Zarządy firm od miesięcy żyją regulacjami: NIS2, krajowa nowelizacja ustawy o KSC, w finansach DORA. Równolegle zagrożenia coraz mocniej uderzają w tożsamość użytkownika i narzędzia współpracy. W tej rzeczywistości bezpieczeństwo przestaje być projektem IT, a staje się warunkiem ciągłości działania. Dlatego rozmowa o budżetach, procesach i partnerach technologicznych jest dziś rozmową o odporności biznesu, nie zaś o zakupie kolejnego rozwiązania.
— Z mojego punktu widzenia niestety wciąż dominującym mechanizmem jest reaktywność, a nie proaktywne wzmacnianie odporności cybernetycznej. Co ciekawe, przepisy zaczynają działać w sposób odwrotny niż pierwotnie zakładałem — mówi Piotr Nadrowski, Head of Business Development Team w Atende. To zderzenie oczekiwań z praktyką widać szczególnie przy NIS2. — Spodziewałem się, że firmy, które już dokonały samookreślenia i zidentyfikowały się jako podmioty podlegające planowanej nowelizacji ustawy o Krajowym Systemie Cyberbezpieczeństwa (wdrażającej NIS2), rozpoczną z wyprzedzeniem działania przygotowawcze. Wydawało się naturalne, że świadomość nowych obowiązków spowoduje, iż zarządy będą chciały „wyprzedzić bieg wydarzeń” – zaplanować inwestycje, uporządkować procesy, zbudować kulturę cyberodporności — dodaje.
Zamiast wyprzedzania mamy jednak wyczekiwanie. — Tymczasem obserwuję trend odwrotny: większość zarządów przyjęła strategię wyczekiwania. Często spotykam się z decyzjami, aby czekać na moment ogłoszenia ostatecznych przepisów, na ich publikację w Dzienniku Ustaw, a czasem nawet na komunikaty z interpretacjami — zauważa ekspert. I dodaje: 
Ryzyko jest tu czysto operacyjne. Bez wcześniejszej oceny luki, planu i harmonogramu łatwo przegapić czas potrzebny na wdrożenie, testy oraz zmianę zachowań użytkowników i procesów zakupowych.
Nie pomaga postrzeganie regulacji jako przykrego obowiązku
— Co więcej, w wielu firmach NIS2 postrzegane jest jako zło konieczne, a nie jako katalog dobrych praktyk, które wzmacniają odporność organizacji. Z rozmów z dyrektorami IT wiem, że niższe szczeble zarządzania rozumieją wagę problemu. Pytają o strategie zapewnienia zgodności, o to, jakie narzędzia, licencje i usługi mogą wykorzystać, aby wzmocnić swoje środowiska. Niestety, na poziomie zarządów często brakuje zrozumienia, że cyberbezpieczeństwo to nie koszt, lecz inwestycja w ciągłość działania i reputację. W efekcie zespoły IT próbują działać wbrew „grawitacji budżetowej” – mają świadomość ryzyka, ale nie mają zielonego światła do wdrażania realnych rozwiązań — mówi dla Business Growth Review Piotr Nadrowski.
To fundamentalna lekcja ładu korporacyjnego: bez wsparcia od zarządu nie ma trwałej zmiany, bo bezpieczeństwo wymaga decyzji o priorytetach, akceptacji ryzyk i konsekwentnego egzekwowania zasad.
W finansach widać jeszcze inne zjawisko. Konkretnie: formalna zgodność wyprzedza praktyczną odporność. — Mając styczność z branżami, które podlegają regulacją od dłuższego czasu, np. sektor finansowy, mogę stwierdzić, że jest on dalej na ścieżce dostosowania, ale często w wymiarze formalnym, nie operacyjnym. Widać to przy wdrażaniu regulacji DORA (Digital Operational Resilience Act). Większość instytucji, z którymi współpracuję, ma już podpisane aneksy DORA, przygotowane dokumenty, zaktualizowane polityki, ale procesy zakupowe na narzędzia i usługi realnie adresujące te wymagania – wciąż trwają. Formalna zgodność została osiągnięta, lecz techniczna odporność jeszcze nie zawsze — zauważa ekspert z Atende.
DORA kładzie nacisk na scenariusze kryzysowe, testy, zarządzanie dostawcami i odporność operacyjną, więc bez faktycznych zmian w architekturze i operacjach same dokumenty nie przełożą się na skrócenie czasu wykrycia i reakcji.
