Kto i ile zapłaci za Krajowy System Cyberbezpieczeństwa?

Wygląda na to, że niekończąca się historia nowelizacji Krajowego Systemu Cyberbezpieczeństwa powoli jednak zmierza do finału. Ten natomiast, mimo wielu pozytywnych aspektów, zawiera też jeden, o którym mówi się nieco ciszej: koszty. 

Lata pracy, mało efektów

Przyznaję, siadając do tego tematu mam wrażenie deja vu. Proces nowelizacji ustawy o Krajowym Systemie Cyberbezpieczeństwa to wieloletnia i złożona ewolucja przepisów, która z początkowej próby uregulowania rynku 5G przekształciła się w fundamentalną reformę cyfrowego bezpieczeństwa państwa. Wszystko zaczęło się w 2020 roku, kiedy to pierwsze projekty powstały głównie jako odpowiedź na unijne wytyczne dotyczące bezpieczeństwa sieci nowej generacji. Wówczas głównym punktem sporu stały się przepisy o tzw. dostawcy wysokiego ryzyka, które dawały państwu narzędzia do wykluczania konkretnych producentów sprzętu telekomunikacyjnego z polskiego rynku. Towarzyszyły temu koncepcje powołania jednoosobowej spółki Skarbu Państwa jako Operatora Strategicznej Sieci Bezpieczeństwa, co wywoływało liczne kontrowersje w sektorze prywatnym i skutkowało wielokrotnym przesyłaniem dokumentu do poprawek.

Przez kolejne lata, 2021 i 2022, prace legislacyjne toczyły się powoli, a jeśli wierzyć kuluarowym rozmową, opóźnienia znajdowały się w cieniu sporów kompetencyjnych wewnątrz rządu. Projekt przechodził przez kolejne iteracje, a w tym czasie polski ustawodawca musiał zacząć brać pod uwagę coraz szerszy kontekst geopolityczny, w tym rosnącą liczbę cyberataków o charakterze państwowym, co wymusiło wzmocnienie roli krajowych CSIRT-ów (zespołów reagowania na incydenty bezpieczeństwa komputerowego) oraz stworzenie Funduszu Cyberbezpieczeństwa.

Przełomowym momentem okazał się rok 2023, kiedy to wejście w życie unijnej dyrektywy NIS2 narzuciło konieczność radykalnego rozszerzenia zakresu nowelizacji. Prace nabrały tempa, ponieważ Polska musiała dostosować swoje prawo nie tylko do kwestii 5G, ale do objęcia rygorystycznymi wymogami bezpieczeństwa dziesiątek tysięcy podmiotów z nowych sektorów, takich jak energetyka, transport, ochrona zdrowia, a nawet produkcja żywności czy gospodarka odpadami. 

Po zmianie władzy w 2024 roku proces ten wszedł w fazę finalną pod nadzorem Ministerstwa Cyfryzacji, które położyło większy nacisk na transparentność procedur i realną odpowiedzialność zarządów firm za poziom zabezpieczeń. 

Opór przeciw kosztom

Finalnie, w drugiej połowie stycznia 2026 roku Sejm uchwalił nowelizację ustawy o Krajowym Systemie Cyberbezpieczeństwa. Na chwilę dokument czeka na podpis Prezydenta RP. Na początku lutego 2026 aż 11 organizacji wystosowało wspólny apel do Karola Nawroskiego o skierowanie projektu ustawy do Trybunału Konstytucyjnego. Ponieważ aktualnego prezydenta nie trzeba do blokowania projektów rządowych specjalnie zachęcać, byłbym skłonny postawić na to, że głowa państwa przychyli się do prośby, pod którą podpisały się m.in. organizacje takie jak Związek Pracodawców Business Centre Club, Polska Izba Handlu, Organizacja Pracodawców Rada Przedsiębiorców czy Krajowa Izba Komunikacji Ethernetowej (KIKE). 

