- Nowa dyrektywa NIS 2 zaostrza przepisy dotyczące cyberbezpieczeństwa, grożąc karami do 10 mln euro za nieprzestrzeganie, co stawia pod presją polskie firmy.
- Aż 96% polskich firm doświadczyło cyberataku, a połowa zauważa ich wzrost, mimo że dyrektywa NIS 2, obejmująca kluczowe sektory, zaczyna obowiązywać
- Wiele firm w Polsce wciąż ręcznie zarządza kluczowymi procesami bezpieczeństwa, podczas gdy cyberprzestępcy używają AI, co podkreśla potrzebę automatyzacji
- Automatyzacja i AI to klucz do skutecznego cyberbezpieczeństwa, pozwalające skrócić czas reakcji na incydenty i obniżyć koszty związane z atakami o miliony złotych.
Nowe prawo, stare problemy. Polskie firmy na celowniku hakerów
Statystyki są alarmujące. W ciągu ostatniego roku aż 96 proc. firm w Polsce doświadczyło co najmniej jednego cyberataku, a co druga organizacja zauważyła, że zdarzają się one coraz częściej. To wzrost o 13 punktów procentowych w porównaniu z rokiem poprzednim. Każdego miesiąca nad Wisłą rejestruje się średnio 22,5 tysiąca różnych zagrożeń, głównie prób wyłudzenia danych.
Problem jest poważny, bo jak podaje Agencja Unii Europejskiej ds. Cyberbezpieczeństwa (ENISA), ponad połowa wszystkich ataków w UE jest wymierzona w sektory kluczowe dla gospodarki. To właśnie te branże obejmie nowa dyrektywa NIS 2, która zaczyna obowiązywać w Polsce w tym tygodniu. Mimo to, gotowość firm pozostawia wiele do życzenia.
– Niestety, według dostępnych raportów, jeszcze niedawno jedna czwarta polskich firm objętych nowymi regulacjami nie była w ogóle świadoma faktu, że wiąże się to z koniecznością dodatkowych działań na rzecz wzmocnienia swojego bezpieczeństwa. Aż 60 proc. nie przeprowadziło audytów zgodności z dyrektywą – alarmuje Tomasz Wykowski, Country Manager Poland w firmie Factorial.
Czym jest dyrektywa NIS 2 i kogo dotyczy?
Dyrektywa NIS 2 to unijne prawo, które ma na celu podniesienie poziomu cyberbezpieczeństwa w najważniejszych sektorach. Dotyczy to między innymi firm i instytucji z branży energetycznej, transportowej, bankowej, ochrony zdrowia, administracji publicznej, a także dostawców infrastruktury cyfrowej. Nowe przepisy wymagają od nich znacznie więcej niż dotychczas. Dyrektywa NIS 2 wprowadza nowe, znacznie bardziej restrykcyjne wymagania dotyczące cyberbezpieczeństwa dla firm i instytucji działających w najważniejszych sektorach gospodarki.
Organizacje objęte dyrektywą muszą przeprowadzić pełną inwentaryzację swoich zasobów cyfrowych, zidentyfikować potencjalne ryzyka i stworzyć udokumentowany plan ciągłego zarządzania tymi zagrożeniami. Pierwszym i najważniejszym krokiem staje się więc szczegółowy audyt, który powinien objąć całą firmę – od używanych narzędzi, przez procesy i przepływ danych, aż po uprawnienia poszczególnych pracowników.
Milionowe kary to nie wszystko. Jakie są konsekwencje zaniedbań?
Brak przygotowania na nowe regulacje może być niezwykle kosztowny. Kary za niedostosowanie się do nowych przepisów mogą sięgać 10 mln euro lub do 2 proc. rocznych przychodów firmy. To jednak niejedyny problem. Zaniedbania w obszarze bezpieczeństwa to prosta droga do paraliżu operacyjnego i utraty zaufania klientów.
– Cyberprzestępcy atakują nas dziś z wykorzystaniem zautomatyzowanych skryptów i zaawansowanej sztucznej inteligencji, tymczasem prawie połowa polskich firm próbuje zarządzać ryzykiem i dostępami pracowników za pomocą arkuszy kalkulacyjnych. NIS 2 bezlitośnie obnaży tę naiwność – komentuje Tomasz Wykowski. Ekspert podkreśla, że największe zagrożenia często nie biorą się ze skomplikowanych ataków hakerskich, ale z wewnętrznego chaosu. – Najdroższe naruszenia bezpieczeństwa nie wynikają ze złamania haseł, ale z chaosu: nieodebranych na czas uprawnień zwolnionego pracownika czy braku ewidencji sprzętu – dodaje Wykowski.
Automatyzacja i AI to klucz do bezpieczeństwa
Okazuje się, że polskie firmy wciąż w dużej mierze polegają na ręcznych metodach zarządzania bezpieczeństwem, które są nieefektywne i podatne na błędy. Tymczasem zaledwie 23 proc. polskich firm i instytucji korzysta z automatyzacji do oceny ryzyka, a aż 45 proc. polega na ręcznej pracy swoich zespołów.
Paradoksalnie, sztuczna inteligencja, która bywa narzędziem w rękach cyberprzestępców, może być również najskuteczniejszą bronią w walce z nimi. Jak pokazują globalne dane, firmy, które wdrożyły AI w swoich zespołach bezpieczeństwa, znacznie skróciły czas reakcji na incydenty. Pozwoliło im to zmniejszyć koszty związane z cyberatakami średnio o prawie 7,5 mln zł. Wdrożenie inteligentnych systemów do zarządzania uprawnieniami, sprzętem i danymi przestaje być więc kwestią wygody, a staje się warunkiem przetrwania na rynku i uniknięcia gigantycznych kar.
Podcasty
Playlisty tematyczne
