W 2024 roku Polska znalazła się na drugim miejscu w Unii Europejskiej pod względem liczby cyberataków na firmy – dotkniętych zostało aż 32% przedsiębiorstw. Co gorsza, ataki coraz częściej nie dotyczą już wyłącznie sfery IT, ale infrastruktury przemysłowej (OT) i krytycznej – wodociągów, sieci energetycznych, szpitali. To zjawisko pokazuje, że cyberbezpieczeństwo przestało być domeną informatyków – stało się sprawą państwowej wagi.
W ciągu roku liczba potwierdzonych incydentów wzrosła w Polsce o 23%. Eksperci podkreślają, że przy braku wdrożenia dyrektywy NIS2 – wciąż oczekującej na implementację w polskim prawodawstwie – ryzyko dalszej eskalacji jest realne. Nowe przepisy mają objąć nawet 38 tys. podmiotów, co radykalnie rozszerza krąg firm uznanych za istotne z punktu widzenia bezpieczeństwa kraju. Wiele z nich może nie być tego świadoma.
Niezabezpieczona infrastruktura OT staje się łatwym celem – a przez nią także cała organizacja. Tymczasem wiele firm wciąż nie wie, jakie urządzenia i systemy przemysłowe posiada, kto ma do nich dostęp ani czy są one odpowiednio chronione. Brakuje zintegrowanej architektury bezpieczeństwa, procesów zarządzania incydentami i kompetencji zespołów OT/IoT. To realne luki, które można zidentyfikować i zaadresować, m.in. przy użyciu międzynarodowych standardów (jak NIST) oraz narzędzi CERT.
Raport EY wskazuje, że firmy muszą odejść od podejścia reaktywnego i wdrożyć kulturę cyberodporności – także poprzez szkolenie pracowników i zarządzanie zmianą. Współpraca z producentami i integratorami technologii oraz podejście „security by design” są dziś koniecznością, nie dodatkiem.
Wnioski? Polska stoi przed kluczowym momentem: z jednej strony narażona na coraz bardziej zaawansowane ataki, z drugiej – bez pełnych regulacji i przygotowanych struktur obronnych. Przyszłość cyberbezpieczeństwa wymaga nie tylko aktualizacji prawa, ale też zmiany mentalności. Bo w cyfrowej wojnie – to nie mur, a najsłabsze ogniwo decyduje o wyniku.
