NIS 2 · DORA · Cyber Resilience Act

Cyberobronę buduje się przed incydentem, a nie egzekwuje po nim

Krajowa francuska agencja cyberbezpieczeństwa jednocześnie porusza się w czterech reżimach prawnych i dwudziestokrotnie rozszerza zakres swoich zadań. Ponieważ egzekwowanie może działać dopiero po zdarzeniu, obrona tak znacznie powiększonego ekosystemu zależy od zdolności w zakresie szkoleń, narzędzi i kadr, budowanej z wyprzedzeniem, przez każdego, kto jest w stanie ją budować.

W wywiadzie z czerwca 2026 roku, udzielonym francuskiemu serwisowi technologicznemu Clubic, dyrektor generalny ANSSI Vincent Strubel opisał agendę cyberzarządzania, która uderza nie tyle jakimkolwiek pojedynczym jej punktem, ile tym, jak wiele wymagających punktów pozostaje na niej jednocześnie (Belfiore 2026). W tej samej rozmowie odniósł się do przyszłości szyfrowania i legalnego dostępu, kwalifikacji dostawców usług chmurowych, migracji postkwantowej rozciągającej się na lata w głąb następnej dekady, nowo utworzonego organu koordynującego cyfrowe zarządzanie oraz dyrektywy, która zwielokrotni populację podmiotów regulowanych o czynnik dwudziestu lub więcej. Czytany uważnie, wywiad jest mniej raportem o stanie rzeczy, a bardziej portretem trudnej pozycji utrzymywanej z opanowaniem, i wskazuje na coś strukturalnego w cyberobronie, co warto powiedzieć wprost. Egzekwowanie i naprawa ze swojej natury działają po fakcie. Mogą kształtować to, co nastąpi później, ale nie mogą cofnąć incydentu, który je wywołał. Ta jedna obserwacja przeramowuje całe pytanie o to, jak faktycznie ma być broniona znacznie większa populacja regulowana, i sugeruje, że użyteczną odpowiedzią ze strony zdolności prywatnej nie jest czekanie na zaangażowanie, lecz budowanie zdolności z wyprzedzeniem, ku celowi, który wszyscy w tej dziedzinie już podzielają.

Krajobraz regulacyjny i to, kto faktycznie sprawuje każdy mandat

Francuskie i unijne cyberzarządzanie obejmuje dziś cztery nakładające się na siebie instrumenty prawne, i, co istotne, żaden pojedynczy organ nie sprawuje wszystkich czterech. LPM (loi de programmation militaire) oraz NIS 2 (druga dyrektywa w sprawie bezpieczeństwa sieci i informacji) mieszczą się w bezpośrednim mandacie samej ANSSI. Nadzór nad DORA (Digital Operational Resilience Act) we Francji spoczywa na ACPR (Autorité de Contrôle Prudentiel et de Résolution) w odniesieniu do banków i ubezpieczycieli oraz na AMF (Autorité des Marchés Financiers) w odniesieniu do zarządzających aktywami i infrastruktur rynkowych (Autorité de contrôle prudentiel et de résolution 2026; Autorité des marchés financiers 2026). Nadzór rynku w ramach CRA (Cyber Resilience Act) spoczywa na ANFR (Agence Nationale des Fréquences), przy czym ANSSI działa wyłącznie jako organ notyfikujący odpowiedzialny za akredytację jednostek oceniających zgodność, co jest rolą odrębną od samego nadzoru rynku (ANFR 2026; ANSSI 2026a). Jako operacyjną podstawę zgodności z NIS 2 ANSSI opublikowała ReCyF (Référentiel Cyber France, wersja 2.5) w dniu 17 marca 2026 roku, ustanawiając dwadzieścia obowiązkowych celów bezpieczeństwa (Ledieu-Avocats 2026).

To odwzorowanie ma znaczenie z powodu praktycznego i słusznego. Praktycznie, czytelnik poruszający się między czterema ramami musi wiedzieć, do którego organu zwrócić się z którym pytaniem. Słusznie, ustala ono, że ANSSI koordynuje krajową postawę w reżimach, których samodzielnie nie kontroluje, co jest częścią tego, co czyni jej pozycję trudną, a nie ułomną.

