Subskrybuj nas na Youtube
Zapisz się na newsletter
Projekt nowelizacji ustawy o krajowym systemie cyberbezpieczeństwa (KSC) implementuje do polskiego porządku prawnego kluczową unijną dyrektywę NIS2 (Dyrektywa 2022/2555). Teraz przepisami zajmie się parlament. To regulacja mająca na celu podniesienie poziomu odporności państwa na cyberzagrożenia. Ma być odpowiedzią na pojawianie się nowych cyberzagrożeń oraz szybki wzrost katalogu usług publicznych dostępnych online. Nowe przepisy wzmocnią z kolei podmioty krajowego systemu cyberbezpieczeństwa i umożliwią znacznie szybszą rewolucję w reagowaniu na ataki cyfrowe.
Projektowane rozwiązania mają wymusić inwestycje w sprzęt oraz zwiększyć finansowanie kadr IT, co podniesie odporność systemów informatycznych. Ustawa wprowadza też nowe obowiązki, takie jak dwuetapowe zgłaszanie incydentów (wczesne ostrzeżenie w 24 godziny, zgłoszenie incydentu w 72 godziny) czy bezpośrednia odpowiedzialność karnoadministracyjna kierowników podmiotów za zaniedbania w obszarze cyberbezpieczeństwa.
Ministerstwo Cyfryzacji wykazuje silną determinację do jak najszybszego wdrożenia przepisów, najlepiej jeszcze w tym roku. Czas nagli - unijny termin na implementację dyrektywy NIS2 minął 17 października 2024 r.
Wydaje się jednak, że rząd przyjął projekt z fundamentalną, wewnętrzną sprzecznością. Eksperci, a co ważniejsze sami członkowie rządu zwracają uwagę na brak pieniędzy na jego wdrożenie. W swoich pismach wysłanych w ramach uwag zgłoszonych do projektu alarmują o tym m.in. ministrowie zdrowia, infrastruktury i energii. Ten ostatni zaznaczył, że w punkcie 4. roboczych ustaleń Stałego Komitetu Rady Ministrów z 21 sierpnia br. zostało jasno wskazane, iż minister finansów i gospodarki przedstawił stanowisko o braku środków na sfinansowanie wydatków, które niesie ze sobą nowelizacja ustawy. Wynik tych ustaleń jest taki, że ustawa ma być realizowana bezkosztowo, a ewentualne spory będą rozstrzygane na poziomie Rady Ministrów.
Ministerstwo Energii podtrzymuje stanowisko dotyczące konieczności otrzymania środków finansowych na realizację zadań nakładanych nowelizowaną ustawą. Jak podkreślono, środki finansowe, które zostały szczegółowo wyliczone w ocenie skutków regulacji do projektu, są niezbędne do wykonywania zadań nałożonych ustawą. I zauważa, że skala wyzwania, przed którym stoi resort energii, jest ogromna. Obecnie minister energii nadzoruje pod kątem cyberbezpieczeństwa 71 operatorów usług kluczowych (OUK). Jak zaznacza, nie są to małe podmioty, lecz jedne z większych spółek z kluczowych podsektorów: energii elektrycznej, gazu, ropy naftowej, ciepła i wydobycia kopalin. Tymczasem nowelizacja ustawy w sposób istotny rozszerzy katalog zadań nałożonych na ministra, a przede wszystkim liczbę nadzorowanych podmiotów. Według szacunków resortu wzrośnie ona do ok. 400.
Minister wskazuje, że już dziś zadania te realizuje zaledwie sześć osób, co jest niewystarczające i powoduje przekroczenie limitów finansowania przewidzianych w obecnej ustawie. Co gorsza, to minimalne finansowanie zapewnione jest tylko do 2027 r. Zatem jak mówi, skuteczna realizacja funkcji nadzorczych nad ok. 400 podmiotami, gdy do dyspozycji jest sześć etatów, jest niemożliwa.
OSR do projektu ustawy szczegółowo wylicza niezbędne nakłady. W tabeli „Podsumowanie nowych etatów” wprost wskazano, że sektor energii potrzebuje 19 nowych etatów dla organu właściwego (ministra energii). Są one niezbędne do prowadzenia działań nadzorczo-kontrolnych, legislacyjnych, współpracy krajowej i międzynarodowej, postępowań o nałożenie kar oraz realizacji innych zadań organu.
