Klikając „Akceptuj wszystkie pliki cookie”, zgadzasz się na przechowywanie plików cookie na swoim urządzeniu w celu ułatwienia nawigacji po stronie, analizy korzystania ze strony oraz wspierania naszych działań marketingowych. Zobacz naszą Politykę prywatności, aby uzyskać więcej informacji.
PreferencjeOdrzućAkceptuj
Powrót na stronę główną bloga
Komentarz

Nowelizacja Ustawy o KSC trafiła do Sejmu

Autor/ka
Renata Davidson
ikona facebook
ikona linkedin

Ekspertka zarządzania ryzykiem i ciągłością działania

Być może dlatego, że z utęsknieniem wyczekiwałam nowelizacji Ustawy o KSC, konferencja MC pozostawiła we mnie niedosyt.

Konferencja Ministerstwa Cyfryzacji prowadzona przez  Ministra Cyfryzacji Krzysztofa Gawkowskiego oraz Sekretarza Stanu Pawła Olszewskiego była krótka, ogólna i wyraźnie pozytywnie nastrajająca. Bez wątpienia można cieszyć się, że NARESZCIE  po roku od daty wejścia w życie dyrektywy NIS2 doczekaliśmy się projektu ustawy, który w końcu nadawał się do skierowania do parlamentu. Dlaczego zajęło to tyle czasu? - to pytanie nadal pozostaje dla mnie zagadką, ale jest to przeszłość, na którą nie mamy wpływu. Tymczasem, pozwolę sobie podzielić się kilkoma refleksjami po wysłuchaniu konferencji.

Prezentacja UKSC: ogólniki i pośpiech

Być może dlatego, że z utęsknieniem wyczekiwałam nowelizacji Ustawy o KSC, konferencja MC pozostawiła we mnie niedosyt. Prezentacja była prowadzona na bardzo ogólnym poziomie, okraszona statystyką ataków, oraz truizmami o czyhających zagrożeniach i konieczności zapewnienia bezpieczeństwa państwa. Kilka pokazanych slajdów przypomniało podstawę prawną ustawy - czyli dyrektywę NIS2, nowe podmioty Krajowego Systemu Cyberbezpieczeństwa, w tym CSIRTy sektorowe oraz nowe sektory objęte wymaganiami ustawy. Zdaje się, że Ministerstwo Cyfryzacji przyjęło założenie, że słuchacze doskonale znają szczegóły projektu, skoro postanowili ich nie omawiać. Trudno też było mi się pozbyć wrażenia  pośpiechu.

Finansowanie Krajowego Systemu Cyberbezpieczeństwa

Dobra wiadomość jest taka, że ustawa otrzymała wsparcie finansowe, z czego 300 mln PLN ma zostać wydanych w pierwszym roku obowiązywania ustawy.

Według dostępnych danych rządowych i branżowych, całkowite wydatki Polski na cyberbezpieczeństwo w 2025 roku wynoszą około 4 mld złotych, z czego około 3,1 mld zł przypada na sektor cywilny, a pozostała część — około 0,9 mld zł — na sektor wojskowy.​

Podział środków między sektorem cywilnym a wojskowym

Sektor cywilny (ok. 3,1 mld zł): fundusze te są skupione wokół programów Ministerstwa Cyfryzacji, NASK-PIB i KPRM. Wśród największych pozycji znajdują się:

  • 1,8 mld zł z programu Fundusze Europejskie na Rozwój Cyfrowy 2021–2027 – w tym Cyberbezpieczny Samorząd (1,47 mld zł) i Centrum Cyberbezpieczeństwa NASK (310 mln zł);
  • 860 mln zł z Krajowego Planu Odbudowy – m.in. program „Cyberbezpieczny Rząd” (271 mln zł) i ochrona infrastruktury wodociągowej (ponad 300 mln zł);
  • 355 mln zł z Funduszu Cyberbezpieczeństwa dla kluczowych podmiotów infrastruktury krytycznej;
  • 90 mln zł w dotacjach celowych oraz 40 mln zł na utrzymanie operacyjne krajowego CSIRT (NASK-PIB).​

