- Prawie 60% badanych organizacji zgłosiło poważne incydenty związane z bezpieczeństwem informacji.
- 43% badanych organizacji doświadczyło incydentów cyberbezpieczeństwa, które miały bezpośredni wpływ na bezpieczeństwo informacji.
Podsumowanie
- W kontekście nowych zapisów wynikających z Dyrektywy NIS 2 – konieczne będzie stopniowe zwiększanie wydatków na cyberbezpieczeństwo oraz otrzymania wsparcia ze strony państwa.
- Nowe instrumenty UE w zakresie finansowania projektów cyberbezpieczeństwa będą niezwykle ważne w procesie implementacji nowej strategii cyberbezpieczeństwa KE oraz nowej Dyrektywy NIS 2
- Znaczącą rolę w tym zakresie ma odegrać Centrum Kompetencji Cyberbezpieczeństwa. Negocjacje Rozporządzenia wprowadzającego ten mechanizm są obecnie na końcowym etapie.