Rządowy dokument przyznaje, że pozyskanie tych kadr nie będzie tanie. OSR zakłada dla nich maksymalny mnożnik kwoty bazowej w wysokości 4,0. Dokument powołuje się na raporty płacowe z sektora prywatnego, w którym średnia pensja specjalisty IT to 11 427,00 zł brutto (dane z 2023 r.), i ostrzega, że obniżenie poziomu finansowania może spowodować ryzyko odpływu doświadczonych pracowników do sektora prywatnego oraz że nieadekwatne wynagrodzenie nie przyciągnie kandydatów z rynku. Oprócz pensji OSR wylicza też jednorazowy koszt wyposażenia stanowiska pracy na 11 030 zł (m.in. w komputer, stację dokującą, telefon, licencje).
To jednak nie wszystko. Nowa ustawa przewiduje utworzenie Specjalistycznych Sektorowych Zespołów Reagowania na Incydenty Bezpieczeństwa Komputerowego (CSIRT). Dla energetyki OSR planuje „CSIRT energia”. I tu rządowy dokument znów podaje konkretne kwoty. Roczny koszt funkcjonowania takiego CSIRT sektorowego oszacowano na maksymalnie 8 238 000 zł. Kwota ta, bazująca na planie finansowym istniejącego Centrum Cyberbezpieczeństwa, ma pokryć m.in. wynagrodzenia dla ok. 20 ekspertów (3 939 000 zł), koszt usług obcych (1 650 000 zł), koszt materiałów i energii (277 000 zł) oraz koszty amortyzacji (280 000 zł).
Warto przy tym zaznaczyć, że problem dotyczy nie tylko energii. 19 etatów dla tego resortu to tylko ułamek z 377 nowych etatów, które OSR uznaje za niezbędne dla wszystkich organów nadzoru. Podobnie „CSIRT energia” to tylko jeden z 10 nowych sektorowych CSIRT-ów, które mają powstać (m.in. dla transportu, zdrowia, żywności oraz gospodarki wodnej). Łączne wydatki budżetu państwa przewidziane w OSR na 10 lat to ponad 6,6 mld zł.
Infrastruktura i tykająca bomba KPO
Głos ministra energii nie jest odosobniony. Podobne pismo wystosował resort infrastruktury. Wynika z niego, że skala wyzwań w tym sektorze jest podobna do tej w energetyce. Ministerstwo alarmuje, że liczba nadzorowanych podmiotów wzrośnie z obecnych 32 do ok. 300, z perspektywą wzrostu o kolejne kilkaset w ciągu trzech lat. Jednocześnie ustawa nakłada na resort nowe obowiązki, takie jak przeniesienie zadań związanych z karami administracyjnymi od ministra cyfryzacji oraz, co kluczowe, obowiązek utworzenia własnego, sektorowego CSIRT.
Problem w tym, że obecne kadry są niewystarczające. Jak czytamy w piśmie, na realizację zadań nadzorczych ministerstwo ma obecnie osiem etatów, a na budowę i obsługę CSIRT sektorowego - zero. Tymczasem w OSR do projektu wyliczono, że resort infrastruktury potrzebuje na te zadania 44 nowych etatów do realizacji zadań organu właściwego (nadzór nad 300 podmiotami), co ma kosztować 8 455 432 zł rocznie, oraz 40 nowych etatów do zapewnienia funkcjonowania CSIRT sektorowego (dla sektora transportu oraz zaopatrzenia w wodę), co ma kosztować 15 229 280 zł rocznie.
Resort infrastruktury ujawnia, że przystąpił do tworzenia CSIRT sektorowego, korzystając ze wsparcia w ramach Krajowego Planu Odbudowy (KPO). Na przedsięwzięcie w ramach inwestycji C3.1.1: „Cyberbezpieczeństwo – CyberPL, infrastruktura przetwarzania danych oraz optymalizacja infrastruktury służb państwowych odpowiedzialnych za bezpieczeństwo” przyznano resortowi 13 160 080 zł. Pieniądze te mają jednak swój horyzont czasowy - okres kwalifikowalności wydatków mija 30 czerwca 2026 r. Plan był prosty: KPO finansuje utworzenie zespołu, a po tej dacie jego utrzymanie miały przejąć środki z nowej ustawy. Ministerstwo wprost przyznaje, że nie przewidziało we własnym budżecie środków na utrzymanie projektu.
