W ostatnim roku połowa organizacji w Polsce odnotowała wzrost liczby incydentów bezpieczeństwa, a miesięcznie rejestrowanych jest średnio 22,5 tys. zagrożeń. Ponad połowa ataków w krajach UE uderza w sektory uznane za kluczowe według nowej dyrektywy cyberbezpieczeństwa NIS 2, która w tym tygodniu zacznie obowiązywać w Polsce. Od wybranych firm wymaga ona m.in. identyfikacji ryzyk oraz udokumentowania sposobu ciągłego zarządzania nimi. Tymczasem aż 45 proc. polskich przedsiębiorstw nadal ręcznie zarządza tymi procesami, co znacząco zwiększa ryzyko błędów. W minionym roku wykorzystanie technologii AI przez zespoły bezpieczeństwa w firmach z całego świata pozwoliło zmniejszyć koszty cyberataków o niemal 7,5 mln zł.
O 13 p.p. rok do roku wzrosła liczba incydentów cyberbezpieczeństwa w polskich firmach – według dostępnych danych w minionym roku co najmniej jeden odnotowało aż 96 proc. podmiotów. W dodatku aż połowa badanych podmiotów zauważyła wzrost ich częstotliwości na przestrzeni roku. Średnio w Polsce rejestruje się ok. 22,5 tys. zagrożeń cyberbezpieczeństwa miesięcznie, najczęściej są to próby wyłudzenia poufnych danych. Według ENISA (European Union Agency for Cybersecurity) sumie 54 proc. ubiegłorocznych cyberataków w państwach unijnych było wymierzone w branże kluczowe dla gospodarki i społeczeństwa Unii Europejskiej według nowej dyrektywy NIS 2, która już wkrótce zacznie obowiązywać w Polsce.
Dyrektywa NIS 2 wprowadza nowe, znacznie bardziej restrykcyjne niż dotychczas wymagania cyberbezpieczeństwa dla firm i instytucji działających w najważniejszych sektorach gospodarki, m.in. ochronie zdrowia, administracji publicznej, energetyce, transporcie czy sektorze bankowym, a także infrastrukturze cyfrowej – mówi Tomasz Wykowski, Country Manager Poland w Factorial, wiodącym europejskim start-upie w obszarze technologii HR oraz AI. – Niestety, według dostępnych raportów, jeszcze niedawno ¼ polskich firm objętych nowymi regulacjami nie była w ogóle świadoma faktu, że wiąże się to z koniecznością dodatkowych działań na rzecz wzmocnienia swojego bezpieczeństwa. Aż 60 proc. nie przeprowadziło audytów zgodności z dyrektywą.
Kary do 10 mln euro lub 2 proc. rocznych przychodów firm
NIS 2 wymaga od organizacji pełnej inwentaryzacji zasobów, identyfikacji ryzyk oraz udokumentowania sposobu ciągłego zarządzania nimi. W tej sytuacji kluczowym pierwszym krokiem staje się rzetelny audyt, obejmujący całą organizację, przede wszystkim procesy, przepływy danych, uprawnienia pracowników oraz wykorzystywane narzędzia. Do najpoważniejszych zagrożeń bezpieczeństwa w firmach należy obecnie nieautoryzowane wykorzystywanie sztucznej inteligencji. Co 5. organizacja na świecie doświadczyła w minionym roku tego typu incydentu. W 65 proc. przypadków doprowadził on do wycieku danych osobowych, a w 40 proc. do naruszenia własności intelektualnej.
Jednak odpowiednio stosowana i kontrolowana sztuczna inteligencja może też wspierać i znacząco przyspieszać audyty i reagowanie na zagrożenia. W 2025 r. odnotowano, że wykorzystanie technologii AI przez zespoły bezpieczeństwa w firmach znacząco skróciło czas ich reakcji i pozwoliło zmniejszyć globalne koszty cyberataków o prawie 7,5 mln zł (prawie 2 mln USD*).
Cyberprzestępcy atakują nas dziś z wykorzystaniem zautomatyzowanych skryptów i zaawansowanej sztucznej inteligencji, tymczasem prawie połowa polskich firm próbuje zarządzać ryzykiem i dostępami pracowników za pomocą arkuszy kalkulacyjnych. NIS 2 bezlitośnie obnaży tę naiwność – mówi Tomasz Wykowski, Country Manager Poland w Factorial. – W obszarze HR i operacji widzimy codziennie, że najdroższe naruszenia bezpieczeństwa nie wynikają ze złamania haseł przez hakerów, ale z chaosu: nieodebranych na czas uprawnień zwolnionego pracownika czy braku ewidencji sprzętu. Jeśli firma w 2026 roku nie automatyzuje tych bazowych procesów w oparciu o AI, nie tylko prosi się o milionowe kary, ale wręcz otwiera hakerom drzwi od wewnątrz. Wdrożenie inteligentnych systemów to już nie jest kwestia wygody, to kwestia przetrwania.
Według wspomnianego raportu na temat gotowości polskich firm i instytucji na wdrożenie dyrektywy NIS 2, tylko 23 proc. polskich firm i instytucji korzysta z automatyzacji do oceny wpływu poszczególnych zasobów czy narzędzi na procesy biznesowe oraz potencjalnie związanego z tym ryzyka. Aż 45 proc. polega na ocenie odpowiedzialnych za nie pracowników, a 14 proc. dopiero ma w planach wdrożenie automatyzacji. Tymczasem kary za niedostosowanie się do nowych przepisów mogą sięgać 10 mln euro lub do 2 proc. rocznych przychodów firmy.
Kurs NBP z dnia 30 marca 1 USD = 3,73 PLN.