Cyberzagrożenia w Polsce wymykają się spod kontroli – nowe regulacje NIS2 to ratunek czy biurokratyczny koszmar?

Ostatnie lata i miesiące przyniosły znaczący wzrost cyberataków. Wolna nie jest również Polska. Wręcz przeciwnie – nasz kraj pnie się w górę w rankingu państw będących celem ataków ransomware na świecie. Atakowany jest sektor użyteczności publicznej i finansowej, wojskowy oraz rządowy. Tym bardziej bezpieczne nie są mniejsze przedsiębiorstwa. W celu podniesienia bezpieczeństwa cybernetycznego Parlament Europejski przegłosował dyrektywę NIS2, która ma poprawić cyberbezpieczeństwo krytycznych sektorów Unii Europejskiej. Jednak nie oznacza to, że firmy z sektora MŚP nie muszą podjąć żadnych kroków. Jak najbardziej, szczególnie jeżeli znajdują się w łańcuchach dostaw organizacji objętych regulacją.

 

Cyberataki na polskie sektory i firmy w statystykach

Jak ujawnili eksperci firmy Check Point podczas konferencji bezpieczeństwa CPX 2025 w Wiedniu, Europa staje w obliczu rosnącego zagrożenia cybernetycznego. Żadnym wyjątkiem nie jest Polska. Niestety, jest wręcz odwrotnie, ponieważ to właśnie Polska jest światowym liderem pod względem liczby cyberataków. Przynajmniej tak wskazuje raport Cyberattack Statistics 2025 podsumowujący cyberataki w 2024 roku.

Firma Check Point informuje, że w 2024 roku Polska stała się celem blisko 100 000 ataków hakerskich. W liczbie ponad 2000 tygodniowo celem ataków hakerskich są polskie sektory użyteczności publicznej, rządowy i wojskowy. Przykładowo sektor użyteczności publicznej był atakowany średnio 2063 razy tygodniowo przy 1782 atakach jako średniej globalnej. Mocno zagrożony jest też sektor wojskowo-rządowy (2058 ataków miesięcznie). Kolejne miejsca zajmują finanse i bankowość (1836), komunikacja (1557) oraz sektor produkcyjny (359).

W styczniu 2025 roku przedsiębiorstwa w Polsce są atakowane 2100 razy tygodniowo. To blisko 100-procentowy wzrost wobec analogicznego okresu w 2023 roku (1150 ataków na tydzień). To dużo wyższy wzrost wobec średniej światowej wynoszącej 44 proc.

Najczęstsze są ataki typu ransomware, które polegają na wprowadzeniu do urządzenia złośliwego oprogramowania szyfrującego ważne pliki znajdujące się na dyskach lokalnych i sieciowych. Następnie hakerzy żądają okupu za ich odszyfrowanie.

Oczywiście najpoważniejsze konsekwencje może mieć atak na krytyczne sektory państwa. W tym celu Parlament Europejski przegłosował dyrektywę w sprawie systemów sieciowych i informatycznych, czyli „NIS2”.

Przeczytaj też: „Firmy rezygnują z różnorodności, równości i inkluzywności – czy to dobrze?„

---

---

Czym jest dyrektywa NIS2?

Pierwsza dyrektywa NIS w sprawie bezpieczeństwa sieci i informacji została wprowadzona przez Unię Europejską w 2016 roku. W dyrektywie NIS1 określono rygorystyczne wymogi dotyczące cyberbezpieczeństwa dla kluczowych przedsiębiorstw. Do tego grona zaliczono instytucje funkcjonujące w następujących sektorach:

• energetyka,
• transport,
• opieka zdrowotna,
• finanse,
• gospodarka wodna,
• infrastruktura cyfrowa.

Dyrektywa NIS2 (ang. Network and Information Systems Directive 2) jest rozszerzeniem systemu NIS. To regulacja zawierająca standardy w zakresie bezpieczeństwa informatycznego, które muszą spełnić państwa członkowskie Unii Europejskiej w celu zmniejszenia liczby cyberataków i ich konsekwencji. Wszystko w związku z niewystarczającymi działaniami mającymi zmniejszyć liczbę i ryzyko cyberzagrożeń.

