W Polsce o NIS2 wciąż mówi się jak o projekcie z branżowych prezentacji. Tymczasem dyrektywa przestała być teorią. Rząd właśnie przyjął projekt ustawy o Krajowym Systemie Cyberbezpieczeństwa, który ma ją implementować. W perspektywie najbliższych miesięcy realnym ryzykiem dla firm nie jest już to, że regulacja będzie „za ostra”, tylko to, że firmy wejdą w ten obowiązek nieprzygotowane.

Najlepiej pokazują to dane. W raporcie „Cyberportret polskiego biznesu 2025” aż 36% osób odpowiedzialnych za cyberbezpieczeństwo nie potrafi odpowiedzieć, czy ich organizacja jest objęta NIS2. To już nie jest kwestia niskiej świadomości. To jest sygnał, że połowa rynku wciąż nie dokonała podstawowej analizy ryzyka regulacyjnego.

Tymczasem dyrektywa nie dotyczy tylko „operatorów kluczowych” w wąskim, sektorowym rozumieniu. Nowa definicja obejmuje nie tylko krytyczne branże, ale także znaczną część łańcuchów dostaw. Jeśli kontrahent wymaga zgodności – twoja firma będzie musiała ją udowodnić. Niezależnie od tego, czy państwo wskaże cię na listę „ważnych” lub „kluczowych”.

Konsekwencje niewiedzy będą biznesowe. Jeśli detaliści, dystrybutorzy technologii, operatorzy SaaS, outsourcerzy usług IT, integratorzy czy software house’y nie będą potrafili pokazać zgodności, tracą kontrakty. W praktyce rynek wymusi NIS2 szybciej niż nadzorca.

Jednocześnie polskie firmy, mimo chaosu interpretacyjnego, działają. 53% organizacji, które zakładają że NIS2 ich obejmuje, ma już zaktualizowane polityki bezpieczeństwa. Ponad połowa prowadzi dodatkowe szkolenia. To akcje najprostsze do zrobienia i o najmniejszym CAPEX – ale ich masowa adopcja pokazuje, że dla wielu CIO i CISO dyrektywa jest już faktem.

Więcej wysiłku wymaga budowa mocy operacyjnych. Zatrudnienie ekspertów ds. cyberbezpieczeństwa potwierdziło 35% badanych firm. 43% deklaruje, że dopiero planuje taki ruch. Problemem nie jest niechęć do inwestycji, tylko dostępność ludzi. Rynek specjalistów jest napięty. Zwiększenie zatrudnienia będzie trwać. A regulacja nie da na to dodatkowego roku.

To wszystko dzieje się w momencie, gdy Polska realnie znajduje się w globalnym topie celów cyberprzestępców. Według ESET w pierwszym półroczu 2025 nasz kraj odpowiadał za 6% globalnych incydentów ransomware – więcej niż Stany Zjednoczone. Każda firma, która w tym kontekście czeka na „ostateczne przepisy”, bierze na siebie niepotrzebne ryzyko.

Warto więc odwrócić perspektywę. NIS2 nie jest checklistą compliance. Zestaw wymagań proceduralnych, wyższa odpowiedzialność zarządów, obowiązek raportowania incydentów i testowania odporności to po prostu dobry framework security governance. Nawet jeśli firma ostatecznie formalnie nie będzie „pod NIS2”, wdrożenie jego logiki jest tańsze niż recovery po ransomware.

Z biznesowego punktu widzenia pytanie nie brzmi już, czy NIS2 nas obejmuje. Pytanie brzmi, czy chcemy mieć kontrolę zanim regulator lub rynek zrobią to za nas.