Klikając „Akceptuj wszystkie pliki cookie”, zgadzasz się na przechowywanie plików cookie na swoim urządzeniu w celu ułatwienia nawigacji po stronie, analizy korzystania ze strony oraz wspierania naszych działań marketingowych. Zobacz naszą Politykę prywatności, aby uzyskać więcej informacji.
PreferencjeOdrzućAkceptuj
Powrót na stronę główną bloga
Komentarz

Nowelizacja Ustawy o KSC trafiła do Sejmu

Autor/ka
Renata Davidson
ikona facebook
ikona linkedin

Ekspertka zarządzania ryzykiem i ciągłością działania

Być może dlatego, że z utęsknieniem wyczekiwałam nowelizacji Ustawy o KSC, konferencja MC pozostawiła we mnie niedosyt.

Konferencja Ministerstwa Cyfryzacji prowadzona przez  Ministra Cyfryzacji Krzysztofa Gawkowskiego oraz Sekretarza Stanu Pawła Olszewskiego była krótka, ogólna i wyraźnie pozytywnie nastrajająca. Bez wątpienia można cieszyć się, że NARESZCIE  po roku od daty wejścia w życie dyrektywy NIS2 doczekaliśmy się projektu ustawy, który w końcu nadawał się do skierowania do parlamentu. Dlaczego zajęło to tyle czasu? - to pytanie nadal pozostaje dla mnie zagadką, ale jest to przeszłość, na którą nie mamy wpływu. Tymczasem, pozwolę sobie podzielić się kilkoma refleksjami po wysłuchaniu konferencji.

Prezentacja UKSC: ogólniki i pośpiech

Być może dlatego, że z utęsknieniem wyczekiwałam nowelizacji Ustawy o KSC, konferencja MC pozostawiła we mnie niedosyt. Prezentacja była prowadzona na bardzo ogólnym poziomie, okraszona statystyką ataków, oraz truizmami o czyhających zagrożeniach i konieczności zapewnienia bezpieczeństwa państwa. Kilka pokazanych slajdów przypomniało podstawę prawną ustawy - czyli dyrektywę NIS2, nowe podmioty Krajowego Systemu Cyberbezpieczeństwa, w tym CSIRTy sektorowe oraz nowe sektory objęte wymaganiami ustawy. Zdaje się, że Ministerstwo Cyfryzacji przyjęło założenie, że słuchacze doskonale znają szczegóły projektu, skoro postanowili ich nie omawiać. Trudno też było mi się pozbyć wrażenia  pośpiechu.

Finansowanie Krajowego Systemu Cyberbezpieczeństwa

Dobra wiadomość jest taka, że ustawa otrzymała wsparcie finansowe, z czego 300 mln PLN ma zostać wydanych w pierwszym roku obowiązywania ustawy.

Według dostępnych danych rządowych i branżowych, całkowite wydatki Polski na cyberbezpieczeństwo w 2025 roku wynoszą około 4 mld złotych, z czego około 3,1 mld zł przypada na sektor cywilny, a pozostała część — około 0,9 mld zł — na sektor wojskowy.​

Podział środków między sektorem cywilnym a wojskowym

Sektor cywilny (ok. 3,1 mld zł): fundusze te są skupione wokół programów Ministerstwa Cyfryzacji, NASK-PIB i KPRM. Wśród największych pozycji znajdują się:

  • 1,8 mld zł z programu Fundusze Europejskie na Rozwój Cyfrowy 2021–2027 – w tym Cyberbezpieczny Samorząd (1,47 mld zł) i Centrum Cyberbezpieczeństwa NASK (310 mln zł);
  • 860 mln zł z Krajowego Planu Odbudowy – m.in. program „Cyberbezpieczny Rząd” (271 mln zł) i ochrona infrastruktury wodociągowej (ponad 300 mln zł);
  • 355 mln zł z Funduszu Cyberbezpieczeństwa dla kluczowych podmiotów infrastruktury krytycznej;
  • 90 mln zł w dotacjach celowych oraz 40 mln zł na utrzymanie operacyjne krajowego CSIRT (NASK-PIB).​