W drugiej wersji dyrektywy NIS rozszerzono definicje sektorów oraz podmiotów krytycznych objętych regulacjami z zakresu cyberbezpieczeństwa. Dyrektywa obejmuje bardzo różne sektory (żywność, woda pitna, zdrowie, administracja publiczna, energia, ścieki, transport, bankowość i finanse, infrastruktura rynku finansowego, infrastruktura cyfrowa, przestrzeń kosmiczna). Podmioty zostały podzielone na dwie kategorie – ważne i kluczowe:

• Podmioty ważne (ang. important entities) – produkcja, przetwarzanie i dystrybucja chemikaliów, gospodarowanie odpadami, produkcja, przetwarzanie i dystrybucja żywności, usługi cyfrowe, badania naukowe, usługi pocztowe i kurierskie, produkcja ogółem.
• Podmioty kluczowe (ang. essential entities) – energetyka, transport, bankowość, infrastruktura rynków finansowych, opieka zdrowotna, woda pitna, ścieki, infrastruktura cyfrowa, zarządzanie usługami ICT (technologie informacyjne, komunikacyjne i telekomunikacyjne), administracja publiczna (na szczeblu centralnym i regionalnym), przestrzeń kosmiczna.

Objęcie firm z tak dużej liczby sektorów i branż ma podnieść ogólny poziom bezpieczeństwa w całej Unii Europejskiej.

Kluczowe elementy dyrektywy NIS2:

• Wzrost liczby sektorów i nowy sposób klasyfikacji przedsiębiorstw – średnie i duże przedsiębiorstwa w wybranych sektorach oraz możliwość identyfikacji przez państwa członkowskie mniejszych firm o profilu wysokiego ryzyka.
• Silniejszy nacisk na organy zarządzające spółek objętych dyrektywą NIS2 – za niedopełnienie obowiązków organy zarządzające mogą zostać pociągnięte do odpowiedzialności.
• Zaostrzenie wymogów bezpieczeństwa dla przedsiębiorstw.
• Wyższe sankcje za nieprzestrzeganie zaostrzonych wymogów dotyczących zgłaszania incydentów.
• Obowiązek zajęcia się zagrożeniami bezpieczeństwa w łańcuchach dostaw i relacjach z kontrahentami.
• Silniejsze środki nadzoru dla organów krajowych.
• Bardziej rygorystyczne wymogi dotyczące egzekwowania środków bezpieczeństwa.
• Harmonizacja systemów sankcji i obowiązków sprawozdawczych.
• Wzmocniona współpraca i wymiana informacji pomiędzy państwami członkowskimi.

Kogo dotyczy dyrektywa NIS2?

Do dyrektywy NIS2 muszą stosować się wszystkie organizacje obecne na rynkach państw członkowskich Unii Europejskiej, o ile świadczą usługi opisane w katalogu podmiotów podstawowych lub ważnych. Przede wszystkim mowa o dużych i średnich przedsiębiorstwach:

• Duże firmy – zatrudniające minimum 250 osób i z obrotami rocznymi o równowartości powyżej 50 mln euro.
• Średnie firmy – zatrudniające minimum 50 osób i z obrotami rocznymi o równowartości powyżej 10 mln euro.

Teoretycznie ostateczny termin wdrażania odpowiednich rozwiązań przez takie podmioty w krajach członkowskich minął 18 października 2024 roku. Jednak Polska wciąż nie zaimplementowała tych przepisów. Przebieg prac nad projektem można śledzić na stronie Rządowego Centrum Legislacji (SPRAWDŹ TUTAJ). W połowie lutego 2025 roku projekt wciąż nie został przedłożony Sejmowi.

Po wdrożeniu nowych przepisów podmioty, które nie stosują się do obowiązków, ryzykują wysokimi karami administracyjnymi:

• Podmioty kluczowe – do 10 milionów euro lub 2 proc. rocznego obrotu w zależności od tego, co będzie wyższe.
• Podmioty ważne – do 7 milionów euro lub 1,4 proc. rocznego obrotu w zależności od tego, co będzie wyższe.

