Rynek

Koniec taniego IT. Jak dyrektywy NIS2 i CRA wpłyną na ceny usług w Polsce?

Globalna sieć ulega obecnie bezprecedensowej fragmentacji, która dzieli cyfrowy ekosystem wzdłuż politycznych linii demarkacyjnych i zmusza polski sektor IT do fundamentalnej transformacji. W nadchodzących latach drastyczny wzrost kosztów regulacyjnych oraz rygorystyczne wymogi bezpieczeństwa łańcucha dostaw sprawią, że dotychczasowy arbitraż kosztowy ustąpi miejsca modelom biznesowym opartym na certyfikowanym zaufaniu.

Klaudia Ciesielska
7 Min
nis2, it
źródło: Freepik/vecstock

Przez większość swojej krótkiej historii Internet był postrzegany jako przestrzeń bezgraniczna – jednolity ekosystem, w którym innowacje i kapitał mogły swobodnie przepływać niezależnie od barier geograficznych. Dziś jednak ta utopijna wizja ulega drastycznej fragmentacji. Decydenci polityczni i rządy coraz silniej ingerują w architekturę sieci, co doprowadziło do powstania tzw. „Splinternetu” – zjawiska dzielącego globalny świat cyfrowy wzdłuż politycznych i ideologicznych linii demarkacyjnych.

Dla polskiego sektora usług IT, który przez ostatnie dekady budował swoją pozycję na swobodnym globalnym handlu, eksportując w 2023 roku usługi o wartości 16,85 mld USD, nadchodzące lata 2026-2030 oznaczają konieczność całkowitej transformacji. Dotychczasowy arbitraż kosztowy wyczerpuje swoje możliwości, a jedyną walutą, która pozwoli utrzymać najwyższe marże na zachodnich rynkach, staje się certyfikowane bezpieczeństwo i suwerenność.

Koszty zgodności: Regulacyjne tsunami z Brukseli

Zarządzanie ryzykiem regulacyjnym przestało być domeną wyłącznie działów prawnych, stając się kluczowym czynnikiem wpływającym na rentowność software house’ów. Unia Europejska, dążąc do wypracowania niezależności, nałożyła na przedsiębiorstwa bezprecedensowy gorset prawny.

Z początkiem kwietnia 2026 r. w Polsce weszła w życie znowelizowana ustawa o Krajowym Systemie Cyberbezpieczeństwa (KSC), implementująca unijną dyrektywę NIS2. Kluczową zmianą jest przesunięcie odpowiedzialności daleko poza granice samej organizacji – prosto w głąb łańcucha dostaw. Podmioty kluczowe i ważne muszą teraz rygorystycznie audytować swoich dostawców IT, przenosząc ciężar wymagań bezpieczeństwa na polskie firmy programistyczne i wymuszając precyzyjne klauzule umowne dotyczące audytów czy zgłaszania incydentów.

Z drugiej strony nadciąga Cyber Resilience Act (CRA) – prawo, które nie tylko obejmuje infrastrukturę korporacyjną, ale samo wytwarzane oprogramowanie. Wymusza ono bezwzględne stosowanie zasady „Security by Design” we wszystkich produktach z elementami cyfrowymi sprzedawanymi na terytorium UE `. Od września 2026 roku producenci oprogramowania będą mieli obowiązek zgłaszania luk i incydentów bezpieczeństwa w ciągu 24 godzin od ich wykrycia. Ryzyko jest potężne – kary za nieprzestrzeganie CRA mogą sięgnąć 15 milionów euro lub 2,5% globalnego obrotu, wymuszając diametralne zmiany w cyklu życia tworzenia oprogramowania (SDLC).

Koszty adaptacji dla małych i średnich przedsiębiorstw (MŚP) w branży IT będą astronomiczne. Szacuje się, że same tylko analizy luk, modernizacje narzędzi (np. zakup skanerów podatności) oraz ciągłe monitorowanie (SOC) to wydatki operacyjne i kapitałowe, które mogą łatwo przekroczyć barierę kilkuset tysięcy euro już w pierwszym roku wdrożenia `[4]`.