Kształt trudnego, wielofrontowego mandatu

Najtrafniejszym sposobem odczytania wywiadu ze Strubelem jest potraktowanie go jako opisu równoczesności. Kilka wymagających programów jest realizowanych w tym samym momencie, każdy według własnego zegara. Kwestię szyfrowania i legalnego dostępu sam Strubel charakteryzuje jako ostatecznie polityczną, a nie techniczną, co umieszcza jej rozstrzygnięcie poza inżynierską kontrolą jakiejkolwiek agencji, a wewnątrz wolniejszej machiny ustawodawstwa i debaty publicznej (Belfiore 2026). Migracja postkwantowa to wieloletnia transformacja kryptograficzna, która dotyka każdej organizacji przechowującej długotrwałe dane poufne. Utworzenie nowego organu koordynującego sygnalizuje próbę konsolidacji cyfrowego zarządzania, zamiast pozwolić mu na dalsze rozdrobnienie. A pod tym wszystkim przebiega rozszerzenie zakresu NIS 2, które Strubel określa jako przejście z mniej więcej 500 podmiotów regulowanych do szacowanych od 10 000 do 15 000 (Belfiore 2026).

Każdy z nich samodzielnie byłby znaczącym programem. Prowadzone łącznie, w reżimach, z których tylko dwa ANSSI kontroluje bezpośrednio, opisują one mandat, który naprawdę trudno dobrze sprawować. ANSSI była szczera i konsekwentna co do tego, jak go sprawuje: poprzez postawę stawiającą na pierwszym miejscu towarzyszenie i kierowaną wytycznymi, a nie poprzez fikcję agenta stacjonującego za każdym serwerem. To racjonalny wybór w warunkach rzeczywistych ograniczeń, i niniejszy tekst traktuje go dokładnie jako taki, jako uprawnioną strategię wobec trudnego zadania, a nie dowód, że czegoś brakuje.

Egzekwowanie jest reaktywne z założenia

Z tego mandatu wynika obserwacja strukturalna, a nie oceniająca. Egzekwowanie i naprawa są ze swojej natury rzeczami, które dzieją się później. Ustalenie z audytu dokumentuje stan, który już istnieje. Sankcja odpowiada na naruszenie, które już nastąpiło. Nakaz naprawy przywraca system, który już zawiódł. Każdy z tych instrumentów jest wartościowy i każdy kształtuje przyszłe zachowanie, lecz żaden z nich nie może sięgnąć wstecz i zapobiec zdarzeniu, które go wywołało. Nie jest to właściwość ANSSI ani żadnego konkretnego regulatora. Jest to właściwość samego egzekwowania.

Wniosek warto wypowiedzieć wprost, ponieważ łatwo go przeoczyć. ANSSI nie jest i strukturalnie nie może być agencją naprawczą w sensie organu broniącego systemów w chwili, gdy atak jest w toku. Żaden organ egzekwujący nie może nim być. Cyberobronę w czasie rzeczywistym, czyli faktyczne wykrywanie, powstrzymywanie i przywracanie, które dzieje się, gdy incydent trwa, prowadzi się wewnątrz dotkniętych organizacji, przez praktyków i narzędzia, którymi dysponują one w tej chwili. Egzekwowanie wyznacza standard, do którego te organizacje są rozliczane. Nie zastępuje jednak i nie może zastąpić zdolności, której potrzebują, gdy standard jest sprawdzany. Uznanie tego nie jest krytyką tego, jak wiele ktokolwiek egzekwuje. Jest wyjaśnieniem, czemu egzekwowanie służy.

Czego wymaga obrona dwudziestokrotnie większego ekosystemu

Zestawmy dwa poprzednie punkty. Populacja podmiotów, od których oczekuje się, że będą się bronić, rośnie o czynnik dwudziestu lub więcej, a podstawowy instrument, który państwo może wprowadzić, czyli egzekwowanie, jest z założenia niezdolny do samodzielnego obronienia. Obrona w praktyce zależy więc od czegoś, czego egzekwowanie nie potrafi wyprodukować na żądanie: od zdolności. Ludzi, którzy potrafią wdrażać i obsługiwać zabezpieczenia. Narzędzi, które czynią dowody ciągłymi, a nie zbieranymi w pośpiechu przed audytem. Szkoleń docierających do organizacji, zanim znajdzie się ona w zakresie regulacji, a nie po fakcie. I wszystko to musi istnieć z wyprzedzeniem, ponieważ zdolność zbudowana po incydencie jest z definicji zbudowana zbyt późno dla tego incydentu.