Obowiązki organizacji objętych dyrektywą NIS-2:

• bieżąca ocena ryzyka;
• regularne audyty bezpieczeństwa;
• wdrażanie polityki bezpieczeństwa, narzędzi i środków zaradczych;
• stworzenie procesów zarządzania atakami oraz procedur ich zgłaszania;
• stworzenie procedur umożliwiających ciągłość działań po ataku;
• szkolenia dla personelu;
• odpowiedzialność za bezpieczeństwo w łańcuchu dostaw;
• audyty sprawdzające zgodność z założeniami dyrektywy NIS2.

NIS2 wobec firm z sektora MŚP

Może wydawać się, że dyrektywa NIS2 dotyczy wyłącznie większych podmiotów. Jednak teoretycznie nowe przepisy w zakresie cyberbezpieczeństwa mogą objąć także mniejsze firmy. Szczególnie jeżeli są to przedsiębiorstwa istotne dla funkcjonowania gospodarki lub społeczeństwa, a przede wszystkim znajdujące się w łańcuchach dostaw organizacji objętych regulacją.

Wielokrotnie małe firmy współpracują z większymi podmiotami podlegającymi regulacji NIS2. Oznacza to, że cyberatak na mniejsze przedsiębiorstwo może zagrozić funkcjonowaniu dużej firmy. Tymczasem hakerzy świadomi słabszych zabezpieczeń w mniejszych firmach, często atakują takie przedsiębiorstwa.

Duże podmioty objęte dyrektywą NIS2 są świadome zagrożeń i mogą wymagać od mniejszych kontrahentów wdrażania coraz efektywniejszych standardów cyberbezpieczeństwa. Szczególnie że wobec zapisów regulacji NIS2 monitorowanie takich firm przez większe przedsiębiorstwa jest ich obowiązkiem. Ignorowanie wymagań nowej dyrektywy nie tylko naraża firmy z sektora MŚP na cyberataki, ale może również skutkować utratą kontraktów.

Przeczytaj też: „Zalety JDG, czyli dlaczego warto zmienić etat na własną firmę„

Jak firmy MŚP mogą wzmocnić cyberbezpieczeństwo?

Dyrektywa NIS2 nakłada na przedsiębiorców nowe obowiązki, co jest niepodważalnym faktem. Jednak konieczność dostosowania się do wymogów można potraktować jako szansę na rozwój. Inwestowanie w nowoczesne rozwiązania w kategorii cyberbezpieczeństwa podnosi wiarygodność podmiotu. To natomiast pozwala nie tylko utrzymać obecne kontakty biznesowe, ale również pozyskać nowych partnerów.

W związku z tym mniejsze firmy w żaden sposób nie powinny lekceważyć regulacji NIS2. Dotyczy to szczególnie tych przedsiębiorstw, które współpracują z większymi firmami objętymi nowymi przepisami w zakresie cyberbezpieczeństwa. Same możliwości również są spore:

• Audyty infrastruktury IT – niezależna ocena infrastruktury IT pozwala zidentyfikować mocne i słabe strony systemów informatycznych. Znając luki w systemach bezpieczeństwa, można zaproponować odpowiednie rozwiązania, które pozwolą wyeliminować zagrożenia lub przynajmniej zmniejszą podatność na ataki.
• Wieloskładnikowe uwierzytelnianie (MFA) – tanie i szybkie rozwiązanie, które zmniejsza ryzyko przejęcia kont pracowników, a w konsekwencji podnosi poziom ochrony.
• Monitoring sieci i systemów – stały monitoring pozwala na bieżąco wykrywać zagrożenia i reagować na potencjalne ataki.
• Szkolenia dla pracowników – personel wyedukowany w zakresie cyberbezpieczeństwa jest bardziej świadom związanych z tym zagrożeń.

Przeczytaj też: „Złagodzenie kar za zatory płatnicze – kolejny cios w MŚP„

Większy nacisk na podstawowe działania nie wymaga ogromnych nakładów finansowych. Wdrożenie dobrych praktyk w zakresie cyberbezpieczeństwa, również przez mniejsze firmy z sektora MŚP, powinno być traktowane jako inwestycję w rozwój. Dla innych będzie to obowiązek, ponieważ takie wymogi postawią wobec nich współpracujące podmioty objęte przepisami dyrektywy NIS-2.

Zainteresował Cię ten artykuł? Czytaj więcej takich treści w ramach cyklu „Poradnik przedsiębiorcy”