Choć blisko 80% małych i średnich przedsiębiorstw w Polsce deklaruje, że cyberbezpieczeństwo jest dla nich wysokim priorytetem, realny poziom zabezpieczeń wciąż pozostaje niewystarczający.
Zaledwie połowa firm wdrożyła podstawowe mechanizmy ochrony, a 50% doświadczyło incydentu naruszenia bezpieczeństwa w ciągu ostatnich 24 miesięcy – wynika z raportu „Cyberbezpieczeństwo w sektorze MŚP w Polsce”, przygotowanego przez PMR by Hume’s Institute na zlecenie EXEA Data Center. Publikacja pokazuje skalę wyzwań, przed jakimi stoi polski sektor MŚP w kontekście dyrektywy NIS2 oraz nowelizacji ustawy o Krajowym Systemie Cyberbezpieczeństwa (KSC).
Dyrektywa NIS2 obowiązuje na poziomie Unii Europejskiej od października 2024 r., a w Polsce jej wymagania będą egzekwowane wraz z wejściem w życie nowelizacji ustawy o Krajowym Systemie Cyberbezpieczeństwa. Nowe przepisy zmieniają podejście firm do cyberbezpieczeństwa, rozszerzając zakres odpowiedzialności poza działy IT na całą organizację – w tym ciągłość działania, procesy biznesowe oraz decyzje zarządcze.
W praktyce oznacza to konieczność inwestycji w zabezpieczenia techniczne, uporządkowanie procesów wewnętrznych, wdrożenie procedur reagowania na incydenty oraz stałe monitorowanie bezpieczeństwa. Dla wielu przedsiębiorstw wiąże się to z dodatkowymi kosztami operacyjnymi, zmianami w organizacji pracy oraz większym zaangażowaniem kadry managerskiej w obszar zarządzania ryzykiem cybernetycznym.
Wysoka świadomość nie przekłada się na podstawowe zabezpieczenia
Blisko 80% firm z sektora MŚP przypisuje cyberbezpieczeństwu wysoki priorytet, jednak wdrożenie kluczowych mechanizmów ochrony pozostaje ograniczone.
Wieloskładnikowe uwierzytelnianie stosuje 47% badanych organizacji, a regularne kopie zapasowe kluczowych danych wykonuje 46%. Jeszcze rzadziej wdrażane są bardziej zaawansowane zabezpieczenia – szyfrowanie dysków deklaruje 34% firm, a wymuszoną zmianę haseł 33%.
— Cyberbezpieczeństwo przestało być dodatkiem do IT, a stało się jednym z fundamentów ciągłości działania organizacji. Świadomość zagrożeń jest wysoka, ale bez uporządkowanych procesów i jasno przypisanej odpowiedzialności trudno mówić o realnej odporności — komentuje Magdalena Mike, prezes zarządu w Exea.
Incydenty naruszenia bezpieczeństwa są realnym doświadczeniem MŚP
Co druga badana firma (50%) odnotowała incydent naruszenia bezpieczeństwa w ciągu ostatnich 24 miesięcy. Skala zagrożenia rośnie wraz z wielkością organizacji – w grupie średnich przedsiębiorstw (50–249 pracowników) poważne incydenty wskazało 14% firm, podczas gdy wśród małych podmiotów (10–49 pracowników) było to 5%.
— Aż połowa firm ma za sobą incydent naruszenia bezpieczeństwa, a jednocześnie tylko niewielka część organizacji uważa proces dostosowania do NIS2 za zakończony. To pokazuje, że wyzwanie dotyczy nie tylko technologii, ale przede wszystkim gotowości organizacyjnej, stałej obserwacji i zdolności do praktycznego reagowania na zagrożenia — podkreśla Łukasz Ozimek, dyrektor operacyjny Exea Data Center.