Geopolityka kodu źródłowego: Otwarte oprogramowanie pod lupą kontrwywiadu

Fragmentacja sieci nie dotyczy tylko przepływu danych – sięga do absolutnych podstaw budowy dzisiejszych aplikacji. Fundamentem nowoczesnego IT jest kod open-source, na którym opiera się ponad 90% korporacji z listy Fortune 500. Niestety, w realiach głębokich napięć geopolitycznych, jest to pięta achillesowa zachodnich gospodarek.

Zatwierdzony przez zachodnich analityków audyt bezpieczeństwa materiałów składowych (SBOM) powszechnie używanych w amerykańskim sektorze energetycznym wykazał, że aż 90% zbadanych produktów zawierało fragmenty kodu wniesione przez deweloperów powiązanych z Rosją i Chinami. Tego rodzaju podatności to tykające bomby w łańcuchach dostaw oprogramowania. Z tego powodu kontrakty z korporacjami amerykańskimi są teraz obstawione wymogami Cyber Supply Chain Risk Management (C-SCRM), a do audytowania vendorów w Europie Środkowej zatrudniane są platformy wykorzystujące OSINT do śledzenia ewentualnych rosyjskich lub chińskich powiązań każdego komponentu.

Zarządzanie talentem a „Geofencing”: Nowy mur berliński

Polska od lat jest wielkim beneficjentem wschodniego talentu inżynieryjnego. Pełnoskalowa inwazja na Ukrainę oraz uścisk reżimu w Mińsku zintensyfikowały zjawisko migracji wykwalifikowanych programistów. Tylko na początku 2024 roku w Polsce przebywało blisko 116 tysięcy obywateli Białorusi posiadających prawo pobytu, a liczba ukraińskich specjalistów i spółek urosła drastycznie.

Ten zasób kompetencyjny napotyka jednak na twardy, cyfrowy mur. Kraje takie jak Wielka Brytania i Stany Zjednoczone wprowadzają drastyczne rygory dostępu (Security Clearance) dla projektów obronnych i infrastruktury krytycznej. Amerykański Departament Obrony wdrożył zaktualizowaną certyfikację CMMC 2.0 (weszła w życie 10 listopada 2025 r.), która kategorycznie eliminuje z dostępu do wrażliwych danych (CUI) podmioty niespełniające najsurowszych wymogów izolacji technicznej . Podobnie Brytyjczycy przyznają swój kluczowy certyfikat Security Check (SC) zazwyczaj tylko osobom, które nieprzerwanie zamieszkują na terytorium UK od co najmniej pięciu lat. Skutkuje to całkowitym wykluczeniem uchodźców z rynków wschodnich z prac przy takich projektach.

Zarządy zachodnie wręcz paranoicznie chronią się przed niekontrolowanym rozprzestrzenianiem dostępu. Szokiem dla brytyjskiej opinii publicznej był niedawny skandal, gdy okazało się, że część oprogramowania wspierającego infrastrukturę atomowych okrętów podwodnych została zaprojektowana w ramach ukrytego podwykonawstwa przez deweloperów zlokalizowanych w Mińsku i na Syberii. Konsekwencją takich kryzysów jest wymuszony „geofencing” – ścisła polityka blokowania dostępu do repozytoriów, narzędzi deweloperskich i środowisk produkcyjnych na podstawie geolokalizacji adresów IP z wykluczonych państw. Polskie software house’y chcące zachować lukratywne kontrakty dla anglosaskich instytucji zbrojeniowych czy bankowych, muszą tworzyć tzw. „Clean Rooms” – oddzielone, rygorystycznie kontrolowane środowiska pracy wyłącznie dla inżynierów z udokumentowanym poświadczeniem zachodnim.

Strategia wygrywająca: Przejście od Nearshoringu do Trust-shoringu

Mimo tych wszystkich regulacyjnych i geopolitycznych obciążeń, Splinternet i fragmentaryzacja globalnego handlu to dla polskiej branży IT nie tylko zagrożenie, ale ogromna szansa na awans do najwyższej ligi dostawców usług.

