Przez lata cyfryzacja była dla przedsiębiorstw niemal oczywistą drogą do wzrostu efektywności. Więcej danych, automatyzacji, chmury, systemów ERP, MES czy SCADA oznaczało szybsze decyzje, lepszą kontrolę kosztów, sprawniejszą produkcję, krótszy czas obsługi klienta i większą skalowalność biznesu. Ten rachunek nadal jest prawdziwy. Nie jest już jednak rachunkiem liniowym.
Do równania weszło cyberbezpieczeństwo. Im głębiej przedsiębiorstwo cyfryzuje procesy, tym bardziej zależy od dostępności systemów, danych, dostawców technologii, łączności oraz ludzi, którzy potrafią utrzymać ten ekosystem w ruchu. Cyfryzacja zwiększa efektywność, ale po przekroczeniu pewnego poziomu zaczyna jednocześnie podnosić koszt odporności. Pojawia się więc pytanie o punkt równowagi: jak daleko cyfryzować procesy, aby nie utracić sterowności, ciągłości działania i zaufania rynku.
Ten punkt będzie inny w bankowości, energetyce, produkcji, logistyce, ochronie zdrowia i u dostawców usług dla podmiotu krytycznego. Zależy od sektora, skali cyfryzacji, miejsca w łańcuchu wartości, kosztu przestoju, wrażliwości danych, presji kontraktowej oraz poziomu zagrożeń. Dzisiaj zależy również od napięć geopolitycznych, które coraz częściej wpływają na reguły konkurencyjności. Dlatego NIS2, KSC i CER nie powinny być czytane wyłącznie jako regulacje o cyberbezpieczeństwie. To przepisy, które wymuszają nowe spojrzenie na zarządzanie przedsiębiorstwem w warunkach cyfrowej gospodarki i wojny hybrydowej.
To jest także pytanie o pieniądze. Dostosowanie do nowych wymogów będzie kosztem. Pojawią się audyty, procedury, szkolenia, monitoring, testy, raportowanie incydentów, wymagania wobec dostawców i inwestycje w infrastrukturę. Prawdziwe wyzwanie polega jednak na tym, aby przeprowadzić ten proces bez utraty rentowności operacyjnej, konkurencyjności i tempa rozwoju, a jednocześnie ograniczyć ryzyka, których materializacja może kosztować znacznie więcej niż samo dostosowanie.
W czasach kryzysu zmienia się sposób patrzenia na technologię. Tak jak podczas kryzysu finansowego okazało się, że kapitał i system bankowy mają swoją „narodowość”, tak dziś coraz wyraźniej widać, że pochodzenie technologii, urządzeń, oprogramowania i dostawców nie jest sprawą neutralną. W infrastrukturze krytycznej kamera, system sterowania, usługa chmurowa albo komponent sieciowy mogą być nie tylko narzędziem pracy, ale także potencjalnym źródłem wiedzy o procesach, obiektach i zależnościach. W dobie presji hybrydowej to już nie jest szczegół techniczny, lecz element rachunku ryzyka.
Czytaj więcej
NASK trafił do elitarnego grona podmiotów, które mogą korzystać z najnowszego GPT-5.5 Cyber – ustaliła „Rzeczpospolita”. Model od OpenAI, który ma...
Cyfryzacja weszła w warunki presji hybrydowej
Cyberatak coraz rzadziej jest tylko problemem działu IT. Może nie mieć postaci fizycznego uderzenia w granice państwa, a mimo to uderzyć w codzienne życie jego mieszkańców: dostęp do energii, wody, gazu, danych, logistyki, produkcji albo usług publicznych. Polska funkcjonuje dziś w warunkach narastającej presji hybrydowej, w której cyberprzestrzeń stała się jednym z narzędzi oddziaływania na państwo, gospodarkę i obywateli.
Skala tego zjawiska przestaje być abstrakcyjna. W 2025 r. krajowe zespoły CSIRT (Computer Security Incident Response Team – red.) otrzymały ponad 682 tys. zgłoszeń i obsłużyły blisko 273 tys. incydentów cyberbezpieczeństwa, co oznacza wzrost o ponad 144 proc. rok do roku. Nie mówimy więc już o ryzyku incydentalnym, ale o stałym elemencie otoczenia gospodarczego.
