Rok 2026 otwiera kolejna dyskusja nad Krajowym Systemem Cyberbezpieczeństwa. Nowelizacja ustawy w Sejmie

1. Nowelizacja ustawy o Krajowym Systemie Cyberbezpieczeństwa (KSC) budzi kontrowersje, nakładając ogromne koszty i nowe regulacje na firmy z 18 branż, co może objąć nawet 40 000 podmiotów.
2. Kluczowym punktem spornym jest mechanizm "dostawcy wysokiego ryzyka" (DWR), który umożliwia ministrowi cyfryzacji wykluczanie sprzętu (np. chińskiego) bez rekompensaty za jego wymianę, co eksperci uznają za nadregulację i "komunistyczną praktykę".
3. Krytycy ostrzegają przed "arbitrażem technologicznym", gdzie polskie firmy będą zmuszone do zakupu drogich technologii z UE, tracąc konkurencyjność, oraz kwestionują powiązanie ataków hakerskich z pochodzeniem sprzętu.
4. Projekt ustawy wykracza poza unijną dyrektywę NIS2, podnosząc kary do 200 tys. zł i budząc obawy o nieadekwatne rozwiązania wobec rzeczywistych zagrożeń, takich jak ataki ransomware.

 Kontrowersyjny projekt i wysokie koszty

KSC ma także za zadanie włączenie do naszego systemu prawnego unijnej dyrektywy NIS2. Posiedzenie komisji przebiegło burzliwie.Przedsiębiorcy i eksperci zwracali uwagę na liczne zagrożenia, w tym olbrzymie koszty, któreustawa nakłada na firmy oraz ich zdaniem niepotrzebne regulacje.Ekspertów niepokoi m.in. fakt, że środki bezpieczeństwa przewidziane pierwotnie dlaoperatorów sieci komórkowych 5G zostały rozszerzone na podmioty aż z 18 branż. WedługKingi Pawłowskiej-Nojszewskiej z Krajowej Izby Komunikacji Ethernetowej w Polsceregulacją może zostać objętych nawet 40 000 podmiotów, co jest ewenementem na skalęeuropejską. Dodatkowo, według ekspertki, nasz kraj nie posiada obecnie wystarczającychzasobów kadrowych ani wiedzy, by skutecznie nadzorować tysiące firm.Jak zwykle chodzi też o pieniądze. Ustawa przerzuca koszty na przedsiębiorców, co bardzoobciąża finansowo firmy. Muszą on m.in. kupić specjalistyczne technologie, wdrożyć systemzarządzania bezpieczeństwem, przeprowadzić audyt itp. Za niedostosowanie się do wymogówustawy grożą bardzo wysokie kary do 200 tys. zł.

Dostawca wysokiego ryzyka

Największe kontrowersje budzi jednak zapis o „dostawcy wysokiego ryzyka” (DWR). Ustawawprowadza możliwość wykluczenia sprzętu na przykład chińskich firm, któremu sprzyjawłaśnie mechanizm oceny dostawców jako „wysokiego ryzyka”. W dodatku decyzję o tymczy dany dostawca jest „wysokiego ryzyka”, czy też nie będzie wydawał minister cyfryzacji.Podmioty wymienionych wyżej 18 sektorów nie będą mogły kupować od „dostawcówwysokiego ryzyka” sprzętu objętego decyzją, a już posiadany będą musiały wymienić w ciągu4-7 lat, za co nie przewidziano rekompensaty.

Sprzęt spoza Unii – dobry czy zły?

Na grudniowym posiedzeniu komisji wielu ekspertów zwracało uwagę na problemnadregulacji, czyli wprowadzenia przepisów znacznie ostrzejszych, niż zakłada to dyrektywaNIS2, czy rozwiązania w innych unijnych krajach. Takim przepisem – zdaniem ekspertów –jest właśnie „dostawca wysokiego ryzyka”, sposób i procedura określenia takiego dostawcy, anastępnie konieczność usunięcia jego i usług sprzętów z rynku.Prof. Artur Nowak-Far ze Szkoły Głównej Handlowej, na posiedzeniu komisji występującyjako ekspert Polskiego Towarzystwa Gospodarczego, zwrócił uwagę na niebezpieczeństwoarbitrażu technologicznego. Chodzi o to, że firmy z państw unijnych będą sprzedawaćpolskim swoje drogie technologie, zaś same kupować tańsze technologie spoza UniiEuropejskiej. Zjawisko to może negatywnie wpłynąć na konkurencyjność polskiejgospodarki.

