KSC zmienia zasady gry. Sektor przemysłowy w obliczu NIS2

Rada Ministrów przyjęła projekt nowelizacji ustawy o Krajowym Systemie Cyberbezpieczeństwa, co przybliża wdrożenie w Polsce przepisów dyrektywy NIS2. Dokument trafi teraz do Sejmu i Senatu, a jego wejście w życie będzie wymagało również podpisu Prezydenta RP.

Projekt zakłada rozszerzenie katalogu podmiotów objętych regulacjami, w tym o przedsiębiorstwa z sektorów produkcyjnych, chemicznych, spożywczych, logistycznych i zaawansowanych technologii.

Nowe podejście do ryzyka

Podmioty objęte NIS2 muszą wdrożyć środki techniczne, operacyjne i organizacyjne w celu zarządzania ryzykiem dla bezpieczeństwa sieci i systemów informatycznych.

Obejmuje to m.in.:

• polityki bezpieczeństwa informacji i zarządzania ryzykiem;
• procedury obsługi incydentów i reagowania na nie;
• zarządzanie ciągłością działania (plany awaryjne, odzyskiwanie po awarii);
• bezpieczeństwo sieci i systemów OT/IT (m.in. segmentacja, kopie zapasowe, kontrola dostępu);
• szkolenia personelu i budowanie świadomości cyberzagrożeń;
• kryptografia i kontrola tożsamości, szczególnie przy dostępie do systemów krytycznych.

Nowelizacja przewiduje również mechanizmy nadzoru - audyty bezpieczeństwa oraz odpowiedzialność kadry zarządzającej za nieprzestrzeganie przepisów. Dla wielu firm to rewolucja, bo oznacza konieczność realnego, a nie deklaratywnego zarządzania ryzykiem.

Obowiązki podmiotów z łańcucha dostaw

Pojawią się też obowiązki w zakresie nadzoru nad dostawcami i usługodawcami, co ma przeciwdziałać słabościom w łańcuchu dostaw. Nowelizacja KSC wprost wymaga od podmiotów kluczowych i istotnych, by oceniały poziom cyberbezpieczeństwa swoich kontrahentów.

W praktyce nawet firmy, które nie podlegają bezpośrednio przepisom KSC, będą musiały spełniać określone standardy bezpieczeństwa, jeśli są częścią łańcucha dostaw organizacji objętych ustawą. Podmioty nadzorowane będą bowiem zobowiązane do weryfikacji poziomu zabezpieczeń swoich dostawców oraz do podejmowania działań w przypadku wykrycia niezgodności.

Dla mniejszych firm oznacza to konieczność wdrożenia podstawowych procedur zarządzania ryzykiem, polityk bezpieczeństwa czy planów reagowania na incydenty. W efekcie nowelizacja ustawy o KSC znacząco rozszerzy krąg podmiotów zobowiązanych do wdrożenia określonych rozwiązań w zakresie cyberbezpieczeństwa.

Dlaczego warto zacząć już teraz?

Dokładny termin wejścia w życie przepisów nie jest jeszcze znany. Będzie on uzależniony od postępu prac legislacyjnych w parlamencie oraz od podpisu Prezydenta RP. Warto jednak pamiętać, że wdrożenie wymaganych rozwiązań to proces czasochłonny. Przedsiębiorstwa, które rozpoczną przygotowania już teraz, zyskają realną przewagę i większe bezpieczeństwo.

Nowelizacja ustawy o Krajowym Systemie Cyberbezpieczeństwa to nie tylko obowiązek prawny, lecz przede wszystkim impuls do budowania odporności organizacyjnej - zdolności reagowania, adaptacji i utrzymania ciągłości działania w sytuacjach kryzysowych. Z perspektywy strategicznej stanowi ona inwestycję w bezpieczeństwo operacyjne, reputację oraz długoterminową stabilność gospodarczą.

Wiele organizacji wciąż nie dysponuje spójnymi procedurami reagowania na incydenty ani kulturą cyberbezpieczeństwa trwale włączoną w codzienne procesy operacyjne i produkcyjne. Nowe regulacje mogą stać się szansą na trwałą zmianę tego podejścia - od reaktywnego do proaktywnego zarządzania ryzykiem.

Realne zagrożenia, nie teoretyczne

Rok 2024 przyniósł kolejną falę cyberataków wymierzonych w infrastrukturę przemysłową - od incydentów w sektorze energetycznym, po zakłócenia pracy systemów automatyki w przedsiębiorstwach produkcyjnych w całej Europie. Skala i złożoność tych ataków pokazują, że cyberprzestępczość coraz częściej dotyka kluczowych sektorów gospodarki, stanowiąc realne zagrożenie dla ciągłości działania i bezpieczeństwa państw.

Dobitnym przykładem tych zagrożeń jest cyberatak typu ransomware, który na początku września 2025 roku sparaliżował działalność koncernu Jaguar Land Rover. Incydent doprowadził do wstrzymania produkcji na ok. sześć tygodni, a jego skutki odczuł nie tylko sam producent, lecz także cały łańcuch dostaw - setki podwykonawców utraciły zamówienia, a część pracowników została czasowo zawieszona lub zwolniona.

W następstwie ataku koncern zmuszony był tymczasowo wyłączyć wewnętrzne systemy informatyczne, co sparaliżowało produkcję na skalę globalną. Jak czytamy w komunikacie JLR, w ciągu trzech miesięcy obejmujących wrześniowy przestój sprzedaż do dealerów spadła do 66 165 pojazdów - to o 21 138 mniej niż w analogicznym okresie roku poprzedniego, co oznacza niemal jedną czwartą utraconego wolumenu. Szacuje się, że konsekwencje finansowe ataku obniżyły przychody JLR o około 1,5 mld funtów.

Polska najczęściej atakowanym państwem w UE

Wicepremier i minister cyfryzacji Krzysztof Gawkowski wielokrotnie zwracał uwagę na to, że Polska pozostaje najczęściej atakowanym państwem członkowskim Unii Europejskiej w cyberprzestrzeni.

Prognozy na rok 2025 wskazują na dalszy wzrost liczby i intensywności incydentów, co może uczynić go rekordowym pod względem skali cyberzagrożeń.