Firmy stają w obliczu cyberwyzwania

W odpowiedzi na rosnące niebezpieczeństwa cybernetyczne UE wprowadziła Dyrektywę NIS2, która znacząco zaostrza wymagania dotyczące ochrony przed cyberatakami w kluczowych sektorach.

Celem nowych przepisów jest zwiększenie odporności firm i instytucji na zagrożenia cyfrowe, jednak wdrożenie tych regulacji wiąże się z dużymi wyzwaniami, zarówno finansowymi, jak i organizacyjnymi. Firma rekrutacyjna Grafton Recruitment podkreśla, iż outsourcing specjalistów IT staje się skuteczną strategią dla przedsiębiorstw, które chcą sprostać tym wymogom, jednocześnie optymalizując swoje działania.

Czego dotyczą nowe przepisy?

Dyrektywa NIS2 weszła w życie 16 stycznia 2023 r., a czas na dostosowanie się do jej wymagań minęło 17 października br. Po upływie tego terminu, nowe przepisy będą obowiązywać we wszystkich krajach UE. W porównaniu do Dyrektywy NIS z 2016 r., nowy dokument rozszerza zakres regulacji na szeroką gamę przedsiębiorstw, obejmując zarówno duże, jak i średnie oraz małe firmy działające w sektorach kluczowych dla bezpieczeństwa i funkcjonowania społeczeństwa, takich jak energetyka, transport, bankowość, służba zdrowia, administracja publiczna i usługi cyfrowe. Nowe regulacje nie obejmą jednak mikroprzedsiębiorstw, które zatrudniają mniej niż 10 osób i mają roczny obrót lub sumę bilansową nieprzekraczającą 2 mln euro. Ponadto, dyrektywa nie ma zastosowania do przedsiębiorców świadczących usługi wyłącznie na rzecz podmiotów administracji publicznej oraz prowadzących działania w obszarach bezpieczeństwa narodowego, bezpieczeństwa publicznego, obronności lub egzekwowania prawa, w tym zapobiegania przestępstwom, prowadzenia postępowań w ich sprawie, wykrywania ich i ścigania.

Nowe przepisy wymagają od przedsiębiorstw przeprowadzania regularnych ocen ryzyka, identyfikacji zagrożeń oraz wdrażania zaawansowanych zabezpieczeń technicznych i organizacyjnych, takich jak zarządzanie incydentami, zabezpieczenia IT, szyfrowanie danych i zapewnienie ciągłości działania. Istotnym wymogiem jest również zaangażowanie kadry zarządzającej w zarządzanie ryzykiem, co oznacza, iż menedżerowie muszą być świadomi zagrożeń i odpowiedzialni za decyzje związane z bezpieczeństwem cyfrowym.

Klasyfikacja podmiotów określa, które firmy są zobowiązane do spełnienia wymagań dyrektywy NIS2

Nieprzestrzeganie wymagań dyrektywy wiąże się z surowymi sankcjami finansowymi, które mają na celu zmotywowanie firm do działania zgodnie z przepisami i wzięcie przez nie odpowiedzialności za wprowadzenie procedur bezpieczeństwa. Firmy określane w dyrektywie jako najważniejsze mogą być ukarane grzywnami do 10 mln euro lub 2% rocznego światowego obrotu, natomiast podmioty ważne mogą liczyć się z karami do 7 mln euro lub 1,4% rocznego obrotu, zależnie od tego, która kwota jest wyższa. Klasyfikacja podmiotów określa, które firmy są zobowiązane do spełnienia wymagań dyrektywy NIS2, bazując na ich znaczeniu dla funkcjonowania kluczowych sektorów gospodarki oraz ich roli w zapewnianiu bezpieczeństwa i ciągłości działania infrastruktury krytycznej. Zależy ona od wielkości firmy, jej udziału w rynku, znaczenia w sektorze, stopnia zależności innych podmiotów od jej usług, a także rodzaju działalności i poziomu zaangażowania w zarządzanie krytyczną infrastrukturą. Podział na podmioty najważniejsze i ważne pomaga dostosować zakres obowiązków oraz potencjalnych sankcji do wpływu, jaki dane przedsiębiorstwo ma na bezpieczeństwo cyfrowe w UE.

Brak specjalistów w zakresie cyberbezpieczeństwa

– Widzimy ogromne zapotrzebowanie na specjalistów ds. cyberbezpieczeństwa. Ofert jest bardzo dużo, ich liczba przewyższa dostępność ekspertów. Warto przy tym zauważyć, iż nie wszystkie firmy zatrudniają osoby na tych stanowiskach – na 50 przeanalizowanych przez nas polskich firm robi to tylko 60% z nich. Wynika to z faktu, iż ten obszar nie wszędzie pozostało postrzegany jako priorytet. Drugim czynnikiem jest niedobór specjalistów. Tymczasem zapotrzebowanie będzie się zwiększać, zwłaszcza po wdrożeniu dyrektywy NIS2 – wyjaśnia Agata Jemioła, Branch Manager w Grafton Recruitment.

Obecnie najwięcej specjalistów ds. cyberbezpieczeństwa pracuje w sektorze telekomunikacji, IT oraz usługach finansowych. Zapotrzebowanie przez cały czas będzie rosło, przede wszystkim w organizacjach z sektora finansowego – w bankach, firmach ubezpieczeniowych, firmach inwestycyjnych, fintech, u dostawców usług ICT ze względu na wymogi prawne.

– Warto zaznaczyć, iż najsłabiej zabezpieczone pod względem cyberbezpieczeństwa są w tej chwili instytucje samorządowe oraz małe przedsiębiorstwa. Można zakładać, iż wraz z rosnącą świadomością roli zabezpieczeń oraz wprowadzanymi wymogami prawnymi także i one zwrócą uwagę na ten obszar – dodaje Agata Jemioła.