Sektor wojskowy (ok. 0,9 mld zł): finansowanie pochodzi głównie z budżetu MON oraz Funduszu Wsparcia Sił Zbrojnych, w ramach którego cyberbezpieczeństwo jest jednym z czterech priorytetów obok dronów i rozwoju systemów dowodzenia. Środki te obejmują projekty obronne, takie jak modernizacja wojskowych centrów kryptologii, rozbudowa infrastruktury CSIRT-MON oraz inwestycje w wojskowe sieci odporne na ataki.​

Środki w wysokości 355 mln zł z Funduszu Cyberbezpieczeństwa w 2025 roku zostały przeznaczone głównie na wzmocnienie ochrony systemów informacyjnych kluczowych podmiotów publicznych i administracyjnych, ze szczególnym uwzględnieniem sądów, prokuratur, administracji centralnej oraz sektorów infrastruktury krytycznej.​

Dotychczasowe kierunki wydatkowania środków z Funduszy Cyberbezpieczeństwa

Wymiar sprawiedliwości (ok. 38 podmiotów)


Część środków trafiła do sądów i prokuratur w ramach programu cyfryzacji wymiaru sprawiedliwości prowadzonego wspólnie przez Ministerstwo Cyfryzacji i Ministerstwo Sprawiedliwości.

  1. Finansowano projekty modernizujące systemy informatyczne (np. Cyfrowe Rejestry).
  2. Wypłacano tzw. świadczenia teleinformatyczne – dodatki do wynagrodzeń dla specjalistów IT w prokuraturach i sądach.
  3. Wsparciem objęto 38 jednostek, które korzystają z funduszu w 2025 roku (dla porównania w 2022 – 2 jednostki, a w 2024 – 86).​

Infrastruktura krytyczna i administracja publiczna


Pozostała część środków (ok. 300 mln zł) wspiera cyfryzację infrastruktury krytycznej, m.in. energetyki, transportu i sektora publicznego.

  1. Finansowane są projekty dotyczące automatyzacji detekcji incydentów, wdrażania Security Operations Centers (SOC) oraz integracji z krajowym systemem CSIRT.
  2. Środki trafiają do operatorów usług kluczowych oraz instytucji nadzorczych – zwłaszcza w ramach przygotowań do pełnego wdrożenia przepisów NIS2 i nowelizacji ustawy o Krajowym Systemie Cyberbezpieczeństwa.​

Rozwój kompetencji i utrzymanie ekspertów IT


Część funduszu przeznaczono także na szkolenia i działania motywacyjne dla kadr cyberbezpieczeństwa administracji publicznej oraz utrzymanie specjalistów poprzez finansowanie „dodatków teleinformatycznych”. To odpowiedź na chroniczny niedobór ekspertów w tym obszarze.​

Warto wybierać szkolenia, które wzmocnią pracowników i dadzą im realne kompetencje. Jak na przykład szkolenie "Zarządzanie bezpieczeństwem - poziom Specjalista", które znajdziesz w naszej ofercie.  Certyfikat potwierdzający kwalifikację „Zarządzanie cyberbezpieczeństwem – poziom specjalista (PRK4)”  może  stanowić dowód posiadania specjalistycznej wiedzy, który jest jednym z warunków niezbędnych do przyznania dodatku teleinformatycznego w administracji publicznej lub resortach takich jak MON, MSWiA czy Ministerstwo Cyfryzacji.


Plany wykorzystania 300 mln zł

Nowelizacja ustawy o Krajowym Systemie Cyberbezpieczeństwa, przyjęta w 2025 roku, zakłada finansowanie w wysokości 300 mln zł w pierwszym roku obowiązywania (z budżetu państwa). Według komunikatów Ministerstwa Cyfryzacji środki te zostaną przeznaczone na:​

  • budowę systemu nadzoru nad dostawcami wysokiego ryzyka (np. sprzętu sieciowego),
  • rozbudowę infrastruktury i zespołów CSIRT sektorowych, w tym urzędowego CSIRT-GOV, CSIRT-NASK i CSIRT-MON,
  • rozwój krajowych zdolności certyfikacji i akredytacji sprzętu i oprogramowania, zgodnych z unijnym aktem o cyberbezpieczeństwie (Cybersecurity Act),
  • modernizację systemu zgłaszania i analizowania incydentów oraz szkolenia dla operatorów usług kluczowych i dostawców IT,
  • wdrożenie procedur klasyfikacji dostawców zgodnych z unijnymi regulacjami (NIS2, CRA).

