Sejm uchwalił nowelizację ustawy o Krajowym Systemie Cyberbezpieczeństwa. Pracuję od 25 lat z podmiotami kluczowymi i widzę w tym projekcie pięć poważnych problemów, które realnie zwiększają ryzyko krajowego systemu cyberbezpieczeństwa, co jest sprzeczne z duchem dyrektywy NIS2.

‍

Pięć najważniejszych problemów

‍

1. Moratorium na kary do stycznia 2028.

‍

Ustawa przez najbliższe dwa lata będzie „bezzębna”. Mechanizm kar, który Komisja Europejska wdrożyła specjalnie w celu wywarcia presji ekonomicznej na podmioty kluczowe i ważne został zawieszony, co w praktyce znacząco zmniejsza motywację zarządów i właścicieli podmiotów do inwestycji w cyberbezpieczeństwo. Oznacza to utrzymanie szeroko otwartego okna podatności dokładnie w okresie, w którym wszyscy eksperci i analitycy bezpieczeństwa spodziewają się szczytowego ryzyka geopolitycznego (wojna hybrydowa z Rosją, napięcia w NATO, ryzyko aneksji Tajwanu przez Chiny).

‍

2. Obniżenie odpowiedzialności osobistej kierowników podmiotów.

‍

W miarę postępów prac nad ustawą malało zagrożenie karą finansową dla kierowników podmiotów, które nie będą stosować się do wymagań. Pierwszy zaproponowany poziom kar wynosił 600% średniego wynagrodzenia miesięcznego, przed skierowaniem projektu do Sejmu rząd obniżył ten próg do 300%, ostatecznie Sejm przyjął poprawkę Konfederacji i zagrożenie karą zostało ustalone na poziomie jednokrotnego średniego wynagrodzenia miesięcznego.

‍

Dla porównania, niemiecki §38 BSIG (implementacja NIS2) przewiduje osobistą odpowiedzialność cywilną za szkody oraz możliwość czasowego zawieszenia w pełnieniu funkcji kierowniczych – zakaz trwa do naprawy błędów, a klauzule indemnifikacyjne nie chronią.

‍

Badania z zakresu behavioral economics pokazują, że niskie kary są postrzegane jako „cena" za zachowanie, nie jako sankcja. Kara w wysokości jednej pensji miesięcznej to koszt „doing business as usual” i może nie wystarczyć, by zarządy traktowały cyberbezpieczeństwo z odpowiednią uwagą. Bez wsparcia zarządu osoba zarządzająca cyberbezpieczeństwem będzie bezradna. Wysokie kary sprawiały, że zgodność z UKSC była w żywotnym interesie kierownictwa, a teraz już niekoniecznie.

‍

‍3. Naruszenie art. 32 Konstytucji (zasada równości wobec prawa).

‍

Drastyczne różnice w sankcjach między DORA a UKSC mogą naruszać konstytucyjną zasadę równości wobec prawa (art. 32 Konstytucji RP). Obie regulacje chronią to samo dobro prawne – cyberbezpieczeństwo infrastruktury krytycznej państwa – a podmioty objęte obiema regulacjami są porównywalne pod względem wielkości i systemowego znaczenia dla gospodarki.  

‍

Dla przykładu CEO banku ryzykuje karę 3 mln PLN i zakaz pełnienia funkcji na rok, podczas gdy CEO większych i często bardziej krytycznych podmiotów z sektora energii ryzykuje karę równą jednej miesięcznej pensji, bez ryzyka utraty stanowiska i dodatkowo korzysta z 2-letniego moratorium karnego.  

‍

Podobnie CISO w banku może zostać ukarany 600% wynagrodzenia, a CISO w elektrowni – tylko 100%. To świadoma decyzja polskiego ustawodawcy, który w przypadku KSC zdecydował się na obniżenie kar, wprowadzenie moratorium i rezygnację z mechanizmu zakazów pełnienia funkcji – mimo że dyrektywa NIS2 dopuszczała te instrumenty.  

‍

Trybunał Konstytucyjny w sprawie równości wobec prawa (np. wyrok SK 18/09) stwierdził:

‍

‍"Różnicowanie sytuacji prawnej podmiotów charakteryzujących się cechą istotną, wspólną dla nich wszystkich, wymaga uzasadnienia w postaci wskazania racjonalnie powiązanej z tym różnicowaniem cechy relewantnej."

‍

Brak obiektywnego uzasadnienia, dlaczego podmioty o porównywalnym znaczeniu dla bezpieczeństwa państwa i narażone na identyczne zagrożenia cybernetyczne są traktowane w sposób drastycznie odmienny, może stanowić podstawę do kwestionowania konstytucyjności tych przepisów.

‍

‍4. Rozszerzenie wymiany sprzętu DWR i strategiczny błąd w timing'u.

