Spring 2026 Ransomware Wave in Poland — What the Czarniecka Góra Hospital, the Myszków City Office and Your Outsourcing Provider Have in Common

3:47 nad ranem, korytarz oddziału rehabilitacji

Pierwszego kwietnia 2026 r., w nocy z poniedziałku na wtorek, dyżurny administrator Świętokrzyskiego Centrum Rehabilitacji w Czarnieckiej Górze odbiera połączenie z dyżurki pielęgniarek. Pielęgniarka nie ma dostępu do systemu HIS — ekran pokazuje tylko notatkę po angielsku i adres skrzynki .onion. Administrator dzwoni do dyrektora medycznego, dyrektor do prezesa, prezes do koordynatora ochrony zdrowia. O godzinie 5:30 do furtki podjeżdża pierwsza karetka z pacjentem ze skierowaniem na ostry oddział rehabilitacji kardiologicznej; pielęgniarka informuje załogę, że dziś przyjęcia są ręczne. Kolejnego dnia, 2 kwietnia 2026 r., na stronie BIP placówki ukazuje się oficjalny komunikat: „zdarzenie naruszające bezpieczeństwo informacji" w postaci ransomware z dnia 31 marca 2026 r., które objęło dokumentację medyczną pacjentów, dane personelu — w tym PESEL — oraz dane finansowe. Komunikat zawiera zgłoszenie do UODO, do organów ścigania i do sektorowego CSIRT-u.

Sześć tygodni później, w trzecim tygodniu maja 2026 r., siedem polskich placówek medycznych pracuje w trybie awaryjnym po atakach ransomware. Cztery z tych ataków — wszystkie wykonane w okresie dwudziestu pięciu dni między początkiem marca a początkiem kwietnia — uderzyły kolejno w szpital w Szczecinie, w Bonifraterskie Centrum Medyczne, w placówkę w Raciborzu i wreszcie w Centrum w Czarnieckiej Górze. To nie jest pech. To skoordynowana kampania, której wzorzec — chemiczny ślad ofiary, taktyka napastnika, sekwencja błędów organizacyjnych — powtarza się w każdej z tych spraw.

Ale ransomware wiosny 2026 r. to nie tylko ochrona zdrowia. Osiemnastego marca, między godziną dwudziestą drugą a północą, ten sam mechanizm — szyfrowanie + eksfiltracja + nota okupu — uderza w Urząd Miasta w Myszkowie, dwudziestoośmiotysięczne miasto powiatowe na pograniczu śląsko-jurajskim. Wicepremier i minister cyfryzacji Krzysztof Gawkowski w ciągu doby publikuje na profilu rządowym komunikat o uruchomieniu procedur kryzysowych; mieszkańcy dostają rekomendację zablokowania numeru PESEL w aplikacji mObywatel. W połowie kwietnia atak uderza w infrastrukturę Uniwersytetu Warszawskiego — na darknetowych marketplace'ach pojawia się paczka 33 tysięcy plików z danymi studentów, kandydatów i pracowników. Niemal w tym samym czasie grupa „The Gentleman" w jednym poście listuje trzy polskie firmy jako ofiary, z zapowiedzią publikacji eksfiltrowanych danych w drugiej połowie stycznia. Suma tych zdarzeń — niezależnych medialnie, splecionych ze sobą metodologicznie — układa się w obraz, którego nie da się zignorować.

Niżej staramy się ten obraz zwymiarować, opisać i — co najważniejsze — wyciągnąć z niego coś, co da się przełożyć na konkretną listę działań zarządu w pozostałych dniach maja i w czerwcu.

Liczby, które warto przytoczyć przed pierwszym slajdem dla zarządu

CERT Polska w raporcie rocznym za rok 2025, opublikowanym 8 kwietnia 2026 r. podczas konferencji SECURE 2026, podaje liczby, których skala nawet w branży zaskakuje. W 2025 r. odnotowano 179 ataków ransomware — wobec 163 w 2024 r. — przy jednoczesnym wzroście liczby unikalnych incydentów bezpieczeństwa o 152% (do 260 783) i 10-procentowym wzroście wszystkich zgłoszeń (do 658 320). Sam styczeń 2026 r. przyniósł 48,1 tys. zgłoszeń i 19,4 tys. unikalnych incydentów — co w prostej ekstrapolacji oznacza, że pierwsza połowa 2026 r. zamknie się znacząco powyżej całorocznych wyników 2024 r.