Z kolei Prezes Zarządu Krajowej Izby Komunikacji Ethernetowej (KIKE) Karol Skupieńprzekonywał, że to niebezpieczny i szkodliwy projekt. Według prezesa KIKE, jednym zgłównych problemów jest przyznanie urzędnikom prawa do ręcznego decydowania o tym, najakim sprzęcie mają pracować prywatne firmy, co określił mianem „komunistycznejpraktyki”.Jak podkreślił w wywiadzie dla CyberDefence24, rząd powinien skupić się na wymogachjakościowych i standaryzacji, a nie na wskazywaniu konkretnych dostawców.- Wydamy miliardy złotych na zastąpienie jednych rozwiązań drugimi, a Rosjanie nadal będąnas atakować, bo jedno z drugim nie ma nic wspólnego – argumentuje, wskazując, żeargumentacja rządu łącząca ataki hakerskie z pochodzeniem sprzętu jest manipulacją. -Uważam, że należy wprowadzić zmiany do nowelizacji, ponieważ w obecnej formie ustawajest niebezpieczna dla bezpieczeństwa cyfrowego Polaków. Pogarsza sytuację w wieluaspektach – dodaje.Prezes KIKE zwraca również uwagę, że procedura DWR jest źle skonstruowana.- Minister może nakazać nam wymianę sprzętu, ale jeśli w konsekwencji sytuacja siępogorszy, nie odpowie za błędy tej decyzji – alarmuje Karol Skupień. Cała odpowiedzialnośćpozostaje po stronie przedsiębiorcy, który dodatkowo może zostać ukarany finansowo.Zupełnie inaczej sprawę widzi Jakub Binkowski, prezes Związku Przedsiębiorców iPracodawców (ZPP), który wszystko postrzega w kategoriach chińskiego lobbingu. Zaznaczyłprzy tym, że organizacja nie zrzesza chińskich firm. Jak się jednak dowiedzieliśmy Huaweibył członkiem ZPP do końca 2024 roku.

Ustawa uderza w polskie firmy?

Prof. dr hab. Marek Chmaj, ekspert Ogólnopolskiej Federacji Przedsiębiorców iPracodawców PRZEDSIĘBIORCY.PL wyjaśniał, że skutki decyzji o uznaniu dostawcy zadostawcę wysokiego ryzyka obejmują wiele podmiotów.- W przypadku wydania decyzji o uznaniu za dostawcę wysokiego ryzyka podmioty kluczowei ważne mają mieć od 4 do 7 lat na wycofanie produktów i usług ICT. Te terminy, mamnadzieję, zostały dobrane po przemyśleniach, ale czy nie warto zastanowić się, jakie sąrzeczywiste terminy eksploatacji określonych urządzeń tak, żeby te terminy dopasować dofaktycznego zużywania się urządzeń? - mówił prof. Marek Chmaj. Apelował również orekompensaty czy inną pomoc z budżetu dla przedsiębiorców w związku z wycofywaniemzakwestionowanych technologii.Jednak Paweł Olszewski, wiceminister cyfryzacji bronił tej procedury:- Nie wiem, jak większość parlamentarna, ale ja osobiście się nie ugnę – powiedział.Argumentował, że bezpieczeństwo jest najważniejsze.

Błędy w szacunkach Ministerstwa Cyfryzacji?

Mariusz Busiło, ekspert Polskiej Izby Handlu, reprezentujący przedsiębiorstwa z branżyspożywczej i logistyki spożywczej, mówił, że strona rządowa argumentuje, że jesteśmy nawojnie, że Polska jest jako pierwsza na froncie, dlatego trzeba poszerzać zakres podmiotówczy poszerzać obowiązki. Jednak to nie jest prawda.- Według tegorocznego raportu Microsoft jesteśmy na trzecim miejscu w Europie, jeśli chodzio zagrożenia ze strony grup APT, czyli tych grup, które są sponsorowanym terroryzmem, a wzakresie grup atakujących z Rosji na 10. miejscu – mówił Busiło.

