Nowelizacja przepisów o krajowym systemie cyberbezpieczeństwa znacząco zmienia skalę obowiązków po stronie przedsiębiorstw. Do tej pory regulacje obejmowały około 500 podmiotów. Teraz mowa już o dziesiątkach tysięcy firm. Szacunki wskazują, że będzie to nawet 40–50 tysięcy organizacji. To nie jest kosmetyczna zmiana. To zupełnie nowy poziom odpowiedzialności.
- Kogo obejmą nowe przepisy
- Podmioty ważne i krytyczne – co to oznacza
- Samozgłoszenie i czas na przygotowanie
- Analiza ryzyka – fundament wszystkiego
- Incydent to nie tylko atak hakerski
- Praktyka zamiast teorii
- Ryzyko jest bliżej, niż się wydaje
- Kary: finansowe i osobiste
- Skala zagrożeń rośnie
- Brakuje specjalistów
- Co to oznacza dla firm
Kogo obejmą nowe przepisy
Kluczowe znaczenie ma branża, w której działa firma. Ustawa wprost wskazuje sektory objęte obowiązkami. To między innymi:
- energetyka
- transport
- przemysł spożywczy
- chemia
- logistyka
Ale to nie wszystko. Obowiązki mogą objąć także firmy spoza tych branż, jeśli współpracują z podmiotami objętymi ustawą. Innymi słowy, nawet jeśli nie jesteś bezpośrednio „na liście”, możesz się na niej znaleźć jako partner biznesowy.
Podmioty ważne i krytyczne – co to oznacza
Firmy zostaną podzielone na dwie kategorie:
- podmioty ważne
- podmioty krytyczne
Różnica sprowadza się do poziomu wymagań. Podmioty krytyczne będą musiały spełniać bardziej rygorystyczne standardy – zarówno techniczne, jak i formalne. Obejmuje to m.in. bardziej rozbudowane procedury bezpieczeństwa, raportowania i zarządzania ryzykiem.
Samozgłoszenie i czas na przygotowanie
Pierwszym krokiem będzie tzw. samozgłoszenie. Firmy mają na to 6 miesięcy. W tym czasie muszą określić, czy podlegają pod nowe przepisy i do której kategorii się kwalifikują.
Na wdrożenie wymaganych zmian przewidziano kolejne 12 miesięcy. W praktyce daje to około 18 miesięcy na pełne dostosowanie.
To sporo, ale tylko z pozoru. Dla wielu firm to bardzo krótki czas.
Analiza ryzyka – fundament wszystkiego
Największym wyzwaniem nie będą same przepisy, ale coś, czego wiele firm do tej pory nie robiło: rzetelna analiza ryzyka.
Każde przedsiębiorstwo będzie musiało:
- zidentyfikować możliwe zagrożenia
- ocenić ich wpływ na działalność
- przygotować scenariusze reakcji
- wdrożyć środki ograniczające ryzyko
To oznacza konieczność dokładnego „sprawdzenia się od środka”. Inwentaryzacja systemów, procesów i zasobów stanie się punktem wyjścia.
W praktyce wiele organizacji dopiero na tym etapie odkryje, że ich procedury są nieaktualne albo niekompletne.
Incydent to nie tylko atak hakerski
Wciąż pokutuje przekonanie, że incydent to wyłącznie spektakularny cyberatak. Tymczasem definicja jest znacznie szersza.
Incydentem może być na przykład:
- wysłanie danych do niewłaściwego odbiorcy
- wyciek danych osobowych
- awaria systemu wpływająca na działanie firmy
Nowe przepisy wymagają szybkiej reakcji. W niektórych przypadkach czas na zgłoszenie incydentu wynosi 24 godziny.
To oznacza jedno: firmy muszą wiedzieć, co robić, zanim coś się wydarzy.
Praktyka zamiast teorii
Dobrze przygotowana organizacja nie improwizuje w kryzysie. Ma gotowe procedury i działa według nich.
Dlatego coraz częściej rekomendowanym rozwiązaniem jest:
- outsourcing usług bezpieczeństwa
- stały monitoring systemów
- wsparcie w reagowaniu na incydenty
To trochę jak ochrona fizyczna budynku. Firma zewnętrzna monitoruje sytuację i reaguje, zanim problem się rozwinie.
Ryzyko jest bliżej, niż się wydaje
Cyberzagrożenia nie dotyczą tylko dużych korporacji. Nawet mała firma może być narażona.
Dobrym przykładem jest piekarnia. Właściciel może uznać, że strona internetowa nie jest kluczowa. Ale jeśli piec produkcyjny jest podłączony do sieci i zostanie zablokowany, skutki mogą być poważne – aż do zatrzymania działalności.
Dlatego kluczowe jest zrozumienie, co naprawdę jest krytyczne dla działania firmy.
Kary: finansowe i osobiste
Nowe przepisy przewidują wysokie sankcje za brak przygotowania.
W grę wchodzą:
- kary finansowe sięgające nawet 10 mln
- kary do 2% rocznego obrotu
- odpowiedzialność osobista członków zarządu
To jednak nie wszystko. Możliwe są także konsekwencje zawodowe, takie jak zakaz pełnienia funkcji kierowniczych.
Co ważne, kara nie jest za sam incydent. Kara jest za brak działań zapobiegawczych.
Skala zagrożeń rośnie
Według danych przywołanych w rozmowie, w Polsce w 2025 roku odnotowano około 270 tysięcy incydentów. To średnio ponad 800 dziennie.
Ataki nasilają się szczególnie w okresach świątecznych i długich weekendów, gdy czujność organizacji spada.
To pokazuje, że problem nie jest teoretyczny.
Brakuje specjalistów
Jednym z największych wyzwań jest niedobór kadr. Szacuje się, że na rynku brakuje kilkunastu tysięcy specjalistów ds. cyberbezpieczeństwa.
Firmy mają więc trzy główne opcje:
- szkolić własnych pracowników
- korzystać z automatyzacji i narzędzi wspieranych przez AI
- zlecać usługi na zewnątrz
W praktyce większość organizacji będzie musiała łączyć te podejścia.
Co to oznacza dla firm
Nowelizacja przepisów to sygnał, że cyberbezpieczeństwo przestaje być opcją. Staje się obowiązkiem biznesowym.
Firmy, które zaczną działać teraz, zyskają czas i przewagę. Te, które zignorują temat, mogą zapłacić wysoką cenę – nie tylko finansową. Najważniejsze pytanie nie brzmi już „czy coś się wydarzy”, ale „czy jesteśmy na to gotowi”.