Drugie zestawienie — pochodzące z analiz Bitdefendera i polskich integratorów obsługujących sektor MŚP — pokazuje koszt operacyjny ataku z perspektywy firmy zatrudniającej od pięćdziesięciu do dwustu osób: 350 tysięcy do 1,5 miliona złotych łącznego kosztu pojedynczego incydentu. W tej liczbie ujętych jest dziewięć dni mediany przestoju operacyjnego (a więc utrata przychodu × dni), 60–160 tys. zł na analizę powłamaniową, 40–100 tys. zł na koszty obsługi prawnej i powiadomień RODO oraz reinstalację infrastruktury. Do tej arytmetyki — ważne — nie wliczone są kary administracyjne z reżimu NIS-2 ani utrata kontraktów wskutek odejścia klientów. Czterdzieści sześć procent polskich MŚP w badaniach branżowych przyznaje, że padło ofiarą ransomware'u — choć w realnym świecie ta liczba jest niedoszacowana, bo część przedsiębiorstw nie zgłasza incydentu ani do CSIRT, ani do UODO.

Trzecia liczba — najbardziej niewygodna w rozmowach z zarządami — pochodzi z naszej własnej obserwacji projektów wdrożeniowych KSC 2.0. Spośród około czterdziestu rozmów diagnostycznych przeprowadzonych w pierwszych dwóch miesiącach po wejściu nowelizacji w życie, ponad połowa podmiotów ewidentnie ważnych lub kluczowych w rozumieniu UKSC nie ma działającej procedury obsługi incydentu. Bywa, że jest „polityka obsługi incydentów" w formie pliku PDF na intranecie — ale bez ścieżki decyzyjnej, bez gotowego adresu CSIRT-u, bez ćwiczenia stołowego, bez listy kontaktowej do dostawcy backupów. W realnym czterogodzinnym oknie szyfrowania ta polityka nie istnieje.

Pięć cech ofiary — wzorzec, który w marcu 2026 r. powtórzył się czterokrotnie

Analiza komunikatów po incydentach z marca i kwietnia 2026 r. wskazuje na powtarzający się profil podmiotu, który padł ofiarą. Pięć cech, które łącznie tworzą sylwetkę ofiary — i każda z nich opisuje jednocześnie konkretną lukę do zamknięcia.

Pierwsza cecha — niejednorodna i niezarządzana centralnie infrastruktura. Placówka medyczna z systemem HIS na dwunastoletnim Windows Serverze, sąsiadująca z chmurą Microsoft 365 i osobnym systemem do laboratoryjnego raportu. Urząd miasta z systemem dziedzinowym kupionym dziewięć lat temu, w którym uwierzytelnianie domenowe leży obok systemu OPS-u skonfigurowanego osobno. Firma usługowa, która kupiła rozwiązanie ERP w 2014 r. i nigdy nie przeprowadziła migracji do chmury, ale dorzuca do tego ekosystemu cztery aplikacje SaaS — każdą z osobnym kontem administracyjnym. Tej heterogeniczności nie da się szybko zabezpieczyć; napastnik wykorzystuje pęknięcie między dwoma reżimami uwierzytelniania.

Druga cecha — uwierzytelnianie nieadekwatne do rozmiaru organizacji. Brak MFA dla kont administracyjnych. Hasła współdzielone w arkuszu kalkulacyjnym na dysku sieciowym. Konto „admin" z domyślnym hasłem dostawcy systemu, niezmienione od wdrożenia. Dostęp zdalny przez RDP wystawiony bezpośrednio na adres publiczny (sic!), z opcjonalnym VPN-em, który nie był aktualizowany przez osiemnaście miesięcy. To są elementy, które w 2026 r. — po pięciu latach mówienia o tym we wszystkich kanałach — wciąż są codziennością w jednostkach, w których cyberbezpieczeństwo nie ma właściciela.

Trzecia — backup, który nie jest backupem. Backup wykonywany jest, fakt, ale w tej samej domenie, na tym samym podsystemie pamięci masowej i z tymi samymi poświadczeniami administracyjnymi co dane produkcyjne. Atakujący po przejęciu domeny w trzecim ruchu kasuje backup, w czwartym szyfruje produkcję. Trzy z czterech szpitali z marca 2026 r. — według publicznie dostępnych komunikatów — straciły dostęp do kopii zapasowych w tej samej sekwencji co do danych podstawowych. Brak immutable storage (kopii niezmiennych, których nie da się skasować przez kilkanaście dni nawet z poziomu konta administracyjnego), brak air-gapped backup (kopii fizycznie odłączonej od sieci), brak kopii off-site w innym reżimie uwierzytelniania.