To zmienia sens regulacji takich jak NIS2 (unijna dyrektywa o cyberbezpieczeństwie systemów informatycznych – red.), KSC (Krajowy System Cyberbezpieczeństwa – red.) i CER (dyrektywa o odporności podmiotów krytycznych – red.). Ich celem nie jest wyłącznie podniesienie poziomu zabezpieczeń informatycznych. Chodzi o przygotowanie przedsiębiorstw, administracji i dostawców usług kluczowych do działania w warunkach zakłócenia. Nowy koszt cyberbezpieczeństwa nie wynika więc tylko z regulacji, ale i z faktu, że gospodarka działa coraz bardziej cyfrowo, a atak na system informatyczny może stać się atakiem na ciągłość produkcji, dostaw, usług publicznych i zaufania do przedsiębiorstwa. W pewnym momencie koszt przestoju przestaje być wyłącznie kategorią ekonomiczną. Staje się sprawą odporności państwa, bezpieczeństwa obywateli i zdolności gospodarki do działania pod presją.
przepisy
Podstawy prawne i regulacyjne
Dyrektywa NIS2, w szczególności art. 20, 21, 23 i 34; dyrektywa CER, w szczególności art. 12, 13 i 15; ustawa o krajowym systemie cyberbezpieczeństwa; rozporządzenie delegowane Komisji 2023/2450 dotyczące usług kluczowych; krajowe komunikaty dotyczące systemu S46, wykaz podmiotów kluczowych i ważnych oraz terminów dostosowania.
Ciągłość działania to nie tylko powrót po awarii
Najbardziej praktyczna zmiana polega na odejściu od myślenia, że wystarczy chronić pojedynczy obiekt albo pojedynczy system. W warunkach cyberataku ważniejsze staje się pytanie, czy przedsiębiorstwo potrafi funkcjonować w trybie zakłóconym: z ograniczonym dostępem do danych, bez części systemów, przy niedostępności dostawcy, personelu albo łączności. Dyrektywa CER wzmacnia właśnie tę logikę, bo przesuwa uwagę na usługę kluczową i cały układ zależności, który tę usługę utrzymuje.
Nowoczesne technologie nie kończą się na bramie zakładu ani na granicy jednego przedsiębiorstwa. System produkcyjny może zależeć od dostawcy energii, serwisu automatyki, chmury, centrum danych, firmy logistycznej, banku albo innego operatora infrastruktury krytycznej. W kryzysie nie wystarczy mieć dobrze opisaną własną procedurę, jeżeli nie wiadomo, kto po drugiej stronie łańcucha dostaw podejmuje decyzję, jak szybko reaguje i czy potrafi współpracować w trybie awaryjnym.
Odporność infrastruktury krytycznej nie powstaje w pojedynczym przedsiębiorstwie. Powstaje na styku procesów, umów, danych, ludzi i decyzji podejmowanych przez wiele podmiotów jednocześnie. Dlatego przy wdrażaniu wymogów NIS2, KSC i CER warto połączyć mapowanie procesów z analizą wpływu zakłócenia na działanie przedsiębiorstwa, rachunkiem kosztów działań i zarządzaniem ryzykiem. Dopiero wtedy zarząd widzi, które zależności są naprawdę krytyczne, gdzie powstaje największy koszt przestoju, który dostawca może zatrzymać działanie, i które inwestycje zwiększają realną odporność.
Czytaj więcej
Cyberprzestępcy nie skupiają się dziś wyłącznie na bankach i wielkich korporacjach. Coraz częściej uderzają w małe i średnie przedsiębiorstwa, któr...
Najpierw kwalifikacja, nie zakup narzędzia
Pierwszym krokiem powinno być ustalenie, czy przedsiębiorstwo jest podmiotem kluczowym, ważnym, krytycznym albo dostawcą dla takiego podmiotu. Nie wystarczy spojrzeć na kod PKD ani ogólny opis działalności firmy. Trzeba sprawdzić realną funkcję przedsiębiorstwa w gospodarce i w łańcuchu wartości. Czy przerwanie jego działania może wpłynąć na odbiorców, dostawców, sektor, region, a czasem także na państwo? Czy dostarcza system, komponent, dane, technologię, serwis, logistykę albo usługę, bez której inny podmiot nie utrzyma działania?
Zbyt szybkie uznanie, że nowe przepisy nas nie dotyczą, może być kosztowne. Nawet jeżeli przedsiębiorstwo samo nie zostanie zakwalifikowane jako podmiot kluczowy, może zostać ocenione przez kontrahenta jako dostawca krytyczny. A wtedy wymagania cyberbezpieczeństwa pojawią się w umowach, ankietach, audytach, przetargach i warunkach dalszej współpracy. W praktyce odporność cyfrowa zaczyna być elementem wiarygodności handlowej.
