Polska wchodzi w największą od lat reformę cyberbezpieczeństwa. Nowa ustawa o krajowym systemie cyberbezpieczeństwa (KSC) i unijna dyrektywa NIS2 nakładają na około 20 tysięcy podmiotów bezpośrednio – a przez łańcuchy dostaw na dziesiątki tysięcy więcej – obowiązek wdrożenia zaawansowanych procedur ochrony. Eksperci ostrzegają: wiele organizacji może nie zdążyć z przygotowaniami, mimo że czasu było sporo.
Podczas panelu „KSC i NIS2 w praktyce” na CYBERSEC EXPO & FORUM 2026 w Katowicach uczestnicy debaty zgodnie przyznali, że era traktowania cyberbezpieczeństwa jako problemu działu IT dobiegła końca. Nowe przepisy zmieniają fundamentalnie logikę odpowiedzialności: po incydencie firmy będą rozliczane nie z faktu ataku, ale z braku odpowiednich procedur i zarządzania ryzykiem.
Jak alarmował Jarosław Homa, pełnomocnik rektora ds. cyberbezpieczeństwa Politechniki Śląskiej, – Około 10 proc. podmiotów coś wdraża. Reszta jest w lesie. – Prof. Dariusz Szostek, sędzia Trybunału Konstytucyjnego, dodał: – Do października połowa podmiotów może nie zdążyć. – Przyjęta w 2022 roku dyrektywa dawała organizacjom kilka lat na przygotowania, jednak wiele z nich zwleka, licząc na przesunięcie terminów.
Odpowiedzialność spoczywa na zarządach
Kluczową zmianą jest przesunięcie odpowiedzialności z działów IT na zarządy, rektorów i samorządowców. – Nie ponosimy odpowiedzialności za sam atak. Odpowiadamy za niewdrożenie odpowiednich procedur, brak zasad zarządzania ryzykiem czy niewłaściwe działania organizacyjne – podkreślał prof. Szostek.
Przemysław Frąk z Axence zwracał uwagę na konieczność rzetelnej inwentaryzacji zasobów IT. – Po incydencie będziemy musieli udowodnić, że zrobiliśmy wszystko, aby do niego nie doszło – mówił. Eksperci zgodnie krytykowali dotychczasowe podejście do audytów, które często traktowano jako formalność. – Audytor nie jest kontrolerem. Kontroler przyjdzie po incydencie. Audytor ma wcześniej wskazać miejsca, w których organizacja jest narażona na ryzyko – przypomniał Szostek.
Nie mniej istotny jest aspekt ludzki. – Nawet sprzątaczki trzeba sprawdzać – apelował Szostek, wskazując, że nowoczesne cyberataki często zaczynają się od człowieka. Frąk dodał: – Najsłabszym ogniwem pozostaje człowiek. Brak wiedzy, szkoleń, nieuwaga i rutyna.
Dostawcy wysokiego ryzyka budzą niepokój
Najwięcej emocji wzbudziły przepisy dotyczące dostawców wysokiego ryzyka. Przewidują one możliwość uznania określonych technologii lub firm za zagrożenie dla bezpieczeństwa państwa, co może skutkować nakazem wymiany sprzętu lub usług. – To fatalne rozwiązanie. Możemy dojść do sytuacji, w której bezpieczny sprzęt będzie musiał zostać usunięty wyłącznie dlatego, że został uznany za element ryzykownego łańcucha dostaw – ocenił Homa. Według szacunków przywoływanych podczas debaty skutki mogą objąć nawet 42 tysiące podmiotów.
Karol Skupień, prezes Krajowej Izby Komunikacji Ethernetowej, zwracał uwagę, że obowiązki schodzą głęboko w łańcuchy dostaw. – Około 20 tys. podmiotów wchodzi do systemu bezpośrednio, ale drugie tyle może zostać objęte wymaganiami pośrednio – mówił. Szczególnie trudna sytuacja dotyczy małych jednostek samorządowych. – Duże podmioty są przygotowane. W małych gminach często jest jeden informatyk i brak realnych zasobów – podsumował Homa.
Eksperci zgodnie twierdzą, że największym ryzykiem nie są dziś hakerzy, ale przekonanie, że na przygotowania nadal zostało dużo czasu. Najlepiej przygotowany jest sektor bankowy i energetyczny. W innych branżach, zwłaszcza w administracji i małych firmach, brakuje zarówno specjalistów, jak i świadomości. Reforma jest nieunikniona – pytanie, ile organizacji zdąży się na nią przygotować, zanim pierwszy poważny incydent brutalnie zweryfikuje ich gotowość.
Źródło: WNP.PL, Fot. PTWP / PTWP