Czwarta — brak segmentacji sieci. Z perspektywy ataku, sieć płaska — w której każdy port w gabinecie sąsiaduje logicznie z serwerem aplikacyjnym i z domeną — to autostrada dla ruchu bocznego (lateral movement). Po przejęciu pojedynczej stacji roboczej napastnik dostaje cały krajobraz: serwery, dostępne udziały, kontrolery domeny. W reżimie ISO/IEC 27001:2022 segmentacja sieci jest jednym z kluczowych zabezpieczeń kontroli A.8.22, ale w praktyce — w średniej placówce ochrony zdrowia i w średnim urzędzie — pozostaje na papierze, bo wymaga reorganizacji infrastruktury, której nikt nie chce robić bez wymuszenia.

Piąta — model „dyrektor odpowiada za wszystko, nikt nie odpowiada za nic". W większości jednostek dotkniętych ransomware'em wiosny 2026 r. nie była powołana osoba odpowiedzialna za cyberbezpieczeństwo na poziomie operacyjnym; funkcję pełnomocnika ds. bezpieczeństwa informacji łączono z inną rolą (IOD, kierownik IT, sekretarz urzędu), a rola CISO nie istniała. Konsekwencja w pierwszych godzinach po szyfrowaniu jest dramatyczna — nikt nie ma uprawnień do podjęcia decyzji, nikt nie wie, do którego CSIRT-u dzwonić, każdą minutę traci się na proceduralne wymianę zdań między dyrektorem, prawnikiem i ojcem informatyki.

Anatomia trzech ataków — w trybie wnioskowania, nie spekulacji

O Świętokrzyskim Centrum Rehabilitacji wiemy oficjalnie, że atak miał miejsce 31 marca 2026 r. i objął systemy z dokumentacją medyczną oraz dane osobowe pacjentów i personelu — w tym dane identyfikacyjne (PESEL) i dane finansowe. Komunikat placówki nie ujawnia nazwy operatora ransomware, sposobu wejścia ani żądanej kwoty. Z publicznie dostępnych obserwacji można jednak wnioskować o typowym profilu: wektor wejścia to najprawdopodobniej phishing skierowany do personelu administracyjnego (faktura PDF lub załącznik HR), wykorzystanie braku MFA na koncie domenowym, skok do kontrolera domeny w ciągu pierwszych dwunastu godzin, rozprowadzenie payloadu w nocy z 30 na 31 marca, równoległa eksfiltracja danych przed szyfrowaniem (model „double extortion"). W tym modelu sama płatność okupu nie usuwa ryzyka publikacji; dane są już poza siecią placówki przed pierwszym zaszyfrowanym sektorem.

Atak na Urząd Miasta Myszków, zgodnie z komunikatami prasowymi z 18–19 marca 2026 r., dotknął całość infrastruktury IT obsługującej codzienną pracę urzędu. Wicepremier Krzysztof Gawkowski w komunikacie prasowym z 18 marca informował o uruchomieniu procedur kryzysowych i o wstępnej analizie incydentu wspólnie z CSIRT NASK. Mieszkańcy otrzymali rekomendację zablokowania PESEL w aplikacji mObywatel — co jest sygnałem, że ryzyko publikacji bazy mieszkańców było zaklasyfikowane jako realne, nie hipotetyczne. Co istotne, w komunikatach pojawiała się informacja, że podstawowe usługi administracyjne — USC, ewidencja ludności, kasa — działały dalej w trybie awaryjnym, na papierze. To jest dobra wiadomość — i jednocześnie sygnał, że plan ciągłości działania na poziomie BCP klasy urzędniczej w Myszkowie istniał. Zła wiadomość — to, że klasa tego BCP została wymuszona dopiero w ostatnich latach przez wymogi krajowych ram interoperacyjności i pieniądze z programu „Cyberbezpieczny Samorząd".

