Ponad połowa ataków w krajach UE uderza w sektory uznane za kluczowe według nowej dyrektywy cyberbezpieczeństwa NIS 2, która w tym tygodniu zacznie obowiązywać w Polsce. Od wybranych firm wymaga ona m.in. identyfikacji ryzyk oraz udokumentowania sposobu ciągłego zarządzania nimi czyli stworzenia Systemu Zarządzania Bezpieczeństwem Informacji), opartego o rozwiązania automatyczne w tym AI, oczywiście kontrolowanej przez człowieka, który podejmuje decyzje o reakcji.

Gotowi na kary za brak NIS 2

Aktualnie stan realizacji przepisów jest słaby. Około 45 proc. polskich przedsiębiorstw nadal ręcznie zarządza tymi procesami, za pomocą arkusza kalkulacyjnego. Brak monitoringu przez zespoły bezpieczeństwa w firmach w czasie rzeczywistym znacząco zwiększa ryzyko błędów. - Dyrektywa NIS 2 wprowadza nowe, znacznie bardziej restrykcyjne niż dotychczas wymagania cyberbezpieczeństwa dla firm i instytucji działających w najważniejszych sektorach gospodarki, m.in. ochronie zdrowia, administracji publicznej, energetyce, transporcie czy sektorze bankowym, a także infrastrukturze cyfrowej – mówi Tomasz Wykowski, Country Manager Poland w Factorial, europejskim start-upie z obszaru technologii HR oraz AI.

Według dostępnych źródeł (raportów), jeszcze niedawno jedna czwarta polskich firm objętych nowymi regulacjami nie była w ogóle świadoma faktu, że wiąże się to z koniecznością dodatkowych działań na rzecz wzmocnienia swojego bezpieczeństwa. Aż 60 proc. nie przeprowadziło audytów zgodności z dyrektywą. Kary za brak działania mogą okazać się dla przedsiębiorców srogie. Szczególnie, że działaniem Dyrektywy są objęte np. firmy z branży spożywczej, w tym hurtownie czy nawet niewielkie firmy mające w zakresie działalności: usługi kurierskie, finansowe, transport, energetyka czy związane z sektorem żywności. W tym ostatnim przypadku NIS2 może objąć swoim działaniem m.in. lokalną hurtownię, która musi stworzyć procedury na wypadek cyberzagrożeń czy ewidencję przypisującą smartphone czy służbowy laptop do konkretnego pracownika oraz zasady-regulamin korzystania z narzędzi AI w związku z dokumentami firmowymi. Dyrektywa NIS2 jako kluczową branże definiuje m.in. wywóz śmieci i gospodarkę odpadami oraz transport zbiorowy. Świadczący usługi nawet jako poboczne do głównej działalności produkcyjnej, np. plac składowy odpadów obok zakładu.

Kary za niedostosowanie do wymogów NIS 2

NIS 2 wymaga od organizacji pełnej inwentaryzacji zasobów, identyfikacji ryzyk oraz udokumentowania sposobu ciągłego zarządzania nimi. W tej sytuacji kluczowym pierwszym krokiem staje się rzetelny audyt, obejmujący całą organizację, przede wszystkim procesy, przepływy danych, uprawnienia pracowników oraz wykorzystywane narzędzia. Kary za to mogą wynieść nawet do 10 mln euro lub 2 proc. rocznych przychodów firmy.

Najpoważniejszym zagrożeniem bezpieczeństwa w firmach należy obecnie nieautoryzowane wykorzystywanie sztucznej inteligencji. Wprowadzanie do otwartych systemów AI wrażliwych danych przez umieszczanie tam firmowych dokumentów bez anonimizacji, podawanie AI danych wrażliwych klientów czy firmowych. Takie doświadczenie zanotowały 2 na 10 organizacji na świecie. Skutki były opłakane, w 65 proc. przypadków incydenty doprowadziły do wycieku danych osobowych, a w 40 proc. do naruszenia własności intelektualnej.

Jak mówi Tomasz Wykowski, Country Manager Poland w Factorial.W obszarze HR i operacji widzimy codziennie, że najdroższe naruszenia bezpieczeństwa nie wynikają ze złamania haseł przez hakerów, ale z chaosu: nieodebranych na czas uprawnień zwolnionego pracownika czy braku ewidencji sprzętu. Jeśli firma w 2026 roku nie automatyzuje tych bazowych procesów w oparciu o AI, nie tylko prosi się o milionowe kary, ale wręcz otwiera hakerom drzwi od wewnątrz. Wdrożenie inteligentnych systemów to już nie jest kwestia wygody, to kwestia przetrwania.

Według wspomnianego wcześniej raportu na temat gotowości polskich firm i instytucji na wdrożenie dyrektywy NIS 2, tylko 23 proc. polskich firm i instytucji korzysta z automatyzacji do oceny wpływu poszczególnych zasobów czy narzędzi na procesy biznesowe oraz potencjalnie związanego z tym ryzyka. Aż 45 proc. polega na ocenie odpowiedzialnych za nie pracowników, a 14 proc. dopiero ma w planach wdrożenie automatyzacji. Tymczasem kary za niedostosowanie się do nowych przepisów mogą sięgać 10 mln euro lub do 2 proc. rocznych przychodów firmy.

Autor: BARTOSZ BISKUPSKI