Te wyniki są nie tyle zaskoczeniem, ile raczej potwierdzeniem sytuacji, którą od dawna obserwujemy na rynku. Dyrektywa NIS2 klasyfikuje organizacje na kluczowe i ważne. Jeśli firma spełnia kryteria, sytuacja jest prosta: trzeba podjąć działania i dostosować się do wymagań.
Problem pojawia się wtedy, gdy podmiot formalnie nie wpisuje się w kryteria, a mimo to może zostać zakwalifikowany jako „kluczowy” lub „ważny”. To właśnie w takich przypadkach podczas rozmów z klientami widzimy najwięcej ich niepewności. Dlatego rekomendujemy audyt zgodności z NIS2, który pozwala ocenić realny poziom przygotowania organizacji w sytuacji, kiedy okaże się, że obowiązki jednak jej dotyczą.
Warto jednak spojrzeć na NIS2 szerzej niż tylko przez pryzmat regulacyjnego „muszę”. Nawet jeśli dana firma nie znajdzie się wprost na liście podmiotów objętych dyrektywą, to wymagania te świetnie nadają się jako fundament Systemu Zarządzania Bezpieczeństwem. To nie „zło konieczne”, ale zestaw dobrych praktyk, które realnie podnoszą poziom ochrony biznesu.
Nie można też zapominać o łańcuchach dostaw. Firmy współpracujące z podmiotami objętymi NIS2 również będą musiały zadbać o bezpieczeństwo, jeśli chcą zachować kontrakty. Innymi słowy: nawet jeśli regulacja nas nie obejmie wprost, rynek i tak może wymagać od nas spełnienia jej zapisów. Ostatecznie warto zadać sobie pytanie: czy bardziej opłaca się zastanawiać, czy „załapiemy się” pod NIS2, czy raczej skupić się na tym, by po prostu być bezpiecznym? Bo w świecie cyberataków konsekwencje braku przygotowania mogą być dużo dotkliwsze niż sama regulacja.
Partnerem publikacji jest ESET i DAGMA Bezpieczeństwo IT