Odkrywamy fakty i obalamy mity dotyczące NIS2 cz. II: przepisy muszą starać się nadążać za rzeczywistością

TM: Zacznijmy od fundamentalnego pytania: po co w ogóle Unii i Polsce nowa dyrektywa dotycząca cyberbezpieczeństwa?

Artur Barankiewicz: Zacznijmy od stwierdzenia będącego poniekąd truizmem: prawo zazwyczaj nie nadąża za rzeczywistością. Może ją jednak starać się nadganiać i reagować na zmieniające się uwarunkowania, co jest właśnie celem i ambicją NIS2 jako elementu prawodawstwa dla całej UE. Dlatego tę dyrektywę oceniam jako krok w bardzo dobrym, pożądanym kierunku.

NIS2 aktem usystematyzowania w formie aktu prawnego najważniejszych, dobrych praktyk w dziedzinie cyberbezpieczeństwa i nadania im statusu braku unikalności.  Oznacza to, że jesteśmy zobligowani do ich przyjęcia, choć oczywiście proces implementacji czy stosunek do nich poszczególnych firm pozostaje odrębną kwestią.

TM: Ale opór wobec nowych regulacji, zwłaszcza narzucających kolejne obowiązki czy koszty, wydaje się naszą narodową tradycją…

To rzeczywiście jest obserwacja, która pojawia się na wielu konferencjach branżowych, w których w ostatnim czasie uczestniczyłem. Natomiast z mojej perspektywy dyskutowanie o sensowności tych zmian ma charakter wtórny i bezprzedmiotowy, ponieważ NIS2 jest po prostu formą spisania dobrych praktyk, które dla wszystkich osób zajmujących się cyberbezpieczeństwem są oczywistością, elementem podstawowej higieny cyfrowej. Nie znajdziemy w tej dyrektywie niczego wymyślnego ani rewolucyjnego — to jest naprawdę elementarz.

TM: Dla porządku przypomnijmy tylko, że NIS2 zastępuje poprzednią dyrektywę NIS (Network and Information Systems Directive). Jej celem jest zapewnienie wyższego poziomu ochrony danych cyfrowych w przedsiębiorstwach działających na obszarze Unii Europejskiej. Nakłada ona na europejskie firmy m.in. obowiązek opracowania koncepcji w zakresie analizy ryzyka i bezpieczeństwa IT, zarządzania incydentami, posiadania własnego systemu zarządzania ciągłością działania oraz gotowości do jego weryfikacji przez odpowiednie instytucje.

To właśnie najpoważniejsza obawa firm związana z implementacją NIS2: czyli czynnik kosztowy. Warto jednak zaznaczyć, że przedsiębiorstwa czy instytucje w aspekcie odporności cyfrowej muszą być zawsze skuteczne — zaś atakującemu wystarczy skuteczność jednorazowa. To oczywista, ale szalenie istotna różnica statystyczna.

NIS2 oczywiście będzie dla organizacji wyzwaniem kosztowym, związanym z technologiami, które się pojawiają, oraz zmianą podejścia organizacyjnego: chociażby stworzeniem procesów podnoszących poziom cyberbezpieczeństwa. Firmy będą musiały zainwestować konkretne sumy w budowanie dojrzałej kultury bezpieczeństwa oraz świadomości wśród pracowników, którzy będą musieli na jakiś czas odejść od na przykład linii produkcyjnych, aby przejść chociaż podstawowe kursy czy szkolenia.

Jednak NIS2 nie ma na celu przykręcania finansowej śruby europejskim przedsiębiorstwom, a w swych założeniach zawiera element tzw. adekwatności środków. Oznacza to, że firmy mają obowiązek zabezpieczenia się odpowiednio do skali biznesu, jaki prowadzą. Dla jednej będzie to instalacja prostego programu antywirusowego oraz firewalla na komputerach, a dla niektórych bardzo skomplikowane, złożone systemy oparte na automatyzacji czy AI.

