Europa przez lata budowała swoje bezpieczeństwo w oparciu o klasyczne rozumienie zagrożeń: granice państwowe, potencjał militarny, infrastrukturę krytyczną i bezpieczeństwo energetyczne. Ostatnie lata pokazały jednak bardzo wyraźnie, że współczesny konflikt – niezależnie od tego, czy ma charakter militarny, hybrydowy czy gospodarczy – w ogromnym stopniu toczy się również w cyberprzestrzeni.
Atak na system logistyczny, sparaliżowanie operatora energetycznego, przejęcie danych dostawcy dla sektora zbrojeniowego, zatrzymanie produkcji w zakładzie przemysłowym czy czasowe wyłączenie infrastruktury telekomunikacyjnej mogą dziś wywołać skutki porównywalne z klasycznym sabotażem infrastruktury fizycznej.
Z perspektywy państwa odporność cyfrowa przestała być więc zagadnieniem stricte technologicznym. Stała się elementem bezpieczeństwa narodowego.
Właśnie w tym kontekście należy patrzeć na dyrektywę NIS2.
W debacie publicznej regulacja ta bywa nadal sprowadzana do „kolejnej unijnej dyrektywy IT”. To poważne uproszczenie. W rzeczywistości NIS2 jest próbą zbudowania europejskiego systemu odporności gospodarczej i operacyjnej wobec zagrożeń cybernetycznych, które coraz częściej mają charakter systemowy, państwowy albo quasi-państwowy.
Nieprzypadkowo regulacja pojawia się równolegle z europejską debatą dotyczącą resilience, strategic autonomy, dual use technologies czy odporności infrastruktury krytycznej.
Z punktu widzenia sektora defence, przemysłu strategicznego, logistyki, energetyki czy zaawansowanej produkcji przemysłowej znaczenie NIS2 wykracza daleko poza compliance.
To regulacja o charakterze operacyjnym i strategicznym.
Dyrektywa znacząco rozszerza katalog podmiotów objętych obowiązkami. Nie chodzi już wyłącznie o klasycznych operatorów infrastruktury krytycznej. W praktyce objęte regulacją będą również firmy funkcjonujące w szerokim ekosystemie bezpieczeństwa państwa i gospodarki – producenci przemysłowi, podmioty technologiczne, operatorzy logistyczni, dostawcy usług cyfrowych, część sektora chemicznego, spożywczego czy podwykonawcy funkcjonujący w łańcuchach dostaw dużych grup przemysłowych oraz podmiotów realizujących kontrakty publiczne i obronne.
I właśnie łańcuch dostaw jest dziś jednym z kluczowych obszarów ryzyka.
Nowoczesne operacje cybernetyczne coraz rzadziej polegają na frontalnym ataku na najlepiej zabezpieczony podmiot. Znacznie częściej wykorzystują słabsze ogniwo – mniejszego dostawcę, podwykonawcę, firmę serwisową albo partnera technologicznego. W praktyce oznacza to, że nawet średnia firma przemysłowa, która formalnie nie uważa się za element infrastruktury krytycznej, może stać się punktem wejścia do systemów podmiotu strategicznego.
W sektorze defence to problem fundamentalny. Dzisiejszy przemysł obronny funkcjonuje w oparciu o wielowarstwowe i silnie rozproszone sieci kooperantów. Ryzyko cybernetyczne nie kończy się więc na głównym wykonawcy kontraktu. Ono rozlewa się na cały ekosystem dostawców, integratorów, producentów komponentów, firm software’owych, operatorów infrastruktury i podmiotów logistycznych.
Dlatego właśnie NIS2 bardzo mocno akcentuje bezpieczeństwo supply chain. To jeden z najbardziej niedocenianych aspektów tej regulacji.
W praktyce już dziś obserwujemy, że duże grupy przemysłowe oraz podmioty z obszaru infrastruktury krytycznej zaczynają przenosić wymagania bezpieczeństwa na swoich dostawców. W ciągu najbliższych lat stanie się to standardem rynkowym. W wielu przypadkach brak odpowiednich procedur cyberbezpieczeństwa będzie oznaczał realne ryzyko utraty możliwości uczestniczenia w strategicznych projektach, również tych związanych z obronnością i bezpieczeństwem państwa.
To szczególnie istotne dla polskich przedsiębiorstw przemysłowych i technologicznych, które coraz aktywniej uczestniczą w europejskich projektach infrastrukturalnych i defence.
Warto zwrócić uwagę na jeszcze jeden aspekt. NIS2 zmienia filozofię odpowiedzialności. Przez lata cyberbezpieczeństwo traktowane było jako domena działów IT. Zarządy często postrzegały je jako obszar techniczny, delegowany do informatyków, administratorów systemów czy zewnętrznych dostawców usług.
Ta epoka właśnie się kończy.
Dyrektywa wprost przenosi odpowiedzialność na poziom zarządczy. Kadra kierownicza ma nie tylko zatwierdzać środki bezpieczeństwa, ale również aktywnie nadzorować system zarządzania ryzykiem cybernetycznym. Co więcej – ustawodawca europejski wprost mówi o odpowiedzialności za zaniedbania.
To bardzo istotna zmiana z perspektywy corporate governance. Cyberbezpieczeństwo zaczyna funkcjonować podobnie jak compliance, AML czy bezpieczeństwo finansowe – jako obszar osobistej odpowiedzialności członków zarządu i kierownictwa.
W praktyce oznacza to również zmianę oczekiwań wobec rad nadzorczych, audytów wewnętrznych oraz procesów decyzyjnych w spółkach.
W sektorach strategicznych będzie to miało szczególne znaczenie także w kontekście odpowiedzialności kontraktowej, relacji z administracją publiczną oraz zdolności do realizacji zamówień związanych z bezpieczeństwem państwa.
Jednocześnie warto uczciwie powiedzieć: dla wielu organizacji największym problemem nie będzie technologia.
Problemem będzie brak uporządkowanego governance. Brak realnej mapy odpowiedzialności. Brak procedur incydentowych. Brak wiedzy, kto podejmuje decyzje kryzysowe. Brak scenariuszy działania po ataku. Brak kontroli nad dostawcami. Brak świadomości zarządu, jak wygląda rzeczywista ekspozycja organizacji na ryzyko.
A współczesne incydenty cybernetyczne coraz rzadziej mają charakter wyłącznie technologiczny. To dziś często zdarzenia wpływające bezpośrednio na zdolność operacyjną przedsiębiorstwa, ciągłość produkcji, logistykę, realizację kontraktów, bezpieczeństwo informacji, relacje z administracją publiczną czy reputację organizacji.
W kontekście obecnej sytuacji geopolitycznej trudno traktować te kwestie wyłącznie jako problem regulacyjny. NIS2 należy dziś postrzegać szerzej – jako element budowania odporności państwa, gospodarki i przedsiębiorstw funkcjonujących w strategicznych sektorach.
I właśnie dlatego dyskusja o cyberbezpieczeństwie coraz częściej pojawia się obok debat dotyczących obronności, infrastruktury krytycznej, bezpieczeństwa energetycznego czy resilience państwa. Bo współczesne bezpieczeństwo coraz rzadziej zaczyna się od granicy państwowej.
Coraz częściej zaczyna się od serwera, dostępu uprzywilejowanego, podatności w systemie albo niepozornego dostawcy w łańcuchu dostaw.
