Rok 2026 otwiera kolejna dyskusja nad Krajowym Systemem Cyberbezpieczeństwa. Nowelizacja ustawy w Sejmie

1. Nowelizacja ustawy o Krajowym Systemie Cyberbezpieczeństwa (KSC) budzi kontrowersje, nakładając ogromne koszty i nowe regulacje na firmy z 18 branż, co może objąć nawet 40 000 podmiotów.
2. Kluczowym punktem spornym jest mechanizm "dostawcy wysokiego ryzyka" (DWR), który umożliwia ministrowi cyfryzacji wykluczanie sprzętu (np. chińskiego) bez rekompensaty za jego wymianę, co eksperci uznają za nadregulację i "komunistyczną praktykę".
3. Krytycy ostrzegają przed "arbitrażem technologicznym", gdzie polskie firmy będą zmuszone do zakupu drogich technologii z UE, tracąc konkurencyjność, oraz kwestionują powiązanie ataków hakerskich z pochodzeniem sprzętu.
4. Projekt ustawy wykracza poza unijną dyrektywę NIS2, podnosząc kary do 200 tys. zł i budząc obawy o nieadekwatne rozwiązania wobec rzeczywistych zagrożeń, takich jak ataki ransomware.

Kontrowersyjny projekt i wysokie koszty

KSC ma także za zadanie włączenie do naszego systemu prawnego unijnej dyrektywy NIS2. Posiedzenie komisji przebiegło burzliwie. Przedsiębiorcy i eksperci zwracali uwagę na liczne zagrożenia, w tym olbrzymie koszty, które ustawa nakłada na firmy oraz ich zdaniem niepotrzebne regulacje. Ekspertów niepokoi m.in. fakt, że środki bezpieczeństwa przewidziane pierwotnie dla operatorów sieci komórkowych 5G zostały rozszerzone na podmioty aż z 18 branż. Według Kingi Pawłowskiej-Nojszewskiej z Krajowej Izby Komunikacji Ethernetowej w Polsce regulacją może zostać objętych nawet 40 000 podmiotów, co jest ewenementem na skalę europejską. Dodatkowo, według ekspertki, nasz kraj nie posiada obecnie wystarczających zasobów kadrowych ani wiedzy, by skutecznie nadzorować tysiące firm. Jak zwykle chodzi też o pieniądze. Ustawa przerzuca koszty na przedsiębiorców, co bardzo obciąża finansowo firmy. Muszą on m.in. kupić specjalistyczne technologie, wdrożyć system zarządzania bezpieczeństwem, przeprowadzić audyt itp. Za niedostosowanie się do wymogów ustawy grożą bardzo wysokie kary do 200 tys. zł.

Dostawca wysokiego ryzyka

Największe kontrowersje budzi jednak zapis o „dostawcy wysokiego ryzyka” (DWR). Ustawa wprowadza możliwość wykluczenia sprzętu na przykład chińskich firm, któremu sprzyja właśnie mechanizm oceny dostawców jako „wysokiego ryzyka”. W dodatku decyzję o tym czy dany dostawca jest „wysokiego ryzyka”, czy też nie będzie wydawał minister cyfryzacji. Podmioty wymienionych wyżej 18 sektorów nie będą mogły kupować od „dostawców wysokiego ryzyka” sprzętu objętego decyzją, a już posiadany będą musiały wymienić w ciągu 4-7 lat, za co nie przewidziano rekompensaty.

Sprzęt spoza Unii – dobry czy zły?

Na grudniowym posiedzeniu komisji wielu ekspertów zwracało uwagę na problem nad regulacji, czyli wprowadzenia przepisów znacznie ostrzejszych, niż zakłada to dyrektywa NIS2, czy rozwiązania w innych unijnych krajach. Takim przepisem – zdaniem ekspertów – jest właśnie „dostawca wysokiego ryzyka”, sposób i procedura określenia takiego dostawcy, a następnie konieczność usunięcia jego i usług sprzętów z rynku.Prof. Artur Nowak-Far ze Szkoły Głównej Handlowej, na posiedzeniu komisji występujący jako ekspert Polskiego Towarzystwa Gospodarczego, zwrócił uwagę na niebezpieczeństwo arbitrażu technologicznego. Chodzi o to, że firmy z państw unijnych będą sprzedawać polskim swoje drogie technologie, zaś same kupować tańsze technologie spoza Unii Europejskiej. Zjawisko to może negatywnie wpłynąć na konkurencyjność polskiej gospodarki.

