Un sondaj privind securitatea cibernetică în companii, realizat de Oficiul Federal pentru Securitate în Tehnologia Informației (BSI) și Asociația TÜV arată că s-a înregistrat o creștere a nivelului de amenințare. Pe de altă parte, rezultatele sondajului semnalează că multe companii subestimează situația și supraestimează propria reziliență. BSI avertizează împotriva unei siguranțe înșelătoare.
În plus, doar aproximativ jumătate dintre respondenți au declarat că au cunoștință de cea de-a doua directivă UE privind securitatea rețelelor și a informațiilor (NIS-2). Odată cu transpunerea Directivei NIS 2 în legislația națională, BSI va deveni autoritatea de supraveghere pentru un număr mult mai mare de întreprinderi decât până acum.
Pentru infrastructurile critice existente (KRITIS), acest lucru nu va schimba probabil prea multe lucruri, dar pentru aproximativ 29.000 de entități „esențiale” și „importante”, în conformitate cu Directiva NIS 2, vor apărea pentru prima dată obligații legale. Dr. Michael Fübi, președintele asociației TÜV: „Economia germană se află în vizorul hackerilor statali și criminali, care vor să fure date sensibile, bani sau să saboteze structuri importante de aprovizionare. Cu toate acestea, multe companii par să subestimeze riscurile. Nouă din zece (91 %) își evaluează securitatea cibernetică ca fiind bună sau foarte bună. Și una din patru companii (27 %) afirmă că securitatea IT joacă un rol minor sau chiar deloc important pentru ele.
Majoritatea se pronunță în favoarea unor reglementări legale pentru a spori nivelul de protecție în economie: 56% consideră că toate companiile ar trebui să fie obligate să ia măsuri adecvate pentru securitatea cibernetică. Guvernul federal ar trebui să adopte cât mai curând implementarea națională, deja întârziată, a directivei NIS2.
Cele mai importante rezultate ale studiului, pe scurt:
- Creșterea incidentelor de securitate IT: 15% dintre companii au fost victime ale unui atac cibernetic în 2024 – o creștere de 4 puncte procentuale față de studiul TÜV Cybersecurity din 2023. Tipul de atac cel mai frecvent: phishing (84%).
- Inteligența artificială – armă de atac, nu de apărare: 51% dintre companii suspectează atacuri susținute de AI, însă doar 10% folosesc inteligența artificială pentru apărare, de exemplu pentru detectarea anomaliilor sau reacții automate.
- Lanțurile de aprovizionare ca punct vulnerabil: 10% dintre companii au fost atacate prin furnizori sau clienți. Deși 32% impun cerințe de securitate partenerilor, auditurile reale sunt rare.
- Supradimensionarea nivelului de protecție: 91% dintre companii se consideră „bine protejate” – în ciuda numărului tot mai mare de atacuri și a măsurilor tehnice adesea insuficiente.
- Normele sunt apreciate, dar rar aplicate integral: 70% le consideră importante, însă doar 22% le implementează în mod consecvent.
- Majoritatea cere reglementare: 56% sunt pentru obligații legale privind securitatea cibernetică. Cu toate acestea, doar jumătate dintre respondenți cunosc directiva NIS2 – un punct nevralgic periculos.