Atak na Uniwersytet Warszawski jest pod względem charakterystyki innym typem incydentu — w komunikatach uczelni nacisk położony jest nie na szyfrowanie produkcji, ale na eksfiltrację danych (ok. 33 tys. plików dostępnych później w darknecie). To również ransomware w wariancie double extortion, ale z głównym wektorem nacisku skierowanym na publikację, nie na paraliżację działania. Ta podmienna charakterystyka — szpital jest paraliżowany, urząd jest publicznie wstydliwany, uniwersytet jest publicznie ujawniany — pokazuje, że napastnicy precyzyjnie kalibrują presję pod typ ofiary.

Zegar NIS-2 zaczyna biec o godzinie zero — sześć decyzji w pierwszej dobie

Znowelizowana ustawa o KSC, która weszła w życie 3 kwietnia 2026 r., wprowadza dla podmiotów kluczowych i ważnych trójstopniowy schemat raportowania incydentu poważnego: wczesne ostrzeżenie w 24 godziny, zgłoszenie pełne w 72 godziny, raport końcowy w 30 dni. Z perspektywy nocnego dyżuru — niezależnie od tego, czy macie powołanego pełnomocnika ds. cyberbezpieczeństwa, czy nie — w pierwszej dobie po wykryciu szyfrowania trzeba podjąć sześć decyzji, których kolejność i wykonalność rozstrzyga to, co dla zarządu skończy się audytem powłamaniowym, a co — postępowaniem administracyjnym.

Decyzja pierwsza — czy to incydent poważny? Definicja ustawowa odsyła do trzech kryteriów: zakłócenie świadczenia usługi powyżej progu określonego w rozporządzeniu wykonawczym, naruszenie poufności danych osobowych mogące mieć skutki dla osób, których dane dotyczą, oraz spełnienie sektorowych kryteriów branżowych. Dla ransomware'u z eksfiltracją odpowiedź w 99% przypadków brzmi: tak. Tu pierwsza pułapka — nawet jeśli udało się odzyskać produkcję w godzinę, ale dane wypłynęły, jest to incydent poważny w rozumieniu UKSC i RODO.

Decyzja druga — kogo zawiadamiamy w 24 godzinach? Sektorowy CSIRT (CSIRT NASK dla większości podmiotów, CSIRT GOV dla administracji rządowej, CSIRT MON dla wojska i obrony) — wczesne ostrzeżenie z dostępnymi w danym momencie informacjami; UODO — jeżeli mogło dojść do naruszenia danych osobowych; organy ścigania — jeżeli decyzja zarządu jest taka (warto, niemal zawsze); ubezpieczyciel cyberryzyk — jeżeli polisa istnieje; sektorowy regulator — UKE, URE, KNF, jeżeli sektor obliguje. To jest pięć równoległych ścieżek zgłoszenia, każda z własnym kanałem i formularzem.

Decyzja trzecia — czy płacimy okup? W praktyce odpowiedzią powinno być „nie", z trzech powodów: po pierwsze, płatność nie gwarantuje przywrócenia danych; po drugie, każda wpłata zasila ekosystem przestępczy i indukuje kolejne ataki na tę samą branżę; po trzecie, dla wielu grup ransomware'owych płatność może oznaczać naruszenie sankcji międzynarodowych (zwłaszcza wobec grup o domniemanych powiązaniach z Rosją). Tę decyzję trzeba podjąć jako zarząd, na piśmie, z udziałem radcy prawnego — nie improwizować jej o trzeciej w nocy.

Decyzja czwarta — czy zatrudniamy zewnętrzny zespół Incident Response? Dla większości podmiotów odpowiedź brzmi: tak, jeżeli wcześniej nie macie zakontraktowanego retainera, w pierwszych godzinach po wykryciu trzeba go pozyskać. Wybór firmy IR — z polskim oddziałem, gotowością przybycia w 24 godziny, doświadczeniem w forensyce ransomware'owej — to decyzja, która powinna być podjęta w czerwcu 2026 r., nie 1 kwietnia o trzeciej w nocy.

Decyzja piąta — komunikacja zewnętrzna. Pacjenci, mieszkańcy, klienci, partnerzy biznesowi, media. Tu największe ryzyko reputacyjne tkwi nie w samym fakcie ataku, ale w opóźnionej, niejasnej lub sprzecznej komunikacji. Pierwszy komunikat publiczny — najpóźniej w 48 godzin od wykrycia, w spójnej formie, z udziałem rzecznika prasowego i radcy prawnego. Szpital w Czarnieckiej Górze opublikował komunikat w trzydzieści dwie godziny po ataku — tempo, które przy pełnym sparaliżowaniu organizacji jest niezłe.