Terminy nie są odległą przyszłością. Nowelizacja KSC weszła w życie 3 kwietnia 2026 r. Uruchomiono wykaz podmiotów kluczowych i ważnych, a przedsiębiorstwa spełniające wskazane w ustawie kryteria mają obowiązek samoidentyfikacji i wpisu do wykazu. Kolejnym etapem jest wdrożenie systemu zarządzania bezpieczeństwem informacji, korzystanie z systemu S46, raportowanie incydentów oraz przygotowanie do audytów. Najbliższe lata są więc okresem przejścia od samooceny do realnego wykazania, że obowiązki zostały wdrożone. Tam, gdzie pojawia się obowiązek, pojawia się również nadzór, kontrola i ryzyko sankcji.
Zarząd potrzebuje monitorowania ryzyka i należytej staranności
NIS2 przenosi cyberbezpieczeństwo na poziom zarządzania ryzykiem. Zarząd nie musi konfigurować systemów bezpieczeństwa, ale musi wiedzieć, które procesy są krytyczne, jakie skutki wywoła ich zatrzymanie, kto podejmuje decyzje w czasie incydentu, jak szybko przedsiębiorstwo wykrywa atak, ile trwa odtworzenie usługi i czy istnieją dowody, że procedury działają.
Analiza ryzyka nie może być jednorazowym załącznikiem do dokumentacji. Powinna obejmować identyfikację ryzyk, ich wycenę, określenie scenariuszy mitygacji oraz wskazanie poziomu ryzyka rezydualnego, czyli takiego, które przedsiębiorstwo świadomie akceptuje. Potrzebna jest także procedura należytej staranności, która monitoruje ryzyka i incydenty nie tylko w godzinach pracy, lecz wtedy, gdy zagrożenie rzeczywiście się pojawia. Ma to znaczenie praktyczne również dlatego, że nowe regulacje przewidują obowiązki raportowania incydentów w określonych terminach.
Dokumentacja jest potrzebna. Tworzy ślad rewizyjny, porządkuje odpowiedzialność i może potwierdzać należytą staranność. Nie wolno jednak mylić dokumentacji z odpornością. Procedura, której nikt nie ćwiczył, backup, którego nie testowano, lista dostawców bez oceny krytyczności i plan ciągłości działania bez właściciela procesu są w kryzysie słabym zabezpieczeniem.
Dlatego przedsiębiorstwo powinno zbudować prosty rachunek ryzyka oparty na KPI. Zarząd powinien regularnie widzieć kilka odpowiedzi: ile czasu potrzebujemy, aby wykryć incydent, ile trwa reakcja, jak długo możemy działać bez danego systemu, ile danych możemy utracić bez nieodwracalnych konsekwencji, czy krytyczni dostawcy mają własne procedury i czy potrafimy działać w trybie awaryjnym.
Dobry dashboard nie musi być długi. Powinien pokazywać średni czas wykrycia incydentu, średni czas reakcji, czas odtworzenia usługi, wynik testu backupu, liczbę krytycznych podatności po terminie usunięcia, liczbę dostawców krytycznych bez uzgodnionych obowiązków cyberbezpieczeństwa oraz wynik ćwiczeń ciągłości działania. Te wskaźniki należy powiązać z procesami i kosztami. Dopiero wtedy widać, czy wydatek na cyberbezpieczeństwo rzeczywiście ogranicza ryzyko przestoju, utraty danych, roszczeń albo utraty kontraktu, czy tylko poprawia wygląd dokumentacji.
Koszt dostosowania trzeba odróżnić od kosztu incydentu
NIS2 i KSC tworzą zarówno koszty OPEX, jak i CAPEX. OPEX to monitoring, utrzymanie procedur, szkolenia, audyty, obsługa incydentów, testy backupu, współpraca z dostawcami i raportowanie. CAPEX może obejmować modernizację infrastruktury, segmentację sieci, wymianę przestarzałych systemów, wdrożenie MFA, nowe rozwiązania do detekcji, backupu czy ciągłości działania. W tle pojawia się również kwestia pochodzenia technologii i dostawców, w tym problem dostawcy wysokiego ryzyka. Czasem bowiem dostosowanie będzie oznaczało nie tylko procedurę, lecz zmianę sprzętu, architektury lub partnera technologicznego.
