W odpowiedzi na rosnące niebezpieczeństwa cybernetyczne Unia Europejska wprowadziła Dyrektywę NIS2, która znacząco zaostrza wymagania dotyczące ochrony przed cyberatakami w kluczowych sektorach. Celem nowych przepisów jest zwiększenie odporności firm i instytucji na zagrożenia cyfrowe, jednak wdrożenie tych regulacji wiąże się z dużymi wyzwaniami, zarówno finansowymi, jak i organizacyjnymi. Grafton Recruitment podkreśla, że outsourcing specjalistów IT staje się skuteczną strategią dla przedsiębiorstw, które chcą sprostać tym wymogom, jednocześnie optymalizując swoje działania.
Na skróty:
Czego dotyczą nowe przepisy?
Dyrektywa NIS2 weszła w życie 16 stycznia 2023 roku, a czas na dostosowanie się do jej wymogów mija 17 października 2024 roku. Po upływie tego terminu, nowe przepisy będą obowiązywać we wszystkich krajach Unii Europejskiej. W porównaniu do Dyrektywy NIS z 2016 roku, nowy dokument rozszerza zakres regulacji na szeroką gamę przedsiębiorstw, obejmując zarówno duże, jak i średnie oraz małe firmy działające w sektorach kluczowych dla bezpieczeństwa i funkcjonowania społeczeństwa, takich jak energetyka, transport, bankowość, służba zdrowia, administracja publiczna i usługi cyfrowe. Nowe regulacje nie obejmą jednak mikroprzedsiębiorstw, które zatrudniają mniej niż 10 osób i mają roczny obrót lub sumę bilansową nieprzekraczającą 2 milionów euro. Ponadto, dyrektywa nie ma zastosowania do przedsiębiorców świadczących usługi wyłącznie na rzecz podmiotów administracji publicznej oraz prowadzących działania w obszarach bezpieczeństwa narodowego, bezpieczeństwa publicznego, obronności lub egzekwowania prawa, w tym zapobiegania przestępstwom, prowadzenia postępowań w ich sprawie, wykrywania ich i ścigania.
Nowe przepisy wymagają od przedsiębiorstw przeprowadzania regularnych ocen ryzyka, identyfikacji zagrożeń oraz wdrażania zaawansowanych zabezpieczeń technicznych i organizacyjnych, takich jak zarządzanie incydentami, zabezpieczenia IT, szyfrowanie danych i zapewnienie ciągłości działania. Istotnym wymogiem jest również zaangażowanie kadry zarządzającej w zarządzanie ryzykiem, co oznacza, że menedżerowie muszą być świadomi zagrożeń i odpowiedzialni za decyzje związane z bezpieczeństwem cyfrowym.
Nieprzestrzeganie wymagań dyrektywy wiąże się z surowymi sankcjami finansowymi, które mają na celu zmotywowanie firm do działania zgodnie z przepisami i wzięcie przez nie odpowiedzialności za wprowadzenie procedur bezpieczeństwa. Firmy określane w dyrektywie jako kluczowe mogą być ukarane grzywnami do 10 milionów euro lub 2% rocznego światowego obrotu, natomiast podmioty ważne mogą liczyć się z karami do 7 milionów euro lub 1,4% rocznego obrotu, zależnie od tego, która kwota jest wyższa. Klasyfikacja podmiotów określa, które firmy są zobowiązane do spełnienia wymogów dyrektywy NIS2, bazując na ich znaczeniu dla funkcjonowania kluczowych sektorów gospodarki oraz ich roli w zapewnianiu bezpieczeństwa i ciągłości działania infrastruktury krytycznej. Zależy ona od wielkości firmy, jej udziału w rynku, znaczenia w sektorze, stopnia zależności innych podmiotów od jej usług, a także rodzaju działalności i poziomu zaangażowania w zarządzanie krytyczną infrastrukturą. Podział na podmioty kluczowe i ważne pomaga dostosować zakres obowiązków oraz potencjalnych sankcji do wpływu, jaki dane przedsiębiorstwo ma na bezpieczeństwo cyfrowe w Unii Europejskiej.
Brak specjalistów w zakresie cyberbezpieczeństwa
– Widzimy ogromne zapotrzebowanie na specjalistów ds. cyberbezpieczeństwa. Ofert jest bardzo dużo, ich liczba przewyższa dostępność ekspertów. Warto przy tym zauważyć, że nie wszystkie firmy zatrudniają osoby na tych stanowiskach – na 50 przeanalizowanych przez nas polskich firm robi to tylko 60% z nich. Wynika to z faktu, że ten obszar nie wszędzie jest jeszcze postrzegany jako priorytet. Drugim czynnikiem jest niedobór specjalistów. Tymczasem zapotrzebowanie będzie się zwiększać, zwłaszcza po wdrożeniu dyrektywy NIS2.– wyjaśnia Agata Jemioła, Branch Manager w Grafton Recruitment.
