Nowa dyrektywa NIS2 przesuwa punkt ciężkości z wdrażania pojedynczych rozwiązań na budowę spójnego modelu bezpieczeństwa, w którym kluczowa staje się integracja widoczności zagrożeń, mechanizmów reagowania na incydenty i kontroli dostępu. Kierunek ten znajduje odzwierciedlenie we wnioskach z raportu dotyczącego gotowości organizacji do wdrożenia NIS2, przygotowanego przy współudziale Axians.
Wyniki badania pokazują, że znaczna część polskich przedsiębiorstw znajduje się nadal na wczesnym lub bardzo wczesnym etapie wdrażania wymogów NIS2. Respondenci najczęściej wskazują na trzy bariery: wysokie koszty, niedobór specjalistów cyberbezpieczeństwa oraz brak kompetencji prawnych i compliance potrzebnych do właściwej interpretacji regulacji. Warto również pamiętać, że badanie było realizowane jeszcze przed wejściem w życie krajowych przepisów implementujących NIS2 w ramach nowelizacji ustawy o krajowym systemie cyberbezpieczeństwa. Oznacza to, że część organizacji mogła nie mieć wówczas pełnej świadomości zakresu obowiązków ani skali odpowiedzialności spoczywającej na kadrze zarządzającej. W praktyce dopiero teraz — wraz z doprecyzowaniem wymagań — można spodziewać się wyraźnego wzrostu świadomości regulacyjnej i większej aktywności firm w obszarze przygotowań.
Dojrzałość technologiczna i obszary ryzyka
Analiza poziomu dojrzałości technologicznej płynąca z wniosków raportu pokazuje, że organizacje wciąż mają trudności z zapewnieniem pełnego pokrycia procesowego wymogów NIS2. Najsłabiej wypadają obszary bezpieczeństwa dostawców oraz reagowania na incydenty — kluczowe z perspektywy nowej dyrektywy. Nieco lepiej oceniane są monitoring i detekcja, jednak wyniki wskazują raczej na istnienie narzędzi niż ich skuteczną integrację. Organizacje stosunkowo dobrze rozwijają podstawowe zabezpieczenia, ale wyraźnie odstają w monitoringu, reagowaniu, zarządzaniu ryzykiem dostawców czy raportowaniu. W mojej opinii, to właśnie warstwa operacyjna bezpieczeństwa pozostaje dziś największym wyzwaniem dla firm działających na rynku polskim.
Z naszych obserwacji wynika, że w wielu organizacjach funkcjonują rozwiązania do monitorowania zdarzeń, ochrony stacji roboczych czy kontroli dostępu, jednak działają one w rozproszeniu, bez wspólnej architektury. Tymczasem NIS2 promuje podejście systemowe — zdolność do ciągłej widoczności zagrożeń, szybkiego wykrywania incydentów, automatycznej reakcji oraz odtwarzania działania usług krytycznych.
NIS2 jako impuls do zmiany
Z perspektywy Axians dyrektywa NIS2 zmienia punkt ciężkości rozmowy — z pytania jakie narzędzie wdrożyć na jak zbudować spójny model odporności cyfrowej. Oznacza to konieczność uporządkowania środowiska bezpieczeństwa i połączenia rozwiązań z różnych obszarów, często też od różnych producentów w jeden model działania. W praktyce przekłada się to na integrację zarządzania tożsamością i uprawnieniami, bezpieczeństwa sieci, analizy zdarzeń oraz zarządzania podatnościami w jedną architekturę bezpieczeństwa.
Organizacje, które wykorzystają NIS2 jako impuls do uporządkowania architektury bezpieczeństwa, jednocześnie ograniczą dług technologiczny i wytworzą zdolność do ciągłego doskonalenia. Firmy, które potraktują dyrektywę wyłącznie jako projekt regulacyjny, będą raczej reagować na kolejne braki, zamiast budować trwałą zdolność operacyjną. W najbliższych latach kluczowa będzie integracja procesów, narzędzi i odpowiedzialności — obszar, w którym Axians od lat wspiera organizacje jako partner w projektowaniu, wdrażaniu i utrzymaniu rozwiązań cyberbezpieczeństwa.
Materiał stanowi część raportu „NIS2 – czy firmy w Polsce są gotowe na dyrektywę?”
Autor: Wojciech Gliniecki,
Infrastructure Director, Axians