Cyberbezpieczeństwo: braki kadrowe i wyzwania NIS2. Jak Europa stawia czoła zagrożeniom cyfrowym? 

Na razie mamy opóźnienie w dostosowaniu krajowego prawa do wymogów dyrektywy NIS2, czyli ogólnounijnych przepisów dotyczących cyberbezpieczeństwa. Choć termin wyznaczony na dostosowanie lokalnego prawa minął 17 października, prace nad nowelizacją ustawy o Krajowym Systemie Cyberbezpieczeństwa ciągle trwają. W międzyczasie Europejska Agencja ds. Cyberbezpieczeństwa (ENISA) zebrała informacje na temat tego, w jaki sposób organizacje objęte dyrektywą NIS2 planują swoje budżety na ochronę przed zagrożeniami cyfrowymi i zabezpieczają się w obliczu nowych wymagań regulacyjnych, wyzwań związanych z personelem oraz rozwojem sztucznej inteligencji.  

Może Cię także zainteresować: Jakie działania podejmował SIPUR w II połowie 2024 roku?

Dane zebrano od 1350 organizacji ze wszystkich państw członkowskich UE. Badanie obejmowało wszystkie sektory NIS2 o wysokiej krytyczności oraz przedsiębiorstwa produkcyjne.  

Inwestycje w bezpieczeństwo informacji 

W odpowiedzi na rosnącą liczbę cyberzagrożeń firmy w Unii Europejskiej intensyfikują wydatki na bezpieczeństwo IT. W 2023 roku na cyberochronę przeznaczono już 9 proc. budżetów IT – o 1,9 punktu procentowego więcej niż rok wcześniej. 

Organizacje reagują na problem nie tylko zwiększaniem wydatków, ale także zmianą priorytetów. Mediana budżetów przeznaczanych na cybersecurity podwoiła się w ciągu roku. Z 0,7 mln euro w 2022 roku do 1,4 mln euro w 2023 roku. Wzrost mediany całkowitych wydatków na technologie IT był znacząco mniejszy. Z 10 mln euro w 2022 roku do 15 mln euro w 2023 roku. Ta dysproporcja potwierdza, że bezpieczeństwo staje się kluczowym elementem strategii technologicznych. 

Eksperci podkreślają, że ten trend wynika z:

konieczności ochrony danych klientów oraz zachowania ciągłości działania w coraz bardziej cyfrowym środowisku biznesowym.

– Zwiększenie wydatków na cyberbezpieczeństwo to naturalna odpowiedź organizacji na rosnące ryzyko cyberataków i nowe wymogi prawne. Takie jak dyrektywa NIS2 – zauważa Robert Ługowski, Cybersecurity Architect z firmy Safesqr, specjalizującej się w cyberbezpieczeństwie i dodaje: – Wzrost wydatków na zabezpieczenie danych w 2023 roku pokazuje, że firmy zaczynają traktować ochronę danych jako niezbędną inwestycję, a nie jedynie koszt. Kluczowe będzie jednak zapewnienie efektywności tych wydatków. Szczególnie w kontekście rosnącego uzależnienia od nowych technologii, takich jak sztuczna inteligencja oraz konieczności spełniania nowych regulacji prawnych. Inwestycje w zabezpieczenia teleinformatyczne muszą iść w parze z długoterminową strategią i oceną ryzyka, która powinna uwzględniać dojrzałość korporacyjną i aspiracje organizacji, a także współpracę branżową oraz międzynarodową, aby sprostać coraz bardziej złożonym zagrożeniom. 

Specjaliści ds. cyberbezpieczeństwa pilnie poszukiwani 

Dane pokazują także drugą stronę medalu i sytuację związaną z brakiem specjalistów ds. cyberbezpieczeństwa na rynku. Czwarty rok z rzędu zmniejszył się odsetek czasu pracy (FTE) działów IT przeznaczonych na zapewnienie bezpieczeństwa teleinformatycznego: z 11,9 proc. do 11,1 proc. Aż 32 proc. organizacji i 59 proc. firm z sektora MŚP ma trudności z obsadzeniem stanowisk związanych z zabezpieczeniem IT. Zwłaszcza tych wymagających specjalistycznej wiedzy technicznej. Wszystko wskazuje na to, że w najbliższej przyszłości łatwiej nie będzie, bo wraz ze zmieniającymi się wymaganiami prawnymi, wynikającymi z konieczności dostosowania się do NIS2, 89 proc. organizacji spodziewa się, że będą potrzebować dodatkowego personelu ds. cyberbezpieczeństwa. 

Rosnący problem związany z brakiem profesjonalistów na rynku potwierdza ekspert: – Niedobór specjalistów staje się jednym z najpoważniejszych wyzwań dla organizacji w Unii Europejskiej. Obserwowany spadek udziału specjalistów bezpieczeństwa w całości pracowników IT to sygnał alarmowy, zwłaszcza w kontekście rozszerzenia zakresu NIS2. Brak wykwalifikowanej kadry nie tylko ogranicza zdolności organizacji do reagowania na zagrożenia, ale także komplikuje przedsiębiorstwom uzyskanie zgodności z wymaganiami prawnymi. Aby temu przeciwdziałać, konieczne są działania systemowe. Takie jak zwiększenie atrakcyjności zawodu, rozwój programów edukacyjnych oraz stymulowanie współpracy między sektorem prywatnym, publicznym i akademickim. Bez odpowiedniego wsparcia kadrowego, nawet najwyższe budżety mogą okazać się niewystarczające. Należy również wspierać przekwalifikowanie pracowników, zarówno IT, jak i spoza IT, na stanowiska związane z cyberbezpieczeństwem. Dziś brakuje nie tylko specjalistów technicznych, ale również osób zajmujących się ryzykiem, procesami czy zarządzających strategią bezpieczeństwa. 

Procesy dostosowawcze

Dyrektywa NIS2, w porównaniu do poprzedniej wersji, rozszerzyła zakres obowiązywania na nowe sektory rynku. Okazuje się, że większość firm i instytucji z tych branż podjęło już działania, aby dostosować się do nowych wytycznych. Nowe sektory NIS2 wypadły porównywalnie pod względem wydatków na bezpieczeństwo informatyczne do podmiotów objętych pierwszą dyrektywą dotyczącą bezpieczeństwa sieci i informacji. Ich inwestycje dotyczą głównie rozwijania i utrzymywania podstawowych zdolności w zakresie ochrony systemów IT.  

Z badania ENISA wynika, że większość organizacji przewiduje jednorazowe lub stałe zwiększenie swoich budżetów na cyberbezpieczeństwo w celu zapewnienia zgodności z NIS2. Warto zauważyć, że znaczna liczba podmiotów deklaruje, że nie będzie w stanie uzyskać wymaganego dodatkowego budżetu. Przy czym odsetek ten jest szczególnie wysoki w przypadku MŚP (34 proc.). W Polsce niemal połowa badanych (47 proc.) deklaruje, że nie będzie potrzebowała dodatkowego budżetu na bezpieczeństwo w celu utrzymania zgodności z NIS2. 26 proc. podmiotów przewiduje stały wzrost budżetu, a 17 proc. nie będzie w stanie poprosić o dodatkowy budżet. 

Czytaj również: Czy rok 2025 będzie lepszy dla polskiego sektora TLS?