TM: Ale czy dla podniesienia cyfrowego bezpieczeństwa europejskich firm konieczna jest aż odgórna ingerencja unijnych instytucji? Czy nie prościej byłoby pozwolić rynkowi zweryfikować dojrzałość przedsiębiorstw? Przecież te, które inwestują w swoją odporność, już dziś tracą klientów oraz zaufanie partnerów biznesowych.

Należy zaznaczyć, że dyrektywa NIS2 wprowadza kompleksowe zasady zarządzania ryzykiem cybernetycznym, które muszą spełniać dostawcy usług w sektorach kluczowych, takich jak produkcja, energetyka czy przemysł spożywczy.

To bardzo istotne, ponieważ mówimy tutaj o bezpieczeństwie i stabilności całego państwa. Doskonałym przykładem jest potencjalny kryzys żywnościowy: jako społeczeństwo przetrwamy bez wielu usług bądź produktów, jednak ten sektor odpowiada za dostarczanie artykułów pierwszej potrzeby a nie był i nie będzie nigdy elementem infrastruktury krytycznej. Stąd w NIS2 nie znajdziemy przykładowo zakładów fryzjerskich, ale piekarnie — owszem.

TM: Idźmy dalej: w myśl NIS2, państwa członkowskie są zobowiązane wdrożyć m.in. krajową strategię cyberbezpieczeństwa oraz przepisy obejmujące wymogi w obszarze zarządzania ryzykiem i sprawozdawczości organizacji objętych dyrektywą. Ponadto NIS2 ma zapewnić tzw. minimalną harmonizację działań w państwach członkowskich – muszą one wprowadzić w życie procedury i zasady zawarte w dyrektywie, ale mogą stosować również własne, pod warunkiem, że są one bardziej rygorystyczne.

Zgodnie z dyrektywą NIS2 państwa członkowskie miały czas do 17 października 2024 r. na przyjęcie krajowych przepisów o cyberbezpieczeństwie — i niestety zdecydowanej większości z nich nie udało uniknąć się opóźnień.

Obecnie część krajów ma już wdrożone odpowiednie przepisy i realizuje kolejne kroki, przy czym należy zaznaczyć, że NIS2 stanowi pewne obowiązkowe minimum. Państwa członkowskie rzeczywiście uzyskały swobodę co do rozszerzania, ale nie ograniczania wymogów tej dyrektywy. Zaskakującym przykładem w tym zakresie jest Chorwacja, która jako jedyna objęła NIS2 swój system edukacyjny, co nigdy nie zostało nakreślone przez instytucje unijne jako wymaganie. 

Niestety w Polsce proces legislacyjny, mający na celu wdrożenie dyrektywy NIS2 do krajowego porządku prawnego, wciąż się opóźnia. Przedsiębiorstwa nie powinny jednak czekać na lokalne regulacje – proaktywne dostosowanie do unijnych wymagań to krok w stronę zwiększenia bezpieczeństwa i uniknięcia potencjalnych sankcji. To, że w danym kraju nie ma jeszcze aktu wykonawczego implementującego NIS2 nie oznacza, że dana firma nie podlega jej zapisom. Dyrektywa mówi bowiem o bezpieczeństwie łańcucha dostaw produktów i usług – co przekłada się na konieczność dostosowania do dyrektywy również firm będących partnerami organizacji z krajów, które ją wdrożyły. Opieszałość w tym kontekście oznacza więc nie tyle ryzyko kar finansowych, ale utraty kontraktów i zamówień.

TM: Ciekawy jest przykład Austrii.

Owszem — Austriacy, podobnie jak Polacy, nie zaimplementowali dotychczas unijnego prawa, a z ich deklaracji wynika, że przygotowują się do tego na pierwszy kwartał 2026 roku. Różnica między naszymi krajami tkwi jednak w podejściu rodzimych firm do tego procesu. Austriackie przedsiębiorstwa przyjęły postawę „pożyjemy, zobaczymy”, natomiast w Polsce świadomość co do konieczności przygotowywania się na nadchodzące zmiany jest znacznie bardziej powszechna, podparta konkretnymi działaniami.

