Prawie co trzecia firma w Europie obawia się dostosowania do nowych unijnych regulacji w obszarze cyberbezpieczeństwa – wynika z danych IDC. Te, jak dyrektywa NIS2, wejdą w 2024 r. i w wielu przedsiębiorstwach wymuszą spore zmiany. Nic dziwnego, że biznes się boi tych przepisów. Co ciekawe, w Polsce odsetek firm, które konieczność dostosowania się do reguł UE w zakresie ochrony IT traktuje jako największe wyzwanie, jest jeszcze wyższy niż średnia europejska i przekracza 40 proc.
Skutki ataków trudne do opanowania
Nowelizacja dyrektywy NIS w sprawie bezpieczeństwa sieci i systemów informatycznych wprowadza regulacje dotyczące infrastruktury krytycznej. Obejmuje jednak wiele nowych branż i wpłynie na ich biznes. Analitycy zauważają, że dotychczas wiele firm zarządzało ryzykiem w sposób reaktywny lub wcale, a NIS2 wprowadzi dodatkowe wymogi w tym zakresie i zobliguje do wdrożenia zabezpieczeń IT. Efekt? Jak wyliczyła Komisja Europejska, organizacje wcześniej nieobjęte regulacjami będą musiały w ciągu trzech–czterech lat zwiększyć budżet na cyberbezpieczeństwo o ok. 22 proc. – Sporo firm i instytucji może mieć problem z przystosowaniem się na czas do nowych wymogów dyrektywy. Zmian organizacyjnych może być sporo. To m.in. obowiązek stałego monitoringu incydentów w środowisku i infrastrukturze IT organizacji czy właściwie zbudowane i zabezpieczone narzędzia i technologie chmurowe – wylicza Sebastian Toczewski, IT security manager w Beyond.pl.
Czytaj więcej
Eksperci IT ostrzegają: coraz częściej do ataków wykorzystywana jest „ofensywna sztuczna inteligencja”. Ta uczy się, jak oszukać człowieka i tworzyć złośliwe kody.
Wiktor Markiewicz, analityk IDC, zaznacza, iż w efekcie firmy w całej Europie obawiają się nowych regulacji. – Silny lęk odczuwalny jest przede wszystkim w naszym regionie – wskazuje. I trudno, by było inaczej, skoro w Polsce brakuje 50 tys. specjalistów IT, z czego nawet jedną piątą stanowią właśnie eksperci od cyberbezpieczeństwa. Wypełnienie zobowiązań wynikających z dyrektywy może być więc dla wielu karkołomne. Wystarczy wspomnieć choćby o konieczności przekazania raportów o zagrożeniach IT w ciągu 24 godzin od momentu jego wykrycia czy przeprowadzaniu „wstępnej oceny” w ciągu 72 godzin (niedopełnienie obowiązków może skutkować karami finansowymi sięgającymi nawet do 2 proc. globalnego obrotu lub do 10 mln euro).