Sektor wojskowy (ok. 0,9 mld zł): finansowanie pochodzi głównie z budżetu MON oraz Funduszu Wsparcia Sił Zbrojnych, w ramach którego cyberbezpieczeństwo jest jednym z czterech priorytetów obok dronów i rozwoju systemów dowodzenia. Środki te obejmują projekty obronne, takie jak modernizacja wojskowych centrów kryptologii, rozbudowa infrastruktury CSIRT-MON oraz inwestycje w wojskowe sieci odporne na ataki.​

Środki w wysokości 355 mln zł z Funduszu Cyberbezpieczeństwa w 2025 roku zostały przeznaczone głównie na wzmocnienie ochrony systemów informacyjnych kluczowych podmiotów publicznych i administracyjnych, ze szczególnym uwzględnieniem sądów, prokuratur, administracji centralnej oraz sektorów infrastruktury krytycznej.​

Dotychczasowe kierunki wydatkowania środków z Funduszy Cyberbezpieczeństwa

Wymiar sprawiedliwości (ok. 38 podmiotów)


Część środków trafiła do sądów i prokuratur w ramach programu cyfryzacji wymiaru sprawiedliwości prowadzonego wspólnie przez Ministerstwo Cyfryzacji i Ministerstwo Sprawiedliwości.

  1. Finansowano projekty modernizujące systemy informatyczne (np. Cyfrowe Rejestry).
  2. Wypłacano tzw. świadczenia teleinformatyczne – dodatki do wynagrodzeń dla specjalistów IT w prokuraturach i sądach.
  3. Wsparciem objęto 38 jednostek, które korzystają z funduszu w 2025 roku (dla porównania w 2022 – 2 jednostki, a w 2024 – 86).​

Infrastruktura krytyczna i administracja publiczna


Pozostała część środków (ok. 300 mln zł) wspiera cyfryzację infrastruktury krytycznej, m.in. energetyki, transportu i sektora publicznego.

  1. Finansowane są projekty dotyczące automatyzacji detekcji incydentów, wdrażania Security Operations Centers (SOC) oraz integracji z krajowym systemem CSIRT.
  2. Środki trafiają do operatorów usług kluczowych oraz instytucji nadzorczych – zwłaszcza w ramach przygotowań do pełnego wdrożenia przepisów NIS2 i nowelizacji ustawy o Krajowym Systemie Cyberbezpieczeństwa.​

Rozwój kompetencji i utrzymanie ekspertów IT


Część funduszu przeznaczono także na szkolenia i działania motywacyjne dla kadr cyberbezpieczeństwa administracji publicznej oraz utrzymanie specjalistów poprzez finansowanie „dodatków teleinformatycznych”. To odpowiedź na chroniczny niedobór ekspertów w tym obszarze.​

Warto wybierać szkolenia, które wzmocnią pracowników i dadzą im realne kompetencje. Jak na przykład szkolenie "Zarządzanie bezpieczeństwem - poziom Specjalista", które znajdziesz w naszej ofercie.  Certyfikat potwierdzający kwalifikację „Zarządzanie cyberbezpieczeństwem – poziom specjalista (PRK4)”  może  stanowić dowód posiadania specjalistycznej wiedzy, który jest jednym z warunków niezbędnych do przyznania dodatku teleinformatycznego w administracji publicznej lub resortach takich jak MON, MSWiA czy Ministerstwo Cyfryzacji.


Plany wykorzystania 300 mln zł

Nowelizacja ustawy o Krajowym Systemie Cyberbezpieczeństwa, przyjęta w 2025 roku, zakłada finansowanie w wysokości 300 mln zł w pierwszym roku obowiązywania (z budżetu państwa). Według komunikatów Ministerstwa Cyfryzacji środki te zostaną przeznaczone na:​

  • budowę systemu nadzoru nad dostawcami wysokiego ryzyka (np. sprzętu sieciowego),
  • rozbudowę infrastruktury i zespołów CSIRT sektorowych, w tym urzędowego CSIRT-GOV, CSIRT-NASK i CSIRT-MON,
  • rozwój krajowych zdolności certyfikacji i akredytacji sprzętu i oprogramowania, zgodnych z unijnym aktem o cyberbezpieczeństwie (Cybersecurity Act),
  • modernizację systemu zgłaszania i analizowania incydentów oraz szkolenia dla operatorów usług kluczowych i dostawców IT,
  • wdrożenie procedur klasyfikacji dostawców zgodnych z unijnymi regulacjami (NIS2, CRA).

