Artykuł pochodzi z wydania: Luty 2026
Jedną z najistotniejszych zmian wprowadzanych przez dyrektywę NIS 2 oraz nowelizację ustawy o krajowym systemie cyberbezpieczeństwa jest znaczące rozszerzenie katalogu podmiotów objętych regulacją. W porównaniu do dotychczas obowiązujących przepisów, które koncentrowały się głównie na wąskiej grupie operatorów usług kluczowych oraz wybranych dostawcach usług cyfrowych, nowe podejście obejmuje znacznie szersze spektrum organizacji funkcjonujących w różnych sektorach gospodarki.
Zmiana ta ma charakter systemowy i wynika z założenia, że odporność państwa na zagrożenia cybernetyczne zależy nie tylko od bezpieczeństwa kilku największych podmiotów, lecz również od ogólnego poziomu dojrzałości cyberbezpieczeństwa na poziomie krajowym i unijnym. Ustawodawca odszedł od postrzegania cyberbezpieczeństwa wyłącznie przez pryzmat infrastruktury krytycznej w tradycyjnym, dotychczasowym rozumieniu. Doświadczenia z kilku ostatnich lat jednoznacznie potwierdzają, że skutki poważnych incydentów mogą być równie dotkliwe w przypadku podmiotów, które formalnie nie były uznawane za kluczowe, ale których działalność jest istotna z punktu widzenia ciągłości procesów gospodarczych, zdrowia publicznego czy funkcjonowania administracji. Ataki na szpitale, jednostki samorządu terytorialnego, zakłady produkcyjne czy firmy logistyczne wielokrotnie prowadziły do realnych strat finansowych, paraliżu operacyjnego oraz zagrożeń dla bezpieczeństwa odbiorcy końcowego – czyli obywateli.
Rozszerzenie katalogu podmiotów objętych regulacją oznacza, że nowe obowiązki obejmą organizacje działające m.in. w sektorach energetyki, transportu, ochrony zdrowia, finansów, gospodarki odpadowej i wodno-ściekowej, produkcji przemysłowej, sektora spożywczego, logistyki, usług pocztowych i kurierskich, a także administracji publicznej na różnych szczeblach. Co istotne, o objęciu regulacją decyduje nie tylko sama branża, ale również skala działalności podmiotu oraz potencjalne skutki zakłóceń jego funkcjonowania. Oznacza to, że wiele podmiotów, które dotychczas nie identyfikowały się jako adresaci przepisów z zakresu cyberbezpieczeństwa, znajdzie się wprost w reżimie ustawy o krajowym systemie cyberbezpieczeństwa (dalej: uoksc).
Z perspektywy organizacyjnej i technicznej jest to zmiana o dużym ciężarze gatunkowym. Cyberbezpieczeństwo przestaje być obszarem opartym wyłącznie na dobrych praktykach, zaleceniach audytowych czy wewnętrznych decyzjach zarządczych. Staje się elementem zgodności regulacyjnej, podlegającym nadzorowi, kontroli oraz potencjalnym sankcjom finansowym i organizacyjnym. Dla wielu podmiotów oznacza to konieczność nadrobienia wieloletnich zaległości w zakresie formalizacji procesów, dokumentowania działań oraz systemowego zarządzania ryzykiem cyberbezpieczeństwa.
Rozszerzenie katalogu podmiotów objętych regulacją stanowi jeden z kluczowych impulsów do zmiany podejścia do bezpieczeństwa IT. Organizacje, które do tej pory traktowały cyberbezpieczeństwo jako zagadnienie czysto techniczne lub drugoplanowe, będą musiały uznać je za integralny element zarządzania ryzykiem i ciągłością działania. Dla IT to wejście w nową rolę – nie tylko wykonawczą, ale również doradczą i strategiczną – w której bezpieczeństwo systemów informacyjnych staje się jednym z fundamentów stabilnego funkcjonowania całej organizacji.