TM: Dobrze to świadczy o polskich przedsiębiorcach.

Teraz inicjatywa jest przede wszystkim po stronie krajowego ustawodawcy — a należy pamiętać, że historia polskiego prawa dotyczącego cyberbezpieczeństwa jest bardzo długa i złożona, sięgająca czasów, w których NIS był jedynie mglistą koncepcją.

Implementacja dyrektywy w Polsce zbliża się jednak wielkimi krokami: z ostatnich deklaracji decydentów wynika, że powinniśmy się spodziewać tego aktu normatywnego do końca bieżącego roku z bardzo krótkim okresem tzw. vacatio legis. Nie powtórzymy więc doświadczenia z DORA, do której wdrożenia przyjęto odpowiednie przepisy, lecz pozostawiono wiele miesięcy, a wręcz lat, na dostosowanie się do jej wszystkich wymagań.

TM: Czy europejskie firmy zostaną w jakikolwiek sposób poinformowane o konkretnych datach i zakresie swych obowiązków w kontekście NIS2?

W tym obszarze praktyka poszczególnych rządów i krajów członkowskich też jest odmienna. W Polsce to firmy muszą wiedzieć, czy są podmiotem objętym NIS2, a we wspomnianej już Chorwacji każde przedsiębiorstwo otrzymało odpowiednią notę informacyjną.

Co ciekawe: istnieją też europejskie kraje, które nie są członkami UE, ale jasno deklarują, że dobrowolnie skopiują i wdrożą nowe prawo, bo również chcą podnieść swój poziom cyberbezpieczeństwa. Mowa tu na przykład o Czarnogórze. To pokazuje, że niekiedy z zewnątrz bardziej docenia się pewne rozwiązania i dostrzega ich zasadność.

TM: Wspominał Pan, że wielu polskich przedsiębiorców nie czeka z dostosowaniem swych firm do wymogów NIS2 na ostatni moment. W jaki sposób mogą im w tym pomóc zewnętrzni partnerzy technologiczni?

Implementacja NIS2 stanowi olbrzymie wyzwanie: zarówno dla tysięcy organizacji, jak i doświadczonych partnerów technologicznych, którzy mogą pomóc im przejść przez ten złożony, wielopłaszczyznowy proces. Jako Deutsche Telekom, którego częścią jest T‑Mobile, jesteśmy do tego gotowi: w naszej globalnej organizacji pracuje 2600 ekspertów od cyberbezpieczeństwa, posiadamy zaawansowaną infrastrukturę oraz wieloletnie, bogate doświadczenie.

Przygotowanie firmy do NIS2 można porównać do wizyty u lekarza: kiedy otwieramy drzwi do jego gabinetu, nie dostajemy momentalnie gotowej recepty. Wymagane są wywiad, często pogłębione badania, postawienie odpowiedniej diagnozy. Tak samo my musimy dokładnie poznać daną organizację, przeanalizować słabości i potrzeby, dostosować rozwiązania jej specyfiki.  

Poza konkretnymi technologiami, jak backup czy Disaster Recovery Plan, dysponujemy całą gamą odpowiednich narzędzi szkoleniowych, obejmujących symulowane ataki phishingowe, smishingowe czy wykorzystujące elementy socjotechniki. Posiadamy ofertę skierowaną do największego biznesu, ale również taką adresowaną do sektora MŚP. Wszystko po w myśl zasady adekwatności promowanej przez dyrektywę NIS2.

Ten artykuł dotyczy produktu

Cyber Check – ocena zgodności z dyrektywą NIS 2

Przejdź do produktu

Data publikacji: 09.10.2025