Krytycy nowelizacji ustawy o Krajowym Systemie Cyberbezpieczeństwa podnoszą przede wszystkim zarzuty dotyczące naruszenia konstytucyjnych gwarancji ochrony własności oraz zasad sprawiedliwości proceduralnej. Największe kontrowersje wzbudza mechanizm uznawania podmiotów za dostawców wysokiego ryzyka (DWR), który wiąże się z koniecznością natychmiastowego wycofania ich sprzętu z infrastruktury krytycznej. Zdaniem przeciwników, wprowadzenie rygoru natychmiastowej wykonalności bez jednoczesnego zapewnienia systemu odszkodowań stanowi de facto wywłaszczenie przedsiębiorców bez winy, co może być sprzeczne z art. 21 ust. 2 Konstytucji RP. Sytuację pogarsza fakt, że ustawa wprowadza model jednoinstancyjny, pozbawiając firmy prawa do wniosku o ponowne rozpatrzenie sprawy, co w ocenie ekspertów uderza w fundamenty demokratycznego państwa prawnego. Podnoszone są także argumenty o, zdaniem autorów listu, iluzorycznym charakterze ochrony przed sądami administracyjnymi, wynikającym z prowadzenia posiedzeń w trybie niejawnym oraz ograniczania dostępu do uzasadnień wyroków, co paraliżuje możliwość skutecznego wniesienia skargi kasacyjnej do Naczelnego Sądu Administracyjnego. Dodatkowo, sygnatariusze apeli wskazują na uchybienia proceduralne na szczeblu unijnym, a konkretnie na brak notyfikacji ustawy Komisji Europejskiej. Jest to o tyle istotne, że polskie przepisy znacząco wykraczają poza minimalne wymogi dyrektywy NIS2, co bez odpowiedniego zgłoszenia może prowadzić do podważania legalności całej regulacji przed organami międzynarodowymi.

Troska o stanowienie dobrego, trudnego do obejścia, a łatwego w stosowaniu prawa? Być może także, ale, jak sądzę, najważniejsze jest tu coś innego. Raport opublikowany przez KIKE może wskazywać na główny, realny cel sygnatariuszy listu do Karola Nawrockiego. Nikt bowiem nie kwestionuje konieczności regulacji. Pojawia się natomiast szereg obaw związanych z kosztami. 

Jak wynika z badania opublikowanego przez KIKE, koszty są natomiast więcej niż poważne. Organizacja przebadała 152 firmy różnej wielkości, sprawdzając, jakie obciążenie wynikające z wprowadzenia ustawy w obecnej formie poniosą ankietowani przedsiębiorcy. Przy założeniu, że zostaną objęci koniecznością wymiany rozwiązań pochodzących od tzw. Dostawców Wysokiego Ryzyka (DWR), koszt wymiany sprzętu, oprogramowania, wliczając w to wymagane wsparcie techniczne, w ciągu 5 lat wynieść ma, bagatela, 4,3 mln zł netto na firmę. Przy ponad 3 tysiącach podmiotów podlegających regulacji, łączna suma obciążeń staje się gigantyczna, mimo że w oficjalnej Ocenie Skutków Regulacji (OSR) koszty te pominięto jako „niemierzalne”.

Czy to pesymistyczne założenie? Niekoniecznie. Z badania wynika, że aż 81% lokalnych operatorów opiera swoją infrastrukturę na sprzęcie pochodzącym z tych kierunków, które stwarzają ryzyko objęcia dostawcy procedurą DWR. Jeśli decyzja o uznaniu danego producenta za dostawcę wysokiego ryzyka wejdzie w życie, przedsiębiorcy będą zmuszeni do całkowitej wymiany floty urządzeń. 

Problem nie kończy się na finansach. Przedsiębiorcy alarmują, że na rynku brakuje realnych zamienników dla obecnie stosowanych technologii. Prawie 70% ankietowanych twierdzi, że nie widzi możliwości zastąpienia posiadanych rozwiązań sprzętem pochodzącym wyłącznie z krajów sojuszniczych bez utraty stabilności sieci. Aż 85% firm przewiduje, że nagła konieczność wycofania urządzeń doprowadzi do pogorszenia jakości internetu, a w skrajnych przypadkach – do całkowitego wstrzymania świadczenia usług dla klientów końcowych.

Co to oznacza dla użytkowników końcowych? 

Nikt z sygnatariuszy zapewne nie powie tego wprost, nie powinniśmy spodziewać się podobnego głosu ze strony ustawodawcy, ale wydaje się oczywiste, że za ową zmianę zapłaci klient końcowy. Gdyby ustawa weszła w życie w jej obecnym kształcie, zapewne najlepszą odpowiedzią na pytanie postawione w tytule tego tekstu będzie cytat z klasyki polskiej kinematografii: „No i panie, kto za to płaci? Pan płaci, pani płaci, my płacimy. To są nasze pieniądze proszę pana”

Chociaż ja sam jestem gorącym zwolennikiem uszczelnienia systemu, czego wymaga nasze geopolityczne położenie, sądzę, że należy zrobić to tak, aby nie położyć przy tym wielu mniejszych biznesów. Duzi operatorzy sobie poradzą. Mali, lokalni ISP, zwyczajnie “pójdą z torbami”. A tego, choćby ze względu na ich działanie w miejscach, po które gigantom rynku nie chce się schylać, chyba chcemy uniknąć, prawda?