NIS2, KPO i miliardy złotych dla spółek IT – Cyberbezpieczeństwo na GPW [NIS2, KPO, GPW]

Miliardy złotych z KPO oraz widmo kar sięgających 10 milionów euro z tytułu dyrektywy NIS 2 wymuszają na polskich firmach gigantyczne inwestycje w IT. Dla giełdowych integratorów to szansa na skokową poprawę wyników w nadchodzących kwartałach. Sprawdziliśmy jako stołkoocz kto może być beneficjentem cyfrowego wyścigu zbrojeń. Ja nazywam się Rafa Leszyk i zapraszam serdecznie na film. A jeżeli to co tworzymy jest dla was wartościowe, zachęcam do pozostawienia polubienia pod materiałem. A teraz już zaczynajmy. A partnerami kanału są Dom Maklerski Banku Ochrony Środowiska, Dom Maklerski Navigator oraz Dom Maklerski Nobel Securities. Wojna na Ukrainie i skokowy wzrost ataków hakerskich sprawiły, że cyberbezpieczeństwo wyrosło na jeden z priorytetów. W czerwcu 25 roku państwa członkowskie NATO zobowiązały się do zwiększenia wydatków na obronność do 5% PKB do 2035 roku, w tym 3,5% na podstawowe potrzeby obronne, takie jak wojsko i broń oraz do 1,5% na infrastrukturę krytyczną, cyberbezpieczeństwo i inne cele. Polska jako państwo przyfrontowe jest szczególnie narażona na ataki hakerskie. W ubiegłym roku wiceminister cyfryzacji Dariusz Standerski poinformował, że Polska codziennie odpierała od 20 do 50 prób naruszenia infrastruktury krytycznej, w tym szpitale, elektrownie, wodociągi, skutecznie neutralizując około 99% ataków. Część z nich zakończyła się jednak powodzeniem. W kilku szpitalach działalność musiała zostać czasowo zawieszona, a hakerzy uzyskali dostęp do danych medycznych. Jak wyliczają analitycy biura maklerskiego mBanku, w sierpniu 25 hakerzy włamali się do systemów informatycznych przedsiębiorstwa wodociągowego dużego miasta, ale atak powstrzymano zanim spowodował przerwę w dostawie wody. Cyberataki przypuszczono także na szpitale, z których wykradziono dane. Celem ataku wielokrotnie padała infrastruktura kolejowa. W sierpniu 23 roku atak radiowy na system radiostop spowodował zatrzymanie około 20 pociągów. W styczniu 25 atak DIDOS na system sprzedaży biletów PKP Intercity w listopadzie 2025 fizyczny sabotaż linii kolejowej w pobliżu Warszawy przy użyciu materiałów wybuchowych przypisywany rosyjskiemu wywiadowi. Wagę problemu dostrzegli europejscy decydenci, którzy uwzględnili spore środki w ramach krajowego planu odbudowy na transformację cyfrową zarówno w zakresie cyfryzacji jak i cyberbezpieczeństwa. Jedną z odpowiedzi na problem ataków hakerskich jest europejska dyrektywa NIS 2. Regulacje mobilizują firmy do podjęcia działań na rzecz bezpieczeństwa cyfrowego. Kary za niestosowanie się do NIS 2 mogą być sowite. Nawet do 10 milionów euro lub 2% rocznego przychodu dla podmiotów kluczowych i 1,4% dla ważnych. Pierwsze to bankowość czy energetyka, drugie usługi cyfrowe czy produkcja. Zakres podmiotowy NIS 2 jest szeroki od energetyki, bankowości, zdrowia, transportu po przesyłki kurierskie, odprowadzanie ścieków i sektor kosmiczny. Co do zasady NIS 2 koncentruje się na średnich i dużych firmach, ale są wyjątki. Państwa członkowskie Unii Europejskiej mogą rozszerzyć stosowanie przepisów dyrektywy na mniejszych. Jak wyjaśnia Stockucz.pl, Paweł Zegarów, ekspert NASK zespołu analiz strategicznych dla cyberprzestrzeni oraz cyberbezpieczeństwa. Także spółki notowane na giełdzie papierów wartościowych w Warszawie mogą zostać objęte obowiązkami w zakresie cyberbezpieczeństwa, ale sam fakt notowania akcji na AGPW nie powoduje automatycznego objęcia przepisami. Decyduje charakter prowadzenia działalności, przynależność do sektora kluczowego oraz spełnienie kryteriów wielkości. Ma to także