Finansowanie ma charakter wieloletni i będzie wzrastać w kolejnych latach, wraz z wdrażaniem nowych obowiązków sprawozdawczych i certyfikacyjnych.

„Lex Huawei” i dostawcy wysokiego ryzyka

Nowelizacja ustawy o KSC nazywana jest złośliwie  “Lex Huawei”, gdyż zapisy dotyczące dostawców wysokiego ryzyka odbierane są jako kierowane przede wszystkim pod adresem chińskiego producenta sprzętu teleinformatycznego Huawei. Kwestia ta sięga korzeniami do dawnych wątpliwości i zarzutów pod adresem chińskiego giganta, odnośnie do obaw o możliwości dostępu chińskich służb i wywiadu do informacji przetwarzanych przez ich urządzenia. Wówczas rozpoczęła pracę Grupa Robocza "EU 5G Toolbox”, w której braliśmy udział. Zapisy dotyczące „dostawcy wysokiego ryzyka” (high-risk vendor, HRV) w nowelizacji ustawy o Krajowym Systemie Cyberbezpieczeństwa pochodzą właśnie z prac Grupy Współpracy ds. Sieci i Systemów Informacyjnych UE (NIS Cooperation Group), która w 2020 roku opracowała dokument „EU 5G Toolbox” — zestaw rekomendacji mających ograniczyć ryzyka w infrastrukturze sieci 5G.​

Geneza i źródło koncepcji

5G Toolbox został uzgodniony przez państwa członkowskie UE, Komisję Europejską oraz ENISA jako odpowiedź na wspólną europejską analizę zagrożeń dla sieci piątej generacji.


W dokumencie tym państwa UE zobowiązały się m.in. do:​

  • zaostrzenia wymogów bezpieczeństwa wobec operatorów i dostawców,
  • oceny profilu ryzyka dostawców,
  • stosowania ograniczeń lub wyłączeni wobec dostawców uznanych za wysokiego ryzyka,
  • dywersyfikacji źródeł dostaw.

Te założenia zostały następnie przyjęte w opracowaniach Komisji Europejskiej i potwierdzone w raportach wdrożeniowych 2023–2024, wskazujących, że pojęcie dostawcy wysokiego ryzyka ma swoje źródło właśnie w Toolboxie.​

Implementacja EU 5G Toolbox w Polsce

Polski projekt nowelizacji ustawy o KSC wprowadza formalnie instytucję „dostawcy wysokiego ryzyka”, której podstawą koncepcyjną są zalecenia z EU 5G Toolbox. Jak wskazuje analiza naukowa i raporty legislacyjne, KSC 2025 implementuje rekomendacje Toolboxa z wykorzystaniem kryteriów oceny ryzyka opracowanych przez Grupę NIS — takich jak powiązania z państwami trzecimi, stabilność dostaw i przejrzystość ładu korporacyjnego.​

W praktyce oznacza to, że polskie przepisy w sprawie uznania dostawy lub producenta ICT za „wysokiego ryzyka” stanowią transpozycję unijnej koncepcji HRV z 5G Toolbox, rozszerzoną również na inne sektory infrastruktury krytycznej poza telekomunikacją, a nie czystą niechęć do konkretnego podmiotu lub kraju.

"5G Toolbox" to unijny zestaw narzędzi dla bezpieczeństwa sieci 5G, który zawiera rekomendacje dotyczące zagrożeń i środków zaradczych, mających na celu zapewnienie wspólnego, wysokiego poziomu bezpieczeństwa sieci. W Polsce prace nad polskim wdrożeniem tego dokumentu koordynowało Ministerstwo Cyfryzacji we współpracy z grupą roboczą z NASK, Instytutu Łączności oraz ABW, a także z konsultacjami z MON i BBN.

Sekretarz Stanu Paweł Olszewski poświęcił całość swojego krótkiego wystąpienia zapewnieniom, że zapisy dotyczące dostawców wysokiego ryzyka, nie są kierowane przeciwko jakiejkolwiek firmie, a jedynie mają na celu zapewnienie możliwości wycofania konkretnych urządzeń. Natychmiast powstała we mnie wątpliwość, czemu zatem stosuje się pojęcie “dostawcy wysokiego ryzyka”, a nie “urządzenie (lub system) wysokiego ryzyka”?

