EEC 2025: Cyberbezpieczeństwo - obowiązek czy strategiczny fundament?

W dobie coraz bardziej zaawansowanych i licznych cyberataków, wiele polskich firm wciąż traktuje bezpieczeństwo cyfrowe jako wewnętrzny temat „dla działu IT”. Tymczasem nowe regulacje, choć jak najbardziej potrzebne – nadal przez wielu są odbierane jedynie jako „konieczność formalna”, nie zaś impuls do budowy odporności organizacyjnej. Taki obraz wyłonił się z panelu poświęconego cyberbezpieczeństwu podczas Europejskiego Kongresu Gospodarczego w Katowicach, którego Partnerami byli ESET i DAGMA Bezpieczeństwo IT.

Przedstawiciele m.in. Ministerstwa Cyfryzacji, Microsoft, PepsiCo, DAGMA Bezpieczeństwo IT, CSIRT NASK PIB, Polskich Sieci Elektroenergetycznych czy Polskiej Wytwórni Papierów Wartościowych podczas dyskusji byli zgodni, że krajobraz zagrożeń w Polsce zmienia się dynamicznie i niepokojąco.

Rośnie liczba zaawansowanych ataków, finansowanych przez państwa i wymierzonych w infrastrukturę krytyczną. Do tego dochodzi fala ataków socjotechnicznych i phishingowych, które coraz częściej wspomagane są przez sztuczną inteligencję. Jak pokazuje raport CERT Polska, w 2024 roku liczba zgłoszonych incydentów cyberbezpieczeństwa w Polsce wzrosła aż o 62% (w porównaniu z 2023), a liczba zarejestrowanych incydentów zwiększyła się o 29%, co przełożyło się na nawet 300 zgłoszeń dziennie. Potwierdzają to również dane ESET, z których wynika w II półroczu 2024 roku, Polska była drugim najczęściej atakowanym przez cyberprzestępców państwem na świecie.

Jednym z najczęstszych wektorów skutecznych ataków nadal pozostaje człowiek. Niska świadomość zagrożeń, brak aktualizacji systemów czy podstawowych zabezpieczeń to główne przyczyny incydentów. Eksperci zaznaczają również brak zintegrowania bezpieczeństwa z ogólną strategią biznesową. „To nie jest jednorazowy projekt, tylko ciągły proces” – podkreślają. Tymczasem firmy zbyt często działają reaktywnie, zamiast inwestować w prewencję.

NIS2 i KSC: nowy porządek dla tysięcy firm

Przyjęcie dyrektywy NIS2 i nowelizacja ustawy o Krajowym Systemie Cyberbezpieczeństwa (KSC) oznaczają gruntowną przebudowę podejścia do bezpieczeństwa dla wielu organizacji. Ministerstwo Cyfryzacji zapowiedziało, że prace nad nową wersją UKSC zakończą się do końca czerwca. Przepisy zobowiążą firmy m.in. do wdrożenia systemów raportowania incydentów i ich rejestrowania, a także podzielą podmioty na „kluczowe” i „ważne”.

Eksperci podkreślają, że wdrożenie wymogów to nie tylko kwestia narzędzi, ale przede wszystkim kompetencji. Małe i średnie przedsiębiorstwa – szczególnie te działające w regionach – często nie mają zasobów, by sprostać nowym wymogom.

Jak zaznacza Michał Pukaluk z Ministerstwa Cyfryzacji, problemem nie są wyłącznie braki technologiczne. Wciąż wiele incydentów wynika z błędów podstawowych: braku uwierzytelniania dwuskładnikowego i nieaktualizowanego oprogramowania. Ministerstwo zapowiada także rozwój platformy cybergov.pl jako punktu kompleksowej obsługi oraz udostępnienie centralnych usług, takich jak systemy anty-DDoS, S46 i Cyber Threat Intelligence.

Strategia zamiast compliance – zmiana w myśleniu kluczowa

Choć wiele firm wdraża dziś rozwiązania z zakresu cyberbezpieczeństwa, to często robią to jedynie w odpowiedzi na wymagania prawne. Brakuje strategicznego spojrzenia. Cyberbezpieczeństwo wciąż zbyt rzadko pojawia się w agendzie zarządów, a często jest delegowane do CISO, którzy koncentrują się na gaszeniu „pożarów”, nie mając przestrzeni na długoterminowe planowanie.

Wśród ekspertów pojawiły się również ostrzeżenia przed brakiem dostępu do doradztwa dla mniejszych podmiotów.

Perspektywa branży cyberbezpieczeństwa różni się znacząco od ogólnej perspektywy polskich firm. Wielu przedsiębiorców wciąż patrzy na regulacje dotyczące cyberbezpieczeństwa jak na coś zewnętrznego, kolejne wyzwanie z gatunku compliance, pewną kwestię formalną. Z badań przeprowadzonych przez ESET wynika, że także perspektywy osób odpowiedzialnych za cyberbezpieczeństwo w firmach oraz pozostałych pracowników, a nawet kadry zarządczej znacząco się różnią. Wiele osób, także na poziomie managementu, nadal nie traktuje cyberbezpieczeństwa jako czegoś istotnego dla strategii rozwoju. Aby regulacje naprawdę miały sens, potrzebujemy bardziej szczegółowego doradztwa, szczególnie dla podmiotów określanych jako „ważne”, które często są w łańcuchach dostaw dla podmiotów kluczowych. To kwestia wzmacniania kompetencji także w Polsce regionalnej i lokalnej, tam gdzie są realni dostawcy, którzy nadal wymagają wzmocnienia swoich kompetencji i świadomości

Paweł Jurek

dyrektor rozwoju biznesu w DAGMA Bezpieczeństwo IT

Cyberbezpieczeństwo – warunek odporności gospodarki

Wnioski z Europejskiego Kongresu Gospodarczego 2025 są jednoznaczne: cyberbezpieczeństwo musi być nie tylko technologicznym zabezpieczeniem, ale integralnym składnikiem planowania strategicznego i elementem krajowej polityki odporności gospodarczej.

Bez świadomości, edukacji i realnego zaangażowania liderów nawet najlepsze przepisy pozostaną martwą literą. A fałszywe poczucie bezpieczeństwa, niska jakość uwierzytelniania i brak strategii, to nie tylko ryzyko dla pojedynczych firm tylko zagrożenie dla całego ekosystemu gospodarczego.

Zobacz transmisję z debaty „Cyberbezpieczeństwo w biznesie” podczas Europejskiego Kongresu Gospodarczego 2025:

Zobacz debatę