Decyzja szósta — co z osobami, których dane wypłynęły? Obowiązek informacyjny wynikający z art. 34 RODO uruchamia się przy wysokim ryzyku dla osób, których dane dotyczą. W przypadku PESEL-i, danych medycznych, danych finansowych — to ryzyko jest z definicji wysokie. Trzeba przygotować i wysłać indywidualne zawiadomienia w sposób umożliwiający identyfikację adresata; dla bazy kilkudziesięciu tysięcy mieszkańców czy pacjentów to operacja logistyczna na własnym poziomie skomplikowania.

Dwanaście działań zarządu przed wakacjami 2026 r.

Z perspektywy zarządu, który czyta nagłówki o Myszkowie i Czarnieckiej Górze i przekształca je w pytanie „a my?", proponujemy listę dwunastu działań możliwych do wykonania do końca czerwca 2026 r. Lista jest pomyślana jako sekwencja, nie jako menu — kolejność trzyma logikę „od decyzji organizacyjnych do detali technicznych".

Pierwsze — przyjęcie przez zarząd uchwały lub zarządzenia formalnie powołującego osobę odpowiedzialną za cyberbezpieczeństwo i przypisującego jej budżet operacyjny. Bez tego dokumentu wszystko inne pozostaje hobby pojedynczego zaangażowanego dyrektora.

Drugie — przegląd polisy cyberryzyk. Jeżeli polisa istnieje — sprawdzenie limitów, wyłączeń (zwłaszcza co do incydentów państwowych), retencji forensycznej, gotowości do reakcji w 24 godziny. Jeżeli polisy nie ma — wycena trzech wariantów u brokera specjalizującego się w cyberryzyku.

Trzecie — zawarcie retainera z firmą Incident Response. Forma najtańsza to czterocyfrowa kwota miesięcznie za gwarancję czasu reakcji; wariant z prowadzonym monitorowaniem (XDR/MDR) — w zakresie od piętnastu do trzydziestu tysięcy złotych miesięcznie dla średniego podmiotu.

Czwarte — segmentacja sieci. Nawet wersja minimalna: oddzielenie sieci administracji od sieci dla użytkowników, oddzielenie sieci serwerowej od sieci klienckiej, zamknięcie ruchu lateralnego między segmentami. Wykonalne w cztery–osiem tygodni z lokalnym integratorem.

Piąte — wprowadzenie MFA na wszystkich kontach administracyjnych i wszystkich kontach z dostępem do danych osobowych. To jest miara, dla której nie istnieje uzasadnienie do odraczania — koszt wdrożenia w skali typowej organizacji średniej to czterocyfrowa kwota.

Szóste — backup w architekturze 3-2-1-1-0 (trzy kopie, dwa nośniki, jedna kopia poza siedzibą, jedna kopia w trybie immutable, zero błędów po teście odtworzenia). Test odtworzenia — wykonany. Czas odtworzenia — zmierzony. To jest pojedyncza najważniejsza inwestycja w 2026 r. dla większości organizacji.

Siódme — wyłączenie ekspozycji RDP na publiczny adres IP. Jeżeli zdalny dostęp jest potrzebny — przez VPN z MFA i z ograniczonym zasięgiem czasowym. Sam ten ruch eliminuje połowę masowych wektorów ataku.

Ósme — aktualizacja patchy. Wszystkie krytyczne CVE w systemach operacyjnych, hipervisorach, urządzeniach sieciowych, systemach poczty i aplikacjach internetowych — załatane do końca czerwca. Wprowadzenie comiesięcznego cyklu patch managementu z metrykami.

Dziewiąte — szkolenie personelu z phishingu. Ćwiczenie symulowane (kontrolowana kampania phishingowa wewnętrzna) — wykonane raz, z raportem przedstawionym zarządowi. To samo ćwiczenie powtarzane co kwartał.

Dziesiąte — pisemna procedura obsługi incydentu z zegarem NIS-2 (24/72/30) na pierwszej stronie. Wydrukowana. Dostępna w wersji papierowej w każdej dyżurce, każdym sekretariacie, w skrytce dyrektora. Bez tego dokumentu pierwsza decyzja w piątek o pierwszej w nocy będzie improwizowana.

Jedenaste — ćwiczenie stołowe (tabletop exercise) symulujące ransomware. Zarząd, dyrektor IT, pełnomocnik ds. cyberbezpieczeństwa, IOD, radca prawny, rzecznik prasowy — wszyscy przy jednym stole, scenariusz na cztery godziny. Raport z ćwiczenia wraca do zarządu z wnioskami i listą działań korygujących.