Jest to kluczowa różnica, prawna i strategiczna. Jeśli rzeczywistym celem jest eliminacja zagrożenia, logiczne byłoby skupienie się na technicznych cechach sprzętu: backdoorach, lukach w kodzie, wbudowanych funkcjach szpiegujących. Użycie pojęcia „dostawca” sugeruje, że decyzje mogą być oparte nie na audycie technicznym, lecz na kryteriach geopolitycznych, kraju pochodzenia czy powiązaniach kapitałowych.

Czy tak szerokie, politycznie motywowane kryterium nie stworzy precedensu dla protekcjonizmu? Czy nie zostanie wykorzystane do rynkowego wykluczania pod pozorem bezpieczeństwa, zamiast faktycznego eliminowania zagrożeń, do czego ustawa ma służyć? W tym obszarze potrzebna jest maksymalna transparentność procedury orzekania o „wysokim ryzyku”, na co minister Olszewski kilkakrotnie zwracał uwagę, podkreślając długotrwały i żmudny proces uznawania podmiotu za dostawcę wysokiego ryzyka. Ja żałowałam jedynie, że nie wyjaśnił genezy tego pojęcia i historii prac. Być może wynikało to właśnie z pośpiechu, a może z problemów w komunikowaniu opinii publicznej skomplikowanych zależności.

Czy 4-7 lat na wymianę infrastruktury to za długo?

Rząd przewiduje 4–7 lat na wycofanie sprzętu pochodzącego od dostawców wysokiego ryzyka. To anachronicznie długi okres. W cyklu życia technologii (zwłaszcza 5G i IT infrastruktury krytycznej) to cała epoka. W warunkach wojny hybrydowej, czy naprawdę możemy pozwolić sobie na utrzymywanie potencjalnych bramek szpiegowskich w infrastrukturze przez kolejne siedem lat?

Nawet jeśli to ustępstwo wobec operatorów, by uniknąć ich bankructwa, rodzi się pytanie: gdzie leży granica między kosztem ekonomicznym a bezpieczeństwem narodowym? Czy zamiast długiego horyzontu czasowego rząd nie powinien bezpośrednio dofinansować szybszej wymiany sprzętu — traktując to jako wydatki wojenne na obronę cybernetyczną?


Nowelizacja KSC to potrzebny i długo oczekiwany krok w stronę realnego wzmocnienia cyberbezpieczeństwa państwa. Entuzjazm nie powinien jednak przesłonić pytań o tempo wdrożenia, efektywność finansowania i rzeczywistą zmianę kultury bezpieczeństwa. Jeśli nie chcemy, by KSC stało się tylko aktem symbolicznym, musimy patrzeć rządowi na ręce — z troską, ale i z krytyczną precyzją.

Zapisz się już teraz! 

Subskrybując newsletter Davidson Consulting, otrzymujesz merytoryczne analizy z zakresu zarządzania ryzykiem, ciągłości działania, cyberbezpieczeństwa i compliance (m.in. DORA, NIS2), a także informacje o naszych usługach i produktach, które pomogą Ci skutecznie wdrożyć prezentowane strategie.  

Pamiętaj, Twoja subskrypcja jest w pełni dobrowolna i możesz ją anulować w każdej chwili jednym kliknięciem.
* - Pole obowiązkowe
Dziękujemy za zapisanie się do Forum Ekspertów Odporności Operacyjnej.
Ups! Coś poszło nie tak podczas uzupełnienia formy. Spróbuj ponownie lub skontaktuj się bezpośrednio.

Najnowsze artykuły:

Niewidzialne zagrożenia
Atak Shai Hulud 2.0.
Insider threat. Sabotaż Davisa Lu jako przykład wewnętrznego zagrożenia dla ciągłości działania
Katastrofa śmigłowca właścicieli SUP-FOL
Duńska "Nocna Straż"

Kategorie:

ICT Navigator
Geopolityka a biznes
Ochrona ludności
Bezpieczeństwo łańcucha dostaw
Zarządzanie kryzysowe
Incydenty
Szkolenia
Wydarzenia
Komunikacja kryzysowa
Audyt
Sygnaliści
Zgodność
Cyberbezpieczeństwo
Ciągłość działania

Oferta Davidson Consulting:

Business ContinuityZarządzanie ryzykiemCyberbezpieczeństwoRozmowy o ryzykuRaporty

