Po wielu miesiącach prac legislacyjnych znowelizowana ustawa o KSC została podpisana i opublikowana w Dzienniku Ustaw. Przepisy te implementują do polskiego porządku prawnego założenia dyrektywy NIS2, co wiąże się m.in. z wprowadzeniem kategorii dostawcy wysokiego ryzyka oraz znacznym rozszerzeniem listy podmiotów objętych wymogami cyberbezpieczeństwa. Ustawa wskazuje 18 sektorów kluczowych i ważnych, w tym m.in. produkcję, zarządzanie usługami ICT, infrastrukturę cyfrową, dostawców usług cyfrowych, a także branżę medyczną, transportową i energetyczną.
Dla rynku elektronicznego – w szczególności dostawców półprzewodników, producentów kontraktowych (EMS) oraz projektantów urządzeń IoT – oznacza to konieczność dostosowania się do nowych wymogów w zakresie zgłaszania incydentów bezpieczeństwa, zarządzania ryzykiem, kontroli dostępu oraz bezpieczeństwa łańcucha dostaw. Nawet jeśli firma elektroniczna nie zostanie formalnie uznana za podmiot kluczowy, będzie musiała spełnić zaostrzone standardy jako podwykonawca dla sektorów strategicznych.
Luka informacyjna i deficyt kadr
Z raportu „Cyberportret polskiego biznesu 2025” (opracowanego przez DAGMA Bezpieczeństwo IT i ESET) wynika, że świadomość rynkowa wciąż stanowi poważny problem. Aż 36% ankietowanych ekspertów ds. cyberbezpieczeństwa nie ma pewności, czy ich organizacja podlega regulacjom NIS2. Niepewność ta dotyczy przede wszystkim klasyfikacji podmiotów oraz przełożenia przepisów na łańcuchy dostaw.
Brak efektywnych mechanizmów wymiany informacji między działami prawnymi, compliance i IT generuje ryzyko opóźnień we wdrożeniach i naraża firmy na potencjalne kary finansowe.
Mimo tych wyzwań część rynku podjęła już działania dostosowawcze. Według raportu 53% badanych podmiotów zaktualizowało swoje polityki cyberbezpieczeństwa, a kolejne 34% planuje takie działania w najbliższym czasie.
Istotną barierą pozostają jednak zasoby kadrowe – zaledwie 35% przedsiębiorstw zatrudniło dodatkowych specjalistów ds. cyberbezpieczeństwa, 43% planuje rekrutację, a 19% nie przewiduje powiększania zespołów, głównie z uwagi na ograniczenia budżetowe i niedobór specjalistów na rynku.
Presja rynku wymusi inwestycje
Dostosowanie do ustawy o KSC będzie weryfikowane nie tylko przez organy regulacyjne, lecz przede wszystkim przez partnerów biznesowych. Firmy działające w sektorach objętych NIS2 będą wymagać od swoich dostawców – w tym dostawców elektroniki – spełnienia określonych standardów bezpieczeństwa i zgodności.
– Wyniki raportu nie są zaskoczeniem, a raczej potwierdzeniem sytuacji, którą od dawna obserwujemy na rynku. Dyrektywa NIS2 klasyfikuje organizacje na kluczowe i ważne. Jeśli firma spełnia kryteria, sytuacja jest prosta: trzeba podjąć działania i dostosować się do wymagań – wskazuje Piotr Piasecki, Cybersecurity Services Consultant w DAGMA Bezpieczeństwo IT.
Ekspert zaznacza, że największe obawy pojawiają się w firmach, które nie wpisują się jednoznacznie w kryteria ustawy, ale ze względu na relacje B2B mogą zostać objęte jej skutkami.
– To właśnie w takich przypadkach podczas rozmów z biznesem widzimy najwięcej niepewności – dodaje.
– Nawet jeśli regulacja nie obejmuje nas bezpośrednio, rynek może wymagać spełnienia jej zapisów – podkreśla Piasecki, rekomendując przeprowadzenie audytów zgodności – NIS2 i nowelizacja KSC to nie „zło konieczne", ale zestaw dobrych praktyk, które realnie podnoszą poziom ochrony biznesu.
Źródło: CyberDefence24
