Klikając „Akceptuj wszystkie pliki cookie”, zgadzasz się na przechowywanie plików cookie na swoim urządzeniu w celu ułatwienia nawigacji po stronie, analizy korzystania ze strony oraz wspierania naszych działań marketingowych. Zobacz naszą Politykę prywatności, aby uzyskać więcej informacji.
PreferencjeOdrzućAkceptuj
Powrót na stronę główną bloga
Artykuł

Europa w połowie drogi: jak NIS2 zmienia oblicze cyberbezpieczeństwa w biznesie

Autor/ka
Davidson Consulting
facebook-icon
linkedin-icon

Eksperci ds. zarządzania kryzysowego i ciągłości działania

Osiem miesięcy po oficjalnym terminie wdrożenia dyrektywy NIS2, europejski krajobraz cyberbezpieczeństwa przypomina mozaikę – z niektórymi państwami na czele transformacji cyfrowej, podczas gdy inne wciąż zmagają się z politycznymi impasami i opóźnieniami legislacyjnymi.

Jeszcze w styczniu na portalu LinkedIn pisaliśmy o tym jaki jest stan wdrożenia dyrektywy w EU. Ciekawi jesteśmy, w jakich nastrojach urzędnicy Komisji Europejskiej teraz śledzą postępy wdrażania jednej z najważniejszych dyrektyw cyberbezpieczeństwa w historii Unii? NIS2 – bo o niej mowa – miała zostać implementowana przez wszystkie państwa członkowskie do 17 października 2024 roku. Jednak czerwcowe raporty pokazują brutalną rzeczywistość: zaledwie 11 krajów zdołało przyjąć odpowiednie przepisy, podczas gdy Komisja wszczęła postępowania przeciwko 23 państwom za zwłokę. Liczby te mogą się zmieniać z dnia na dzień, ale trend i skala opóźnień pozostają niepokojące.

Mapa podzielona

Niemcy, Francja, Dania, Holandia – kraje, które zazwyczaj wyznaczają tempo europejskiej integracji, tym razem są kulą u nogi całego procesu. Powody opóźnień są różne: od politycznych kryzysów rządowych, przez długotrwałe procedury parlamentarne, aż po spory o szczegóły implementacji. W efekcie przedsiębiorcy działający transgranicznie znaleźli się w kafkowskim labiryncie różnych wymagań i terminów.

"Próba gry według trzech różnych zestawów zasad jednocześnie". tak mogą postrzegać tę sytuację menedżerowie ds. cyberbezpieczeństwa firm logistycznych, które muszą spełniać różne wymogi w każdym z krajów swojej działalności.

Pieniądze na stole

Najnowszy raport ENISA „NIS Investments 2024" odkrywa przed nami fascinujący paradoks współczesnego biznesu. Z jednej strony, dyrektywa NIS2 napędziła największą w historii falę inwestycji w cyberbezpieczeństwo, szczególnie w sektorach dopiero co objętych regulacjami. Z drugiej jednak – aż 75 procent organizacji przyznaje, że nie ma dedykowanych środków na wdrożenie NIS2, a jedna trzecia nie angażuje w ten proces najwyższego kierownictwa. Problem dotyka zarówno dużych, jak i średnich przedsiębiorstw, a sytuacja w mikrofirmach może być jeszcze trudniejsza.

Prawie jak budowanie domu bez fundamentów. Firmy inwestują w nowe technologie i systemy, ale brakuje im strategicznego podejścia i długoterminowego planowania finansowego. Różnica między "starymi" i "nowymi" sektorami jest uderzająca – podczas gdy banki i firmy energetyczne, oswojone z regulacjami już od lat, płynnie adaptują się do nowych wymogów, producenci, firmy logistyczne czy instytucje publiczne dopiero uczą się alfabetu cyberbezpieczeństwa.

