Przymiarki do nowych unijnych wymogów. Firmy zwiększają budżety na cyberbezpieczeństwo

Po nowelizacji KSC w sferze cyberbezpieczeństwa zaczną obowiązywać nowe środki zarządzania ryzykiem, a także obowiązki w zakresie audytów i raportowania incydentów

Cyberbezpieczeństwo. Co się zmieni, kto ma nowe obowiązki?
Budżety na cyberbezpieczeństwo

Unijne przepisy w sprawie środków na rzecz wysokiego wspólnego poziomu cyberbezpieczeństwa (tj. dyrektywa NIS2) wciąż nie zostały w Polsce implementowane – choć termin minął 17 października 2024 r. Wdrażający NIS2 projekt nowelizacji ustawy o krajowym systemie cyberbezpieczeństwa (t.j. Dz.U. z 2022 r. poz. 1863 ze zm.; dalej: KSC) jest obecnie na etapie prac rządowych.

Cyberbezpieczeństwo. Co się zmieni, kto ma nowe obowiązki?

Po nowelizacji KSC w sferze cyberbezpieczeństwa zaczną obowiązywać nowe środki zarządzania ryzykiem, a także obowiązki w zakresie audytów i raportowania incydentów. NIS2 rozszerzy krajowy system cyberbezpieczeństwa – w którym są obecnie m.in. energetyka, transport i ochrona zdrowia - o kolejne sektory gospodarki. W rezultacie nowe wymogi cyberbezpieczeństwa obejmą podmioty z 18 sektorów gospodarki (nie tylko telekomunikacji, lecz również żywności i chemikaliów, a także ścieków i gospodarki odpadami) oraz administracji publicznej.

Raport Agencji Unii Europejskiej ds. Cyberbezpieczeństwa (ENISA) wskazuje, że firmy już zwiększyły wydatki na bezpieczeństwo IT: w 2023 przeznaczały na ten cel 9 proc. budżetów IT – o 1,9 pkt proc. więcej niż rok wcześniej.

– Zwiększenie wydatków na cyberbezpieczeństwo to naturalna odpowiedź organizacji na rosnące ryzyko cyberataków i nowe wymogi prawne, takie jak dyrektywa NIS2 – ocenia Robert Ługowski, cybersecurity architect z firmy Safesqr, specjalizującej się w cyberbezpieczeństwie.

Budżety na cyberbezpieczeństwo

Jak podkreśla, wzrost wydatków na ten cel pokazuje, że firmy zaczynają traktować ochronę danych jako niezbędną inwestycję.

– Kluczowe będzie jednak zapewnienie efektywności tych wydatków, szczególnie w kontekście rosnącego uzależnienia od nowych technologii, takich jak sztuczna inteligencja, oraz konieczności spełniania nowych regulacji prawnych – wskazuje. – Inwestycje w zabezpieczenia teleinformatyczne muszą iść w parze z długoterminową strategią i oceną ryzyka, która powinna uwzględniać dojrzałość korporacyjną i aspiracje organizacji, a także współpracę branżową oraz międzynarodową, aby sprostać coraz bardziej złożonym zagrożeniom – zaznacza ekspert.

Z badania ENISA wynika ponadto, że większość organizacji przewiduje jednorazowe lub stałe zwiększenie swoich budżetów na cyberbezpieczeństwo w celu zapewnienia zgodności z NIS2.

Znaczna większość (92 proc.) podmiotów objętych zakresem dostosowania do NIS2 jest świadoma nowych przepisów – przy czym wynik Polski jest tu wyższy od średniej unijnej. ©℗