.svg)
Jeszcze w styczniu na portalu LinkedIn pisaliśmy o tym jaki jest stan wdrożenia dyrektywy w EU. Ciekawi jesteśmy, w jakich nastrojach urzędnicy Komisji Europejskiej teraz śledzą postępy wdrażania jednej z najważniejszych dyrektyw cyberbezpieczeństwa w historii Unii? NIS2 – bo o niej mowa – miała zostać implementowana przez wszystkie państwa członkowskie do 17 października 2024 roku. Jednak czerwcowe raporty pokazują brutalną rzeczywistość: zaledwie 11 krajów zdołało przyjąć odpowiednie przepisy, podczas gdy Komisja wszczęła postępowania przeciwko 23 państwom za zwłokę. Liczby te mogą się zmieniać z dnia na dzień, ale trend i skala opóźnień pozostają niepokojące.
Mapa podzielona
Niemcy, Francja, Dania, Holandia – kraje, które zazwyczaj wyznaczają tempo europejskiej integracji, tym razem są kulą u nogi całego procesu. Powody opóźnień są różne: od politycznych kryzysów rządowych, przez długotrwałe procedury parlamentarne, aż po spory o szczegóły implementacji. W efekcie przedsiębiorcy działający transgranicznie znaleźli się w kafkowskim labiryncie różnych wymagań i terminów.
"Próba gry według trzech różnych zestawów zasad jednocześnie". tak mogą postrzegać tę sytuację menedżerowie ds. cyberbezpieczeństwa firm logistycznych, które muszą spełniać różne wymogi w każdym z krajów swojej działalności.
Pieniądze na stole
Najnowszy raport ENISA „NIS Investments 2024" odkrywa przed nami fascinujący paradoks współczesnego biznesu. Z jednej strony, dyrektywa NIS2 napędziła największą w historii falę inwestycji w cyberbezpieczeństwo, szczególnie w sektorach dopiero co objętych regulacjami. Z drugiej jednak – aż 75 procent organizacji przyznaje, że nie ma dedykowanych środków na wdrożenie NIS2, a jedna trzecia nie angażuje w ten proces najwyższego kierownictwa. Problem dotyka zarówno dużych, jak i średnich przedsiębiorstw, a sytuacja w mikrofirmach może być jeszcze trudniejsza.
Prawie jak budowanie domu bez fundamentów. Firmy inwestują w nowe technologie i systemy, ale brakuje im strategicznego podejścia i długoterminowego planowania finansowego. Różnica między "starymi" i "nowymi" sektorami jest uderzająca – podczas gdy banki i firmy energetyczne, oswojone z regulacjami już od lat, płynnie adaptują się do nowych wymogów, producenci, firmy logistyczne czy instytucje publiczne dopiero uczą się alfabetu cyberbezpieczeństwa.
Hierarchia bolączek
W świecie NIS2 nie wszystkie problemy są równe. Najnowsze badania branżowe odsłaniają fascinującą hierarchię wyzwań, z którymi zmagają się europejskie przedsiębiorstwa. Na szczycie listy, wskazywanej przez niemal połowę respondentów, znajdują się zarządzanie ciągłością działania i obsługa podatności systemów – obszary wymagające nie tylko technicznych rozwiązań, ale także zmiany kultury organizacyjnej.
Tuż za nimi plasuje się uwierzytelnianie wieloskładnikowe, które dla 45 procent firm pozostaje technologiczną zagadką. Paradoksalnie, obszary które wydawałyby się najbardziej skomplikowane – raportowanie incydentów i ich obsługa – sprawiają najmniej problemów. To pokazuje, że prawdziwe wyzwanie NIS2 leży nie w technicznej złożoności, lecz w reorganizacji sposobu myślenia o bezpieczeństwie.
Osobnym problemem są braki kadrowe i kompetencyjne. W całej Europie trwa cicha wojna o talenty w dziedzinie cyberbezpieczeństwa. Specjaliści są na wagę złota, a średnie przedsiębiorstwa, które dopiero wchodzą w świat regulacji, mają niewielkie szanse w konkurencji z technologicznymi gigantami oferującymi astronomiczne pensje.
Fragmentacja jako wróg numer jeden
Różnice w implementacji sięgają najdrobniejszych szczegółów. Terminy raportowania incydentów wahają się od 6 do 24 godzin w zależności od kraju, a procedury różnią się fundamentalnie. Dyrektorzy ds. zgodności w międzynarodowych korporacjach codziennie sprawdzają aktualizacje prawne z kilku, a nawet kilkunastu krajów jednocześnie.
Ta fragmentacja to nie tylko kwestia różnych terminów, ale fundamentalnie różnych podejść do klasyfikacji podmiotów, standardów bezpieczeństwa czy definicji incydentów krytycznych. Firmy międzynarodowe muszą zatrudniać armie prawników i konsultantów, żeby poruszać się po tym regulacyjnym minowym polu. Komisja Europejska oraz ENISA pracują nad narzędziami i wytycznymi mającymi ułatwić harmonizację, choć efekty są na razie ograniczone.
Technologiczne oportunizmy
W tym chaosie implementacyjnym jedna statystyka szczególnie rzuca się w oczy: zaledwie 4 procent organizacji zainwestowało w technologie przyszłości, takie jak kryptografia postkwantowa, a aż 68 procent nie planuje takich inwestycji w najbliższym czasie. To odzwierciedla globalny trend, nie tylko europejski – większość firm na świecie jest całkowicie pochłonięta spełnianiem podstawowych wymogów regulacyjnych, nie mając czasu ani zasobów na myślenie o cyberzagrożeniach kolejnej dekady.
Droga do harmonizacji
Eksperty branżowe są jednomyślni: Europa stoi przed wyborem między "cyberbezpieczeństwem dwóch prędkości" a pilną harmonizacją podejścia. Zalecenia są jasne – potrzebne są jednolite szablony raportowania, ustandaryzowane procedury oraz dedykowane wsparcie dla średnich przedsiębiorstw i nowych sektorów. ENISA i Komisja Europejska intensywnie pracują nad wytycznymi oraz planowanymi rewizjami dyrektywy, które mają przyspieszyć ten proces.
Eksperci są jednomyślni: bez szybkiej harmonizacji Europa ryzykuje powstanie cyberbezpiecznej i cyberniebezpiecznej strefy. W obliczu rosnących zagrożeń ze strony państwowych aktorów to scenariusz, na który Unia nie może sobie pozwolić.
Spojrzenie w przyszłość
Czerwiec 2025 roku to dopiero połowa drogi. NIS2 nie jest sprint, lecz maraton, który zmieni oblicze europejskiego biznesu na dekady. Firmy, które dziś inwestują w kompleksowe podejście do cyberbezpieczeństwa, jutro będą liderami swoich branż. Te, które zwlekają, ryzykują nie tylko kary finansowe, ale utratę zaufania klientów i partnerów biznesowych.
Europa stoi przed historyczną szansą stworzenia najbezpieczniejszego cyfrowego ekosystemu na świecie. Pytanie brzmi: czy polityczna wola i biznesowa determinacja wystarczą, żeby tę szansę wykorzystać?
