W ostatnim roku połowa organizacji w Polsce odnotowała wzrost liczby incydentów bezpieczeństwa, a miesięcznie rejestrowanych jest średnio 22,5 tys. zagrożeń. Ponad połowa ataków w krajach UE uderza w sektory uznane za kluczowe według nowej dyrektywy cyberbezpieczeństwa NIS2.
Od wybranych NIS2 firm wymaga m.in. identyfikacji ryzyk oraz udokumentowania sposobu ciągłego zarządzania nimi. Tymczasem aż 45% polskich przedsiębiorstw nadal ręcznie zarządza tymi procesami, co znacząco zwiększa ryzyko błędów. W minionym roku wykorzystanie technologii AI przez zespoły bezpieczeństwa w firmach z całego świata pozwoliło zmniejszyć koszty cyberataków o niemal 7,5 mln zł.
O 13 p.p. rok do roku wzrosła liczba incydentów cyberbezpieczeństwa w polskich firmach – według dostępnych danych w minionym roku co najmniej jeden odnotowało aż 96% podmiotów. W dodatku aż połowa badanych podmiotów zauważyła wzrost ich częstotliwości na przestrzeni roku.
Średnio w Polsce rejestruje się ok. 22,5 tys. zagrożeń cyberbezpieczeństwa miesięcznie, najczęściej są to próby wyłudzenia poufnych danych.
Według ENISA (European Union Agency for Cybersecurity) sumie 54% ubiegłorocznych cyberataków w państwach unijnych było wymierzone w branże kluczowe dla gospodarki i społeczeństwa Unii Europejskiej według nowej dyrektywy NIS2.
— Dyrektywa NIS 2 wprowadza nowe, znacznie bardziej restrykcyjne niż dotychczas wymagania cyberbezpieczeństwa dla firm i instytucji działających w najważniejszych sektorach gospodarki, m.in. ochronie zdrowia, administracji publicznej, energetyce, transporcie czy sektorze bankowym, a także infrastrukturze cyfrowej – mówi Tomasz Wykowski, Country Manager Poland w Factorial, europejskim start-upie w obszarze technologii HR oraz AI. – Niestety, według dostępnych raportów, jeszcze niedawno jedna czwarta polskich firm objętych nowymi regulacjami nie była w ogóle świadoma faktu, że wiąże się to z koniecznością dodatkowych działań na rzecz wzmocnienia swojego bezpieczeństwa. Aż 60% nie przeprowadziło audytów zgodności z dyrektywą.
Sprawdź też: Kto musi wdrożyć NIS2? Test sektora i skali
NIS2 przewiduje wysokie kary
Kary do 10 mln euro lub 2 proc. rocznych przychodów firm
NIS2 wymaga od organizacji pełnej inwentaryzacji zasobów, identyfikacji ryzyk oraz udokumentowania sposobu ciągłego zarządzania nimi. W tej sytuacji kluczowym pierwszym krokiem staje się rzetelny audyt, obejmujący całą organizację, przede wszystkim procesy, przepływy danych, uprawnienia pracowników oraz wykorzystywane narzędzia.
Do najpoważniejszych zagrożeń bezpieczeństwa w firmach należy obecnie nieautoryzowane wykorzystywanie sztucznej inteligencji. Co 5. organizacja na świecie doświadczyła w minionym roku tego typu incydentu. W 65% przypadków doprowadził on do wycieku danych osobowych, a w 40% do naruszenia własności intelektualnej.
Jednak odpowiednio stosowana i kontrolowana sztuczna inteligencja może też wspierać i znacząco przyspieszać audyty i reagowanie na zagrożenia. W 2025 r. odnotowano, że wykorzystanie technologii AI przez zespoły bezpieczeństwa w firmach znacząco skróciło czas ich reakcji i pozwoliło zmniejszyć globalne koszty cyberataków o prawie 7,5 mln zł (prawie 2 mln dol.).
NIS2 – Czy firmy w Polsce są gotowe na dyrektywę?
Ataki przybierają na sile
— Cyberprzestępcy atakują nas dziś z wykorzystaniem zautomatyzowanych skryptów i zaawansowanej sztucznej inteligencji, tymczasem prawie połowa polskich firm próbuje zarządzać ryzykiem i dostępami pracowników za pomocą arkuszy kalkulacyjnych. NIS2 bezlitośnie obnaży tę naiwność — mówi Tomasz Wykowski, Country Manager Poland w Factorial. — W obszarze HR i operacji widzimy codziennie, że najdroższe naruszenia bezpieczeństwa nie wynikają ze złamania haseł przez hakerów, ale z chaosu: nieodebranych na czas uprawnień zwolnionego pracownika czy braku ewidencji sprzętu. Jeśli firma w 2026 roku nie automatyzuje tych bazowych procesów w oparciu o AI, nie tylko prosi się o milionowe kary, ale wręcz otwiera hakerom drzwi od wewnątrz. Wdrożenie inteligentnych systemów to już nie jest kwestia wygody, to kwestia przetrwania.
Według wspomnianego raportu na temat gotowości polskich firm i instytucji na wdrożenie dyrektywy NIS 2, tylko 23% polskich firm i instytucji korzysta z automatyzacji do oceny wpływu poszczególnych zasobów czy narzędzi na procesy biznesowe oraz potencjalnie związanego z tym ryzyka. Aż 45% polega na ocenie odpowiedzialnych za nie pracowników, a 14% dopiero ma w planach wdrożenie automatyzacji. Tymczasem kary za niedostosowanie się do nowych przepisów mogą sięgać 10 mln euro lub do 2 proc. rocznych przychodów firmy.
Czytaj też: Jaka jest różnica pomiędzy normami ISO 27001 i NIS2?