Wytyczne publiczne są realną częścią tej odpowiedzi i należy je jako takie docenić. Materiały towarzyszące ANSSI w ramach ReCyF, w tym dokumenty z wytycznymi, webinaria oraz obowiązek szkoleniowy wpisany do referencji, są wprost nakierowane na pomoc organizacjom w budowaniu zdolności przed nadejściem terminów egzekwowania (ANSSI 2026b). Lecz arytmetyka dwudziestokrotnego rozszerzenia jest nieubłagana, i żadna pojedyncza instytucja, choćby najlepiej zarządzana, nie jest w stanie dostarczyć całej krzywej szkoleń, narzędzi i kadr dla ekosystemu tej wielkości w terminie, który wyznacza regulacja. Nie jest to niczyja wina. Jest to problem wspólny i najlepiej traktować go jako taki.

Za tym problemem czasowym stoi dobrze rozwinięty dorobek nauk o zarządzaniu. Pracując w tradycji dynamiki systemów (Sterman 2000), John Sterman i Nelson Repenning z Massachusetts Institute of Technology sformalizowali to, co nazywają pułapką zdolności: organizacja, która inwestuje w budowanie zdolności, widzi spadek swoich wyników, zanim się one poprawią, jest to ścieżka gorzej zanim lepiej, podczas gdy organizacja, która jedynie pracuje ciężej, zyskuje krótkoterminową ulgę, zanim jej wyniki ulegną erozji, jest to ścieżka lepiej zanim gorzej, a tę rozbieżność ich model oddaje jako dwie krzywe zdolności rozchodzące się z upływem czasu (Repenning and Sterman 2002). Ich wcześniejsze badanie ujmuje ludzką przeszkodę już w tytule: nikt nigdy nie zostaje doceniony za rozwiązanie problemów, które nigdy się nie wydarzyły (Repenning and Sterman 2001). Zestawiona z nadchodzącym rozszerzeniem zakresu NIS 2 implikacja jest bezpośrednia. Zdolność do obrony ekosystemu dwudziestokrotnie większego musi być budowana ścieżką gorzej zanim lepiej, z wyprzedzeniem względem incydentów, którym zapobiega, i właśnie wtedy, gdy żaden widoczny kryzys nie uzasadnia jeszcze tego wydatku. Czytelnicy, którzy chcą zobaczyć tę dynamikę na własne oczy, mogą przepracować ją interaktywnie w module 13 kursu dynamiki systemów CCI, poświęconym pułapce zdolności.

Życzliwy partner: budowanie zdolności bez czekania na prośbę

Tu właśnie zdolność prywatna ma rolę, która nie zależy od tego, by ją do niej wynajęto. Firma dysponująca treściami szkoleniowymi, narzędziami lub wykwalifikowanymi praktykami ma powód, by inwestować w budowanie i dzielenie się tą zdolnością już teraz, niezależnie od jakiejkolwiek konkretnej umowy, zlecenia audytowego czy wyzwalacza regulacyjnego, z prostej przyczyny: wspólnemu celowi, czyli cyberobronie, która faktycznie działa w ekosystemie dwudziestokrotnie większym niż był, ta inwestycja służy bez względu na to, kto ostatecznie za co zapłaci. Partner, który działa zgodnie z tym rozumowaniem, wnosząc zdolność dlatego, że problem jest realny, a nie dlatego, że na stole leży transakcja, jest tym, co niniejszy tekst rozumie przez życzliwego partnera. Słowo to jest użyte dosłownie, a nie ozdobnie. Sprawdzianem jest to, czy wkład jest użyteczny dla organizacji niezależnie od tego, czy ta organizacja kiedykolwiek stanie się klientem.

Cambridge Cyber International (CCI) zamierza działać jako jeden z takich partnerów i szczerze przyznaje, że jest jednym z wielu podmiotów, które mogłyby i powinny wnieść swój wkład. Jej postawa jest celowo prosta: edukować, szkolić i wyposażać w narzędzia, zamiast przypisywać winę. W praktyce sprowadza się to do dwóch rzeczy, które już zbudowała. Pierwszą jest jej Academy, której szkolenia są użyteczne dla każdej organizacji budującej cyberumiejętności, jakich będą potrzebować jej zespoły, bez względu na to, skąd ta organizacja pozyska później resztę swojej zdolności. Drugą jest pakiet CySSURANCE, który przenosi tę samą ideę na stronę narzędziową, skupiając w jednym miejscu szereg funkcji gotowości: automatyczne zbieranie dowodów, modelowanie architektury korporacyjnej, obliczanie odporności, ocenę strat finansowych, ocenę kadrową, ćwiczenia w zakresie technologii informacyjno-komunikacyjnych (ICT), priorytetyzowaną naprawę, zarządzanie dostawcami, przygotowanie do audytu oraz pulpity na poziomie zarządu. Ujęte łącznie, edukacja, szkolenie i narzędzia odpowiadają na obciążenia w zakresie gotowości audytowej i kadr, które zwielokrotnia rozszerzenie zakresu, a jest to dokładnie praca, którą trzeba wykonać z wyprzedzeniem, a nie po incydencie. Wymienia się je tutaj jako przykład argumentu, a nie jako jego cel. Argument pozostaje w mocy niezależnie od tego, czy czytelnik zaangażuje CCI, jednego z jej odpowiedników, czy zbuduje tę zdolność w całości wewnętrznie.