Z kolei Prezes Zarządu Krajowej Izby Komunikacji Ethernetowej (KIKE) Karol Skupień przekonywał, że to niebezpieczny i szkodliwy projekt. Według prezesa KIKE, jednym z głównych problemów jest przyznanie urzędnikom prawa do ręcznego decydowania o tym, na jakim sprzęcie mają pracować prywatne firmy, co określił mianem „komunistycznej praktyki”. Jak podkreślił w wywiadzie dla CyberDefence24, rząd powinien skupić się na wymogach jakościowych i standaryzacji, a nie na wskazywaniu konkretnych dostawców.- Wydamy miliardy złotych na zastąpienie jednych rozwiązań drugimi, a Rosjanie nadal będą nas atakować, bo jedno z drugim nie ma nic wspólnego – argumentuje, wskazując, że argumentacja rządu łącząca ataki hakerskie z pochodzeniem sprzętu jest manipulacją. - Uważam, że należy wprowadzić zmiany do nowelizacji, ponieważ w obecnej formie ustawa jest niebezpieczna dla bezpieczeństwa cyfrowego Polaków. Pogarsza sytuację w wielu aspektach – dodaje.Prezes KIKE zwraca również uwagę, że procedura DWR jest źle skonstruowana.- Minister może nakazać nam wymianę sprzętu, ale jeśli w konsekwencji sytuacja się pogorszy, nie odpowie za błędy tej decyzji – alarmuje Karol Skupień. Cała odpowiedzialność pozostaje po stronie przedsiębiorcy, który dodatkowo może zostać ukarany finansowo. Zupełnie inaczej sprawę widzi Jakub Binkowski, prezes Związku Przedsiębiorców iPracodawców (ZPP), który wszystko postrzega w kategoriach chińskiego lobbingu. Zaznaczył przy tym, że organizacja nie zrzesza chińskich firm. Jak się jednak dowiedzieliśmy Huawei był członkiem ZPP do końca 2024 roku.

Ustawa uderza w polskie firmy?

Prof. dr hab. Marek Chmaj, ekspert Ogólnopolskiej Federacji Przedsiębiorców iPracodawców PRZEDSIĘBIORCY.PL wyjaśniał, że skutki decyzji o uznaniu dostawcy za dostawcę wysokiego ryzyka obejmują wiele podmiotów.- W przypadku wydania decyzji o uznaniu za dostawcę wysokiego ryzyka podmioty kluczowe i ważne mają mieć od 4 do 7 lat na wycofanie produktów i usług ICT. Te terminy, mam nadzieję, zostały dobrane po przemyśleniach, ale czy nie warto zastanowić się, jakie są rzeczywiste terminy eksploatacji określonych urządzeń tak, żeby te terminy dopasować do faktycznego zużywania się urządzeń? - mówił prof. Marek Chmaj. Apelował również o rekompensaty czy inną pomoc z budżetu dla przedsiębiorców w związku z wycofywaniem zakwestionowanych technologii.Jednak Paweł Olszewski, wiceminister cyfryzacji bronił tej procedury:- Nie wiem, jak większość parlamentarna, ale ja osobiście się nie ugnę – powiedział.Argumentował, że bezpieczeństwo jest najważniejsze.

Błędy w szacunkach Ministerstwa Cyfryzacji?

Mariusz Busiło, ekspert Polskiej Izby Handlu, reprezentujący przedsiębiorstwa z branży spożywczej i logistyki spożywczej, mówił, że strona rządowa argumentuje, że jesteśmy na wojnie, że Polska jest jako pierwsza na froncie, dlatego trzeba poszerzać zakres podmiotów czy poszerzać obowiązki. Jednak to nie jest prawda.- Według tegorocznego raportu Microsoft jesteśmy na trzecim miejscu w Europie, jeśli chodzi o zagrożenia ze strony grup APT, czyli tych grup, które są sponsorowanym terroryzmem, a w zakresie grup atakujących z Rosji na 10. miejscu – mówił Busiło.