znaczenie w przypadku grup kapitałowych, gdzie konieczna jest analiza roli poszczególnych spółek zależnych oraz świadczonych przez nie usług. W przypadku niektórych spółek na GPW regulacją wiodącą jest rozporządzenie Dora, które jako sektorowa regulacja dla rynku finansowego wprowadza szczegółowe i rygorystyczne wymogi w zakresie odporności cyfrowej, zarządzania ryzykiem ICT oraz raportowania incydentów. To właśnie warszawska giełda padła trzy lata temu ofiarą głośnego cyberataku rosyjskich hakerów. Był to atak typu DID dos blokujący serwery, ale celem była też usługa profil zaufany. Hakerzy z No Name mieli na swoim profilu na Telegramie zasugerować, że ta rządowa platforma umrzewiająca zdalne potwierdzenie tożsamości i otrzymanie podpisu cyfrowego nie jest bezpieczna. W komentarzu dla stokusz.pl Justyna Wilczyńska Baraniak oraz Oktavia Sepio z kancelarii Uy podkreślają, że nowością, którą NIS niesie jest wprowadzenie bezpośredniej osobistej odpowiedzialności organów zarządzających za naruszenia w obszarze cyberbezpieczeństwa. Członkowie zarządów muszą nie tylko zatwierdzać środki zarządzania ryzykiem, ale też nadzorować ich wdrażanie i odbywać szkolenia pod rygorem osobistych sankcji. Jak zauważają ekspertki I Polska, implementacja nowych przepisów bez wątpienia podniesie ogólny poziom bezpieczeństwa wspólnego rynku poprzez wymuszenie podejścia opartego na analizie ryzyka oraz uwzględnienie odporności cyfrowej dostawców usług. Ujednolicenie standardów i mechanizmów współpracy transgranicznej zminimalizuje ryzyko kaskadowych awarii systemów, co zapewni stabilizację łańcucha dostaw. Cyberbezpieczeństwo w świetle NIS 2 przestaje być zagadnieniem wyłącznie technicznym, stając się wymierną metryką oceny stabilności biznesowej. Według źródeł Checkpoint Research Polska jest w peletonie krajów najbardziej narażonych na cyberataki. Przed nami są tylko Chorwacja, Luksemburg i Albania. Najbezpieczniej jest na Cyprze, Malcie oraz Litwie. Pod koniec 25 roku doszło do cyberataku na obiekty sieci energetycznej w Polsce. Sprawa wyszła na jaw dwa tygodnie później. Rząd w specjalnym komunikacie zapewnił, że Polska ma wszelkie siły, środki, narzędzia oraz osoby, żeby sobie poradzić. Jak wyjaśnia Stokusz.pl Karol Bojka, ekspert NASK zespołu do spraw strategicznej komunikacji cyberbezpieczeństwa. Będą się zdarzały, ale możemy ograniczyć ich skutki, nakładając na podmioty obowiązki związane z budowaniem i rozwijaniem swojego cyberbezpieczeństwa. Właśnie takie regulacje znajdziemy w NIS 2. Jak wyjaśnia stokusz.pl Karol Bojka, ekspert NASK zespołu do spraw strategicznej komunikacji cyberbezpieczeństwa. Będą się zdarzały, ale możemy ograniczyć ich skutki nakładając na podmioty obowiązki związane z budowaniem i rozwijaniem swojego cyberbezpieczeństwa. Właśnie takie regulacje znajdziemy w NIS 2. Jak zauważa w rozmowie ze Stokusz.pl Adam Woźniak z Grand Torton. Do tej pory przepisy pozwalały na wskazanie palcem przez ustawodawcę podmioty zobowiązane. Dziś każdy musi sam dokonać zgłoszenia do organów państwa. Ustawa nie rozróżnia czy spółka jest giełdowa czy nie. Wskazuje jedynie wielkość podmiotów i wymóg sektorowy niezależnie od przychodów generowanych z danego sektora. Jak podkreśla Adam Woźniak, prawdopodobnie wynika to z pewnej higieny. Nawet jeśli generujemy niewielką część przychodów z danego obszaru, nasze systemy IT są połączone i ustawodawca nie daje już wiary w segregację czy chińskie mury. Możemy spodziewać się, że koszt wdrożenia standardów i zasad będzie dość istotny i trudny do uniknięcia. W dużej firmie produkcyjnej poprawne wdrożenie wszystkich wymagań może przekroczyć kilka milionów złotych, a