Kontrargumenty i ograniczenia

Oczywistym zarzutem jest to, że firma opisująca własną ofertę jako życzliwy wkład po prostu reklamuje się w lepszych manierach. Zarzut ten zasługuje na rzeczywistą odpowiedź, a nie na zapewnienie. Odpowiedzią jest sprawdzian, który czytelnik może zastosować: czy wkład pomaga organizacji, która nigdy niczego nie kupi? Szkolenie podnoszące gotowość zespołu niezależnie od tego, czy prowadzi do umowy, wytyczne trafne niezależnie od tego, czy są spieniężane, oraz uczciwość co do tego, kiedy lepszym rozwiązaniem jest konkurent lub budowa wewnętrzna, wszystkie przechodzą ten sprawdzian; zasób bezużyteczny, dopóki nie zostanie kupiony, oblewa go. Czytelnicy mają prawo rozliczać ten tekst, i CCI, wedle tego standardu.

Drugim zarzutem jest to, że zdolność prywatna nie może zastąpić władzy publicznej i nie powinna próbować. To prawda i nic tutaj tego nie proponuje. Argument jest komplementarny, a nie zastępczy. Mandat ANSSI, wyznaczanie standardów i koordynacja to właśnie te rzeczy, których podmioty prywatne nie mogą i nie powinny zapewniać. Twierdzenie jest węższe: że obrona w czasie rzeczywistym, której egzekwowanie nie potrafi wykonać, jest budowana ze zdolności, a tę zdolność można i należy wnosić z więcej niż jednego kierunku.

Trzecim i bardziej przyziemnym ograniczeniem jest kwestia źródła. Wywiad nie jest instrumentem prawnym, a konkretne liczby i daty, w tym dokładne wielkości zakresu oraz status ustawy transponującej NIS 2, należy zweryfikować względem tekstów źródłowych, gdy staną się ostateczne. Harmonogram transpozycji w szczególności spoczywa w rękach francuskiego parlamentu, a nie jakiejkolwiek agencji wykonawczej. Nic z tego nie zmienia argumentu strukturalnego, który nie opiera się na żadnej pojedynczej dacie, ale jest to powód, by zweryfikować szczegóły przed podjęciem na ich podstawie działań.

Implikacje praktyczne lub programowe

Dla zarządu lub CISO praktyczną konsekwencją traktowania obrony jako czegoś budowanego z wyprzedzeniem, a nie egzekwowanego po fakcie, jest zmiana kolejności. Decyzje o zdolnościach, kogo szkolić, jakie narzędzia czynią dowody ciągłymi, jak skalować kadry, przesuwają się wcześniej, przed termin egzekwowania, a nie w odpowiedzi na niego. Konkretnie oznacza to rozpoczęcie budowania gotowości kadrowej, zanim potwierdzone zostanie objęcie zakresem, traktowanie ciągłego zbierania dowodów jako trwałej zdolności, a nie zrywu przed audytem, oraz planowanie kadr wobec rynku pracy, który będzie najbardziej napięty dokładnie wtedy, gdy największa grupa nowo regulowanych podmiotów sięgnie po te same umiejętności.

Dla podmiotów prywatnych dysponujących stosowną zdolnością implikacją jest zaproszenie do wniesienia wkładu z wyprzedzeniem: do uczynienia edukacji, szkoleń i narzędzi użytecznymi niezależnie od sprzedaży i do otwartego mówienia o tym. Academy CCI i jej pakiet CySSURANCE są oferowane w tym duchu, jako opcje spośród kilku, a nie jako jedyna droga, a wybór dostawcy ma znacznie mniejsze znaczenie niż sam fakt budowania zdolności, zanim będzie potrzebna.

Dla relacji publiczno-prywatnej jako całości implikacją jest zmiana rejestru. Owocnym ujęciem jest wspólny cel, cyberobrona, która działa w praktyce, a nie rejestr tego, kto zrobił lub nie zrobił dość. Jego praktyczny wyraz jest prosty: edukować, szkolić i wyposażać w narzędzia z wyprzedzeniem, zamiast rozdzielać winę po fakcie. Egzekwowanie i wkład nie są konkurentami. Są różnymi częściami tego samego przedsięwzięcia.

