.

Data:
18.03.2026
Autor:
Tomasz Tokarski – Dyrektor Operacyjny Inventii

Dowiedz się:

• „Cyber-strach” jako model biznesowy

• Fundamenty cyberbezpieczeństwa

• Skąd zatem taki lament i zamieszanie po krajowej implementacji NIS2?

• Dlaczego tak wiele o tym teraz się mówi?

• Niskie płoty, czyli gdzie naprawdę leży problem

• Dlaczego o tym piszę i dlaczego w ten sposób?

W ostatnim czasie w mediach, w Internecie, pojawia się wiele materiałów, artykułów i komentarzy dotyczących dyrektywy NIS2. Część z nich jest wartościowa i merytoryczna, ale są też takie, które mają na celu oddziaływać na nasze pierwotne instynkty – usiłują wzbudzić w nas strach. Ponieważ na przestrzeni lat zawodowo jestem mniej lub bardziej powiązany z sektorem utilities (sektor usług użyteczności publicznej), nieco razi mnie takie podejście i czuję się w obowiązku poruszyć ten temat. Nie jest to akceptowana przeze mnie metoda budowania biznesu. Edukacja? Tak. Wzbudzanie strachu? Nie.

Budowanie zasięgów na bazie emocji, to dość typowe działanie w dzisiejszych czasach. Odbiorca chętnie reaguje na chwytliwe slogany i nagłówki, które nie muszą mieć wiele wspólnego z prawdą. Pod wpływem emocji, zwłaszcza tych silnych, ludzie mają też skłonność do podejmowania szybkich, ale nie zawsze korzystnych decyzji. Na podobnych mechanizmach socjotechnicznych opierają się nagłaśniane w ostatnich latach wyłudzenia „na wnuczka”, czy „na telefon z banku”. Jesteś w strachu, działasz pod presją, więc masz ograniczoną percepcję i zdolność do obiektywnej oceny sytuacji, a przecież musisz działać szybko. Nie widzisz innego wyjścia niż to, które oferuje Ci nadawca przekazu…

Zacznę od tego, że cyberbezpieczeństwo w szeroko rozumianym utilities czy sektorze publicznym, od zawsze było tożsame z bezpieczeństwem państwa, społeczeństwa oraz gospodarki. Do niedawna obowiązywała dyrektywa NIS, obecnie obowiązuje ona w odsłonie pn. NIS2. A wcześniej? No właśnie… Czy wcześniej nie było zagrożeń cyberbezpieczeństwa infrastruktury krytycznej? Były. Czy wcześniej panował chaos i cybernetyczna anarchia? Nie. Czy nie było wdrożonych żadnych regulacji? Były. Choćby standardy Krajowych Ram Interoperacyjności (KRI) obowiązujące od 2012 roku, które nakładały na podmioty publiczne obowiązek wdrożenia Systemu Zarządzania Bezpieczeństwem Informacji (SZBI).

Od wielu lat istnieją lokalne i międzynarodowe standardy, normy i regulacje, które wskazują na dobre praktyki lub wymagania w zakresie bezpieczeństwa, cyberbezpieczeństwa (np. ISO 27001), czy ciągłości działania (np. ISO 22301). Co istotne, są one co pewien czas aktualizowane w celu podniesienia ich skuteczności i dostosowania do otaczającego nas, dynamicznie zmieniającego się świata. Jeśli ktoś podążał za wcześniejszymi wymaganiami, to nie czeka go rewolucja, a ewolucja. Jeśli jednak ktoś nie podążał za nimi, to ma problem, ale jakby to powiedzieć możliwie dyplomatycznie – przyczyną nie jest NIS2 sam w sobie.

Temat cyberbezpieczeństwa jest silnie i stale (to słowo klucz) eksponowany opinii publicznej mniej więcej od wybuchu wojny za naszą wschodnią granicą. Wcześniej pojawiały się przekazy medialne, artykuły, ale raczej jako „zapychacz” czasu antenowego i dotyczące tylko tych spektakularnych (medialnie nośnych) ataków, jak np. ataki ransomware na placówki medyczne.

Choć przyczyny bieżącego stanu rzeczy są tragiczne, to dobrze, że zaczęliśmy mówić o cyberbezpieczeństwie i dobrze, że w życie wchodzą obligatoryjne regulacje, bo bezpieczeństwo na poziomie państwowym czy wspólnotowym nie może być fakultatywne. To trochę tak, jakby przepisy p.poż. dotyczyły tylko wybranych lokali w budynku wielorodzinnym. U mnie nie dojdzie do pożaru, ale co z tego, jeśli u sąsiada piętro niżej dojdzie.

Wracając do kwestii zamieszania spowodowanego krajową implementacją dyrektywy NIS2, moim zdaniem, nie można być zaskoczonym faktem wdrożenia dyrektywy i jej następstwami, ponieważ:

Wcześniej istniały już standardy i wymagania, które stanowią mocną bazę. Nasza krajowa implementacja NIS2 jest znacznie opóźniona w stosunku do samej dyrektywy unijnej, a “ramy” były znane od dłuższego czasu.

Jednocześnie nie można nie docenić zakresu zmian wynikających z NIS2 (m.in.):

• Kompleksowe zarządzenie ryzykiem – zagrożenia nie dotyczą tylko cyberataków.
• Zaangażowanie i odpowiedzialność kierownictwa – skończyły się czasy, gdy „informatyk” bez jakiejkolwiek decyzyjności i przyznanego budżetu był odpowiedzialny za cyberbezpieczeństwo.
• Rygorystyczny reżim raportowania – wszystko musi działać jak w zegarku, żeby móc spełnić wymagania.
• Ciągłość działania – choćby poprzez włączenie w obszar zainteresowania dyrektywy łańcucha dostaw.

Ktoś podniesie bogatą paletę argumentów, takich jak braki kadrowe, koszty, potrzeby inwestycyjne, czas trwania postępowań przetargowych. Tak, ale… wiele z aspektów NIS2 było i wciąż jest do spełnienia bez konieczności ponoszenia znaczących inwestycji. Mam na myśli np.: zapewnienie łańcucha dostaw od „bezpiecznych” dostawców, używanie już dostępnych mechanizmów bezpieczeństwa w obecnie stosowanych rozwiązaniach, być może z jakichś względów jeszcze nie używanych, ich przegląd, regularną aktualizację oprogramowania, działania edukacyjne, stosowanie indywidualnych haseł i ich cykliczną zmianę, także po zmianach kadrowych, stosowanie indywidualnych kodów PIN do kart SIM, na wszelki wypadek 6-cio a nie 4-ro cyfrowych. Przykładów dostępnych na wyciągnięcie ręki rozwiązań jest mnóstwo, a jak pokazują dostępne dane (za: https://projektik.eu/cyberataki-na-sektor-wod-kan-w-polsce-stan-na-pazdziernik-2025/ dostęp: 06.03.2026 r.), wektory ataku następują przez tzw. „niskie płoty” – zdalny dostęp (RDP, VNC, TeamViewer), słabe hasła, brak segmentacji IT/OT, do których rozwiązania nie potrzeba dyrektyw i sprzętu na miarę Narodowego Banku Polskiego, a zdrowego rozsądku i chwili autorefleksji.

Audyty, pentesty – to są migawki z rzeczywistości. Dbanie o cyberbezpieczeństwo to film z fabułą. Nie da się jednorazowo i skutecznie „zabezpieczyć”, ale trzeba się „zabezpieczać”, bo zagrożenia ciągle się zmieniają.

Ponadto, NIS2 jest oparty o analizę ryzyka i proporcjonalność (to kolejne słowo klucz) wdrażanych rozwiązań. Jedną z istotnych kwestii jest to, żeby prowadzić analizę ryzyka i planować działania je eliminujące lub ograniczające do akceptowalnego poziomu. Te działania nie muszą być wdrożone „tu i teraz”, choć szczęśliwie nie mogą być odkładane w czasie w nieskończoność. Dopuszczalne, a wręcz wymagane jest identyfikowanie, katalogowanie i ocena ryzyka (czyli analiza), a następnie zaplanowanie niezbędnych działań. Działania te mogą zależeć m.in. od dostępności budżetu, kadr, a z obiektywnie uzasadnionych przyczyn mogą być też odroczone. Nie mogą natomiast pozostać przemilczane lub niezarządzone.