Hierarchia bolączek

W świecie NIS2 nie wszystkie problemy są równe. Najnowsze badania branżowe odsłaniają fascinującą hierarchię wyzwań, z którymi zmagają się europejskie przedsiębiorstwa. Na szczycie listy, wskazywanej przez niemal połowę respondentów, znajdują się zarządzanie ciągłością działania i obsługa podatności systemów – obszary wymagające nie tylko technicznych rozwiązań, ale także zmiany kultury organizacyjnej.

Tuż za nimi plasuje się uwierzytelnianie wieloskładnikowe, które dla 45 procent firm pozostaje technologiczną zagadką. Paradoksalnie, obszary które wydawałyby się najbardziej skomplikowane – raportowanie incydentów i ich obsługa – sprawiają najmniej problemów. To pokazuje, że prawdziwe wyzwanie NIS2 leży nie w technicznej złożoności, lecz w reorganizacji sposobu myślenia o bezpieczeństwie.

Osobnym problemem są braki kadrowe i kompetencyjne. W całej Europie trwa cicha wojna o talenty w dziedzinie cyberbezpieczeństwa. Specjaliści są na wagę złota, a średnie przedsiębiorstwa, które dopiero wchodzą w świat regulacji, mają niewielkie szanse w konkurencji z technologicznymi gigantami oferującymi astronomiczne pensje.

Fragmentacja jako wróg numer jeden

Różnice w implementacji sięgają najdrobniejszych szczegółów. Terminy raportowania incydentów wahają się od 6 do 24 godzin w zależności od kraju, a procedury różnią się fundamentalnie. Dyrektorzy ds. zgodności w międzynarodowych korporacjach codziennie sprawdzają aktualizacje prawne z kilku, a nawet kilkunastu krajów jednocześnie.

Ta fragmentacja to nie tylko kwestia różnych terminów, ale fundamentalnie różnych podejść do klasyfikacji podmiotów, standardów bezpieczeństwa czy definicji incydentów krytycznych. Firmy międzynarodowe muszą zatrudniać armie prawników i konsultantów, żeby poruszać się po tym regulacyjnym minowym polu. Komisja Europejska oraz ENISA pracują nad narzędziami i wytycznymi mającymi ułatwić harmonizację, choć efekty są na razie ograniczone.

Technologiczne oportunizmy

W tym chaosie implementacyjnym jedna statystyka szczególnie rzuca się w oczy: zaledwie 4 procent organizacji zainwestowało w technologie przyszłości, takie jak kryptografia postkwantowa, a aż 68 procent nie planuje takich inwestycji w najbliższym czasie. To odzwierciedla globalny trend, nie tylko europejski – większość firm na świecie jest całkowicie pochłonięta spełnianiem podstawowych wymogów regulacyjnych, nie mając czasu ani zasobów na myślenie o cyberzagrożeniach kolejnej dekady.

Droga do harmonizacji

Eksperty branżowe są jednomyślni: Europa stoi przed wyborem między "cyberbezpieczeństwem dwóch prędkości" a pilną harmonizacją podejścia. Zalecenia są jasne – potrzebne są jednolite szablony raportowania, ustandaryzowane procedury oraz dedykowane wsparcie dla średnich przedsiębiorstw i nowych sektorów. ENISA i Komisja Europejska intensywnie pracują nad wytycznymi oraz planowanymi rewizjami dyrektywy, które mają przyspieszyć ten proces.

Eksperci są jednomyślni: bez szybkiej harmonizacji Europa ryzykuje powstanie cyberbezpiecznej i cyberniebezpiecznej strefy. W obliczu rosnących zagrożeń ze strony państwowych aktorów to scenariusz, na który Unia nie może sobie pozwolić.

Spojrzenie w przyszłość

Czerwiec 2025 roku to dopiero połowa drogi. NIS2 nie jest sprint, lecz maraton, który zmieni oblicze europejskiego biznesu na dekady. Firmy, które dziś inwestują w kompleksowe podejście do cyberbezpieczeństwa, jutro będą liderami swoich branż. Te, które zwlekają, ryzykują nie tylko kary finansowe, ale utratę zaufania klientów i partnerów biznesowych.

Europa stoi przed historyczną szansą stworzenia najbezpieczniejszego cyfrowego ekosystemu na świecie. Pytanie brzmi: czy polityczna wola i biznesowa determinacja wystarczą, żeby tę szansę wykorzystać?

Najnowsze artykuły:

Case Study: Ukraińska lekcja zarządzania, czyli jak państwo stało się startupem obronnym
Cyfrowy Panoptykon
NIS2 a Ciągłość Działania w Energetyce – Od Zgodności do Rzeczywistej Odporności Operacyjnej
Zarządzanie Ciągłością Działania wg NIS2
Aktualizacja planów reagowania kryzysowego - niezbędna

Kategorie:

Geopolityka a biznes
Ochrona ludności
Bezpieczeństwo łańcucha dostaw
Zarządzanie kryzysowe
Incydenty
Testy
Szkolenia
Wydarzenia
Komunikacja kryzysowa
Audyt
Zarządzanie ryzykiem
Sygnaliści
Zgodność
Cyberbezpieczeństwo
Ciągłość działania

Oferta Davidson Consulting:

Business ContinuityZarządzanie ryzykiemCyberbezpieczeństwoRozmowy o ryzykuRaporty

Najnowsze artykuły

Case Study: Ukraińska lekcja zarządzania, czyli jak państwo stało się startupem obronnym

Ukraina przekształciła sektor obronny w zdecentralizowaną sieć dostawców, która działa szybciej niż tradycyjne systemy obronne.
Czytaj dalej
Case Study

Case Study: Ukraińska lekcja zarządzania, czyli jak państwo stało się startupem obronnym

Geopolityka a biznes
Bezpieczeństwo łańcucha dostaw
Ukraina, wojna, zbrojenia, start-up, militaria, przemysł zbrojeniowy
Podmioty ważne i kluczowe
Przemysł zbrojeniowy

Cyfrowy Panoptykon

Jak Meta przekształciła nasze urządzenia w narzędzia śledzenia
Czytaj dalej
Komentarz

Cyfrowy Panoptykon

Cyberbezpieczeństwo
Zgodność
social media, Meta, Facebook, Instagram, Yandex, Yandex Metrica, Google, Android, iOS, użytkownicy, Meta Pixel, narzędzia analityczne, trackery, deanonimizacja, sandbox, protokoły internetowe, lokalne porty Android, exploitacja, ukryte kanały komunikacji, covert channels, HTTP, WebSocket, WebRTC, SDP munging, tryb incognito, blokada ciasteczek, ustawienia śledzenia, blacklisty, privacy-first solutions, inwigilacja, naruszanie prywatności, cyberbezpieczeństwo, bezpieczeństwo danych, ochrona prywatności, RODO, zgoda użytkownika, transparentność, hipokryzja korporacji, konflikt interesów, ekonomia inwigilacji, customer journey, ROAS, targetowanie reklamowe, Panoptykon, teatr bezpieczeństwa.
Usługi ICT
Platformy Cyfrowe

Aktualizacja planów reagowania kryzysowego - niezbędna

Zjawiska, które kiedyś określaliśmy mianem "zdarzeń stulecia", stały się naszą nową rzeczywistością.
Czytaj dalej
Komentarz

Aktualizacja planów reagowania kryzysowego - niezbędna

Ochrona ludności
Zarządzanie kryzysowe
pożary, klimat, los angeles, powódź, wielka woda, zarządzanie kryzysowe, ochrona ludności
Ekologia
Organizacje pozarządowe

Jak Fatalny Audyt Doprowadził do Upadku Jednej z Największych Firm Audytorskich

W świecie korporacyjnych finansów audyt pełni rolę fundamentalnego strażnika wiarygodności i przejrzystości.
Czytaj dalej
Komentarz

Jak Fatalny Audyt Doprowadził do Upadku Jednej z Największych Firm Audytorskich

Audyt
Ciągłość działania
Zarządzanie ryzykiem
Zgodność
audyt, arthur andersen, upadek, ciągłość, compliance,
Bankowość i rynki finansowe
Przejdź do wszystkich wpisów