Z tego artykułu dowiesz się:

  • Jak nowoczesne konflikty hybrydowe wpływają na sektor infrastruktury krytycznej?
  • Na ile skuteczne są wysokie kary finansowe jako motywator do budowania cyfrowej odporności?
  • Jak przedsiębiorstwa energetyczne przygotowują się na czarne scenariusze?

Dla przedsiębiorstw zarządzających infrastrukturą krytyczną, takich jak Grupa Veolia Polska, cyberbezpieczeństwo ma wymiar skrajnie praktyczny i bezpośredni. Udany atak hakerski na systemy operacyjne oznacza natychmiastowe, dotkliwe skutki społeczne – wprost odcięcie dostaw ciepła i energii do tysięcy domów. Wojna za wschodnią granicą dobitnie pokazała, że sektory energii, wody i ciepłownictwa znajdują się na pierwszej linii frontu nowoczesnych konfliktów hybrydowych. W tych realiach strategiczne firmy nie zadają już pytania, czy staną się celem agresji, ale kiedy to nastąpi. I tak o tym mówił w rozmowie z "Rzeczpospolitą" Piotr Potejko, dyrektor ds. bezpieczeństwa w Grupie Veolia Polska, jeden z panelistów forum Cybersec Expo & Forum 2026 w Katowicach.

Kary nie są skutecznym batem

W kontekście realnych wyzwań, z jakimi mierzą się dziś menedżerowie infrastruktury krytycznej, jest optymistą, bo pozytywnie ocenia to, co Polska jako kraj, ale też działające tu firmy robią w zakresie cyberbezpieczeństwa. Choć podkreśla, że liczba zagrożeń, ataków i zorganizowanych grup przestępczych może niepokoić. Jego zdaniem świetnym motorem do działań obronnych okazały się regulacje, w tym nowelizacja ustawy o krajowym systemie cyberbezpieczeństwa (KSC), wdrażająca unijną dyrektywę NIS 2.

Czytaj więcej

Uczestnicy debaty „Praktyczne podejście do budowania cyberobronności. Oczekiwania kontra rzeczywisto
Cybersec Expo & Forum 2026
Miękkie podbrzusze cyberbezpieczeństwa? Samorządy i małe firmy

– Jestem optymistą, ponieważ te regulacje to nie są przepisy wymyślone na nowo. Od 2018 r. funkcjonuje już w Polsce pewna kultura cyberbezpieczeństwa. Przepisy pojawiają się po to, aby dostosować kraj, przedsiębiorców czy administrację publiczną do nowych zagrożeń. Mając dobrze ugruntowany fundament z lat wcześniejszych, tylko rozszerzamy pewne zakresy – komentuje Potejko. – Oczywiście, zawsze pojawia się pytanie, czy zdążymy. Ustawy są przygotowywane z nieco mniejszym udziałem świata biznesu, terminy bywają uśredniane, a w tle ciążą przecież bardzo wysokie kary finansowe. Kara to jednak ostateczność, ma przede wszystkim odstraszać i stanowić wskazanie – powinniśmy zrobić wszystko, aby do tego etapu w ogóle nie dojść – kontynuuje. I podkreśla, że ustawodawca, bazując na audytach, uznał odpowiedzialność finansową za skuteczną.

– Ale spójrzmy na RODO, gdzie również zapisano ogromne kary. Trudno wskazać sfinalizowane sprawy w sądach, w których rzeczywiście je nałożono, co pokazuje, że te straszaki niekoniecznie są efektywne. Zamiast tego wolę budować świadomość, rozmawiać, naprawiać i stale dążyć do perfekcji w zakresie cyberbezpieczeństwa – dodaje.

Kadry, budżety i testowanie czarnych scenariuszy

Ale rynek w budowie cybertarczy mierzy się z potężnymi wyzwaniami. Te bariery to m.in. fluktuacja kadr w sektorze IT i ograniczenia budżetowe. Wyraźny problem stanowi też deficyt umiejętności związanych z prawidłowym zrozumieniem przepisów oraz rzetelnym prowadzeniem analiz ryzyka.

– To właśnie precyzyjne mapowanie zagrożeń stanowi fundament, na którym wznosi się cała architektura cyberbezpieczeństwa przedsiębiorstwa – zaznacza dyrektor ds. bezpieczeństwa w Veolii Polska. I podaje przykład swojej firmy z sektora infrastruktury krytycznej.

– Ochrona tak skomplikowanego organizmu wymaga wyjścia poza tradycyjne silosy IT. W Veolii dążenie do doskonałości realizowane jest wielotorowo: poprzez ochronę fizyczną obiektów, przeciwdziałanie sabotażowi, zabezpieczenie przed incydentami z użyciem dronów, aż po audyty międzynarodowych systemów korporacyjnych oraz weryfikację ciągłości łańcucha dostaw. Bezpieczeństwo to realny, wysoki koszt, który firmy infrastrukturalne muszą na stałe wpisać w swoją strategię biznesową – wylicza.

Jak tłumaczy, procedury te nie pozostają jedynie na papierze. Elementem budowania odporności są regularne testy skrajnych scenariuszy.

– Robimy kontrolowane blackouty, żeby sprawdzić, jak funkcjonujemy po odcięciu prądu i łączności cyfrowej. W sytuacji kryzysowej musimy umieć błyskawicznie przejść na sterowanie ręczne – dodaje nasz rozmówca.