Polska znalazła się dziś w centrum globalnej mapy cyberzagrożeń. Według najnowszych danych odpowiadamy za 6% wszystkich ataków ransomware na świecie – więcej niż Stany Zjednoczone. W 2024 r. odnotowano u nas ponad 113 tys. poważnych cyberataków i 130 tys. zgłoszeń do NASK, szczególnie w sektorach energii, OZE, produkcji i logistyki. To dzieje się w czasie, gdy dyrektywa NIS2 (Network and Information Systems Directive 2) już obowiązuje, a polskie firmy mają przed sobą około pół roku na spełnienie najbardziej wymagających regulacji cyberbezpieczeństwa w historii.

Europa również nie jest przygotowana na NIS2 – i to pogłębia chaos

Tylko 15 z 27 państw UE wdrożyło krajowe przepisy, choć termin minął kilka miesięcy temu. Z najnowszych europejskich raportów wynika, że aż 75% organizacji nie ma dedykowanego budżetu na NIS2, 89% będzie musiało zatrudnić dodatkowych specjalistów ds. cyberbezpieczeństwa, a 59% MŚP już dziś ma problem z ich znalezieniem. To sprawia, że firmy w całej Unii muszą reorganizować procesy, zmieniać architekturę systemów i budować nowe kompetencje – w warunkach ostrego deficytu kadr i rosnących kosztów. W Polsce skala trudności jest większa, bo liczba podmiotów objętych regulacją ma wzrosnąć z ok. 400 do nawet 10 tys., a jednocześnie jesteśmy jednym z najczęściej atakowanych krajów świata.

Jak wyglądają realne wdrożenia na polskim rynku?

Tymczasem duża część polskiego rynku dopiero próbuje ustalić, czy w ogóle podlega nowym przepisom. Według badania „Cyberportret polskiego biznesu 2025” aż 36% ekspertów ds. cyberbezpieczeństwa nie potrafi określić statusu swojej organizacji wobec NIS2. Choć ponad połowa firm zaktualizowała polityki bezpieczeństwa, niewiele rozpoczęło realne wdrożenia, a 55% pracowników nie przeszło żadnego szkolenia cyber przez ostatnie 5 lat. Nowelizacja ustawy o KSC, która ma zaimplementować NIS2 w Polsce, wciąż jest w przygotowaniu. Po jej wejściu firmy będą mieć 30–60 dni na zgłoszenie się do rejestru i pół roku na pełne spełnienie wymogów – nawet jeśli realne wdrożenia trwają od sześciu do dwunastu miesięcy. To oznacza, że dla wielu organizacji „czas już się skończył”.

Tryb awaryjny zwiększa ryzyko

– Dyrektywa obowiązuje od dawna, przepisy krajowe za chwilę wejdą, a firmy dopiero zaczynają sprawdzać, czy w ogóle podlegają NIS2. To przepis na wdrażanie pod presją, w trybie awaryjnym, kiedy czasu jest najmniej, a ryzyko największe. NIS2 wymaga uporządkowania systemów krytycznych, ról, uprawnień, procesów raportowania i bezpieczeństwa łańcucha dostaw. NIS2 to nie jest lista życzeń regulacyjnych, to konkretne obowiązki, których nie da się wdrożyć w kilka tygodni. Widzimy, że realne projekty zajmują od pół roku do roku. Czasu jest mało, a ryzyko rośnie każdego dnia – mówi Rafał Barański, CEO braf.tech i autor sara.next, narzędzia ułatwiającego zarządzanie dostępami w całej organizacji.

5 kroków, które należy podjąć, aby uniknąć kar i chaosu

1. Określenie, czy organizacja podlega NIS2/KSC – to najczęściej pomijany etap.
2. Sporządzenie mapy systemów krytycznych – bez tego nie da się ocenić ryzyka.
3. Uporządkowanie ról, dostępów i uprawnień pracowników oraz dostawców – najbardziej czasochłonny element.
4. Przygotowanie procesu raportowania incydentów w 24 godziny – obowiązek ustawowy.
5. Przeprowadzenie przeglądu łańcucha dostaw – NIS2 nakłada odpowiedzialność także za bezpieczeństwo partnerów.

Źródło: materiały prasowe