Dyrektywa NIS2 redefiniuje sposób myślenia o cyberbezpieczeństwie — odchodząc od logiki wdrażania kolejnych produktów w stronę budowania zintegrowanego modelu ochrony, w którym widoczność zagrożeń, szybkość reakcji na incydenty i zarządzanie dostępem tworzą jedną, spójną całość. Wyniki badania jednoznacznie wskazują, że duża część polskich organizacji jest wciąż na początku tej drogi — wiele z nich realizuje wymagania NIS2 w sposób fragmentaryczny lub dopiero rozpoczyna ten proces.
Respondenci najczęściej wymieniają trzy główne przeszkody: koszty wdrożenia, deficyt ekspertów ds. cyberbezpieczeństwa oraz niewystarczające kompetencje w obszarze prawa i compliance. Co istotne, badanie zostało przeprowadzone przed wejściem w życie krajowych przepisów implementujących NIS2 w ramach nowelizacji ustawy o krajowym systemie cyberbezpieczeństwa. Część organizacji mogła zatem nie mieć jeszcze pełnego obrazu tego, jakie obowiązki na nich spoczywają — i jak szeroka jest odpowiedzialność kadry zarządzającej. Dopiero teraz, gdy przepisy nabierają konkretnych kształtów, można oczekiwać wyraźnego przyspieszenia w zakresie świadomości regulacyjnej i realnych działań przygotowawczych.
Braki widoczne na pierwszy rzut oka
Analiza dojrzałości technologicznej organizacji objętych badaniem ujawnia wyraźne luki w procesowym pokryciu wymagań dyrektywy. Najsłabsze ogniwa to bezpieczeństwo łańcucha dostaw oraz zdolność do reagowania na incydenty — a właśnie te obszary są dla NIS2 kluczowe. Nieco lepiej organizacje wypadają w zakresie monitoringu i detekcji, choć uważna lektura wyników sugeruje raczej obecność narzędzi niż ich faktyczną skuteczność operacyjną.
Widać wyraźny schemat: firmy relatywnie dobrze radzą sobie z podstawowymi zabezpieczeniami, ale wyraźnie tracą tempo tam, gdzie zaczyna się monitorowanie, zarządzanie ryzykiem dostawców, reagowanie na zdarzenia i raportowanie. W mojej ocenie to właśnie warstwa operacyjna bezpieczeństwa — codziennej pracy, a nie jednorazowych wdrożeń — pozostaje dziś największą słabością polskiego rynku.
Z obserwacji Axians wyłania się obraz organizacji, które mają osobne rozwiązania do monitorowania zdarzeń, ochrony urządzeń końcowych czy kontroli dostępu, lecz funkcjonują one obok siebie, nie tworząc spójnego ekosystemu. Tymczasem NIS2 stawia na podejście systemowe: ciągłą widoczność środowiska, szybkie wykrywanie zagrożeń, automatyczne mechanizmy reagowania i zdolność do odtworzenia działania usług krytycznych po incydencie.
Dla Axians dyrektywa NIS2 oznacza fundamentalną zmianę w rozmowach z klientami — pytanie przestaje brzmieć „jakie narzędzie kupić”, i zmienia się na „jak zbudować spójną architekturę odporności cyfrowej”. W praktyce wymaga to scalenia środowiska bezpieczeństwa, czyli połączenia zarządzania tożsamością i uprawnieniami, ochrony sieci, analizy zdarzeń bezpieczeństwa i zarządzania podatnościami w jeden model działania — często obejmujący rozwiązania różnych producentów.
Organizacje, które potraktują NIS2 jako impuls do porządkowania architektury, zyskają podwójnie. Zredukują dług technologiczny i zbudują zdolność do ciągłego doskonalenia procesów bezpieczeństwa. Firmy, które ograniczą się do podejścia compliance-check, skazują się na reaktywność — będą łatać kolejne luki zamiast rozwijać trwałe kompetencje operacyjne.
W najbliższych latach to właśnie integracja narzędzi, procesów i odpowiedzialności zadecyduje o faktycznym poziomie bezpieczeństwa. I jest to obszar, w którym Axians towarzyszy organizacjom jako partner na każdym etapie: od projektowania, przez wdrożenie, po codzienne utrzymanie środowiska cyberbezpieczeństwa.
Wojciech Gliniecki — dyrektor w Axians odpowiedzialny za pion infrastruktury. Zarządza zespołami Network & Security, Data Center oraz serwisem, odpowiadając za rozwój biznesu, utrzymanie relacji z klientami i partnerami technologicznymi oraz realizację złożonych projektów infrastrukturalnych. Wspiera organizacje w projektowaniu i wdrażaniu rozwiązań dopasowanych do potrzeb środowisk IT, współpracując z zespołami sprzedaży, presales i wsparcia technicznego. Angażuje się w przygotowanie koncepcji architektonicznych, spotkania z klientami oraz wkład techniczny do kluczowych postępowań ofertowych.