Nakładane m.in. przez USA cła na Chiny, przekraczające na wiele komponentów 100%, skutecznie zabiły dotychczasową, 30-40% przewagę kosztową rynków azjatyckich. Zachodni giganci w panice dywersyfikują ryzyko, przesuwając operacje na bezpieczniejsze wody w ramach strategii tzw. „friend-shoringu” – czyli lokowania produkcji i usług w granicach państw sojuszniczych, podzielających te same wartości geopolityczne. Polska, jako dojrzała demokracja, silny członek NATO i UE, jest absolutnym beneficjentem tego trendu.

Aby jednak skapitalizować tę okazję w horyzoncie lat 2026-2030, polskie organizacje technologiczne muszą zapomnieć o rywalizacji opartym wyłącznie na cenie czy dostarczaniu tanich rąk do pracy (body leasing). Nową strategią jest „Trust-shoring”. Zarządy muszą przełożyć potężne koszty certyfikacji wynikające z CRA i NIS2 bezpośrednio w cenniki usług, komunikując je klientom jako z góry opłaconą polisę gwarantującą niezaburzoną ciągłość operacyjną. Klienci z Nowego Jorku, Londynu czy Paryża bez oporów zapłacą premię technologiczną za łańcuchy dostaw, które są odporne, „czyste” wywiadowczo i całkowicie przejrzyste. Ci w regionie CEE, którzy najszybciej zaadaptują rygory Cyfrowej Żelaznej Kurtyny w swoje struktury, przejmą rynkową pulę pozostawioną przez globalne spowolnienie na rynkach wschodnich.

TEMATY:
Udostępnij

Biuletyn

Dołącz do najlepszego biuletynu w branży ICT!

Subskrybując Biuletyn Brandsit akceptujesz naszą politykę prywatności.

zonda
Kryptowaluty

Krach inwestycji w krypto? Kapitał odpływa w stronę AI

Gen. Mariusz Chmielewski, WOC
WOC

Gen. Mariusz Chmielewski nowym dowódcą Wojsk Obrony Cyberprzestrzeni

Zobacz również

openai
OpenAI

OpenAI prezentuje GPT-5.4-Cyber. Odpowiedź na projekt Anthropic

Rywalizacja o dominację w sektorze security AI nabiera tempa, gdy OpenAI wprowadza model…

lenovo
Rynek półprzewodników

Dlaczego układy PCHE są kluczowe dla kolejnego etapu rozwoju sztucznej inteligencji

Jeśli wydaje się, że rynek półprzewodników znów znalazł się w centrum uwagi, to…

Sztuczna inteligencja, technologia
Sztuczna inteligencja

Adopcja AI w Polsce dynamicznie rośnie. Raport AWS wskazuje na bariery rozwoju

Najnowszy raport „Uwolnienie potencjału AI w Polsce 2026”, zaprezentowany podczas AWS Summit w…

Unia Europejska, ai act
NIS2

NIS2 – Cyfrowa ewolucja, w której przetrwają tylko odporni

W maju 2026 roku europejski krajobraz regulacyjny w obszarze IT stał się realną…

Amazon
AI Act

Europa luzuje regulacje AI. Czy to szansa na dogonienie konkurencji z USA i Chin?

Unia Europejska, przez lata pozycjonująca się jako globalny żandarm technologii, zaczyna luzować uścisk.…

GitHub, copiloit
GitHub

Kryzys wydajności AI. Dlaczego GitHub blokuje dostęp do nowych kont Copilot?

Decyzja GitHub o tymczasowym wstrzymaniu nowych rejestracji w planach Pro, Pro+ oraz subskrypcjach…

ICEYE
SpaceX

Wycena SpaceX może sięgnąć 1,75 bln dolarów. Rekordowe IPO na horyzoncie

Kiedy SpaceX złożyło poufny prospekt emisyjny, rynek spodziewał się liczb wykraczających poza ziemską…

amazon
Amazon

Amazon kupuje Globalstar za 11,6 mld USD. Chce dogonić Starlink Elona Muska

Przejęcie Globalstar przez Amazon za kwotę 11,6 miliarda dolarów to trategiczne uderzenie w…