Już za kilka miesięcy około 20 tysięcy polskich firm, uczelni i urzędów będzie musiało spełniać rygorystyczne wymogi nowej ustawy o krajowym systemie cyberbezpieczeństwa (KSC) oraz dyrektywy NIS2. Eksperci ostrzegają, że wiele organizacji nie zdąży z wdrożeniem, a kary za brak przygotowań będą dotkliwe.
Podczas panelu „KSC i NIS2 w praktyce” na CYBERSEC EXPO & FORUM 2026 w Katowicach specjaliści nie mieli wątpliwości – era, w której cyberbezpieczeństwo było sprawą wyłącznie działu IT, właśnie się skończyła. Nowe przepisy nakładają odpowiedzialność na zarządy, rektorów i wójtów. Liczy się nie to, czy padło się ofiarą ataku, ale czy wcześniej wdrożono odpowiednie procedury i zarządzanie ryzykiem.
Skala zmian jest ogromna. Bezpośrednio regulacje obejmą około 20 tysięcy podmiotów – od energetyki, przez telekomunikację, transport, ochronę zdrowia, po uczelnie i administrację publiczną. Pośrednio, poprzez łańcuchy dostaw, wpływ sięgnie dziesiątek tysięcy kolejnych firm.
Gotowi? Tylko co dziesiąty
Najbardziej niepokojące dane padły podczas debaty. Jarosław Homa, pełnomocnik rektora ds. cyberbezpieczeństwa Politechniki Śląskiej, ocenił, że zaledwie 10 procent podmiotów wdraża nowe obowiązki. – Reszta jest w lesie – powiedział. Prof. Dariusz Szostek, sędzia Trybunału Konstytucyjnego i dyrektor Centrum Cyber Science UŚ, poszedł dalej: – Do października połowa podmiotów może nie zdążyć.
Przemysław Frąk z Axence zwracał uwagę, że wiele organizacji wciąż odkłada przygotowania, licząc na przesunięcie terminów. – Z NIS2 jest trochę jak z RODO. Wszyscy czekają na pierwszy poważny incydent – dodał Homa. Tymczasem nowe przepisy odwracają logikę odpowiedzialności: po ataku nie będzie już pytania „kto was zaatakował”, ale „co zrobiliście, żeby do tego nie dopuścić”.
Dostawcy wysokiego ryzyka – bomba z opóźnionym zapłonem
Najwięcej emocji wzbudziły przepisy dotyczące dostawców wysokiego ryzyka. Nowe regulacje pozwalają państwu wskazać konkretne technologie lub dostawców jako zagrożenie, co może zmusić organizacje do kosztownej wymiany sprzętu. – Możemy dojść do sytuacji, w której bezpieczny sprzęt będzie musiał zostać usunięty wyłącznie dlatego, że został uznany za element ryzykownego łańcucha dostaw – ostrzegał Homa. Według szacunków przywołanych przez Karola Skupienia z Krajowej Izby Komunikacji Ethernetowej, skutki tych decyzji mogą objąć nawet 42 tysiące podmiotów.
Eksperci zgodnie podkreślali, że kluczowe znaczenie ma zmiana mentalności. Audyty nie mogą być już tylko formalnością. – Audytor nie jest kontrolerem. Kontroler przyjdzie po incydencie. Audytor ma wcześniej wskazać miejsca narażone na ryzyko – mówił prof. Szostek. Joanna Karczewska, audytor SI, dodała, że wyniki audytów nie powinny być upubliczniane, bo mogą ujawnić słabe punkty organizacji. Najsłabszym ogniwem pozostaje człowiek – brak szkoleń, rutyna i nieuwaga. – Nawet sprzątaczki trzeba sprawdzać – apelował Szostek. Bezpieczeństwo personelu, procesów i partnerów biznesowych staje się równie ważne co zabezpieczenia techniczne.
Źródło: WNP.PL, Fot. PTWP