Informacijska varnost je zavezancih po NIS 2 leta 2024 dosegla vrednost 9 odstotkov naložb v IT. Gre za 1,9 odstotne točke več kot leta 2022 in pomeni drugo zaporedno leto rasti naložb v kibernetsko varnost po pandemiji. Tako je pokazala Enisina peta izdaja poročila NIS Investments, ki podaja vpogled, kako organizacije, za katere velja direktiva NIS 2, dodeljujejo svoje proračune za kibernetsko varnost, gradijo svoje zmogljivosti in kako dozorevajo glede na določbe direktive. Poročilo povzema stanje 1.350 organizacij iz 27 držav EU, ki delujejo v najbolj kritičnih sektorjih po direktivi NIS 2 in proizvodni sektor, pri čemer ponuja tudi poglobljen pregled v sektorjih digitalne infrastrukture in vesolja.
Med ključnimi ugotovitvami poročila so, da so se glede na mediano izdatki za informacijsko varnost podvojili z 0,7 milijona evrov na 1,4 milijona evrov, pri letni porabi za IT v višini 15 milijonov evrov. Večina organizacij predvideva enkratno ali stalno povečanje proračunskih sredstev za kibernetsko varnost zaradi uskladitve z NIS 2, pri čemer pa veliko subjektov ne bo moglo pridobiti potrebnih proračunskih sredstev. Med majhnimi in srednimi podjetji več kot tretjina – 34 odstotkov.
Težave s kadri le še naraščajo
Podjetja se ob povečevanju naložb srečujejo s kadrovskimi izzivi, saj se je delež polno zaposlenih strokovnjakov za informacijsko varnost v oddelkih IT zmanjšal že četrto leto zapored in padel z 11,9 na 11,1 odstotka. 32 odstotkov organizacij in kar 50 odstotkov ponudnikov upravljanih storitev ima težave pri zapolnjevanju zlasti tehničnih delovnih mest pri kibernetski varnosti. Ta trend je še posebej opazen glede na to, da 89 odstotkov organizacij pričakuje potrebe po dodatnem osebju za kibernetsko varnost za izpolnjevanje zahtev NIS2.
9 od 10 organizacij pričakuje napad
ENIS-ino poročilo opozarja, da kar 90 odstotkov subjektov pričakuje povečanje kibernetskih napadov v naslednjem letu, in sicer v smislu obsega, stroškov ali obojega. Kljub temu jih 74 odstotkov svoja prizadevanja za pripravljenost na kibernetsko varnost osredotoča na notranjo raven, veliko manj pa jih sodeluje v pobudah na nacionalni ravni ali ravni EU. Kot ocenjujejo pru ENIS-i ta vrzel izpostavlja ključno področje izboljšav – učinkovito čezmejno sodelovanje pri obvladovanju obsežnih incidentov, ki ga je možno doseči le s sodelovanjem na teh višjih ravneh.
Novim področjem, kot je post-kvantna kriptografija, je trenutno namenjena omejena pozornost, saj vanje vlaga le 4 odstotke anketiranih subjektov, vendar pa naložbe v post-kvantno kriptografijo pričakuje 14 odstotkov subjektov.
Stari mački bolje pripravljeni
V splošnem velja, da so subjekti v sektorjih, ki so že zajeti v NIS, uspešnejši od tistih, ki so na novo vključeni v NIS 2 in po različnih kazalnikih upravljanja kibernetske varnosti, tveganja in skladnosti. Podobno subjekti v novih sektorjih NIS 2 izkazujejo nižjo stopnjo vključenosti in višjo stopnjo neudeležbe v dejavnostih pripravljenosti na kibernetsko varnost.
Splošna ozaveščenost med subjekti, ki so vključeni v sistem, je sicer spodbudna, saj jih 92 odstotkov pozna splošno področje uporabe ali posebne določbe direktive NIS 2. Vendar se precejšen odstotek subjektov v nekaterih novih sektorjih NIS 2 še vedno ne zaveda pomena in posledic direktive, kar kaže na morebitno potrebo po okrepitvi ozaveščanja s strani pristojnih nacionalnih organov.