Nawet specjaliści gubią się w nowych przepisach. Aż 36% ekspertów ds. cyberbezpieczeństwa nie ma pewności, czy ich firmy muszą wdrożyć dyrektywę NIS2. Przy rosnącej fali ataków i karach idących w miliony euro, polski biznes staje przed ścianą. Czy Twoja firma jest bezpieczna?
Polskie firmy na celowniku. Raport obnaża bolesną prawdę o zabezpieczeniach
Cyberzagrożenia stają się coraz większym zagrożeniem dla polskich przedsiębiorstw. Wraz z rosnącą skalą i złożonością ataków pojawia się pytanie: czy polskie firmy nadążają za tym tempem zmian? Najnowsze dane z drugiej edycji raportu „Cyberportret polskiego biznesu” ESET, przygotowanym przy współpracy z DAGMA Bezpieczeństwo IT, pokazują, że mimo rosnącej świadomości zagrożeń, poziom przygotowania przedsiębiorstw nadal pozostawia wiele do życzenia. Raport dostępny jest tutaj.
Niepokojące dane z rynku pracy
Raport, oparty na badaniu ponad 1000 pracujących Polek i Polaków — w tym 283 specjalistów ds. cyberbezpieczeństwa — wskazuje na szereg systemowych problemów w podejściu do ochrony cyfrowej.
Aż 55% pracowników używa tych samych haseł do różnych kont, co znacząco zwiększa ryzyko przejęcia danych. Co więcej, identyczny odsetek (55%) nie uczestniczył w żadnym szkoleniu z zakresu cyberbezpieczeństwa w ciągu ostatnich pięciu lat. To pokazuje, że edukacja w tym obszarze wciąż jest marginalizowana.
Nie lepiej wygląda kwestia podstawowych zabezpieczeń technologicznych. Jedynie 53% firm deklaruje korzystanie z oprogramowania antywirusowego, a tylko 4 na 10 przedsiębiorstw wdraża uwierzytelnianie wieloskładnikowe, uznawane dziś za jeden z podstawowych standardów ochrony dostępu.
Eksperci też mają wątpliwości
Jednym z najbardziej zaskakujących wniosków raportu jest fakt, że 36% ekspertów ds. cyberbezpieczeństwa nie ma pewności, czy ich organizacja podlega wymogom dyrektywy NIS2. Tymczasem nowe regulacje to odpowiedź na dynamiczny wzrost liczby cyberataków, ich częstsze występowanie oraz rosnący poziom zaawansowania, które coraz wyraźniej zagrażają stabilności gospodarki i sprawnemu funkcjonowaniu rynku.
- Aktualne przepisy drastycznie rozszerzają krąg podmiotów objętych restrykcjami, dzieląc je na kluczowe i ważne, przy czym obowiązki te dotyczą co do zasady średnich i dużych przedsiębiorstw z takich sektorów jak energetyka, transport, bankowość, ochrona zdrowia, ale także produkcja żywności, gospodarka odpadami czy administracja publiczna. Warto jednak zaznaczyć, że w określonych przypadkach, na przykład u dostawców usług zaufania czy publicznych sieci łączności, wielkość firmy nie ma znaczenia i podlegają one rygorom bez względu na skalę działalności. Każdy z tych podmiotów musi teraz wdrożyć kompleksowe środki zarządzania ryzykiem, co obejmuje nie tylko analizę zagrożeń i posiadanie polityk bezpieczeństwa systemów, ale również zapewnienie ciągłości działania, sprawne reagowanie na incydenty oraz dbanie o bezpieczeństwo w całym łańcuchu dostaw – mówi Karol Witas, adwokat z kancelarii The Heart.
Jak dodaje, niezbędne staje się również stosowanie kryptografii, szyfrowania oraz regularne przeprowadzanie audytów skuteczności podejmowanych działań. Ignorowanie tych wymogów będzie wiązało się z dotkliwymi konsekwencjami finansowymi, ponieważ dyrektywa przewiduje administracyjne kary pieniężne sięgające w przypadku podmiotów kluczowych nawet 10 milionów euro lub 2% łącznego rocznego światowego obrotu, a dla podmiotów ważnych 7 milionów euro lub 1,4% obrotu, zależnie od tego, która z tych kwot okaże się wyższa.
Cyberincydenty wciąż zamiatane przez firmy pod dywan
Tymczasem badanie ESET ujawnia również problem niedostatecznego raportowania incydentów. Aż 17% osób, które doświadczyły cyberataku w miejscu pracy, nie zgłosiło tego faktu nikomu. Taka postawa znacząco utrudnia organizacjom reagowanie na zagrożenia i wyciąganie wniosków na przyszłość.
Najważniejsze wnioski dla firm dotyczące cyberbezpieczeństwa i NIS2
- Chaos kompetencyjny: 36% profesjonalistów odpowiedzialnych za bezpieczeństwo nie potrafi jednoznacznie określić statusu swojej firmy wobec dyrektywy NIS2.
- Brak zmian: Ponad połowa Polaków (55%) wciąż używa tego samego hasła do wielu kont, wystawiając firmowe dane na "tacy".
- Edukacyjna pustynia: 55% zatrudnionych nie przeszło żadnego szkolenia z cyberbezpieczeństwa w ciągu ostatnich 5 lat.
- Braki w fundamentach: Tylko 4 na 10 przedsiębiorstw stosuje uwierzytelnianie dwuskładnikowe (MFA), a jedynie 53% korzysta z podstawowego antywirusa.
- Kultura milczenia: 17% ofiar cyberataków w pracy nikomu nie zgłasza incydentu, co paraliżuje systemy wczesnego ostrzegania.
- Gigantyczne kary: Nowe przepisy przewidują sankcje do 10 mln EUR dla podmiotów kluczowych i 7 mln EUR dla podmiotów ważnych.
Materiał chroniony prawem autorskim - wszelkie prawa zastrzeżone.
Dalsze rozpowszechnianie artykułu za zgodą wydawcy INFOR PL S.A. Kup licencję.
Wpisz adres e-mail wybranej osoby, a my wyślemy jej bezpłatny dostęp do tego artykułu