Finansowanie ma charakter wieloletni i będzie wzrastać w kolejnych latach, wraz z wdrażaniem nowych obowiązków sprawozdawczych i certyfikacyjnych.

„Lex Huawei” i dostawcy wysokiego ryzyka

Nowelizacja ustawy o KSC nazywana jest złośliwie  “Lex Huawei”, gdyż zapisy dotyczące dostawców wysokiego ryzyka odbierane są jako kierowane przede wszystkim pod adresem chińskiego producenta sprzętu teleinformatycznego Huawei. Kwestia ta sięga korzeniami do dawnych wątpliwości i zarzutów pod adresem chińskiego giganta, odnośnie do obaw o możliwości dostępu chińskich służb i wywiadu do informacji przetwarzanych przez ich urządzenia. Wówczas rozpoczęła pracę Grupa Robocza "EU 5G Toolbox”, w której braliśmy udział. Zapisy dotyczące „dostawcy wysokiego ryzyka” (high-risk vendor, HRV) w nowelizacji ustawy o Krajowym Systemie Cyberbezpieczeństwa pochodzą właśnie z prac Grupy Współpracy ds. Sieci i Systemów Informacyjnych UE (NIS Cooperation Group), która w 2020 roku opracowała dokument „EU 5G Toolbox” — zestaw rekomendacji mających ograniczyć ryzyka w infrastrukturze sieci 5G.​

Geneza i źródło koncepcji

5G Toolbox został uzgodniony przez państwa członkowskie UE, Komisję Europejską oraz ENISA jako odpowiedź na wspólną europejską analizę zagrożeń dla sieci piątej generacji.


W dokumencie tym państwa UE zobowiązały się m.in. do:​

  • zaostrzenia wymogów bezpieczeństwa wobec operatorów i dostawców,
  • oceny profilu ryzyka dostawców,
  • stosowania ograniczeń lub wyłączeni wobec dostawców uznanych za wysokiego ryzyka,
  • dywersyfikacji źródeł dostaw.

Te założenia zostały następnie przyjęte w opracowaniach Komisji Europejskiej i potwierdzone w raportach wdrożeniowych 2023–2024, wskazujących, że pojęcie dostawcy wysokiego ryzyka ma swoje źródło właśnie w Toolboxie.​

Implementacja EU 5G Toolbox w Polsce

Polski projekt nowelizacji ustawy o KSC wprowadza formalnie instytucję „dostawcy wysokiego ryzyka”, której podstawą koncepcyjną są zalecenia z EU 5G Toolbox. Jak wskazuje analiza naukowa i raporty legislacyjne, KSC 2025 implementuje rekomendacje Toolboxa z wykorzystaniem kryteriów oceny ryzyka opracowanych przez Grupę NIS — takich jak powiązania z państwami trzecimi, stabilność dostaw i przejrzystość ładu korporacyjnego.​

W praktyce oznacza to, że polskie przepisy w sprawie uznania dostawy lub producenta ICT za „wysokiego ryzyka” stanowią transpozycję unijnej koncepcji HRV z 5G Toolbox, rozszerzoną również na inne sektory infrastruktury krytycznej poza telekomunikacją, a nie czystą niechęć do konkretnego podmiotu lub kraju.

"5G Toolbox" to unijny zestaw narzędzi dla bezpieczeństwa sieci 5G, który zawiera rekomendacje dotyczące zagrożeń i środków zaradczych, mających na celu zapewnienie wspólnego, wysokiego poziomu bezpieczeństwa sieci. W Polsce prace nad polskim wdrożeniem tego dokumentu koordynowało Ministerstwo Cyfryzacji we współpracy z grupą roboczą z NASK, Instytutu Łączności oraz ABW, a także z konsultacjami z MON i BBN.

