CyberDefence24
Reklama
  • sponsorowane
  • WIADOMOŚCI

Prezydent podpisał ustawę o KSC, tymczasem 36% polskich firm nie wie, czy obejmuje je dyrektywa NIS2

CyberDefence24
4 min.

Na przedsiębiorstwa działające w Polsce nałożone zostaną dodatkowe obowiązki. To efekt przyjętej nowelizacji ustawy o krajowym systemie cyberbezpieczeństwa, która implementuje unijną dyrektywę NIS 2. Czy biznes nad Wisłą jest gotowy na nowe regulacje?

biznes cyberbezpieczeństwo
Polskie firmy są gotowe na nowelizację KSC?
Autor. CyberDefence24/Canva

Po 6 latach, wielu wersjach i licznych zmianach nowelizacja ustawy o krajowym systemie cyberbezpieczeństwa została przyjęta przez parlament, a następnie podpisana przez prezydenta Karola Nawrockiego. Regulacja, wdrażająca do polskiego systemu prawnego zapisy unijnej dyrektywy NIS 2, została już opublikowana w Dzienniku Ustaw

Przypomnijmy, że nowela zakłada m.in. wprowadzenie instytucji dostawcy wysokiego ryzyka, utworzenie CSIRT-ów sektorowychrozszerzenie listy podmiotów zaliczanych do krajowego systemu cyberbezpieczeństwa oraz dofinansowanie takich instytucji jak NASK. 

Regulacja jest ważna nie tylko z perspektywy podmiotów państwowych, ale również przedsiębiorstw, na które nałożone zostaną nowe obowiązki. W szczególności mówimy o firmach z 18 branż, wprost wymienionych w ustawie:

  • energia (sektor kluczowy),
  • transport (sektor kluczowy),
  • bankowość (sektor kluczowy),
  • infrastruktura rynków finansowych (sektor kluczowy),
  • ochrona zdrowia (sektor kluczowy),
  • zapotrzebowanie na wodę pitną i jej dystrybucja (sektor kluczowy),
  • infrastruktura cyfrowa (sektor kluczowy),
  • ścieki (sektor kluczowy), 
  • zarządzanie usługami ICT (sektor kluczowy),
  • administracja publiczna (sektor kluczowy),
  • przestrzeń kosmiczna (sektor kluczowy),
  • usługi pocztowe i kurierskie (sektor ważny),
  • gospodarkowanie odpadami (sektor ważny),
  • produkcja, wytwarzanie i dystrybucja chemikaliów (sektor ważny),
  • produkcja (sektor ważny),
  • dostawcy usług cyfrowych (sektor ważny),
  • badania naukowe (sektor ważny).

Nowe przepisy oznaczają dla nich konieczność podniesienia minimalnych standardów bezpieczeństwa, w tym w zakresie np. reagowania na incydenty, raportowania, zarządzania ryzykiem czy kontroli dostępu. Na ile są gotowe na zmiany?

Reklama

Nowe obowiązki firm. Ryzyko opóźnień i kar

Z raportu „Cyberportret polskiego biznesu 2025”, opracowanego przez DAGMA Bezpieczeństwo IT i ESET, wynika, że świadomość wśród polskich organizacji wciąż jest ograniczona. Według przedstawionych danych, aż 36% ekspertów ds. cyberbezpieczeństwa nie jest pewnych, czy ich firma w ogóle podlega NIS2.

W największym stopniu wspomniana niepewność dotyczy klasyfikacji podmiotów oraz wpływu regulacji na łańcuch dostaw. Co ważne, nawet firmy formalnie nieobjęte ustawą mogą zostać objęte jej skutkami pośrednio – jako dostawcy podmiotów kluczowych i ważnych.

Jak wskazuje ESET, wyniki mogą oznaczać, że w przedsiębiorstwach występują ograniczone zdolności do oceny ryzyk regulacyjnych oraz brak efektywnych mechanizmów przekazywania informacji między kluczowymi działami: prawnymi, compliance oraz IT. 

Przyczyną mogą być też m.in. złożone zapisy prawneniewłaściwe interpretacje czy relatywnie niski poziom dojrzałości prawnej, przede wszystkim wśród małych i średnich firm. 

Obserwowana luka informacyjna stwarza ryzyko opóźnień we wdrożeniu wymaganych środków oraz naraża firmy na potencjalne sankcje” – zwraca uwagę ESET. 

Punktem wyjścia do zmiany tej sytuacji powinny być działania edukacyjne oraz korzystanie z usług doradców. Dzięki temu możliwe będzie np. zidentyfikowanie swojej organizacji w środowisku regulacyjnym w odniesieniu do nowych przepisów oraz zaplanowanie projektów dostosowawczych.

Nowelizacja KSC. Polski biznes jest gotowy na zmiany?

Z drugiej strony nie brakuje firm, które są świadome zmian i już podejmują kroki, aby dostosować swoją organizację do przyjętego prawa. Tu możemy wyróżnić dwa główne obszary, gdzie przedsiębiorstwa wykazują najwyższą aktywność. 

Ponad połowa (53 proc.) zbadanych podmiotów zaktualizowało już swoją politykę cyberbezpieczeństwa, z kolei kolejne 34 proc. zamierza to zrobić w najbliższym czasie. 

59 proc. dużych firm objętych NIS2 korzysta z dedykowanych szkoleń w tym zakresie, by być lepiej przygotowanymi. 51 proc. średnich firm decyduje się na takie szkolenia, by zwiększać swoją wiedzę.
Raport „Cyberportret polskiego biznesu 2025" ESET i DAGMA Bezpieczeństwo IT

Badanie przeprowadzone przez ESET pokazuje, że największym wyzwaniem są kwestie kadrowe. Jedynie 35 proc. przedsiębiorstw zatrudniło dodatkowych ekspertów zajmujących się cyberbezpieczeństwem, 43 proc. chce to zrobić, a 19 proc. nie przewiduje poszerzenia zespołu. Może mieć to związek z ograniczonym budżetem lub brakami specjalistów na rynku.

