Rząd przyjął projekt ustawy o Krajowym Systemie Cyberbezpieczeństwa (KSC), który ma wdrożyć unijną dyrektywę NIS2. To kluczowy krok w kierunku zwiększenia odporności cyfrowej polskich firm i instytucji, jednak – jak pokazuje raport „Cyberportret polskiego biznesu 2025” – świadomość nowych obowiązków wciąż jest niska. Z badania wynika, że 36% ekspertów ds. cyberbezpieczeństwa nie wie, czy ich firma jest objęta regulacją, mimo że 53% organizacji już zaktualizowało swoje polityki bezpieczeństwa, a 35% zatrudniło dodatkowych specjalistów.
Dyrektywa NIS2 wymaga od firm uznanych za „kluczowe” lub „ważne” wdrożenia procedur ochrony, raportowania incydentów i szkoleń dla kadry zarządzającej. Państwa UE miały czas na uchwalenie odpowiednich przepisów do 17 października 2024 roku, jednak Polska sfinalizowała prace dopiero teraz.
Skala zagrożeń natomiast nieustannie rośnie. Według danych ESET, Polska była w pierwszej połowie 2025 roku najczęściej atakowanym przez ransomware krajem na świecie, odpowiadając za 6% wszystkich globalnych incydentów.
Niepewność wokół NIS2 – firmy działają po omacku
Fakt, że aż 36% ekspertów ds. cyberbezpieczęństwa nie ma pewności, czy ich firma podlega nowym regulacjom, może przynieść szereg problemów. Dodatkową trudnością jest tu również kwestia łańcucha dostaw. Wiele organizacji, które nie będą spełniały określonych standardów cyberbezpieczeństwa może bowiem zostać „wykluczonych” z rynku.
„Firmy współpracujące z podmiotami objętymi NIS2 również będą musiały zadbać o bezpieczeństwo, jeśli chcą zachować kontrakty. Innymi słowy: nawet jeśli regulacja nas nie obejmie wprost, rynek i tak może wymagać od nas spełnienia jej zapisów” – mówi Piotr Piasecki, Cybersecurity services consultant, DAGMA Bezpieczeństwo IT.
Ten wysoki poziom niepewności może świadczyć o trudnościach firm w ocenie ryzyk regulacyjnych oraz o niewystarczającej współpracy między działami prawnymi, compliance i IT. Sytuację dodatkowo komplikuje skomplikowane prawo, brak jednoznacznych interpretacji branżowych oraz niski poziom dojrzałości regulacyjnej – zwłaszcza w sektorze MŚP. Taka luka informacyjna może prowadzić do opóźnień we wdrażaniu wymaganych działań i zwiększa ryzyko nałożenia sankcji.
Nowe procedury i stare problemy
Mimo wspomnianych wahań wiele firm wdraża już zmiany, które wynikają bezpośrednio z dyrektywy NIS2. Najczęściej podejmowanym działaniem jest aktualizacja polityki cyberbezpieczeństwa, którą przeprowadziło 53% organizacji, a kolejne 34% planuje to zrobić. Równolegle 51% firm zorganizowało dodatkowe szkolenia dla pracowników, a 38% ma je w planach.
Wśród działań wymagających większych nakładów finansowych lub zaawansowanych procesów – takich jak wdrażanie nowych narzędzi ochrony czy zwiększanie budżetu na bezpieczeństwo IT – również widać wyraźny postęp. 43% firm zrealizowało te inicjatywy, a kolejne 40-46% jest w trakcie przygotowań. Podobnie wygląda sytuacja z audytami i testami penetracyjnymi. Przeprowadziło je 42% organizacji, a tyle samo planuje je wdrożyć w najbliższym czasie. Na tle ogółu badanych firm to zdecydowanie lepszy wynik, ponieważ po testowanie odporności na cyberzagrożenia sięga tylko 25% przedsiębiorstw w Polsce.
Największym wyzwaniem dla wielu organizacji wciąż pozostają kwestie kadrowe czyli pozyskanie odpowiednich specjalistów ds. cyberbezpieczeństwa. Jak wynika z danych, jedynie 35% firm do tej pory zatrudniło dodatkowych ekspertów w tym obszarze, a 43% deklaruje, że planuje taki krok w najbliższym czasie. To oznacza, że dla dużej części rynku budowa odpowiednich kompetencji w zespole nadal pozostaje w fazie planowania. Co istotne, aż 19% firm nie przewiduje żadnych działań związanych z zatrudnieniem nowych specjalistów. Może to świadczyć o poważnych barierach, zarówno związanych z ograniczoną dostępnością wykwalifikowanych kandydatów, jak i z trudnościami budżetowymi, które uniemożliwiają rozszerzenie zespołów IT, wskazują autorzy raportu.
