Excele do lamusa. NIS2 bezlitośnie obnaży naiwność polskich firm
W kwietniu 2026 roku wchodzi w życie dyrektywa NIS2. Nowe przepisy i kary do 10 mln euro wymuszą na firmach porzucenie Excela na rzecz AI. Przy obecnej skali ataków, automatyzacja procesów to jedyna droga do bezpieczeństwa.
Według dostępnych danych w minionym roku co najmniej jeden incydent cyberbezpieczeństwa odnotowało aż 96 proc. podmiotów. Wzrosła też liczba incydentów w polskich firmach o 13 pkt proc. r./r. W dodatku aż połowa badanych podmiotów zauważyła wzrost ich częstotliwości na przestrzeni roku.
Nowa dyrektywa NIS2 to nowe obowiązki dla kluczowych branż
Średnio w Polsce rejestruje się ok. 22,5 tys. zagrożeń cyberbezpieczeństwa miesięcznie, najczęściej są to próby wyłudzenia poufnych danych. Według ENISA (European Union Agency for Cybersecurity) sumie 54 proc. ubiegłorocznych cyberataków w państwach unijnych było wymierzone w branże kluczowe dla gospodarki i społeczeństwa Unii Europejskiej według nowej dyrektywy NIS 2, która już wkrótce zacznie obowiązywać w Polsce.
Dyrektywa NIS2 wprowadza nowe, znacznie bardziej restrykcyjne niż dotychczas wymagania cyberbezpieczeństwa dla firm i instytucji działających w najważniejszych sektorach gospodarki, m.in. ochronie zdrowia, administracji publicznej, energetyce, transporcie czy sektorze bankowym, a także infrastrukturze cyfrowej – mówi Tomasz Wykowski, Country Manager Poland w Factorial, wiodącym europejskim start-upie w obszarze technologii HR oraz AI.
Wykowski twierdzi, że niestety, według dostępnych raportów, jeszcze niedawno 1/4 polskich firm objętych nowymi regulacjami nie była w ogóle świadoma faktu, że wiąże się to z koniecznością dodatkowych działań na rzecz wzmocnienia swojego bezpieczeństwa. Aż 60 proc. nie przeprowadziło audytów zgodności z dyrektywą.
Więcej wiadomości na temat cyberbezpieczeństwa można przeczytać poniżej:
10 mln euro kary za chaos w danych
Ekspert wskazuje, że NIS2 wymaga od organizacji pełnej inwentaryzacji zasobów, identyfikacji ryzyk oraz udokumentowania sposobu ciągłego zarządzania nimi. W tej sytuacji kluczowym pierwszym krokiem staje się rzetelny audyt, obejmujący całą organizację, przede wszystkim procesy, przepływy danych, uprawnienia pracowników oraz wykorzystywane narzędzia.
Do najpoważniejszych zagrożeń bezpieczeństwa w firmach należy obecnie nieautoryzowane wykorzystywanie sztucznej inteligencji. Co 5. organizacja na świecie doświadczyła w minionym roku tego typu incydentu. W 65 proc. przypadków doprowadził on do wycieku danych osobowych, a w 40 proc. do naruszenia własności intelektualnej.
Jednak odpowiednio stosowana i kontrolowana sztuczna inteligencja może też wspierać i znacząco przyspieszać audyty i reagowanie na zagrożenia. W 2025 roku odnotowano, że wykorzystanie technologii AI przez zespoły bezpieczeństwa w firmach znacząco skróciło czas ich reakcji i pozwoliło zmniejszyć globalne koszty cyberataków o prawie 7,5 mln zł (prawie 2 mln dol.).
Cyberprzestępcy atakują nas dziś z wykorzystaniem zautomatyzowanych skryptów i zaawansowanej sztucznej inteligencji, tymczasem prawie połowa polskich firm próbuje zarządzać ryzykiem i dostępami pracowników za pomocą arkuszy kalkulacyjnych. NIS2 bezlitośnie obnaży tę naiwność – mówi Tomasz Wykowski, Country Manager Poland w Factorial.
Jego zdaniem w obszarze HR i operacji widać codziennie, że najdroższe naruszenia bezpieczeństwa nie wynikają ze złamania haseł przez hakerów, ale z chaosu: nieodebranych na czas uprawnień zwolnionego pracownika czy braku ewidencji sprzętu.
Jeśli firma w 2026 roku nie automatyzuje tych bazowych procesów w oparciu o AI, nie tylko prosi się o milionowe kary, ale wręcz otwiera hakerom drzwi od wewnątrz. Wdrożenie inteligentnych systemów to już nie jest kwestia wygody, to kwestia przetrwania – ocenia Tomasz Wykowski.
Według wspomnianego raportu na temat gotowości polskich firm i instytucji na wdrożenie dyrektywy NIS2 tylko 23 proc. polskich firm i instytucji korzysta z automatyzacji do oceny wpływu poszczególnych zasobów czy narzędzi na procesy biznesowe oraz potencjalnie związanego z tym ryzyka.
Aż 45 proc. polega na ocenie odpowiedzialnych za nie pracowników, a 14 proc. dopiero ma w planach wdrożenie automatyzacji. Tymczasem kary za niedostosowanie się do nowych przepisów mogą sięgać 10 mln euro lub do 2 proc. rocznych przychodów firmy.
