Europa również nie jest gotowa na NIS2, a to tylko pogłębia chaos. Zaledwie 15 z 27 państw UE wdrożyło krajowe przepisy, choć termin minął już kilka miesięcy temu. Aż 75 proc. organizacji nie ma dedykowanego budżetu na NIS2, 89 proc. będzie musiało zatrudnić dodatkowych specjalistów ds. cyberbezpieczeństwa, a 59 proc. MŚP już dziś ma problem z ich znalezieniem. Firmy w całej Unii muszą więc zmieniać architekturę systemów i procesy, budować nowe kompetencje i jednocześnie radzić sobie z ostrym deficytem kadr oraz rosnącymi kosztami.
W Polsce skala wyzwania jest większa niż gdzie indziej. Liczba podmiotów objętych regulacją ma wzrosnąć z około 400 do nawet 10 tys., a jednocześnie jesteśmy jednym z najczęściej atakowanych krajów świata.
Sprawdź też: Wielka Brytania, USA i Australia razem przeciw rosyjskiej firmie za cyberataki
Problemy z NIS2
Tymczasem duża część polskiego rynku dopiero próbuje ustalić, czy w ogóle podlega nowym przepisom. Według badania „Cyberportret polskiego biznesu 2025” aż 36 proc. ekspertów ds. cyberbezpieczeństwa nie potrafi określić statusu swojej organizacji wobec NIS2. Ponad połowa firm co prawda zaktualizowała polityki bezpieczeństwa, ale niewiele rozpoczęło realne wdrożenia.
Czytaj także w BUSINESS INSIDER
Dalsza część pod materiałem wideo:
Co więcej, 55 proc. pracowników nie przeszło żadnego szkolenia z cyberbezpieczeństwa przez ostatnie pięć lat. Nowelizacja ustawy o KSC, która ma zaimplementować NIS2 w Polsce, wciąż jest w przygotowaniu. Po jej wejściu firmy będą mieć jedynie 30–60 dni na zgłoszenie się do rejestru i pół roku na pełne spełnienie wymogów – mimo że realne projekty zwykle trwają od sześciu do dwunastu miesięcy. Dla wielu organizacji oznacza to, że czas już się skończył.
Czytaj też: Tak zabezpieczysz się przed oszustami stosującymi metodę „na wnuczka” i deep fake
„Dyrektywa obowiązuje od dawna, przepisy krajowe za chwilę wejdą, a firmy dopiero zaczynają sprawdzać, czy w ogóle podlegają NIS2. To przepis na wdrażanie pod presją, w trybie awaryjnym, kiedy czasu jest najmniej, a ryzyko największe” — mówi Rafał Barański, CEO braf.tech i autor sara.next, narzędzia, które ułatwia zarządzanie dostępami w całej organizacji. Jak podkreśla, NIS2 wymaga uporządkowania systemów krytycznych, ról, uprawnień, procesów raportowania i bezpieczeństwa łańcucha dostaw. „NIS2 to nie jest listą życzeń regulacyjnych – to konkretne obowiązki, których nie da się wdrożyć w kilka tygodni. Widzimy, że realne projekty zajmują od pół roku do roku. Czasu jest mało, a ryzyko rośnie każdego dnia” — podsumowuje Barański.
To właśnie w tym punkcie zaczyna się „podwójne ryzyko” dla polskiej gospodarki. Z jednej strony rośnie skala i zaawansowanie ataków, szczególnie na infrastrukturę krytyczną, energetykę, firmy produkcyjne i logistyczne, których przestoje natychmiast przekładają się na cały łańcuch dostaw. Z drugiej strony firmy wchodzą w okres przyspieszonego, często chaotycznego wdrażania regulacji. Wszystko to pod groźbą wysokich kar i utraty zaufania klientów.