> ROLA IT JAKO PIERWSZEJ LINII REALIZACJI OBOWIĄZKÓW
W realiach dyrektywy NIS 2 oraz nowelizacji uoksc pracownicy IT stają się faktyczną pierwszą linią realizacji obowiązków nałożonych na organizacje. Choć odpowiedzialność formalna za zapewnienie zgodności z przepisami spoczywa na kierownictwie podmiotu, to właśnie IT odpowiada za praktyczne przełożenie wymogów prawnych na działające rozwiązania techniczne, procedury operacyjne oraz codzienne decyzje wpływające na poziom bezpieczeństwa systemów informacyjnych. Bez aktywnego i świadomego zaangażowania zespołów IT realizacja obowiązków wynikających z NIS 2 pozostaje jedynie deklaracją na poziomie dokumentów.
Nowe regulacje jednoznacznie wymuszają na IT odejście od podejścia reaktywnego, skoncentrowanego głównie na utrzymaniu dostępności systemów i usuwaniu awarii po ich wystąpieniu. W jego miejsce pojawia się podejście systemowe, oparte na zarządzaniu ryzykiem cyberbezpieczeństwa. Oznacza to konieczność pełnej identyfikacji aktywów informacyjnych w organizacji, określeniu zależności pomiędzy systemami, zidentyfikowaniu punktów krytycznych dla ciągłości działania oraz zdefiniowaniu potencjalnych scenariuszy zagrożeń. IT musi rozumieć nie tylko architekturę techniczną, ale również znaczenie poszczególnych systemów dla procesów biznesowych i operacyjnych organizacji. To niełatwe zadanie, szczególnie biorąc pod uwagę ilość bieżącej pracy, której w tych działach nigdy nie brakuje.
Trudno zaprzeczyć, że rola IT znacznie się poszerzy i sprofesjonalizuje. Zespoły stają się głównym i wręcz podstawowym źródłem informacji dla szefostwa w zakresie ryzyk cybernetycznych. Muszą być w stanie przekładać zagadnienia techniczne na język zrozumiały dla zarządu i kierownictwa, wskazując możliwe skutki incydentów w kategoriach finansowych, operacyjnych, prawnych i reputacyjnych. Wymaga to od pracowników IT nie tylko kompetencji technicznych, ale również umiejętności analitycznych, komunikacyjnych oraz zrozumienia funkcjonowania organizacji jako całości.
REAGOWANIE NA INCYDENTY
Szczególnie istotną rolę IT odgrywa w obszarze reagowania na incydenty cyberbezpieczeństwa. Nowelizacja uoksc wprowadza precyzyjne obowiązki w zakresie wykrywania, obsługi i raportowania incydentów, w tym bardzo krótkie terminy zgłoszeń do właściwych organów nadzoru lub CSIRT. W praktyce oznacza to konieczność posiadania stałej gotowości operacyjnej, odpowiednich narzędzi monitoringu, jasno zdefiniowanych procedur eskalacji oraz zespołu zdolnego do szybkiej reakcji i analizy sytuacji. IT musi być przygotowane nie tylko na techniczne opanowanie incydentu, ale również na dostarczenie rzetelnych informacji na potrzeby raportowania i komunikacji wewnętrznej.
PREWENCJA
Rola IT jako pierwszej linii realizacji obowiązków obejmuje również obszar prewencji i ciągłego doskonalenia zabezpieczeń. NIS 2 i nowelizacja uoksc wymagają wdrażania adekwatnych środków technicznych i organizacyjnych, co przekłada się bezpośrednio na m.in. regularne aktualizacje systemów, bieżące zarządzanie podatnościami czy kontrolą dostępu, wykonywanie i testowanie kopii zapasowych oraz ćwiczenia planów ciągłości działania. IT musi zapewnić, że te operacje są realizowane w sposób systematyczny, udokumentowany i możliwy do wykazania w przypadku kontroli.
[…]
Tomasz Cieślik
Autor jest ekspertem specjalizującym się w bezpieczeństwie informacji, ciągłości działania, cyberbezpieczeństwie oraz ochronie danych osobowych. Wspiera organizacje w audytach i wdrożeniach SZBI, przygotowaniu i wdrażaniu procesów zarządzania bezpieczeństwem informacji i cyberbezpieczeństwem oraz analizie i doskonaleniu procesów IT. W swojej pracy kładzie nacisk na praktyczne zarządzanie ryzykiem oraz utrzymanie skutecznego i efektywnego systemu zarządzania bezpieczeństwem informacji. Posiada certyfikaty: Lead Auditor ISO/IEC 27001, Lead Auditor ISO 22301, Lead Auditor ISO 42001 oraz CISA (ISACA).
