Raport ENISA: Inwestycje w NIS

11 grudnia br. ENISA opublikowała sprawozdanie na temat inwestycji ponoszonych przez sektor prywatny związanych z wdrażaniem Dyrektywy NIS – pierwszego ogólnounijnego aktu prawnego dotyczącego bezpieczeństwa cyberbezpieczeństwa. Przygotowanie raportu, było jednym z wkładów w przeprowadzony przez Komisję Europejską przegląd Dyrektywy NIS. Badanie zostało przeprowadzone wśród 251 organizacji, w tym: operatorów usług kluczowych i dostawców usług cyfrowych z Francji, Niemiec, Włoch, Hiszpanii i Polski. Zdecydowana większość ankietowanych uważa, że dyrektywa NIS miała pozytywny wpływ na podniesienie poziomu cyberbezpieczeństwa w ich organizacji oraz wzmocniła ogólnokrajowe systemy cyberbezpieczeństwa.

Aż 82% ankietowanych oceniło wprowadzenie Dyrektywy NIS jako czynnik mający pozytywny wpływ na zwiększanie poziomu cyberbezpieczeństwa w nich organizacjach. Respondenci są jednak zgodni, że finansowanie cyberbezpieczeństwa wciąż nie jest wystarczające oraz nie we wszystkich obszarach poczyniono odpowiednie inwestycje. Ponadto, w porównaniu do USA, w UE na cyberbezpieczeństwo przeznaczanych jest średnio o 41% mniej finansów.

Zebrane dane sprawozdania ukazują, że:

  • Ponad 80 % badanych organizacji zadeklarowało, że program wdrożeniowy postanowienia dyrektywy NIS zakończył się lub jest w trakcie realizacji. Przeciętne okres wdrażania postanowień wynosi od 14 do 18 miesięcy.
  • Średni budżet na projekty związane z wdrażaniem dyrektywy wynosi około 175 mln EUR.
  • Nieco mniej niż 50% badanych organizacji musiało zatrudnić dodatkowych ekspertów ds. cyberbezpieczeństwa.
  • Z perspektywy badanych organizacji najważniejsze obszary związane z cyberbezpieczeństwem to:
    • zarządzanie,
    • ryzyko i zgodność z przepisami,
    • bezpieczeństwo sieci,
    • zarządzania ciągłością działania (BCM),
    • zarządzania podatnościami (Vulnerability Management – VM).
  • Ponadto z przeprowadzonych badań wynika, że aż 64% respondentów zamówiło rozwiązania w zakresie gromadzenia danych dotyczących incydentów związanych z bezpieczeństwem, a także usługi w zakresie podnoszenia świadomości i szkolenia w dziedzinie bezpieczeństwa.
  • „Niejasne oczekiwania” (35%) oraz „ograniczone wsparcie ze strony władz krajowych” (22%) należą do najważniejszych wyzwań, przed którymi stoją badane organizacje podczas wdrażania dyrektywy NIS.
  • 81% badanych organizacji wdrożyło procedury zgłaszania incydentów cyberbezpieczeństwa do organów krajowych.
  • Prawie 60% badanych organizacji zgłosiło poważne incydenty związane z bezpieczeństwem informacji.
  • 43% badanych organizacji doświadczyło incydentów cyberbezpieczeństwa, które miały bezpośredni wpływ na bezpieczeństwo informacji.

Podsumowanie

  1. W kontekście nowych zapisów wynikających z Dyrektywy NIS 2 – konieczne będzie stopniowe zwiększanie wydatków na cyberbezpieczeństwo oraz otrzymania wsparcia ze strony państwa.
  2. Nowe instrumenty UE w zakresie finansowania projektów cyberbezpieczeństwa będą niezwykle ważne w procesie implementacji nowej strategii cyberbezpieczeństwa KE oraz nowej Dyrektywy NIS 2
  3. Znaczącą rolę w tym zakresie ma odegrać Centrum Kompetencji Cyberbezpieczeństwa. Negocjacje Rozporządzenia wprowadzającego ten mechanizm są obecnie na końcowym etapie.
TAGI ENISA, Unia Europejska,