Sprawdź też: Właściciele jednoosobowych firm zarabiają sześciocyfrowe kwoty z pomocą AI
Z technicznego punktu widzenia
Perspektywę techniczno-operacyjną dopowiada Lukasz Fijalkowski, Business Development Manager w Bitdefender Polska. — Współczesne incydenty pokazują, że sama integracja narzędzi ochronnych nie zapewnia bezpieczeństwa, jeśli organizacja nie kontroluje ryzyka i ekspozycji. Komunikacja biznesowa, w tym poczta i narzędzia współpracy, pozostaje głównym wektorem wejścia do środowisk firmowych, lecz dziś atak rzadko kończy się na wiadomości e-mail ze złośliwym oprogramowaniem. I dodaje:
Lukasz Fijalkowski
Bardzo ważne jest blokowanie wektorów nadużyć zanim dojdzie do eskalacji, a nie dopiero po wykryciu ataku. W praktyce oznacza to przesunięcie ciężaru z samej detekcji na prewencję i egzekucję polityk, ściśle połączoną z tożsamością i uprawnieniami.
Nowa architektura bezpieczeństwa wyrasta z trzech wektorów ryzyka: ekspozycji, dostępu i zachowań. — Nowoczesne podejście do cyberodporności wymaga zarządzania ryzykiem w trzech obszarach: ekspozycji, dostępu i zachowania użytkowników. Właśnie taką architekturę bezpieczeństwa rozwija Bitdefender, łącząc widoczność, egzekucję i reakcję operacyjną w jednym modelu działania. External Attack Surface Management (EASM) pozwala zobaczyć z perspektywy atakującego które elementy środowiska są realnie narażone na atak, Proactive Hardering and Attac Surface Reduction (PHASR) redukuje powierzchnię ataku, egzekwując zasadę koniecznego minimum w sposób dynamiczny i zautomatyzowany, co znacząco ogranicza skutki przejęcia konta. XDR koreluje telemetrię z poczty, end-pointów, sieci i SaaS z kontekstem tożsamości i uprawnień, co pozwala wykrywać lateral movement i nadużycia dostępu w czasie rzeczywistym — tłumaczy dla Business Growth Review Lukasz Fijalkowski.
Z perspektywy zarządu kluczowe jest, by takie podejście scalało technologię z procesem i kompetencjami, a nie dokładane było jako pojedynczy moduł.
Tam, gdzie brakuje dojrzałości operacyjnej, potrzebny jest partner, który weźmie odpowiedzialność za 24/7. — Dla organizacji, które traktują bezpieczeństwo jako proces biznesowy, naturalnym kierunkiem rozwoju jest MDR, ponieważ zwiększa dojrzałość operacyjną i skraca czas reakcji na incydenty. Model EASM + PHASR + XDR + MDR pozwala przejść od zarządzania alertami do kontrolowania ryzyka w czasie rzeczywistym i skutecznego egzekwowania polityk bezpieczeństwa. W Bitdefender rozwijamy właśnie takie podejście, ponieważ bezpieczeństwo ma wspierać ciągłość działania i odporność biznesu, a nie ograniczać się do warstwy narzędziowej — podkreśla ekspert. MDR nie zwalnia jednak z roli właściciela ryzyka po stronie biznesu: bez jasnych RACI, kryteriów eskalacji i ćwiczonych playbooków decyzje nadal będą się opóźniać.
Jak wykorzystać NIS2 i DORA jako dźwignię do odporności, a nie tylko „odhaczyć zgodność”
Zacząć trzeba od akceptacji, że bezpieczeństwo to decyzja o czasie, nie tylko o technologii. Harmonogram prac musi obejmować ocenę luki i priorytety, ale też zamówienia, integracje, pilotaże i szkolenia użytkowników — im wcześniej, tym mniejsze ryzyko, że „okno wdrożeniowe” zamknie się wraz z terminami regulacyjnymi.
Warto połączyć inwentaryzację ekspozycji z porządkowaniem dostępu uprzywilejowanego, rotacją i zakresem uprawnień, a polityki egzekwować automatycznie, by odciążyć zespoły SOC.
W komunikacji wewnętrznej lepiej mówić o ciągłości działania i reputacji niż o „kosztach IT”, bo to język, w którym zapadają decyzje budżetowe. Trzeba także ćwiczyć organizację: od tabletopów z udziałem zarządu, przez testy odtwarzania po incydencie, po przeglądy dostawców kluczowych usług i umów, które w praktyce decydują o czasie przywracania.
Przejście od reaktywności do odporności to nie sprint po nowe narzędzia, tylko konsekwentne spięcie regulacji, architektury i operacji.
Firmy, które potraktują nadchodzące obowiązki jako okazję do wzmocnienia tożsamości, kontroli dostępu i egzekwowania zasad w czasie rzeczywistym, zyskają przewagę nie tylko w audycie, ale przede wszystkim w utrzymaniu ciągłości działania wtedy, gdy następny incydent znów spróbuje zatrzymać biznes.
![Osiem minut i wszystko jasne. Jak Staffly przyspiesza rekrutację i tnie rotację nawet o 85% [WYWIAD]](https://bgrev.pl/wp-content/uploads/2025/11/straffl-332x190.webp)
![Osiem minut i wszystko jasne. Jak Staffly przyspiesza rekrutację i tnie rotację nawet o 85% [WYWIAD]](https://bgrev.pl/wp-content/uploads/2025/11/straffl-688x387.webp)
Piotr Nadrowski