koszty muszą ponieść przedsiębiorcy. Brak tutaj jakiejkolwiek pomocy ze strony państwa. Niemniej długość wdrożenia dyrektywy wraz z informacją o dość długim Vacatio Legis sprawia, że to wdrożenie da się niestety fazować. Jak już pisaliśmy, sam fakt notowania na giełdzie nie będzie powodował objęcia przepisami NIS 2, ale już dla spółki sektora WIG Informatyka takiej jak ASECO Polamb, największej informatycznej firmy w regionie, ma niebagatelne znaczenie. Między innymi dlatego, że jako dostawca usług i produktów ICT dla krytycznych sektorów gospodarki jest podmiotem kluczowym w rozumieniu nowelizacji ustawy o krajowym systemie cyberbezpieczeństwa. Jak powiedział w rozmowie Stok.pl Janusz Krzemiński, dyrektor działu zarządzania procesami i ryzykiem ASEPOLand. Zakres regulacji obejmuje zarówno nasze wewnętrzne procesy, jak i produkty oraz usługi dostarczane klientom. Oznacza to konieczność systemowego podejścia do cyberbezpieczeństwa, w szczególności w obszarze prowadzenia analizy ryzyka, zarządzania incydentami i podatnościami, nadzoru nad łańcuchem dostaw, w tym oceny i monitorowania dostawców, odpowiedniego uregulowania procesów wytwarzania oprogramowania oraz świadczenia usług ICT. Te obszary są już obecnie integralną częścią naszego modelu zarządzania. Z naszej perspektywy NIS 2 nie wprowadza zatem rewolucyjnych zmian, lecz przyczynia się do usystematyzowania i rozszerzenia działań realizowanych od wielu lat w oparciu między innymi o standardy ISO 27001, wymagania RODO, Dora oraz dotychczasowe przepisy KSC. Spółka poddała się przeglądowi gotowości w zakresie NIS 2, który został zrealizowany przez zewnętrznego audytora. Potwierdził on istnienie solidnych fundamentów systemu cyberbezpieczeństwa. Według szacunków PMR Market Experts by Humes w 2025 wydatki na usługi i produkty mające zwiększać odporność na ataki hakerskie wzrosły rok rocznie około 25% do 3,5 miliarda złot. Wiele wskazuje na to, że ten trend się utrzyma w kolejnych latach, a beneficjentem tego będą między innymi giełdowi integratorzy IT. Jak komentują analitycy Biura makerskiego banku, na skokowym zwiększaniu przez Polskę nakładów na cyberbezpieczeństwo skorzystać mogą spółki giełdowe takie jak Komp, Aseko, Poland, Vasco oraz Atende. Większy budżet na cyberbezpieczeństwo oznacza więcej kontraktów związanych z rozbudową krajowych i miejskich lokalizacji SOC, monitorowaniem incydentów oraz segmentacją sieci ITOTV. W kontekście cyberbezpieczeństwa na komp zwrócili uwagę także analitycy domu onlarskiego BOś umieszczając spółkę na swojej liście Top PIX na 26 rok. Jak sygnalizowali w raorcie strategia dla rynków akcji na 26 rok analitycy domokerskiego BOŚ. W 2026 widzimy szereg czynników, które mogą wspierać wyniki komp. Są to między innymi uczestnictwo spółki w krajowym systemie kaucyjnym, rosnąca sprzedaż IT pod wpływem pozytywnych trendów w cyberbezpieczeństwie, napływu środków z KPO, wdrożenia dyrektywy NIS2 oraz rozwiązań SDE, potencjalne wprowadzenie funkcjonalności płatności w urządzeniach fiskalnych spółki oraz wyższe przychody abonamentowe. Z kolei w wypadku akcji Aseko Poland eksperci zwrócili uwagę na stosunkowo wysoką wycenę. W ubiegłym roku cena akcji branżowego lidera urosła blisko trzykrotnie po wejściu do akcjonariatu Constellation Software. A na naszym kanale na pewno jeszcze nie raz poruszymy wątek sektora cyberbezpieczeństwa oraz tego, które spółki mogą potencjalnie zyskać w tym obszarze najwięcej. Także jeżeli chcesz być na bieżąco, zachęcam do subskrypcji naszego kanału, jednocześnie po treści pisemne. Zapraszam na portal stowcoach.pl. To wszystko na dziś. Do zobaczenia w kolejnych nagraniach.