Najnowsze artykuły

Insider threat. Sabotaż Davisa Lu jako przykład wewnętrznego zagrożenia dla ciągłości działania

Sprawa Lu dostarcza materiału analitycznego, nad którym powinna pochylić się każda organizacja.
Czytaj dalej
Case Study

Insider threat. Sabotaż Davisa Lu jako przykład wewnętrznego zagrożenia dla ciągłości działania

Cyberbezpieczeństwo
Incydenty
insider threat, zagrożenia wewnętrzne, cyberbezpieczeństwo, sabotaż w firmie, zarządzanie ryzykiem IT, ciągłość działania, bezpieczeństwo informacji, ochrona infrastruktury, Davis Lu, Eaton Corporation, złośliwy kod, zarządzanie uprawnieniami, audyt bezpieczeństwa, Business Continuity Plan, ryzyko osobowe, incydenty bezpieczeństwa, ochrona danych, zwolnienie pracownika IT, separacja obowiązków
Podmioty ważne i kluczowe

Atak Shai Hulud 2.0.

Ujawnienie krytycznych sekretów środowiska wykonawczego!
Czytaj dalej
Case Study

Atak Shai Hulud 2.0.

Cyberbezpieczeństwo
Ciągłość działania
Bezpieczeństwo łańcucha dostaw
Incydenty
Shai Hulud 2.0, atak supply chain npm, bezpieczeństwo CI/CD, złośliwe pakiety npm, non-human identities, zarządzanie sekretami, kradzież kluczy API, ochrona środowiska wykonawczego, rotacja poświadczeń, wyciek danych GitHub, dostęp Just-in-Time, malware w potokach CI/CD, audyt bezpieczeństwa ICT, environment.json, cyberbezpieczeństwo 2025
IT i technologia

Katastrofa śmigłowca właścicieli SUP-FOL

Lekcje o sukcesji, prokurencie i ciągłości działania spółki z o.o.
Czytaj dalej
Case Study

Katastrofa śmigłowca właścicieli SUP-FOL

Ciągłość działania
Zarządzanie kryzysowe
Incydenty
katastrofa śmigłowca, wypadek lotniczy, wypadek śmigłowca pod Rzeszowem, tragedia w firmie rodzinnej, śmierć przedsiębiorców, SUP-FOL, SupFol, katastrofa śmigłowca SUP-FOL, spółka z o.o., firmy rodzinne Polska, sukcesja w firmie, sukcesja przedsiębiorstwa, sukcesja w spółce z o.o., śmierć wspólnika, śmierć członka zarządu, co po śmierci wspólnika, co po śmierci członka zarządu, paraliż decyzyjny spółki, brak zarządu w spółce, kto reprezentuje spółkę, kurator dla spółki, kurator sądowy spółki, jak powołać kuratora spółki, ile kosztuje kurator dla spółki, KRS reprezentacja, blokada konta spółki, co dzieje się ze spółką z o.o. po śmierci zarządu, co robić gdy spółka nie ma zarządu, zarządzanie ryzykiem w firmie, plan ciągłości działania, business continuity, ciągłość działania w MŚP, plan ciągłości działania w firmie, ryzyka operacyjne firm rodzinnych, ubezpieczenie key person, prokura, prokurent, prokura samoistna, prokura łączna, jak działa prokura, czy prokura wygasa po śmierci zarządu, zabezpieczenie firmy po śmierci właściciela, jak zabezpieczyć firmę po nagłej śmierci właściciela, jak przygotować sukcesję w firmie, sukcesja kapitałowa i korporacyjna, umowa spółki sukcesja, postępowanie spadkowe wspólnika, blokada rachunku firmowego, reprezentacja spółki po śmierci zarządu
Przemysł
Firmy w Polsce

Duńska "Nocna Straż"

Jak globalna polityka i nieprzewidywalność zmuszają dyplomację do innowacji i adaptacji.
Czytaj dalej
Artykuł

Duńska "Nocna Straż"

Geopolityka a biznes
Zarządzanie kryzysowe
grenlandia, usa, komunikacja kryzysowa, zarządzanie ryzykiem, dania, Dyplomacja, StosunkiMiędzynarodowe, politykaZagraniczna, Adaptacja, ZarządzanieKryzysowe
Administracja publiczna
Przejdź do wszystkich wpisów