NIS 2 nie uchroni cię przed tym, czego nie widzisz

Polska wdrożyła NIS 2 z ponad rocznym poślizgiem — Sejm uchwalił nowelizację ustawy o KSC 23 stycznia 2026 roku, obejmując nią ponad 42 tysiące podmiotów. Po latach, gdy cyberbezpieczeństwo było traktowane jako problem działu IT, regulacja przenosi odpowiedzialność na poziom zarządu. Całą tę narrację o dojrzałości cyfrowej przyjmuje się z aplauzem na konferencjach i w komunikatach prasowych. Warto jednak postawić pytanie, które zadają sobie rzadko: co konkretnie wdrażają firmy i czy to wystarczy?

Papier jest cierpliwy

Dane są bezlitosne. W 2024 roku aż 83% polskich firm zarejestrowało przynajmniej jeden incydent związany z cyberbezpieczeństwem — wzrost o 16 punktów procentowych rok do roku. Jednocześnie najczęściej podejmowanym działaniem dostosowawczym do NIS 2 była aktualizacja polityki cyberbezpieczeństwa — przeprowadziło ją 53% organizacji. Kolejne 51% zorganizowało szkolenia dla pracowników. Polityki i szkolenia. Dokumenty i prezentacje. To rzeczy, które można pokazać audytorom.

Problem polega na tym, że cyberprzestępca nie pyta o politykę bezpieczeństwa przed wejściem do sieci.

Firmy objęte regulacją wdrażają procedury, aktualizują dokumenty, przygotowują się na kontrole. To logiczne — kary za niedopełnienie obowiązków mogą sięgać 10 milionów euro lub 2% rocznego obrotu. Zarządy zrobiły rachunek i postąpiły racjonalnie: skupiły się na tym, za co grozi sankcja. Tylko że sankcja grozi za brak dokumentacji, nie za brak wiedzy o tym, co dzieje się w sieci.

Napastnik, którego nie widać

Nowoczesne ataki rzadko wyglądają jak atak. Nie ma syren, nie ma błyskawicznego zaszyfrowania dysków. Średni czas wykrycia ataku na łańcuch dostaw wynosi 265 dni — przez niemal dziewięć miesięcy intruz może swobodnie poruszać się po infrastrukturze, zdobywać uprawnienia i kopiować dane. W tym czasie firma aktualizuje polityki i organizuje szkolenia z phishingu.

Mechanizm jest prosty. Napastnik przejmuje dane logowania jednego pracownika — przez phishing, wyciek z zewnętrznej usługi albo słabe hasło w systemie partnera. Potem loguje się jak normalny użytkownik. Jego aktywność wygląda jak aktywność pracownika: ktoś przeglądał pliki, ktoś się gdzieś zalogował, ktoś pobrał dane. Żaden alert nie piszczy, bo nie dzieje się nic nienormalnego — z perspektywy systemu to zwykły ruch.

Jak mówi ekspert dostawcy narzędzi do monitorowania sieci, Progress Software: „Nawet najlepiej przygotowana dokumentacja nie odpowie na pytanie, czy w danym momencie w sieci nie dochodzi do działań, które mogą prowadzić do naruszenia bezpieczeństwa.” Można się nie zgadzać z diagnozą, ale trudno kwestionować logikę.

42 tysiące podmiotów. Ile widzi?

NIS 2 nakłada obowiązek zarządzania ryzykiem, raportowania incydentów w 24 godziny i audytów co trzy lata. To sensowne wymogi. Ale zarządzanie ryzykiem to nie to samo co wykrywanie zagrożeń w czasie rzeczywistym — tak jak posiadanie planu ewakuacji budynku nie jest tym samym, co czujnik dymu.

Aż 36% polskich przedsiębiorców nie wie nawet, czy dyrektywa NIS 2 ich dotyczy. Wśród tych, którzy to wiedzą, dominuje logika minimum: zrobić tyle, żeby zdać audyt. To zrozumiałe — nikt nie inwestuje powyżej wymaganego progu, jeśli nie rozumie, co kupuje. A „widzialność sieci” to abstrakcja dla prezesa, który właśnie skończył wdrażać politykę zarządzania ryzykiem i myśli, że ma to z głowy. PIT.pl

Tymczasem Polska była w 2024 roku narażona na ponad tysiąc cyberataków tygodniowo, a w pierwszym kwartale 2025 roku ujawniono niemal 2300 skutecznych ataków ransomware na całym świecie — o 126% więcej niż rok wcześniej. To nie jest środowisko, w którym dokumentacja zastępuje detekcję.

Teatr dla zarządu, ryzyko dla firmy

NIS 2 robi jedną ważną rzecz: wyciąga cyberbezpieczeństwo z szafy serwerowni i kładzie je na stole zarządu. To zmiana kulturowa, której wartości nie należy bagatelizować. Przez lata szef IT mówił „mamy problem” i słyszał „ile to kosztuje”. Teraz zarząd słyszy „grożą nam kary”, więc słucha.

Ale jest granica między słuchaniem a rozumieniem. Firma, która wdrożyła procedury, przeprowadziła szkolenia i zaliczyła audyt, ma formalną rację bytu. Jej zarząd może spokojnie powiedzieć regulatorowi: jesteśmy zgodni. Czy może tak samo spokojnie powiedzieć: wiemy, co się dzieje w naszej sieci?

Regulacja wyznacza dolną granicę, nie sufit. Compliance to warunek konieczny, ale niewystarczający. Firmy, które to rozumieją — i które po dopełnieniu obowiązków pytają „co dalej?” — mają szansę zbudować coś, co NIS 2 tylko sugeruje: realną zdolność do obrony. Pozostałe zdały egzamin i wróciły do pracy. Napastnik cierpliwie czeka, aż skończy się celebracja zgodności.