Sekretarz Stanu Paweł Olszewski poświęcił całość swojego krótkiego wystąpienia zapewnieniom, że zapisy dotyczące dostawców wysokiego ryzyka, nie są kierowane przeciwko jakiejkolwiek firmie, a jedynie mają na celu zapewnienie możliwości wycofania konkretnych urządzeń. Natychmiast powstała we mnie wątpliwość, czemu zatem stosuje się pojęcie “dostawcy wysokiego ryzyka”, a nie “urządzenie (lub system) wysokiego ryzyka”?

Jest to kluczowa różnica, prawna i strategiczna. Jeśli rzeczywistym celem jest eliminacja zagrożenia, logiczne byłoby skupienie się na technicznych cechach sprzętu: backdoorach, lukach w kodzie, wbudowanych funkcjach szpiegujących. Użycie pojęcia „dostawca” sugeruje, że decyzje mogą być oparte nie na audycie technicznym, lecz na kryteriach geopolitycznych, kraju pochodzenia czy powiązaniach kapitałowych.

Czy tak szerokie, politycznie motywowane kryterium nie stworzy precedensu dla protekcjonizmu? Czy nie zostanie wykorzystane do rynkowego wykluczania pod pozorem bezpieczeństwa, zamiast faktycznego eliminowania zagrożeń, do czego ustawa ma służyć? W tym obszarze potrzebna jest maksymalna transparentność procedury orzekania o „wysokim ryzyku”, na co minister Olszewski kilkakrotnie zwracał uwagę, podkreślając długotrwały i żmudny proces uznawania podmiotu za dostawcę wysokiego ryzyka. Ja żałowałam jedynie, że nie wyjaśnił genezy tego pojęcia i historii prac. Być może wynikało to właśnie z pośpiechu, a może z problemów w komunikowaniu opinii publicznej skomplikowanych zależności.

Czy 4-7 lat na wymianę infrastruktury to za długo?

Rząd przewiduje 4–7 lat na wycofanie sprzętu pochodzącego od dostawców wysokiego ryzyka. To anachronicznie długi okres. W cyklu życia technologii (zwłaszcza 5G i IT infrastruktury krytycznej) to cała epoka. W warunkach wojny hybrydowej, czy naprawdę możemy pozwolić sobie na utrzymywanie potencjalnych bramek szpiegowskich w infrastrukturze przez kolejne siedem lat?

Nawet jeśli to ustępstwo wobec operatorów, by uniknąć ich bankructwa, rodzi się pytanie: gdzie leży granica między kosztem ekonomicznym a bezpieczeństwem narodowym? Czy zamiast długiego horyzontu czasowego rząd nie powinien bezpośrednio dofinansować szybszej wymiany sprzętu — traktując to jako wydatki wojenne na obronę cybernetyczną?


Nowelizacja KSC to potrzebny i długo oczekiwany krok w stronę realnego wzmocnienia cyberbezpieczeństwa państwa. Entuzjazm nie powinien jednak przesłonić pytań o tempo wdrożenia, efektywność finansowania i rzeczywistą zmianę kultury bezpieczeństwa. Jeśli nie chcemy, by KSC stało się tylko aktem symbolicznym, musimy patrzeć rządowi na ręce — z troską, ale i z krytyczną precyzją.

Zapisz się już teraz! 

Subskrybując newsletter Davidson Consulting, otrzymujesz merytoryczne analizy z zakresu zarządzania ryzykiem, ciągłości działania, cyberbezpieczeństwa i compliance (m.in. DORA, NIS2), a także informacje o naszych usługach i produktach, które pomogą Ci skutecznie wdrożyć prezentowane strategie.  