‍

Nowelizacja rozszerza obowiązek wymiany sprzętu dostawców wysokiego ryzyka (Huawei, ZTE) z sieci 5G na wszystkie generacje – 3G, 4G i 5G. To efekt lobbingu Związku Cyfrowa Polska. W jego wyniku koszty wzrastają z 1 miliarda do 4-6,5 miliarda złotych.

‍

Sama decyzja o eliminacji dostawców wysokiego ryzyka (DWR) jest uzasadniona z perspektywy bezpieczeństwa. Problem leży w timing'u.

‍

20 stycznia 2026 Komisja Europejska ogłosiła Cybersecurity Act 2.0 (CSA 2.0), harmonizujący zasady DWR na 18 sektorów w całej UE. Minister Cyfryzacji uczestniczy w pracach nad CSA 2.0 od 2023 roku. Polska mogła poczekać 12-18 miesięcy i wdrożyć restrykcje w ramach unijnego aktu prawnego, co zapewniłoby osłonę przed pozwami Huawei o odszkodowania oraz wsparcie finansowe z poziomu europejskiego.

‍

5. 6-miesięczny termin na rejestrację w wykazie i 12 miesięcy na rejestrację w systemie S46.

‍

Nowelizacja przewiduje dwa terminy przejściowe, które w praktyce oznaczają celową rezygnację państwa z pełnej widoczności KSC. Podmioty otrzymują 6 miesięcy na zgłoszenie się do wykazu podmiotów kluczowych i ważnych. Czy rzeczywiście jest to czas niezbędny na zweryfikowanie kodów PKD, wysokości obrotów i liczby pracowników? Sprawdzenie własnego kodu PKD i pozostałych informacji zajmuje pięć minut. Ten sześciomiesięczny okres oznacza, że przez pół roku po wejściu ustawy w życie państwo nie będzie wiedziało, kto faktycznie podlega regulacji. Pomijam przy tym fakt, że poziom materialności sprawozdań wysyłanych do KE, dotyczących liczby podmiotów kluczowych i ważnych będzie, delikatnie mówiąc, średni.

‍

Jeszcze poważniejsze konsekwencje niesie 12-miesięczne odroczenie obowiązku korzystania z systemu teleinformatycznego s46 do zgłaszania incydentów. Oznacza to, że przez pierwszy rok obowiązywania ustawy CSIRT będzie otrzymywał dane o atakach na infrastrukturę krytyczną w sposób nieustrukturyzowany. Analiza incydentów, wykorzystywanych wektorów ataków i czasu ich wykrywania będzie wymagała ręcznej obsługi. Czy obsługa standardowego systemu raportowego rzeczywiście wymaga od podmiotów kluczowych i ważnych rocznego okresu przygotowawczego?

‍

Łącznie z moratorium karnym trwającym do stycznia 2028 daje to okres niemal dwóch lat, w którym państwo nie ma ani narzędzi nadzoru, ani mechanizmów egzekucji, ani realnej widoczności zagrożeń.  

‍

Dla porównania, DORA zaczęło obowiązywać 17 stycznia 2025, KNF od pierwszego dnia gromadziła raporty incydentów w ustrukturyzowanej formie. Polski sektor finansowy jest pod pełnym nadzorem od dnia ZERO. Pozostała polska infrastruktura krytyczna będzie okryta czapką-niewidką przez 12 miesięcy.

‍

Zdaje się, że w toku prac nad ustawą zapomniano o kluczowych faktach:

‍

1. Polska jest najczęściej atakowanym krajem w UE (CERT Polska), a ataki na łańcuchy dostaw wzrosły o 100% r/r (Verizon DBIR 2025),

2. Mamy 15 miesięcy opóźnienia implementacji NIS2, a mimo to dokładamy sobie jeszcze dwa lata okresu bezkarności,

3. Brak widoczności podmiotów w systemie s46 i moratorium na kary pokrywają się ze spodziewanym szczytowym poziomem ryzyka geopolitycznego.

‍

Ustawa trafiła do Senatu. Mam nadzieję, że jako izba refleksji Senat pochyli się nad tymi problemami i zaproponuje np.:

‍

• Jeśli koniecznie chcemy ulżyć niedoli przedsiębiorców, można było kary progresywne, rosnące z każdym naruszeniem ustawy np. 20→50→100%.

• Zaproponować dotacje, szkolenia, konkretne wsparcie ze strony sektorowych CSIRT

• Zastosować kary dla osób odpowiedzialnych analogiczne jak w rozporządzeniu DORA, aby uniknąć łamania zasady równości wobec prawa, w tym zakazu pełnienia funkcji za rażące zaniedbania.

‍

‍

‍Pytanie, które powinni sobie zadać rząd do spółki z ustawodawcą:

‍

‍Czy w obliczu realnego zagrożenia hybrydowego możemy sobie pozwolić na de facto 730 dni bez możliwości egzekwowania przepisów?

‍

Atakujący raczej nie poczekają uprzejmie na koniec moratorium.

‍

‍

‍

‍