Tymczasem – zdaniem Busiły – ustawa wyciąga najcięższe działa i pozwala ministrowi cyfryzacji niemal jednoosobowo decydować, które technologie są bezpieczne, a które nie. Zaś kara minimalna zostaje podniesiona z 1 tys. zł do 15 tys. zł. On także wytykał autorom nowelizacji, że projekt jest daleko wykraczający poza to, co ujęła Dyrektywa NIS2. Wskazywał także, że Polska kraj jest w czołówce krajów, wobec których wymierzane są ataki typu ransomware (złośliwe oprogramowanie szyfruje dane ofiary np. szpitala czy firmy lub blokuje dostęp do systemu),zaś takim atakom technologie ujęte w projekcie ustawy praktycznie prawie w ogóle nie przeciwdziałają.Stanisław Dąbek, radca prawny, reprezentujący Związek Firm Biotechnologicznych Bioforum, wyliczył kilka błędów w projekcie ustawy. Jednym z nich jest „wrzucenie do jednego worka” firm badawczych i telekomunikacyjnych 5G.- Może tu dojść do usunięcia sprawnego sprzętu, który nie ma nic wspólnego z bezpieczeństwem, który jest związany z pracami badawczymi, ratowaniem życia, a nie komunikacją krytyczną – alarmował.Na obradach komisji zwrócono uwagę, że PiS wycofał się z prac nad tą ustawą przed końcem poprzedniej kadencji, a wysłuchanie publiczne się nie odbyło. Posiedzenie połączonych komisji cyfryzacji, innowacyjności i nowoczesnych technologii oraz obrony narodowej zostało odwołane, tuż przed jego rozpoczęciem, a projekt nie trafił do dalszych prac parlamentu.To nie ostatnie posiedzenie Sejmowej Komisji Cyfryzacji poświęcone ustawie o Krajowym Systemie Cyberbezpieczeństwa. Zanim trafi on do drugiego czytania i pod głosowanie przejdzie jeszcze długą drogę. Kolejne posiedzenie sejmowej Komisji CNT zaplanowane jest na dzisiaj o 12:45.

Kogo dotyczy ustawa?

W projekcie nowelizacji przedstawiono długą listę podmiotów, które podzielono na podmiotykluczowe i podmioty ważne poddawane niemal identycznemu rygorowi. Reprezentują one 18wytypowanych sektorów gospodarki.

Podmioty kluczowe:

• Energetyka

Tu znaleźli się operatorzy systemów elektroenergetycznych, gazowych, rafinerie, operatorzymagazynów energii i operatorzy ciepłowni miejskich.Sektor obejmuje przewoźników kolejowych, operatorów transportu publicznego w większychmiastach, zarządców portów, lotnisk, linii lotniczych.

• BankowośćW tej kategorii są banki komercyjne, spółdzielcze oraz oddziały banków zagranicznych.

• Rynki finansoweTu znajdziemy Giełdę Papierów Wartościowych, izby rozrachunkowe, operatorów systemówobrotu finansowego.

• Opieka zdrowotnaChodzi o szpitale, producentów leków i hurtownie farmaceutyczne.

• Woda pitnaPrzepisy mają dotyczyć największych sieci wodociągowych w kraju.

• ŚciekiPrzedsiębiorstwa oczyszczające ścieki dla powyżej 50 tys. mieszkańców.

• Infrastruktura cyfrowaSą tu operatorzy telekomunikacyjni, DNS, rejestratorzy domen i krytyczne centrale danych.

• Zarządzanie usługami ICTDotyczy dużych firm świadczące te usługi dla klientów biznesowych.

• Administracja publicznaUrzędy centralne i wojewódzkie oraz samorządy powiatowe i gminne wykonujące zadania oznaczeniu centralnym.

• Sektor kosmicznyPrzepisy obejmą Polską Agencję Kosmiczną oraz zarejestrowanych w Polsce operatorówsatelitów.

Podmioty ważne:

• Usługi pocztowe i kurierskieChodzi tu o największych operatorów działających w tym sektorze.

• Zarządzanie odpadami

To zakłady przetwarzania odpadów i składowiska obsługujące powyżej 50 tys. mieszkańców.

• ŻywnośćChodzi o podmioty zajmujące się produkcją, przetwarzaniem i dystrybucją żywnościzatrudniające powyżej 250 pracowników lub notujące obrót powyżej 50 mln euro.

• Produkcja chemikaliówCzyli największe zakłady działające w tej branży.

• Produkcja wyrobów krytycznychW tym sektorze są producenci niektórych urządzeń medycznych, leków, elektroniki,pojazdów oraz części kolejowych i lotniczych.

• Dostawcy usług cyfrowychTo wyszukiwarki internetowe, sieci społecznościowe i platformy marketplace.

• BadaniaChodzi o uniwersytety oraz instytucje badawcze prowadzące działalność w krytycznychsektorach, na przykład energetyki i sztucznej inteligencji.

Małe i mikroprzedsiębiorstwa nie są objęte dyrektywą NIS2 poza nielicznymi wyjątkami,takimi jak działalność w zakresie bezpieczeństwa publicznego. Przepisy jednak obejmują już średnie firmy, które działają w kluczowych i ważnych sektorach.