Firmy chcą suwerenności cyfrowej, ale wciąż zaniedbują podstawy cyberbezpieczeństwa

Materiał sponsorowany

Jednym z największych wyzwań dla firm pod względem cyberbezpieczeństwa wciąż pozostaje dyrektywa NIS2. Wdrażanie jej do polskiego porządku prawnego jest już osobną, długą historią. Prace nad nowelizacją ustawy o Krajowym Systemie Cyberbezpieczeństwa trwają od kilku lat. Po zapowiedzi wicepremiera i ministra cyfryzacji Krzysztofa Gawkowskiego z 6. edycji Cyber24 DAY, rząd przyjął projekt nowelizacji ustawy o krajowym systemie cyberbezpieczeństwa 21 października.

Firmy nie zwracają uwagi na cyberbezpieczeństwo

Z „Cyberportretu polskiego biznesu 2025”, unikatowego na tle polskiego rynku raportu przygotowanego przez ESET i DAGMA Bezpieczeństwo IT już po raz drugi, wynika, że aż 36 proc. ekspertów odpowiedzialnych za cyberbezpieczeństwo nie ma wiedzy, czy dyrektywa obowiązuje również ich firmy.

Problem jest jednak znacznie szerszy. Tylko 53 proc. firm potwierdziło w badaniu, że korzysta z oprogramowania antywirusowego. Z kolei 38 proc. wdrożyło w swojej organizacji uwierzytelnianie wieloskładnikowe, które jest podstawową formą zabezpieczenia przed atakami. W ten sposób powstają luki, które mogą zagrażać organizacjom zarówno od strony cyberbezpieczeństwa, jak i możliwych kar za niedostosowanie się do nowych zasad.

Jak zauważa Piotr Piasecki, konsultant usług cyberbezpieczeństwa w DAGMA Bezpieczeństwo IT, spojrzenie na NIS2 powinno być szersze niż samo przystosowanie firmy do obowiązków regulacji.

„Nawet jeśli dana firma nie znajdzie się wprost na liście podmiotów objętych dyrektywą, to wymagania te świetnie nadają się jako fundament Systemu Zarządzania Bezpieczeństwem. To nie »zło konieczne«, ale zestaw dobrych praktyk, które realnie podnoszą poziom ochrony biznesu. Firmy współpracujące z podmiotami objętymi NIS2 również będą musiały zadbać o bezpieczeństwo, jeśli chcą zachować kontrakty. Innymi słowy: nawet jeśli regulacja nas nie obejmie wprost, rynek i tak może wymagać od nas spełnienia jej zapisów” – podkreślił ekspert w raporcie.

Rośnie świadomość o suwerenności

Z drugiej strony, wśród przedsiębiorstw można zauważyć wyraźny zwrot w kierunku suwerenności cyfrowej. Statystyki podane w raporcie wskazują, że aż 59 proc. cyberekspertów wybierze rozwiązania europejskie, niż te pochodzące spoza Starego Kontynentu. Dodatkowo, 49 proc. wszystkich badanych postrzega uzależnienie od producentów spoza Europy za potencjalne zagrożenie dla ich firmy.

Nie tylko na oprogramowaniu i sprzęcie skupia się uwaga specjalistów. Wśród 29 proc. z nich, pochodzenie producentów IT jest decydującą determinantą obniżającą poczucie bezpieczeństwa cyfrowego wśród pracowników. Wielu z nich zwraca również uwagę na szersze spektrum wydarzeń. 66 proc. ekspertów zwiększyło swoją czujność z przyczyn związanych z geopolityką, 67 proc. zwraca uwagę na lokalizację serwerów firmowych, zaś 69 proc. jest bardziej czujnych w kontekście wpływu tego, kto produkuje sprzęt dla firmy, na jej poziom bezpieczeństwa.

„W tej nowej rzeczywistości Europa i unijni decydenci coraz mocniej akcentują potrzebę większej samodzielności regionu – zarówno poprzez wykorzystywanie własnych atutów, jak i eliminowanie strategicznych słabości, aby nie pozostawać w tyle za innymi globalnymi graczami, czy to w zakresie rozwoju europejskiej infrastruktury cyfrowej, czy zdolności obronnych” – wskazał na łamach raportu dyrektor ESET ds. międzynarodowych, Andy Garth.

Lepiej zapobiegać niż leczyć

Wnioski płynące z raportu nie napawają optymizmem.  Choć firmy deklarują zwrot ku suwerenności cyfrowej, jednocześnie wciąż zaniedbują absolutne podstawy cyberbezpieczeństwa.

45 proc. ekspertów sądzi, że szkolenia z tego obszaru są jednym z priorytetów wymagających dodatkowego rozwoju i budżetu. Raport wykazał że aż 55 proc. pracowników w Polsce nie uczestniczyło w żadnym szkoleniu z cyberbezpieczeńtwa w ciągu ostatnich 5 lat. To wynik fatalny.

Przedsiębiorstwa powinny położyć znacznie większy nacisk na kwestie związane z cyberbezpieczeństwem, zaś niechęć pracowników do przestrzegania procedur – co ma miejsce w przypadku 1/3 dużych firm – nie powinna być wymówką. Jeżeli sprawy związane z zabezpieczeniami cyfrowymi zostaną zaniedbane, przedsiębiorstwa muszą się liczyć z karami za brak zgodności z NIS2, a w najgorszym wypadku – paraliżem po cyberataku.