Dyrektywa NIS2 impulsem do inwestycji w IT i cyberbezpieczeństwo
Nowe regulacje stanowią istotny czynnik stymulujący inwestycje technologiczne. Aż 91% firm planuje wydatki IT w związku z koniecznością dostosowania się do dyrektywy NIS2 i nowelizacji KSC, a 81% organizacji deklaruje wzrost budżetów na cyberbezpieczeństwo w perspektywie najbliższych dwóch lat. Największą dynamikę planowanych wydatków widać w najmniejszych przedsiębiorstwach – 36% firm zatrudniających 10–49 pracowników zapowiada znaczący wzrost nakładów.
Koszty, procesy i kompetencje jako kluczowe bariery wdrożeniowe
Dostosowanie do nowych wymogów regulacyjnych stanowi dla MŚP wyzwanie nie tylko technologiczne, ale również ekonomiczne i organizacyjne. 58% firm przewiduje, że koszty związane z cyberbezpieczeństwem mogą wymusić podniesienie cen oferowanych produktów lub usług.
Jednocześnie 70% organizacji posiadających wdrożone procedury biznesowe (BPM) wskazuje na ich bezpośredni wpływ na poziom dojrzałości cyfrowej. Wciąż jednak 22% firm działa bez sformalizowanych schematów, a w grupie małych przedsiębiorstw odsetek ten sięga 31%.
Najczęściej wskazywaną barierą pozostaje brak wykwalifikowanych pracowników, deklarowany przez 35% respondentów.
Model hybrydowy i rosnąca rola zewnętrznych partnerów
W odpowiedzi na deficyt kompetencji aż 72% firm decyduje się na model hybrydowy, łączący własne zespoły IT ze wsparciem zewnętrznych dostawców. To właśnie dostawcy usług i oprogramowania są dla 29% firm najważniejszym źródłem wiedzy o cyberbezpieczeństwie, podczas gdy oficjalne źródła rządowe wskazuje jedynie 4% badanych. Przy wyborze partnera kluczowe znaczenie mają specjalistyczna wiedza (39%) oraz elastyczność współpracy (36%), znacznie częściej niż cena (25%).
Backup i ochrona danych nadal oparte na infrastrukturze lokalnej
Mimo że 57% firm korzysta z rozwiązań chmurowych, strategie ochrony danych pozostają w dużej mierze tradycyjne. Kopie zapasowe są najczęściej przechowywane na urządzeniach NAS (52%) oraz na serwerach wewnętrznych (48%), podczas gdy backup w chmurze wykorzystuje 40% badanych organizacji. Wśród małych firm 35% korzysta z nośników przenośnych, a 30% wszystkich respondentów nie posiada powtarzalnych procedur weryfikacji poprawności kopii zapasowych. Jednocześnie 42% firm planuje wdrożenie profesjonalnych rozwiązań backupu i disaster recovery w ciągu najbliższych 24 miesięcy.
— W realnym świecie o skutkach incydentu decyduje nie to, czy firma posiada konkretne narzędzia, ale czy ma jasno określone role, procedury i sposób podejmowania decyzji w momencie kryzysu. Organizacje mogą realnie poprawić swoją odporność, porządkując procesy reagowania, testując je w praktyce i zapewniając ciągłość monitoringu. NIS2 wymusza właśnie takie podejście, bo w sytuacji incydentu liczą się minuty i gotowość do działania, a nie szumne deklaracje — podsumowuje Łukasz Ozimek, dyrektor operacyjny Exea Data Center.
Metodologia badania
Raport oparto na badaniu ilościowym zrealizowanym metodą CAWI (Computer-Assisted Web Interviewing). W badaniu wzięło udział n=106 firm z sektora MŚP, zatrudniających od 10 do 249 pracowników. Respondentami byli dyrektorzy IT, CTO, menedżerowie ds. bezpieczeństwa, kierownicy działów technicznych oraz właściciele firm. Badaniem objęto wyłącznie organizacje, które rozpoczęły lub planują działania związane z dostosowaniem do dyrektywy NIS2 i/lub nowelizacji ustawy o Krajowym Systemie Cyberbezpieczeństwa.