Pamiętaj, Twoja subskrypcja jest w pełni dobrowolna i możesz ją anulować w każdej chwili jednym kliknięciem.
* - Pole obowiązkowe
Dziękujemy za zapisanie się do Forum Ekspertów Odporności Operacyjnej.
Ups! Coś poszło nie tak podczas uzupełnienia formy. Spróbuj ponownie lub skontaktuj się bezpośrednio.

Najnowsze artykuły:

Mobilizacja pracowników a obowiązki firmy
Rosyjskie drony nad Polską: Poradnik - Co powinna zrobić firma po odebraniu ostrzeżenia?
Cła Trumpa i chaos
Miejsce na schron - nowe rozporządzenie
ENISA 2025: wyzwania i zalecenia dla UE

Kategorie:

ICT Navigator
Geopolityka a biznes
Ochrona ludności
Bezpieczeństwo łańcucha dostaw
Zarządzanie kryzysowe
Incydenty
Szkolenia
Wydarzenia
Komunikacja kryzysowa
Audyt
Sygnaliści
Zgodność
Cyberbezpieczeństwo
Ciągłość działania

Oferta Davidson Consulting:

Business ContinuityZarządzanie ryzykiemCyberbezpieczeństwoRozmowy o ryzykuRaporty

Najnowsze artykuły

ENISA 2025: wyzwania i zalecenia dla UE

Europejska Agencja ds. Cyberbezpieczeństwa (ENISA) opublikowała raport Threat Landscape 2025, przedstawiający przegląd ekosystemu cyberzagrożeń w Europie wokresie od lipca 2024 do czerwca 2025 roku.
Czytaj dalej
Raport

ENISA 2025: wyzwania i zalecenia dla UE

Cyberbezpieczeństwo
Geopolityka a biznes
Bezpieczeństwo łańcucha dostaw
ENISA, raport, cyberbezpieczeństwo, threats
Administracja publiczna
IT i technologia

Globalna awaria Azure Front Door

Analiza incydentu i wnioski dla sektora finansowego (i nie tylko)
Czytaj dalej
Case Study

Globalna awaria Azure Front Door

Cyberbezpieczeństwo
Zarządzanie kryzysowe
Bezpieczeństwo łańcucha dostaw
Incydenty
awaria Microsoft Azure, awaria Azure Front Door, globalna awaria Microsoft, Azure Front Door outage, Microsoft Azure outage, awaria usług Microsoft, niedostępność usług Microsoft, Azure AD, Entra ID, App Service, Azure SQL Database, Azure Portal, Xbox, Minecraft, chmura Microsoft, awaria chmury, błąd konfiguracji Azure, konfiguracja tenant, software defect, wada oprogramowania, błąd ludzki Microsoft, human error Azure, efekt kaskadowy, przeciążenie węzłów Azure, awaria DNS, Azure DNS outage, rollback Azure, last known good configuration, LKGC, Site Reliability Engineering, SRE, defense in depth, automatyzacja wdrożeń, błąd walidacji konfiguracji, błędna konfiguracja, kontrola konfiguracji Azure, edge case Azure, control plane, data plane, failure in validation, awaria globalna, Microsoft incident report, Post Incident Report, PIR Microsoft, YKYN-BWZ, resilience Azure, cloud resilience, odporność operacyjna, operational resilience, DORA, Digital Operational Resilience Act, regulacje DORA, zgodność z DORA, compliance DORA, KNF, Komisja Nadzoru Finansowego, nadzór finansowy, ryzyko koncentracji, third party risk, ryzyko dostawcy chmury, cloud risk management, vendor lock-in, multicloud, multi-cloud, multi-region, geodywersyfikacja, architektura odporna, cloud architecture, disaster recovery, DRP, business continuity, BCP, cloud outage analysis, audyt chmurowy, cloud audit, SOC 2, cloud governance, SLA, RTO, RPO, czas odtworzenia Azure, Microsoft downtime, outage recovery, chaos engineering, testy negatywne, automatyczny rollback, Canary Deployment, phased deployment, failover Azure, critical third party provider, CCP, ESAs, EBA, EIOPA, ESMA, nadzór nad dostawcami chmury, resilience banking, odporność banków, ryzyko chmurowe w sektorze finansowym, ryzyko technologiczne, ciągłość działania, cloud compliance, architektura wielochmurowa, cloud diversification, multivendor strategy, strategia multicloud, optymalizacja kosztów chmury, cloud cost optimization, cloud latency, Azure performance, globalna infrastruktura Microsoft, awarie AWS, porównanie Azure AWS, cloud dependency, single point of failure, SPOF, cloud reliability, cloud security, błędy operacyjne Microsoft, analiza incydentu Azure, raport Microsoft Azure, zarządzanie ryzykiem ICT, cloud risk, infrastruktura krytyczna, cloud incident response, audyt poawaryjny, analiza PIR, Microsoft transparency report, cloud service disruption, krytyczne usługi ICT, chmura publiczna, odporność regulacyjna, zgodność z regulacjami UE, dyrektywa DORA, bezpieczeństwo chmury, cloud compliance EU, KNF DORA wytyczne, architektura bankowa, infrastruktura finansowa, cloud resilience strategy, zarządzanie ciągłością działania, ryzyko operacyjne, ryzyko ICT, cyberbezpieczeństwo sektora finansowego.
IT i technologia
Bankowość i rynki finansowe
Firmy w Polsce