Dlatego w piśmie resort ostrzega, że nieprzyznanie środków na realizację zadań wynikających z ustawy skutkowałoby ryzykiem braku środków na zapewnienie funkcjonowania CSIRT sektorowego, co w konsekwencji stanowiłoby ryzyko konieczności zwrotu otrzymanego w ramach KPO wsparcia. Innymi słowy, rządowa polityka „bezkosztowości” może kosztować Polskę utratę ponad 13 mln zł z funduszy unijnych, jednocześnie nie zwalniając ministra z ustawowego obowiązku utworzenia CSIRT.
Zdrowie w biurokratycznej pułapce
Podobnie wypowiada się minister zdrowia Jolanta Sobierańska-Grenda. W piśmie z 20 października 2025 r. zauważa, że zgodnie z OSR resort jest zobowiązany do sfinansowania skutków finansowych ustawy w ramach środków na ochronę zdrowia i w ramach ustalonego funduszu wynagrodzeń (niezwiększonego z tytułu tej ustawy), bez możliwości ubiegania się o dodatkowe środki ponad te kwoty i bez możliwości zwiększania limitu wydatków ministra zdrowia na wynagrodzenia osobowe. Zaznacza, że w praktyce uniemożliwi to wykonanie zadań.
A jest ich sporo. Projekt zakłada utworzenie 43 nowych etatów w Ministerstwie Zdrowia oraz 20 w podległym Centrum e-Zdrowia. Resort zdrowia wskazuje też na biurokratyczny absurd. Nawet gdyby minister spróbował uruchomić środki z rezerwy celowej (na co potrzebna jest decyzja ministra finansów), może nie być to możliwe. A to dlatego, że nie została ujęta w projekcie informacja o zwiększeniu limitu na wynagrodzenia, co może uniemożliwić wydanie przez ministra finansów i gospodarki pozytywnej decyzji w tym względzie.
Minister finansów przyznaje pieniądze, ale warunkowo
Tymczasem Ministerstwo Finansów i Gospodarki w piśmie z 20 października 2025 r. przyznaje, że Stały Komitet Rady Ministrów 4 września 2025 r. przyjął projekt z rozbieżnością w zakresie skutków finansowych. Informuje, że po ponownej analizie realizacja zadań w 2026 r. będzie mogła się odbywać ze środków rezerwy celowej poz. 56 - rezerwa na zmiany systemowe i niektóre zmiany organizacyjne, w tym nowe zadania.
Czy to rozwiązuje problem? W swoim piśmie resort stawia kilka warunków. Pieniądze będą uruchamiane sukcesywnie w zależności od realnego zapotrzebowania poszczególnych dysponentów oraz z uwagi na rozwój i stopień realizacji danych zadań ze szczególnym uwzględnieniem zasadności i możliwości zwiększenia etatowego poszczególnych urzędów.
To kluczowa zmiana. Zamiast stabilnego finansowania wyliczonego w OSR ministerstwa dostają obietnicę warunkowego uruchamiania rezerwy, uzależnioną od zasadności ocenianej przez MFiG. Co więcej, resort finansów ostrzega, że dalsze zwiększanie zatrudnienia będzie generowało skutki finansowe na lata następne, co może spowodować ograniczenia wydatków w innym zakresie.
Resort finansów podtrzymuje, że nie zgadza się na wyliczoną w OSR kwotę 250 mln zł na zwiększenie wydatków na świadczenia teleinformatyczne (dodatki dla specjalistów IT). Podważa także przyjętą w OSR waloryzację wynagrodzeń na poziomie 7,01 proc., domagając się jej oparcia wyłącznie na wskaźniku inflacji CPI.
Paraliż zamiast bezpieczeństwa
Co się stanie, jeśli rząd zignoruje własne wyliczenia z OSR i stanowiska kluczowych ministrów? W swoim liście minister energii przestrzega, że krajowy system cyberbezpieczeństwa w sektorze energii zostanie właściwie sparaliżowany. To nie jest problem administracyjny. Sparaliżowany system przełoży się bowiem bezpośrednio na zagrożenia dla stabilności jego funkcjonowania i większą podatność na cyberataki. Minister nazywa to wprost bezpośrednim zagrożeniem dla bezpieczeństwa państwa.
Szef resortu energii kończy swoje pismo mocnym podsumowaniem, że cyberbezpieczeństwo to inwestycja, a nie koszt. Podkreśla, że bezpieczeństwo państwa wymaga adekwatnego finansowania i jest wartością nadrzędną. Argumentuje, że koszty związane z materializacją cyberzagrożeń, takie jak ataki na infrastrukturę krytyczną, paraliż usług kluczowych dla obywateli czy wycieki danych, mogą wielokrotnie przewyższać środki finansowe, o które wnioskuje minister energii. AT
/>