Najdroższy bywa jednak brak przygotowania. Incydent, który zatrzyma sprzedaż, produkcję albo świadczenie usługi, generuje koszty natychmiastowe: przestój, obsługę kryzysową, odtwarzanie systemów, pracę ekspertów, komunikację z klientami i presję mediów. Później pojawiają się koszty mniej widoczne: utrata zaufania, roszczenia, audyty po incydencie, problemy z ubezpieczeniem, utrata kontraktów albo trudniejsze negocjacje z partnerami. W przypadku podmiotów regulowanych dochodzi też ryzyko administracyjne i reputacyjne związane z niewłaściwym raportowaniem.
Dlatego przedsiębiorstwo powinno traktować NIS2, KSC i CER nie jako listę formalności, lecz jako narzędzie uporządkowania odpowiedzialności. Kto jest właścicielem ryzyka cyber? Kto odpowiada za ciągłość działania? Kto kontaktuje się z CSIRT lub właściwym organem? Kto prowadzi komunikację z klientami? Kto decyduje o zatrzymaniu systemu, odłączeniu części infrastruktury albo przejściu w tryb awaryjny? Kto sprawdza, czy dostawcy spełniają wymagania? Jeżeli te odpowiedzi nie istnieją przed incydentem, po incydencie będą ustalane pod presją czasu.
Odporność wymaga cyklu, nie jednorazowego projektu
Przedsiębiorstwo nie musi zaczynać od wszystkiego naraz. Pierwszym krokiem powinna być diagnoza, a nie przypadkowy zakup narzędzia. Trzeba ustalić usługę lub proces krytyczny, zidentyfikować zasoby, które go utrzymują, zmierzyć zdolności podstawowe: wykrycie, reakcję, izolację, odtworzenie i raportowanie, a następnie sprawdzić zdolności wzmacniające: szkolenia, ćwiczenia, kulturę bezpieczeństwa, dostawców i uczenie się po incydentach.
W praktyce sprawdza się logika ciągłego doskonalenia: zaplanuj, wykonaj, sprawdź, popraw. Najpierw trzeba zidentyfikować procesy i ryzyka. Potem przydzielić adekwatne zasoby: ludzi, narzędzia, procedury, dostawców i budżet. Następnie przetestować, czy środki działają. Na końcu poprawić to, co nie zdało egzaminu. Taki cykl powinien reagować na zmieniające się natężenie zagrożeń: alerty RCB, komunikaty CSIRT, incydenty u dostawców, wzrost liczby podatności, napięcia sektorowe czy ryzyko działań hybrydowych. Adekwatność środków nie jest dana raz na zawsze.
W dalszej perspektywie odporność może być wzmacniana przez zdolność obrony i zniechęcania potencjalnego napastnika. W języku biznesowym oznacza to sytuację, w której przedsiębiorstwo nie jest łatwym celem: szybciej wykrywa atak, ogranicza skutki, odtwarza usługę, współpracuje z właściwymi podmiotami i podnosi koszt działania po stronie adwersarza. Nie każde przedsiębiorstwo musi budować zaawansowane zdolności obronne, ale każde powinno wiedzieć, czy jego poziom odporności odpowiada skali ryzyka.
Warto też pamiętać, że odporność przedsiębiorstwa nie zależy wyłącznie od technologii. NIS2, KSC i CER będą skuteczne tylko wtedy, gdy zostaną osadzone w przewidywalnym systemie odpowiedzialności: jasnych obowiązkach, sprawnych organach nadzorczych, przejrzystych procedurach raportowania i realnej możliwości wykazania należytej staranności. Dla przedsiębiorcy bezpieczeństwo oznacza nie tylko firewall, backup i audyt. Oznacza także pewność, że reguły są zrozumiałe, egzekwowane w sposób przewidywalny i pozwalają podejmować decyzje inwestycyjne bez chaosu interpretacyjnego.
Jeżeli przedsiębiorstwo nie wie, od czego zacząć, powinno sięgnąć po metodyczne badanie odporności, które łączy analizę procesów, rachunek kosztów działań, zarządzanie ryzykiem, KPI i ocenę zgodności z NIS2, KSC oraz CER. W praktyce chodzi o znalezienie punktu równowagi, aby nie budować najdroższego systemu, ale taki, który jest adekwatny do skali ryzyka, mierzalny, możliwy do wykazania i regularnie testowany. To właśnie będzie nowy koszt biznesu. Ale także warunek utrzymania konkurencyjności, wiarygodności i miejsca w łańcuchu wartości.