Europa przez dekady budowała swoje bezpieczeństwo w oparciu o klasyczne wektory zagrożeń: integralność granic, potencjał militarny, stabilność infrastruktury krytycznej oraz bezpieczeństwo energetyczne. Ostatnie lata wyraźnie pokazują jednak, że współczesne konflikty — niezależnie od ich charakteru — w istotnej części przeniosły się do cyberprzestrzeni, gdzie celem stają się nie tylko systemy państwowe, ale również dane, ciągłość działania organizacji oraz zaufanie do usług cyfrowych. W tym kontekście dyrektywa NIS2 przestaje być wyłącznie ramą regulacyjną, a staje się narzędziem systemowego wzmacniania odporności podmiotów kluczowych i ważnych.
Cyberbezpieczeństwo jako element bezpieczeństwa państwa
Atak na system logistyczny, sparaliżowanie operatora energetycznego, przejęcie danych dostawcy dla sektora zbrojeniowego, zatrzymanie produkcji w zakładzie przemysłowym czy czasowe wyłączenie infrastruktury telekomunikacyjnej mogą dziś wywołać skutki porównywalne z klasycznym sabotażem infrastruktury fizycznej.
Z perspektywy państwa odporność cyfrowa przestała być więc zagadnieniem stricte technologicznym. Stała się elementem bezpieczeństwa narodowego.
Właśnie w tym kontekście należy patrzeć na dyrektywę NIS2.
NIS2 – więcej niż regulacja IT
W debacie publicznej regulacja ta bywa nadal sprowadzana do „kolejnej unijnej dyrektywy IT”. To poważne uproszczenie. W rzeczywistości NIS2 jest próbą zbudowania europejskiego systemu odporności gospodarczej i operacyjnej wobec zagrożeń cybernetycznych, które coraz częściej mają charakter systemowy, państwowy albo quasi-państwowy.
Nieprzypadkowo regulacja pojawia się równolegle z europejską debatą dotyczącą resilience, strategic autonomy, dual use technologies czy odporności infrastruktury krytycznej.
Łańcuch dostaw jako kluczowy wektor ryzyka
Nowoczesne operacje cybernetyczne coraz rzadziej polegają na frontalnym ataku na najlepiej zabezpieczony podmiot. Znacznie częściej wykorzystują słabsze ogniwo – mniejszego dostawcę, podwykonawcę, firmę serwisową albo partnera technologicznego. W praktyce oznacza to, że nawet średnia firma przemysłowa, która formalnie nie uważa się za element infrastruktury krytycznej, może stać się punktem wejścia do systemów podmiotu strategicznego.
W sektorze defence to problem fundamentalny. Dzisiejszy przemysł obronny funkcjonuje w oparciu o wielowarstwowe i silnie rozproszone sieci kooperantów. Ryzyko cybernetyczne nie kończy się więc na głównym wykonawcy kontraktu. Ono rozlewa się na cały ekosystem dostawców, integratorów, producentów komponentów, firm software’owych, operatorów infrastruktury i podmiotów logistycznych.
Dlatego właśnie NIS2 bardzo mocno akcentuje bezpieczeństwo supply chain. To jeden z najbardziej niedocenianych aspektów tej regulacji.
W praktyce już dziś obserwujemy, że duże grupy przemysłowe oraz podmioty z obszaru infrastruktury krytycznej zaczynają przenosić wymagania bezpieczeństwa na swoich dostawców. W ciągu najbliższych lat stanie się to standardem rynkowym. W wielu przypadkach brak odpowiednich procedur cyberbezpieczeństwa będzie oznaczał realne ryzyko utraty możliwości uczestniczenia w strategicznych projektach, również tych związanych z obronnością i bezpieczeństwem państwa.
To szczególnie istotne dla polskich przedsiębiorstw przemysłowych i technologicznych, które coraz aktywniej uczestniczą w europejskich projektach infrastrukturalnych i defence.
Warto zwrócić uwagę na jeszcze jeden aspekt. NIS2 zmienia filozofię odpowiedzialności. Przez lata cyberbezpieczeństwo traktowane było jako domena działów IT. Zarządy często postrzegały je jako obszar techniczny, delegowany do informatyków, administratorów systemów czy zewnętrznych dostawców usług.
Ta epoka właśnie się kończy.
Koniec ery „to tylko IT” – rola zarządu w NIS2
Dyrektywa wprost przenosi odpowiedzialność na poziom zarządczy. Kadra kierownicza ma nie tylko zatwierdzać środki bezpieczeństwa, ale również aktywnie nadzorować system zarządzania ryzykiem cybernetycznym. Co więcej – ustawodawca europejski wprost mówi o odpowiedzialności za zaniedbania.
To bardzo istotna zmiana z perspektywy corporate governance.
W sektorach strategicznych będzie to miało szczególne znaczenie także w kontekście odpowiedzialności kontraktowej, relacji z administracją publiczną oraz zdolności do realizacji zamówień związanych z bezpieczeństwem państwa.
Jednocześnie warto uczciwie powiedzieć: dla wielu organizacji największym problemem nie będzie technologia.
Problemem będzie brak uporządkowanego governance. Brak realnej mapy odpowiedzialności. Brak procedur incydentowych. Brak wiedzy, kto podejmuje decyzje kryzysowe. Brak scenariuszy działania po ataku. Brak kontroli nad dostawcami. Brak świadomości zarządu, jak wygląda rzeczywista ekspozycja organizacji na ryzyko.
Największe wyzwania organizacyjne we wdrażaniu NIS2
Współczesne incydenty cybernetyczne coraz rzadziej mają charakter wyłącznie technologiczny. To dziś często zdarzenia wpływające bezpośrednio na zdolność operacyjną przedsiębiorstwa, ciągłość produkcji, logistykę, realizację kontraktów, bezpieczeństwo informacji, relacje z administracją publiczną czy reputację organizacji.
Od infrastruktury fizycznej do podatności cyfrowych
W kontekście obecnej sytuacji geopolitycznej trudno traktować te kwestie wyłącznie jako problem regulacyjny. NIS2 należy dziś postrzegać szerzej – jako element budowania odporności państwa, gospodarki i przedsiębiorstw funkcjonujących w strategicznych sektorach.
I właśnie dlatego dyskusja o cyberbezpieczeństwie coraz częściej pojawia się obok debat dotyczących obronności, infrastruktury krytycznej, bezpieczeństwa energetycznego czy resilience państwa. Bo współczesne bezpieczeństwo coraz rzadziej zaczyna się od granicy państwowej.
