Skala cyberzagrożeń w Polsce nie pozostawia wątpliwości, że cyberbezpieczeństwo staję się kluczowym aspektem każdej firmy. Według informacji opublikowanych przy okazji 30-lecia CERT Polska, tylko w 2025 r. CERT Polska obsłużył 260 tys. zgłoszeń incydentów, zablokował ponad 140 mln prób wejścia na niebezpieczne strony oraz dodał 250 tyś. szkodliwych domen do Listy Ostrzeżeń. Te dane pokazują, że phising, fałszywe domeny i pozostałe zagrożenia są dziś zjawiskiem masowym, dotyczącym nie tylko administracji publicznej czy infrastruktury krytycznej, ale również prywatnych przedsiębiorstw i ich klientów.
W odpowiedzi na rosnącą skalę zagrożeń rok 2026 przyniósł w Polsce i Unii Europejskiej wyraźne przyspieszenie regulacyjne. Przyjęto nową Strategię Cyberbezpieczeństwa Rzeczypospolitej Polskiej, uchwalono nowelizację ustawy o krajowym systemie cyberbezpieczeństwa wdrażającą NIS2 (“KSC”), a na poziomie unijnym opublikowano projekt wytycznych do Cyber Resilience Act. Dla biznesu oznacza to jedno: cyberbezpieczeństwo staje się obszarem, który trzeba analizować nie tylko z perspektywy ryzyka technicznego, ale także zgodności regulacyjnej, odpowiedzialności zarządu i bezpieczeństwa łańcucha dostaw.
Z perspektywy polskich przedsiębiorców szczególne znaczenie ma nowelizacja ustawy o KSC. Nowe przepisy mają służyć szybszemu reagowaniu na incydenty, lepszej ochronie danych oraz wzmocnieniu stabilności kluczowych usług. Rozszerzono także krąg podmiotów, które mogą zostać objęte nowymi obowiązkami. Nowelizacja rozszerza zastosowanie NIS2 na nowe sektory, które do tej pory nie podlegały tak szczegółowym regulacjom dotyczącym cyberbezpieczeństwa - m.in. produkcja pojazdów, komponentów do pojazdów jak baterie czy napędy, produkcja i dystrybucja żywności, usługi pocztowe oraz gospodarka ściekowa. W praktyce oznacza to, że wiele firm, które do tej pory nie były podmiotami regulowanymi w zakresie cyberbezpieczeństwa, powinny rozpocząć proces dostosowania do nowych przepisów.
Istotnym sygnałem dla rynku jest również nowa Strategia Cyberbezpieczeństwa RP do 2029 roku, która wyznacza kierunek cyberodporności państwa. Obejmuje ona m.in. powołanie centralnej instytucji koordynującej cyberbezpieczeństwo na poziomie krajowym, rozwój systemów bezpiecznej łączności, rozwój systemu S46 do zgłaszania i obsługi incydentów, rozwój i rozszerzenie ochrony przed atakami DDoS dla instytucji publicznych, czy rozwój rozwiązań chmurowych.
Zmiany zostaną również wprowadzone przez Cyber Resilience Act, czyli unijne rozporządzenie dotyczące bezpieczeństwa produktów z elementami cyfrowymi. Jest to szczególnie istotne dla producentów, dystrybutorów oraz dostawców oprogramowania i urządzeń cyfrowych. Choć większość obowiązków wynikających z CRA zacznie być stosowana od grudnia 2027 r., część wymagań (takich jak raportowanie aktywnie wykorzystywanych podatności i incydentów) zacznie obowiązywać już we wrześniu 2026. Oznacza to, że przygotowania powinny rozpocząć się odpowiednio wcześniej, zwłaszcza tam, gdzie organizacja działa w oparciu o złożony łańcuch dostaw, lub rozwija produkty cyfrowe na dużą skalę.
W efekcie rok 2026 jest dla przedsiębiorców momentem, w którym należy przygotować i wzmocnić podstawy cyberodporności. Obejmuje to ustalenie czy organizacja wchodzi w zakres nowych regulacji, przegląd kluczowych systemów i usług, weryfikację relacji z dostawcami ICT a także dokumentacji pod kątem tego czy odpowiada rzeczywistej działalności firmy, a także weryfikację gotowości do obsługi incydentów w praktyce. Organizacje, które zaczną odpowiadać na te pytania już teraz, będą w znacznie lepszej pozycji niż te, które potraktują rok 2026 jako okres przejściowy.
Zachęcamy do kontaktu z naszymi ekspertami:
