{"vars":{{"pageTitle":"Dyrektywa NIS2 nadchodzi, a firmy nadal w chaosie. 42 proc. bez lidera programu","pagePostType":"post","pagePostType2":"single-post","pageCategory":["news","tylko-w-300gospodarce"],"pageAttributes":["cyberataki","cyberbezpieczenstwo","duze-firmy","dyrektywa-unijna","infrastruktura-krytyczna","krajowy-system-cyberbezpieczenstwa","ksc","main","najnowsze","polskie-firmy","unia-europejska","zarzad","zarzadzanie"],"pagePostAuthor":"Zespół 300Gospodarki","pagePostDate":"11 marca 2026","pagePostDateYear":"2026","pagePostDateMonth":"03","pagePostDateDay":"11","postCountOnPage":1,"postCountTotal":1,"postID":744691}} }
300Gospodarka.pl

Dyrektywa NIS2 nadchodzi, a firmy nadal w chaosie. 42 proc. bez lidera programu

  • Zespół 300Gospodarki

    • Dyrektywa NIS2 wprowadza osobistą odpowiedzialność zarządów za cyberbezpieczeństwo. Tymczasem w wielu dużych firmach w Polsce wciąż brakuje osoby, która formalnie odpowiadałaby za wdrożenie nowych regulacji. Z badania Business Growth Review wynika, że aż 42,1 proc. organizacji nie wyznaczyło właściciela programu NIS2 ani nie przygotowało planu działań.

    Chaos organizacyjny mimo rosnących wymagań

    Wyniki badania pokazują wyraźny paradoks. Wraz ze wzrostem wymagań regulacyjnych rośnie chaos organizacyjny związany z odpowiedzialnością za cyberbezpieczeństwo.

    Aż 42,1 proc. dużych firm nie wyznaczyło właściciela programu NIS2 ani nie przygotowało planu wdrożenia z jasno określonymi kamieniami milowymi. Kolejne 32,5 proc. organizacji zrobiło to jedynie częściowo. Najczęściej oznacza to rozproszoną odpowiedzialność bez jednego lidera odpowiedzialnego za realizację programu. Pełną strukturę zarządczą, która pozwala na systematyczne wdrażanie dyrektywy, posiada jedynie co czwarta firma.

    – Fakt, że 42 proc. firm nie wyznaczyło właściciela programu NIS2 pokazuje, że największym wyzwaniem nie jest dziś technologia, lecz model odpowiedzialności i podejście do zarządzania. W wielu organizacjach te kompetencje są rozproszone, co utrudnia jednoznaczne przypisanie roli oraz nadzór zarządczy. Tymczasem NIS2 wymaga podejścia całościowego. W związku z tym wiele polskich firm może potrzebować partnera, który wesprze je w uporządkowaniu modelu odpowiedzialności i spełnieniu wymogów dyrektywy – mówi Grzegorz Soczewka, VP Sales Central and Eastern Europe w OVHcloud.

    Jak dodaje ekspert, ważną rolę w tym procesie może odegrać europejski dostawca chmury. Może zapewnić nie tylko infrastrukturę, ale też eksperckie wsparcie w zakresie architektury, audytów i zarządzania ryzykiem.

    – Kluczowe znaczenie będzie tu miało podejście sovereign-by-design, które zapewnia kontrolę nad lokalizacją danych, przejrzystość łańcucha podwykonawców oraz zgodność z europejską jurysdykcją. Dzięki temu suwerenna chmura stanie się fundamentem, na którym organizacje będą mogły budować nie tylko zgodność z NIS2, ale i odporność operacyjną w dłuższym okresie – dodaje.

    Zarządy często nie wiedzą o ryzykach

    Problem dotyczy również komunikacji na najwyższych szczeblach zarządzania.

    Z badania wynika, że 37,4 proc. respondentów przyznaje, iż zarząd ich firmy w ogóle nie jest informowany o ryzyku cybernetycznym ani o postępach w przygotowaniach do wdrożenia NIS2. Kolejne 40,1 proc. firm przekazuje takie informacje jedynie sporadycznie, przy okazji innych tematów. A regularne, sformalizowane raportowanie do zarządu funkcjonuje zaledwie w 22,5 proc. organizacji.

    Oznacza to, że w większości firm członkowie zarządu podejmują decyzje biznesowe bez pełnego obrazu zagrożeń cybernetycznych oraz bez aktualnych informacji o stanie przygotowań do nowych regulacji.

    Firmy często nie wiedzą, czy podlegają NIS2

    Kolejnym problemem jest brak podstawowej samoidentyfikacji regulacyjnej. 4 na 10 badanych firm nie ustaliło jeszcze, czy nowe przepisy w ogóle ich dotyczą. Dyrektywa NIS2 wyróżnia podmioty kluczowe i ważne z punktu widzenia cyberbezpieczeństwa, a firmy same muszą określić, czy należą do tych dwóch kategorii.

    W przypadku firm zatrudniających ponad 300 pracowników i działających w sektorach takich jak energetyka, transport, ochrona zdrowia czy infrastruktura cyfrowa, taki brak klasyfikacji jest szczególnie zaskakujący.

    Dyrektywa NIS2 wprowadza osobistą odpowiedzialność członków zarządu za cyberbezpieczeństwo organizacji. Brak właściciela programu oznacza z kolei brak budżetu, harmonogramu i jasno określonej odpowiedzialności.

    W praktyce zwiększa to ryzyko sankcji finansowych dla kadry zarządzającej. Co ważne, część menedżerów może nawet nie mieć świadomości, że nowe przepisy obejmują ich bezpośrednią odpowiedzialnością.

    Dane z badania pokazują również braki finansowe. Jedynie 26,4 proc. firm posiada dedykowany budżet na wdrożenie NIS2. Z kolei 16 proc. deklaruje, że nie ma takiego budżetu w ogóle.

    Brakuje ludzi i wiedzy

    Raport wskazuje również na problemy systemowe związane z przygotowaniem organizacji. Aż 44,9 proc. firm deklaruje trudności ze zrozumieniem zakresu wymagań NIS2. Z kolei 33,4 proc. nie rozumie zasad odpowiedzialności zarządu wynikających z dyrektywy.

    Dodatkowym wyzwaniem są braki kadrowe. Ponad połowa badanych firm – 57,3 proc. – wskazuje niedobór specjalistów jako główną barierę we wdrażaniu nowych przepisów.

    Powstaje w ten sposób błędne koło. Bez specjalistów trudno przygotować plan działań, bez planu nie ma budżetu, a bez budżetu nie ma możliwości zatrudnienia odpowiednich ekspertów.

    – Wyniki badania warto odczytywać w kontekście momentu, w którym powstawały – jeszcze przed wejściem w życie krajowych przepisów wdrażających NIS2. Organizacje muszą jednak już teraz zrozumieć, że przepisy te dotyczą nie tylko technologii, lecz również sposobu zarządzania ryzykiem cyfrowym. NIS2, a w konsekwencji nowelizacja UKSC (Ustawa o Krajowym Systemie Cyberbezpieczeństwa), wskazuje na osobistą odpowiedzialność kadry zarządzającej. Nie da się jej przenieść na inną osobę – mówi Przemysław Nowak, Head of Legal Department w Axians.

    Ekspert zwraca uwagę, że w praktyce nowe przepisy mogą oznaczać sankcje finansowe dla nie tylko dla firmy, ale też dla członków kierownictwa.

    – Firmy posiadające dojrzałe systemy zarządzania bezpieczeństwem – na przykład oparte na ISO 27001 – mają już solidne fundamenty, ale potrzebują wsparcia w ich operacjonalizacji i integracji z wymaganiami regulacyjnymi. Najbliższe miesiące będą czasem porządkowania modeli nadzorczych i budowania trwałej odporności cyfrowej – dodaje Przemysław Nowak.

    Wiele firm wciąż nie zaczęło przygotowań

    Z badania wynika również, że część organizacji wciąż nie rozpoczęła działań związanych z dostosowaniem do nowych przepisów. Niemal co szósta firma (16,3 proc.) nie potrafi określić, kiedy osiągnie zgodność z dyrektywą. 8,6 proc. w ogóle nie podjęło jeszcze działań w tym kierunku.

    Na drugim biegunie znajduje się jedynie 13,9 proc. firm, które deklarują, że są już na etapie utrzymania i doskonalenia zgodności z dyrektywą.

    Tymczasem czas na przygotowania upływa. Krajowe przepisy wdrażające NIS2 są w trakcie prac legislacyjnych. W efekcie luka między wymaganiami regulacyjnymi a gotowością organizacji może w najbliższych miesiącach jeszcze się pogłębić.

    Badanie przeprowadzono od 9 stycznia do 6 lutego 2026 r. na próbie 1018 firm zatrudniających co najmniej 300 pracowników i prowadzących działalność w Polsce. Respondentami były osoby z zarządu, CISO, CIO, z obszaru compliance oraz OT.

    Polecamy także: