Cel raportu
Raport ENISA „NIS Investments 2024” stanowi kompleksową analizę wpływu implementacji dyrektywy NIS 2 na inwestycje w cyberbezpieczeństwo oraz poziom przygotowania organizacji do nowych regulacji. Opracowanie obejmuje 1350 organizacji z 27 państw członkowskich UE, reprezentujących zarówno sektory krytyczne, jak i te dopiero objęte regulacjami, takie jak infrastruktura cyfrowa, sektor kosmiczny czy gospodarka wodno-ściekowa. Dokument ten jest piątą edycją serii publikacji śledzących rozwój kluczowych wskaźników w zakresie bezpieczeństwa informacji oraz dostarczających danych do oceny skuteczności unijnego frameworku cyberbezpieczeństwa. Celem raportu jest dostarczenie politykom unijnym i krajowym dowodów na wpływ regulacji na poziom inwestycji, strategie bezpieczeństwa i dojrzałość organizacji w zarządzaniu ryzykiem. W 2024 roku, kiedy dyrektywa NIS 2 zaczyna obowiązywać, dokument oferuje także wgląd w stan przygotowań organizacji przed pełnym wdrożeniem nowych wymogów.
Wydatki na bezpieczeństwo informacji
Organizacje objęte zakresem dyrektywy NIS 2 przeznaczają średnio 9% swoich budżetów IT na bezpieczeństwo informacji, co stanowi wzrost o 1,9 punktu procentowego w porównaniu do 2023 roku. Mediana wydatków wyniosła 1,4 mln EUR, a średnia 6,7 mln EUR. W sektorach takich jak bankowość i energetyka budżety te znacząco przewyższają inne branże, osiągając mediany odpowiednio 4 mln EUR i 2,5 mln EUR. Mimo rosnących inwestycji, liczba etatów dedykowanych cyberbezpieczeństwu spada czwarty rok z rzędu. W 2023 roku tylko 11,1% pracowników IT zajmowało się bezpieczeństwem informacji, co może być efektem trudności w rekrutacji specjalistów. W szczególności MŚP, gdzie 59% organizacji zgłasza problemy z obsadzeniem kluczowych stanowisk, są szczególnie narażone na braki kadrowe.
Wyzwania kadrowe i zapotrzebowanie na specjalistów
Wraz z wejściem w życie dyrektywy NIS 2, 89% organizacji przewiduje konieczność zwiększenia zatrudnienia w obszarach takich jak architektura i operacje cyberbezpieczeństwa. Niedobory kadrowe są szczególnie widoczne w sektorach wymagających wysokiej specjalizacji technicznej. Ponadto, brak wyszkolonych specjalistów w obszarach takich jak reagowanie na incydenty, bezpieczeństwo chmury czy kryptografia postkwantowa, ogranicza zdolność organizacji do efektywnego zarządzania zagrożeniami. Raport podkreśla, że nawet w przypadku dużych organizacji wzrost inwestycji w technologie bezpieczeństwa nie przekłada się bezpośrednio na poprawę wskaźników zatrudnienia w cyberbezpieczeństwie. 32% organizacji zgłasza trudności w rekrutacji specjalistów ds. bezpieczeństwa, szczególnie w obszarach architektury i operacji cyberbezpieczeństwa. W coraz większym stopniu organizacje inwestują w automatyzację procesów przy użyciu AI, co może ograniczać zapotrzebowanie na personel w niektórych obszarach.
Przystosowanie do wymagań dyrektywy NIS 2
Organizacje nowo objęte regulacjami, takie jak podmioty z sektora ICT czy administracji publicznej, inwestują na poziomie porównywalnym z sektorami wcześniej objętymi dyrektywą NIS. Mimo to, ich dojrzałość w zarządzaniu ryzykiem oraz zdolność do wykrywania i reagowania na zagrożenia pozostaje niższa. Sektory te odnotowują również niższy poziom uczestnictwa w inicjatywach dzielenia się informacjami o zagrożeniach, co obniża ich ogólną odporność cybernetyczną. Ważnym wyzwaniem dla wielu organizacji jest spełnienie wymogów dotyczących zarządzania ciągłością działania, obsługi podatności i wdrożenia wieloskładnikowego uwierzytelniania. Wielu respondentów wskazuje również, że brak zasobów finansowych i kadrowych jest ograniczeniem w realizacji celów zgodności z regulacjami.
Zarządzanie ryzykiem i bezpieczeństwo łańcucha dostaw
Jedynie 75% organizacji posiada politykę zarządzania ryzykiem w łańcuchu dostaw. W sektorach takich jak gospodarka wodno-ściekowa, produkcja czy administracja publiczna, brak takich polityk jest jeszcze bardziej widoczny. Dodatkowo, 20% organizacji z nowych sektorów deklaruje, że nie ocenia swoich dostawców pod kątem bezpieczeństwa i opiera się na zaufaniu do łańcucha dostaw. Raport zwraca uwagę na potrzebę bardziej rygorystycznych procedur wyboru dostawców, szczególnie w kontekście rosnącej liczby incydentów związanych z bezpieczeństwem dostarczanych produktów i usług IT/OT. Wdrażanie certyfikacji bezpieczeństwa oraz regularnych audytów może znacząco poprawić poziom zabezpieczeń w całym łańcuchu dostaw.
Oczekiwania dotyczące cyberataków i gotowość organizacji
Zdecydowana większość organizacji (90%) spodziewa się wzrostu liczby cyberataków w najbliższym roku. Mimo to, uczestnictwo w inicjatywach przygotowawczych pozostaje ograniczone, szczególnie wśród sektorów nowo objętych regulacjami. Większość działań ma charakter wewnętrzny, co wskazuje na brak efektywnej współpracy między podmiotami. Jednym z obszarów wymagających uwagi jest zarządzanie podatnościami. 60% incydentów w latach 2022-2023 było wynikiem wykorzystania znanych luk bezpieczeństwa, które nie zostały załatane. Opóźnienia w stosowaniu poprawek zwiększają ryzyko udanych ataków, szczególnie w sektorach o ograniczonych zasobach IT.
Wnioski
Raport ENISA wskazuje na znaczący postęp w inwestycjach i strategiach zarządzania ryzykiem, jednak podkreśla również liczne wyzwania. Organizacje muszą zwiększyć inwestycje nie tylko w technologie, ale także w rozwój kadr i współpracę międzysektorową. Szczególna uwaga powinna być poświęcona wsparciu dla MŚP, które borykają się z największymi trudnościami w realizacji wymogów dyrektywy NIS 2. W obliczu rosnącej liczby zagrożeń kluczowe pozostaje stworzenie bardziej zintegrowanego podejścia do zarządzania ryzykiem, które uwzględnia zarówno aspekty techniczne, jak i organizacyjne.
Link do raportu
https://www.enisa.europa.eu/publications/nis-investments-2024
Autor: Artur Cieślik