BezpieczeństwoWiemy, że nas okradną. I nic z tym nie robimy. > Robert Kamiński Opublikowane 25 lutego 20260 0 143 Podziel się Facebook Podziel się Twitter Podziel się Google+ Podziel się Reddit Podziel się Pinterest Podziel się Linkedin Podziel się Tumblr Co druga polska firma z sektora MŚP miała w ciągu ostatnich dwóch lat incydent naruszenia bezpieczeństwa. Co druga. To nie jest statystyka z dystopijnej powieści – to wynik badania przeprowadzonego przez PMR by Hume’s Institute na zlecenie EXEA Data Center. I gdyby poprzestać tylko na tej jednej liczbie, artykuł można by właściwie skończyć. Ale diabeł, jak zwykle, tkwi w szczegółach. Świadomość bez działania to tylko dobra mina do złej gryZacznijmy od paradoksu, który aż prosi się o komentarz. Blisko 80 proc. małych i średnich przedsiębiorstw deklaruje, że cyberbezpieczeństwo to dla nich wysoki priorytet. Brzmi dobrze. Wygląda poważnie. Problem w tym, że wieloskładnikowe uwierzytelnianie – czyli coś, co każdy specjalista od bezpieczeństwa wymienia jako absolutne minimum – stosuje zaledwie 47 proc. z nich. Regularne kopie zapasowe robi 46 proc. Szyfrowanie dysków? 34 proc. Wymuszona zmiana haseł? 33 proc.Innymi słowy: mówimy, że nam zależy, ale nie zakładamy kasku, wychodząc na budowę.To nie jest zjawisko nowe ani specyficznie polskie. Ale w kontekście nadchodzącej nowelizacji ustawy o Krajowym Systemie Cyberbezpieczeństwa, która wdroży unijną dyrektywę NIS2 do polskiego prawa, ta przepaść między deklaracjami a rzeczywistością zaczyna boleć bardziej niż zwykle.NIS2, czyli regulacja, która nie pyta o zdanieDyrektywa NIS2 obowiązuje w UE od października 2024 roku. Polska wciąż pracuje nad jej implementacją, ale kierunek jest jasny: cyberbezpieczeństwo przestaje być sprawą działu IT, a staje się odpowiedzialnością całej organizacji – łącznie z zarządem. Ciągłość działania, zarządzanie ryzykiem, procedury reagowania na incydenty – to nie są już opcjonalne dodatki dla dużych korporacji. To obowiązek, który dotknie też firmy zatrudniające kilkanaście osób.I tu pojawia się kolejna liczba, która nie daje spokoju: 91 proc. firm planuje wydatki IT w związku z NIS2. 81 proc. zapowiada wzrost budżetów na cyberbezpieczeństwo. Brzmi jak dobra wiadomość – i pewnie nią jest. Ale warto zapytać, skąd nagle ta mobilizacja. Czy to dojrzałość? Czy raczej strach przed karą?Magdalena Mike, prezes EXEA, ujmuje to bez owijania w bawełnę: „Świadomość zagrożeń jest wysoka, ale bez uporządkowanych procesów i jasno przypisanej odpowiedzialności trudno mówić o realnej odporności.” Można to przetłumaczyć jeszcze prościej: kupno drogiego zamka nie pomoże, jeśli nikt nie wie, kto ma klucz.Brakuje ludzi, nie pieniędzyNajwiększą barierą we wdrożeniu sensownych zabezpieczeń nie są koszty – choć 58 proc. firm przyznaje, że wydatki na cyberbezpieczeństwo mogą wymusić podwyżki cen produktów i usług. Największym problemem jest brak wykwalifikowanych pracowników, wskazywany przez 35 proc. respondentów.Stąd rosnąca popularność modelu hybrydowego: 72 proc. firm łączy własne zespoły IT z zewnętrznymi dostawcami. I tu ciekawostka – przy wyborze partnera liczy się przede wszystkim wiedza specjalistyczna (39 proc.) i elastyczność (36 proc.), a cena dopiero na końcu (25 proc.). Może to i znak dojrzałości rynku. A może po prostu efekt tego, że po pierwszym poważnym incydencie przestaje się targować.Kopia zapasowa na pendrivie to nie strategiaOsobny rozdział to ochrona danych. Mimo że ponad połowa firm korzysta z chmury, kopie zapasowe wciąż lądują głównie na urządzeniach NAS (52 proc.) i wewnętrznych serwerach (48 proc.). Backup w chmurze stosuje 40 proc. firm. A 35 proc. małych przedsiębiorstw trzyma dane na nośnikach przenośnych.Co gorsza – 30 proc. firm nie ma żadnych powtarzalnych procedur weryfikacji, czy kopia zapasowa w ogóle działa. Czyli: robimy backup, ale nie sprawdzamy, czy da się z niego skorzystać. To trochę jak kupowanie gaśnicy i chowanie jej za szafą.Puenta, która nie jest pocieszeniemŁukasz Ozimek z EXEA mówi wprost: „W sytuacji incydentu liczą się minuty i gotowość do działania, a nie szumne deklaracje.” I to jest właśnie sedno całej tej historii. NIS2 nie jest kolejnym biurokratycznym wymysłem Brukseli. To odpowiedź na świat, w którym cyberatak na małą firmę produkcyjną może zatrzymać łańcuch dostaw dla dużego kontrahenta. W którym zhakowany podwykonawca staje się furtką do systemu klienta.Polskie MŚP mają świadomość zagrożeń. Mają coraz większe budżety. Brakuje im procesów, ludzi i – powiedzmy to uczciwie – odrobiny pokory wobec tematu, który przez lata traktowały jako problem innych. Regulacja ich do tego zmusi. Pytanie tylko, czy zdążą się przygotować, zanim ktoś zapuka do drzwi bez zaproszenia.Related PostsPrzeczytaj również! Czy NIS2 uratuje polskie firmy przed cyberatakami, czy tylko dołoży im papierologii? Transformacja cyfrowa w firmach: AI, chmura i cyberbezpieczeństwo Sprzęt drożeje. Co ma zrobić firma, która nie jest Amazonem?