Wnioski

ANSSI realizuje naprawdę trudne zadanie, cztery reżimy prawne, debatę polityczną, której nie rozstrzygnie samodzielnie, wieloletnią migrację kryptograficzną, nowy organ koordynujący oraz populację regulowaną rosnącą dwudziestokrotnie, i realizuje to zadanie za pomocą spójnej, stawiającej na pierwszym miejscu wytyczne strategii wybranej w warunkach rzeczywistych ograniczeń. Uczciwe odczytanie jej pozycji prowadzi do wniosku strukturalnego, a nie krytycznego: ponieważ egzekwowanie może działać dopiero po incydencie, obrona, która ma znaczenie w danej chwili, jest budowana wcześniej, ze zdolności, która musi istnieć z wyprzedzeniem. Ta zdolność to problem wspólny, większy niż jakakolwiek pojedyncza instytucja, i najlepiej jest mu sprostać dzięki wszystkim, którzy potrafią się do niej przyczynić, z więcej niż jednego kierunku, w służbie celowi, który cała dziedzina już wspólnie podziela. Użyteczną postawą dla zdolności prywatnej nie jest zatem czekanie na zaangażowanie, lecz budowanie i dzielenie się z wyprzedzeniem, nie oczekując niczego szczególnego w zamian, ponieważ lepiej broniony ekosystem jest tą zapłatą. Cyberobronę buduje się przed incydentem. Pracą wartą wykonania jest budowanie.

Od czego zacząć

Jeśli twoje zespoły budują cybergotowość na to, co nadchodzi, CCI Academy jest otwartym punktem wyjścia, niezależnie od tego, czy kiedykolwiek podejmiesz dalszą współpracę z CCI. Jej szkolenia są użyteczne same w sobie. Potraktuj je jako otwarte drzwi, a nie jako cel.

Poznaj CCI Academy →

References

Agence Nationale des Fréquences (2026). Cyber Resilience Act. https://www.anfr.fr/proteger/equipements-radio-electriques/cyber-resilient-act

ANSSI, cyber.gouv.fr (2026a). Cyber Resilience Act. https://cyber.gouv.fr/reglementation/cybersecurite-des-produits/cyber-resilience-act/

ANSSI, cyber.gouv.fr (2026b). NIS 2: l'ANSSI poursuit et renforce sa dynamique d'accompagnement. https://cyber.gouv.fr/actualites/nis-2-lanssi-poursuit-et-renforce-sa-dynamique-daccompagnement/

Autorité de contrôle prudentiel et de résolution (2026). FAQ sur la directive et le règlement DORA. https://acpr.banque-france.fr/fr/reglementation/focus-sur-la-reglementation/transverse/digital-operational-resilience-act-dora/faq-sur-la-directive-et-le-reglement-dora

Autorité des marchés financiers (2026). The Regulation on Digital Operational Resilience in the Financial Sector (DORA). https://www.amf-france.org/en/news-publications/depth/dora

Belfiore, G. (2026). Chiffrement vs Police: "Le choix sera politique", prévient le patron de l'ANSSI. Clubic. https://www.clubic.com/dossier-618682-interview-anssi.html

Ledieu-Avocats (2026). ANSSI, projet de décret NIS2 "mesures techniques" v2.5, ReCyF du 17 mars 2026. https://ledieu-avocats.fr/anssi-projet-decret-nis2-mesures-techniques-v2-5-recyf-du-17-mars-2026/

Repenning, N. P., and Sterman, J. D. (2001). Nobody ever gets credit for fixing problems that never happened: creating and sustaining process improvement. California Management Review, 43(4), 64 to 88. https://doi.org/10.2307/41166101

Repenning, N. P., and Sterman, J. D. (2002). Capability traps and self-confirming attribution errors in the dynamics of process improvement. Administrative Science Quarterly, 47(2), 265 to 295. https://doi.org/10.2307/3094806

Sterman, J. D. (2000). Business Dynamics: Systems Thinking and Modeling for a Complex World. Boston: Irwin McGraw-Hill. https://systemdynamics.org/product/business-dynamics-systems-thinking-and-modeling-for-a-complex-world/

Egzekwowanie wyznacza standard. Nie może jednak zastąpić zdolności, którą ten standard sprawdza.

Perspektywa CCI

Przywołane rozwiązania: Academy · CySSURANCE. Zobacz wszystkie produkty · porozmawiaj z praktykiem.

Czy Twoja organizacja jest na to narażona?

Porozmawiaj z praktykiem →