Dwunaste — sprawdzenie łańcucha dostawców. Lista trzech najbardziej krytycznych dostawców ICT, audyt ich postaw bezpieczeństwa, klauzule bezpieczeństwa w umowach, prawo do audytu. Dostawca, który nie pozwala wam audytować — sygnalizuje, że nie ma czego audytować.

Dlaczego z Fib.Code

Każda z dwunastu pozycji powyższej listy jest realizowalna samodzielnie przez zespół wewnętrzny — pod warunkiem, że ten zespół ma kompetencje w czterech obszarach jednocześnie: prawnym (RODO, UKSC, art. 14 i 21 ustawy), organizacyjnym (procedury, zarządzanie zmianą), technicznym (sieć, backupy, MFA, SOC) i komunikacyjnym (kryzys, media, mieszkańcy lub pacjenci). W większości polskich średnich organizacji ten splot kompetencji jest niedostępny w ramach etatu jednej, dwóch albo nawet trzech osób.

Zespół Fib.Code obsługuje wszystkie cztery wymienione warstwy w modelu outsourcingu pełnomocnika ds. bezpieczeństwa informacji oraz vCISO — w formule, w której waszą organizację reprezentuje senior z naszej strony, koordynujący jeden zespół ekspercki w czterech obszarach. Nasze podejście trzyma się trzech zasad. Pierwsza — najpierw lista dwunastu, potem cała reszta. Każdy projekt zaczynamy od audytu tych dwunastu pozycji w ciągu czterech tygodni i raportu dla zarządu z konkretnymi liczbami i terminami. Druga — ćwiczymy zanim was zaatakują. Tabletop ransomware'owy jest pierwszą operacją, nie ostatnią; bez tego ćwiczenia pierwszy realny atak skończy się błędem o wymiarze finansowym. Trzecia — integracja z istniejącym SZBI. Nie budujemy równoległej struktury obok waszego ISO 27001 ani obok dokumentacji UKSC; każde działanie wpinamy w istniejący rejestr aktywów, rejestr ryzyk, rejestr czynności przetwarzania.

Pisaliśmy o powiązanych tematach w artykułach poświęconych outsourcingowi pełnomocnika ds. bezpieczeństwa informacji, vCISO jako modelowi zarządzania bezpieczeństwem oraz zarządzaniu incydentami bezpieczeństwa. Każdy z tych artykułów rozwija jeden wymiar tej samej operacji — gotowości na zdarzenie, które statystycznie dla podmiotu z naszej bazy klientów zdarza się raz na dwa do czterech lat, a którego koszt finansowy potrafi przekroczyć budżet operacyjny działu IT z całego roku.

Co zrobić w ten weekend

Jedno spotkanie. Czterdzieści pięć minut. Zarząd plus dyrektor IT plus pełnomocnik ds. bezpieczeństwa informacji (albo IOD, jeżeli pełnomocnika nie ma). Trzy pytania na flipie. Po pierwsze — kiedy ostatnio sprawdziliśmy, że nasz backup się odtwarza, w ile godzin i czy obejmuje też system uwierzytelniania. Po drugie — kto u nas, dziś, w piątek o dwudziestej drugiej, podejmie decyzję o uruchomieniu procedury obsługi incydentu poważnego — i czy ma numer telefonu do CSIRT-u w pamięci. Po trzecie — jaki jest nasz limit ryzyka finansowego z tytułu jednego incydentu ransomware'owego — i czy ten limit pokrywa polisa, na której kwocie ostatnio ktoś przyłożył oko.

Jeżeli na którekolwiek z trzech pytań odpowiedź brzmi „nie wiem" — wzorzec marca 2026 r. mówi wam, że macie statystycznie kilka miesięcy do zamknięcia luki. Czas zacząć w weekend, bo poniedziałek już startuje kolejny tydzień ze swoim kalendarzem.

Zapraszamy do kontaktu: l.grabowski@fibcode.com | fibcode.com/pl/kontakt. Bezpośrednio powiązane materiały: Samoidentyfikacja w NIS-2 — jak wpisać firmę do wykazu zanim minister wpisze ją za was, Nowelizacja KSC 2026 — co musisz wiedzieć po 3 kwietnia oraz Zarządzanie incydentami bezpieczeństwa.