Obecnie najwięcej specjalistów ds. cyberbezpieczeństwa pracuje w sektorze telekomunikacji, IT oraz usługach finansowych. Zapotrzebowanie nadal będzie rosło, przede wszystkim w organizacjach z sektora finansowego – w bankach, firmach ubezpieczeniowych, firmach inwestycyjnych, fintech, u dostawców usług ICT ze względu na wymogi prawne.
– Warto zaznaczyć, że najsłabiej zabezpieczone pod względem cyberbezpieczeństwa są obecnie instytucje samorządowe oraz małe przedsiębiorstwa. Można zakładać, że wraz z rosnącą świadomością roli zabezpieczeń oraz wprowadzanymi wymogami prawnymi także i one zwrócą uwagę na ten obszar –– dodaje Agata Jemioła, Branch Manager w Grafton Recruitment.
Wdrożenie wymogów NIS2 utrudnia globalny niedobór specjalistów ds. cyberbezpieczeństwa. Z raportu Fortinet „2023 Cybersecurity Skills Gap Report” wynika, że 68% organizacji na świecie boryka się z brakiem wykwalifikowanych pracowników w tej dziedzinie, co znacząco utrudnia skuteczną ochronę przed zagrożeniami. Braki kadrowe prowadzą do opóźnień w implementacji niezbędnych zabezpieczeń, zwiększając podatność firm na ataki i naruszenia danych. Dodatkowo, 56% firm wskazuje, że trudności w obsadzaniu kluczowych ról w zespołach bezpieczeństwa wydłużają procesy rekrutacyjne i podnoszą koszty zatrudnienia, a aż 84% organizacji uważa, że te niedobory negatywnie wpływają na ich zdolność do ochrony przed cyberzagrożeniami. W rezultacie, wiele przedsiębiorstw zmuszonych jest do wdrażania tymczasowych rozwiązań, które nie zawsze spełniają wymagane standardy bezpieczeństwa, co dodatkowo potęguje ryzyko operacyjne.
Outsourcing jako skuteczna odpowiedź na wyzwania NIS2
W kontekście nowych wymagań, outsourcing funkcji związanych z ochroną danych staje się coraz bardziej efektywnym rozwiązaniem. Zewnętrzni dostawcy usług IT oferują dostęp do wiedzy i doświadczenia ekspertów oraz nowoczesnych technologii, co umożliwia szybkie wdrożenie standardów bezpieczeństwa bez konieczności tworzenia i utrzymywania kosztownych zespołów wewnętrznych. Z raportu Grafton Recruitment „Raport wynagrodzeń IT 2024” wynika, że wynagrodzenia specjalistów ds. cyberbezpieczeństwa w Polsce różnią się w zależności od lokalizacji. Najniższe wynagrodzenia zaczynają się od 13 000 do 17 000 PLN brutto miesięcznie, podczas gdy najwyższe, oferowane głównie w dużych miastach, wynoszą od 20 000 do 25 000 PLN. Rozbieżności te wynikają z różnic regionalnych, takich jak lokalny rynek pracy oraz poziom zapotrzebowania na usługi w zakresie cyberbezpieczeństwa. Koszty zatrudnienia mogą znacząco obciążać budżet firmy, co czyni outsourcing atrakcyjnym rozwiązaniem, pozwalającym na ograniczenie wydatków przy jednoczesnym zapewnieniu wysokiego poziomu ochrony danych.
– Dyrektywa NIS2 stawia przed firmami wymagania, które wiążą się nie tylko z nakładami finansowymi, ale także z koniecznością strategicznego podejścia do zarządzania bezpieczeństwem. W takim kontekście outsourcing specjalistów staje się skutecznym rozwiązaniem, które pozwala firmom szybko dostosować się do nowych regulacji, jednocześnie minimalizując ryzyko i koszty. To nie tylko sposób na spełnienie wymogów prawnych, ale również na budowanie trwałej ochrony przed zagrożeniami – mówi Elżbieta Wandas-Gąciarz, Business Development Manager w Grafton Recruitment.
Zewnętrzni dostawcy oferują elastyczne modele usług, które można dostosować do bieżących potrzeb przedsiębiorstw, co umożliwia dynamiczne skalowanie i redukcję kosztów operacyjnych. Outsourcing eliminuje potrzebę inwestowania w kosztowne technologie i zatrudniania specjalistów na stałe, co jest kluczowe w szybko zmieniającym się środowisku. Dzięki temu firmy mogą nie tylko spełniać wymogi NIS2, ale również budować elastyczne i długoterminowe strategie bezpieczeństwa, które są odporne na zmieniające się zagrożenia. To podejście zapewnia najwyższy poziom ochrony danych, co jest istotne dla budowania zaufania klientów i partnerów biznesowych oraz utrzymania przewagi konkurencyjnej na rynku.