Ataki na bankomaty Santander w Poznaniu

Analiza odpowiedzialności, zwrotu środków i wyzwań bezpieczeństwa.
Czytaj dalej
Case Study

Ataki na bankomaty Santander w Poznaniu

Incydenty
Zgodność
atak Santander, Santander bankomaty, zwrot środków po nieautoryzowanej transakcji, odpowiedzialność banku za straty klientów, skimming bankomatowy, zabezpieczenia bankomatów Santander, skradzione pieniądze Santander bank, umowy między bankiem a operatorem bankomatów, dyrektywa PSD2 w ochronie konsumentów, silne uwierzytelnianie klienta (SCA), monitoring bankomatów i wykrywanie oszustw, postępowanie prokuratorskie w sprawie skimmingu, odzyskiwanie pieniędzy przez bank, procedury bezpieczeństwa banku Santander, edukacja klientów w zakresie cyberbezpieczeństwa, System Bezpieczeństwa Danych Przemysłu Kart Płatniczych (PCI DSS), skimmery i kamery na bankomatach, operatorzy bankomatów Euronet i ITCARD, ryzyko prawne banku przy atakach na bankomaty, audyty i testy penetracyjne w sektorze bankowym, współpraca banku z organami ścigania w sprawach cyberprzestępczości.
Bankowość i rynki finansowe

Jak przygotowywać testy planów lub procedur awaryjnych

Incydent w Erding wyraźnie nas uczy: nie możemy sobie pozwolić na „uczenie się na błędach" w obszarach, gdzie stawką jest życie ludzkie.
Czytaj dalej
Case Study

Jak przygotowywać testy planów lub procedur awaryjnych

Komunikacja kryzysowa
Ochrona ludności
Zarządzanie kryzysowe
testy planów awaryjnych, testowanie procedur awaryjnych, zarządzanie ciągłością działania, plan reagowania kryzysowego, zarządzanie kryzysowe, analiza incydentu bezpieczeństwa, analiza incydentu Erding, incydent w Erding, Bundeswehra, ćwiczenia wojskowe Erding, strzelanina podczas ćwiczeń, błędy komunikacji między wojskiem a policją, zarządzanie ryzykiem operacyjnym, ćwiczenia międzyresortowe, komunikacja kryzysowa, błędy w komunikacji między służbami, unified command, testowanie odporności organizacji, analiza FMEA, zarządzanie incydentami, bezpieczeństwo infrastruktury krytycznej, planowanie testów bezpieczeństwa, kultura bezpieczeństwa, lessons learned, testowanie systemów łączności, dobre praktyki testowania procedur, kryzys w Bawarii, systemowe błędy bezpieczeństwa, koordynacja służb, komunikacja międzyresortowa, zarządzanie incydentami w czasie rzeczywistym
Administracja publiczna
Podmioty ważne i kluczowe
Przejdź do wszystkich wpisów