Tymczasem – zdaniem Busiły – ustawa wyciąga najcięższe działa i pozwala ministrowi cyfryzacji niemal jednoosobowo decydować, które technologie są bezpieczne, a które nie. Zaś kara minimalna zostaje podniesiona z 1 tys. zł do 15 tys. zł. On także wytykał autorom nowelizacji, że projektjest daleko wykraczający poza to, co ujęła Dyrektywa NIS2. Wskazywał także, że Polska krajjest w czołówce krajów, wobec których wymierzane są ataki typu ransomware (złośliweoprogramowanie szyfruje dane ofiary np. szpitala czy firmy lub blokuje dostęp do systemu),zaś takim atakom technologie ujęte w projekcie ustawy praktycznie prawie w ogóle nieprzeciwdziałają.Stanisław Dąbek, radca prawny, reprezentujący Związek Firm BiotechnologicznychBioforum, wyliczył kilka błędów w projekcie ustawy. Jednym z nich jest „wrzucenie dojednego worka” firm badawczych i telekomunikacyjnych 5G.- Może tu dojść do usunięcia sprawnego sprzętu, który nie ma nic wspólnego zbezpieczeństwem, który jest związany z pracami badawczymi, ratowaniem życia, a niekomunikacją krytyczną – alarmował.Na obradach komisji zwrócono uwagę, że PiS wycofał się z prac nad tą ustawą przed końcempoprzedniej kadencji, a wysłuchanie publiczne się nie odbyło. Posiedzenie połączonychkomisji cyfryzacji, innowacyjności i nowoczesnych technologii oraz obrony narodowejzostało odwołane, tuż przed jego rozpoczęciem, a projekt nie trafił do dalszych pracparlamentu.To nie ostatnie posiedzenie Sejmowej Komisji Cyfryzacji poświęcone ustawie o KrajowymSystemie Cyberbezpieczeństwa. Zanim trafi on do drugiego czytania i pod głosowanieprzejdzie jeszcze długą drogę. Kolejne posiedzenie sejmowej Komisji CNT zaplanowane jestna dzisiaj o 12:45.

Kogo dotyczy ustawa?

W projekcie nowelizacji przedstawiono długą listę podmiotów, które podzielono na podmiotykluczowe i podmioty ważne poddawane niemal identycznemu rygorowi. Reprezentują one 18wytypowanych sektorów gospodarki.

Podmioty kluczowe:

• Energetyka

Tu znaleźli się operatorzy systemów elektroenergetycznych, gazowych, rafinerie, operatorzymagazynów energii i operatorzy ciepłowni miejskich.Sektor obejmuje przewoźników kolejowych, operatorów transportu publicznego w większychmiastach, zarządców portów, lotnisk, linii lotniczych.

• BankowośćW tej kategorii są banki komercyjne, spółdzielcze oraz oddziały banków zagranicznych.

• Rynki finansoweTu znajdziemy Giełdę Papierów Wartościowych, izby rozrachunkowe, operatorów systemówobrotu finansowego.

• Opieka zdrowotnaChodzi o szpitale, producentów leków i hurtownie farmaceutyczne.

• Woda pitnaPrzepisy mają dotyczyć największych sieci wodociągowych w kraju.

• ŚciekiPrzedsiębiorstwa oczyszczające ścieki dla powyżej 50 tys. mieszkańców.

• Infrastruktura cyfrowaSą tu operatorzy telekomunikacyjni, DNS, rejestratorzy domen i krytyczne centrale danych.

• Zarządzanie usługami ICTDotyczy dużych firm świadczące te usługi dla klientów biznesowych.

• Administracja publicznaUrzędy centralne i wojewódzkie oraz samorządy powiatowe i gminne wykonujące zadania oznaczeniu centralnym.

• Sektor kosmicznyPrzepisy obejmą Polską Agencję Kosmiczną oraz zarejestrowanych w Polsce operatorówsatelitów.

Podmioty ważne:

• Usługi pocztowe i kurierskieChodzi tu o największych operatorów działających w tym sektorze.

• Zarządzanie odpadami

To zakłady przetwarzania odpadów i składowiska obsługujące powyżej 50 tys. mieszkańców.

• ŻywnośćChodzi o podmioty zajmujące się produkcją, przetwarzaniem i dystrybucją żywnościzatrudniające powyżej 250 pracowników lub notujące obrót powyżej 50 mln euro.

• Produkcja chemikaliówCzyli największe zakłady działające w tej branży.

• Produkcja wyrobów krytycznychW tym sektorze są producenci niektórych urządzeń medycznych, leków, elektroniki,pojazdów oraz części kolejowych i lotniczych.

• Dostawcy usług cyfrowychTo wyszukiwarki internetowe, sieci społecznościowe i platformy marketplace.

• BadaniaChodzi o uniwersytety oraz instytucje badawcze prowadzące działalność w krytycznychsektorach, na przykład energetyki i sztucznej inteligencji.

Małe i mikroprzedsiębiorstwa nie są objęte dyrektywą NIS2 poza nielicznymi wyjątkami,takimi jak działalność w zakresie bezpieczeństwa publicznego. Przepisy jednak obejmują już średnie firmy, które działają w kluczowych i ważnych sektorach.