Narracja nadchodzącego Cyber-Armagedonu, nieuniknioności wdrożenia NIS2, wielomilionowych inwestycji i ciążącego widma kar za niedostosowanie, sprzyja i sprzyjać będzie spekulacjom na rynku produktów i usług cybersecurity, w szczególności dla sektora utilities. Na rynku jest skończona liczba dostawców, a “samozwańczy eksperci od NIS2” już wyrastają jak grzyby po deszczu. Oferowane obecnie na rynku usługi i produkty często będą przewymiarowane w stosunku do możliwości podmiotów objętych NIS2, przede wszystkim cenowo. Ale czy nie wysupłasz dodatkowych kilkudziesięciu tysięcy, jeśli ciąży na Tobie widmo odpowiedzialności osobistej? Znowu ten strach…

Piszę, ponieważ nie godzę się z taką metodą budowania relacji biznesowych. Pracuję w zespole, w którym profesjonalizm rozumiemy jako zdolność do mówienia prawdy, nawet jeśli wpłynie to na obniżenie wartości faktury. Wierzymy, że wieloletnie relacje biznesowe buduje się na profesjonalizmie i wzajemnym zaufaniu, a nie żerowaniu na niewiedzy czy spekulacjach pod szyldem zapewnienia zgodności z tą czy inną dyrektywą. Tak działam osobiście i tak działa nasz zespół.

Rąbek nieadekwatności i nieracjonalności wdrożeń widzieliśmy już w programie „cyberbezpieczny wodociąg”, gdzie nieduże zakłady wodociągowe kupowały (za rekomendacją?) w ramach postępowań przetargowych systemy cyberbezpieczeństwa „pod limit” dofinansowania, których nie powstydziłyby się duże, bardzo zaawansowane pod kątem cyberbezpieczeństwa firmy. Wszystko w porządeczku, bo zasady programu formalnie zostały spełnione, idea była górnolotna, sprzęt IT zakupiony i wdrożony. Tylko w opozycji do tego super-zaawansowanego rozwiązania IT pracującego w klastrze wysokiej dostępności, generującego powiadomienia o najdrobniejszym odstępstwie, stoją braki kadrowe i kompetencyjne do obsługi tych systemów, niemal ogólnodostępne punkty dostarczające wodę pitną bez żadnego monitoringu, choćby otwarcia włazu studni, czy działające po 15-20 lat sterowniki PLC, nie będące w żaden sposób skomunikowane lub używające schyłkowych technologii jak 2G, nierzadko nigdy nie objęte aktualizacją oprogramowania wbudowanego. Ale ten element nie mógł być dofinansowany z programu, przynajmniej nie wprost. Analogicznie, możemy wstawić do domu antywłamaniowe, certyfikowane drzwi i okna, tylko wychodząc, zostawiać je uchylone.

Nie można także zapominać o tym, że na CAPEX (inwestycje) dofinansowanie było, ale trzeba będzie te rozwiązania jeszcze utrzymywać w czasie (OPEX), czyli np. wykupywać w kolejnych latach licencje i wsparcie techniczne stanowiące niemały procent kwoty zakupu tych systemów. Brnąc dalej w poszukiwanie analogii do życia codziennego, to jak wygrać w loterii drogi samochód, na którego utrzymanie nie mamy środków.

Gorąco zachęcam do zachowania w tym szaleństwie informacyjnym zimnej krwi i zdrowego rozsądku. Pozwoli to Wam, Drodzy Czytelnicy, na zaplanowanie działań i racjonalne wydatkowanie środków na te aspekty i elementy, które rzeczywiście wymagają najszybszego zaopiekowania, a to będzie miało największy wpływ na poprawę bezpieczeństwa. Nie kierujcie się emocjami, strachem, bo ten nie jest dobrym doradcą. NIS2 nie zmusza Was do wdrażania najbardziej zaawansowanych i najbezpieczniejszych rozwiązań z zakresu cyberbezpieczeństwa. One mają być adekwatne (proporcjonalne) do ryzyka, obszaru, ekspozycji. NIS2 zmusza Nas do zaopiekowania się zagadnieniem cyberbezpieczeństwa w sposób świadomy, ciągły, odpowiedzialny i adekwatny.

Którą ścieżką podążysz?