ESET „Cyberportret polskiego biznesu 2025”
Raport „Cyberportret polskiego biznesu 2025”
Autor. ESET

Wyniki badania wprost pokazują, że w ujęciu ogólnym polskie firmy aktywnie przygotowują się do nowych wymogów, wynikających z NIS 2 i nowelizacji KSC. Jest to widoczne przede wszystkim w obszarze edukacji i zmian organizacyjnych. Tempo podejmowanych działań różni się w zależności od posiadanych zasobów oraz świadomości. 

Wciąż jednak istnieje grupa podmiotów, które pozostają bierne. Taka postawa wiąże się nie tylko z podatnością na zagrożenia, ale również brakiem zgodności z obowiązującym prawem. 

Reklama

Dostosuj firmę do nowych przepisów. Rynek będzie tego wymagał

Wyniki raportu nie są zaskoczeniem, a raczej potwierdzeniem sytuacji, którą od dawna obserwujemy na rynku. Dyrektywa NIS2 klasyfikuje organizacje na kluczowe i ważne. Jeśli firma spełnia kryteria, sytuacja jest prosta: trzeba podjąć działania i dostosować się do wymagań” – wskazuje Piotr Piasecki, Cybersecurity services consultant w DAGMA Bezpieczeństwo IT.

Ekspert podkreśla, że problem pojawia się wtedy, gdy dana organizacja nie wpisuje się w kryteria wskazane w regulacji, a pomimo tego może zostać zakwalifikowana jako podmiot „kluczowy” lub „ważny”.

To właśnie w takich przypadkach podczas rozmów z biznesem widzimy najwięcej ich niepewności” – wskazuje specjalista. 

Piotr Piasecki poleca przeprowadzenie audytu zgodności z NIS 2 i nowelizacją KSC, bo dzięki temu zyskujemy odpowiedź, na ile  przedsiębiorstwo jest przygotowane do nowych regulacji, gdy finalnie okaże się, że dodatkowe obowiązki również jego dotyczą.

Nawet jeśli regulacja nas nie obejmie wprost, rynek i tak może wymagać od nas spełnienia jej zapisów.
Piotr Piasecki, Cybersecurity services consultant w DAGMA Bezpieczeństwo IT

W ocenie eksperta wdrożone przepisy mogą stać się fundamentem do zbudowania Systemu Zarządzania Bezpieczeństwem, nie tylko w podmiotach, które muszą je stosować. 

(NIS 2 i nowelizacja KSC – red.) To nie „zło konieczne", ale zestaw dobrych praktyk, które realnie podnoszą poziom ochrony biznesu.
Piotr Piasecki, Cybersecurity services consultant w DAGMA Bezpieczeństwo IT
CyberDefence24

Zobacz również

CyberDefence24.pl - Digital EU Ambassador

Serwis CyberDefence24.pl otrzymał tytuł #DigitalEUAmbassador (Ambasadora polityki cyfrowej UE). Jeśli są sprawy, które Was nurtują; pytania, na które nie znacie odpowiedzi; tematy, o których trzeba napisać – zapraszamy do kontaktu. Piszcie do nas na: [email protected].

Reklama

Cyfrowy Senior. Jak walczy się z oszustami?

Czytaj także

Rada Unii Europejskiej w ramach AI Act zaproponowała wprowadzenie zakazu generowania deepnude przez AI. Parlament Europejski będzie głosował nad pomysłem 26 marca.
1 min.
Zakaz deepnude w UE. Szykują się zmiany w unijnym prawie
Paweł Makowiec Paweł Makowiec
1 min.
policja haker polska cbzc prokuratura
1 min.
Ataki na serwery i strony internetowe. Zatrzymano 3 osoby
Szymon Palczewski
1 min.
Fałszywe alarmy bombowe. W przeszłości sprawcy wielokrotnie stawali przed wymiarem sprawiedliwości
4 min.
Fałszywe alarmy bombowe w polskich szkołach. Sprawcy nie mogą spać spokojnie
Oskar Klimczuk
4 min.
wojsko AI Ukraina
2 min.
Ukraina uruchamia centrum obronnej AI. Polska ją wyprzedziła
Szymon Palczewski
2 min.
Unia Europejska rozszerza działania przeciwko podmiotom odpowiedzialnym za cyberataki wymierzone w państwa członkowskie i partnerów wspólnoty.
3 min.
UE nakłada sankcje za cyberataki. Na liście podmioty z Chin i Iranu
Mikołaj Rogalewicz
3 min.
BGK opublikował raport dotyczący inwestycji w cyfryzację w małych i średnich przedsiębiorstwach. Zdecydowana większość firm zapowiada utrzymanie lub zwiększenie wydatków.
4 min.
Polskie firmy się cyfryzują. Ponad 300 mln zł „już pracuje”
Paweł Makowiec Paweł Makowiec
4 min.
Pomimo zagrożenia danych osobowych, obsługa mieszkańców w urzędzie działa normalnie
1 min.
Cyberatak na Urząd Miasta w Myszkowie. Ryzyko wycieku danych
Zuzanna Sadowska
1 min.
Resilience_Tech Bydgoszcz 2026
2 min.
Resilience_Tech Bydgoszcz 2026 – technologie na rzecz odporności państwa i systemów bezpieczeństwa Materiał sponsorowany
CyberDefence24
2 min.
CyberDefence24