Badanie przygotowane przez PMR by Hume’s Institute na zlecenie EXEA Data Center objęło 106 firm zatrudniających od 10 do 249 pracowników. Wyniki wskazują na wyraźną lukę między świadomością zagrożeń a prawdziwym poziomem zabezpieczeń.
Priorytet na papierze, luki w praktyce
Choć niemal 80 proc. MŚP deklaruje wysoką wagę cyberbezpieczeństwa, wdrożenie podstawowych mechanizmów ochrony pozostaje ograniczone. Wieloskładnikowe uwierzytelnianie stosuje 47 proc. firm, regularne kopie zapasowe wykonuje 46 proc., a szyfrowanie dysków deklaruje 34 proc. organizacji.
– Cyberbezpieczeństwo przestało być dodatkiem do IT, a stało się jednym z fundamentów ciągłości działania organizacji. Świadomość zagrożeń jest wysoka, ale bez uporządkowanych procesów i jasno przypisanej odpowiedzialności trudno mówić o realnej odporności – komentuje Magdalena Mike, Prezes Zarządu EXEA.
Nowe przepisy rozszerzają odpowiedzialność za bezpieczeństwo poza działy IT. Obejmują ciągłość działania, procesy biznesowe i decyzje zarządcze. To oznacza nie tylko inwestycje w technologię, ale również zmiany organizacyjne.
Aż 50 proc. badanych przedsiębiorstw odnotowało incydent naruszenia bezpieczeństwa w ciągu ostatnich 24 miesięcy. W grupie średnich firm (50-249 pracowników) poważne incydenty wskazało 14 proc. podmiotów, podczas gdy wśród mniejszych (10-49 pracowników) było to 5 proc.
– Aż połowa firm ma za sobą incydent naruszenia bezpieczeństwa, a jednocześnie tylko niewielka część organizacji uważa proces dostosowania do NIS2 za zakończony. To pokazuje, iż wyzwanie dotyczy nie tylko technologii, ale przede wszystkim gotowości organizacyjnej, stałej obserwacji i umiejętności praktycznego reagowania na zagrożenia – mówi Łukasz Ozimek, Dyrektor Zarządzający EXEA.
Regulacje są impulsem do inwestycji
Dyrektywa NIS2 i nowelizacja KSC stają się czynnikiem przyspieszającym inwestycje. 91 proc. firm planuje wydatki IT w związku z dostosowaniem do nowych regulacji, a 81 proc. deklaruje wzrost budżetów na cyberbezpieczeństwo w ciągu najbliższych dwóch lat.
Największą dynamikę planowanych nakładów widać w najmniejszych przedsiębiorstwach. 36 proc. firm zatrudniających od 10 do 49 pracowników zapowiada znaczący wzrost wydatków.
Wdrożenie nowych wymagań to jednak wyzwanie finansowe i organizacyjne. 58 proc. przedsiębiorstw przewiduje, iż rosnące koszty cyberbezpieczeństwa mogą wymusić podniesienie cen produktów lub usług. 35 proc. firm wskazuje na brak wykwalifikowanych pracowników jako główną barierę.
W odpowiedzi na deficyt kompetencji 72 proc. MŚP wybiera model hybrydowy – łączący własne zespoły IT ze wsparciem zewnętrznych dostawców. Co istotne, dla 29 proc. firm to właśnie dostawcy usług i systemu są głównym źródłem wiedzy o cyberbezpieczeństwie, podczas gdy oficjalne źródła rządowe wskazuje jedynie 4 proc. respondentów.
Backup wciąż lokalny
Choć 57 proc. firm korzysta z rozwiązań chmurowych, strategie ochrony danych pozostają w dużej mierze tradycyjne. Kopie zapasowe przechowywane są głównie na urządzeniach NAS (52 proc.) i serwerach wewnętrznych (48 proc.). Backup w chmurze wykorzystuje 40 proc. badanych.
Co więcej, 30 proc. firm nie posiada powtarzalnych procedur weryfikacji poprawności kopii zapasowych. Jednocześnie 42 proc. planuje wdrożenie profesjonalnych rozwiązań backupu i disaster recovery w ciągu najbliższych dwóch lat.
– W realnym świecie o skutkach incydentu decyduje nie to, czy firma posiada konkretne narzędzia, ale czy ma jasno określone role, procedury i sposób podejmowania decyzji w momencie kryzysu. Organizacje mogą realnie poprawić swoją odporność, porządkując procesy reagowania, testując je w praktyce i zapewniając ciągłość monitoringu. NIS2 wymusza właśnie takie podejście, bo w sytuacji incydentu liczą się minuty i gotowość do działania, a nie szumne deklaracje – dodaje Łukasz Ozimek.
Polecamy także:
- Azjatyckie giełdy zamknięte, metale pod presją. Rynek czeka na powrót Chin
- Przedsiębiorcy: prezydent powinien podpisać ustawę o KSC. To inwestycja w gospodarkę
