Czy UKSC obejmie największą liczbę podmiotów w UE?

Justyna Wilczyńska-Baraniak, adwokat, partner w EY Law

Gabriela Sacha, radca prawny, EY Law

Projekt nowelizacji ustawy o krajowym systemie cyberbezpieczeństwa (UKSC), implementujący dyrektywę NIS2, jest na zaawansowanym etapie prac legislacyjnych. Projekt właśnie trafił do Sejmu. Celem regulacji jest podniesienie poziomu cyberbezpieczeństwa w Polsce, co w obliczu rosnącej liczby cyberataków i zagrożeń cyfrowych, jest uzasadnione. Kluczowe pozostaje jednak zachowanie proporcjonalności przepisów - regulacje powinny równoważyć potrzebę ochrony infrastruktury i danych z możliwościami organizacyjnymi przedsiębiorstw, aby nie ograniczyć innowacyjności i tempa cyfryzacji gospodarki, a przede wszystkim unikać zbędnych kosztów.

Polska obiektem cyberataków

Cyberbezpieczeństwo jest dziś jednym z priorytetów. W ostatnich 12 miesiącach połowa firm w Polsce odczuła wzrost liczby cyberataków, a niemal połowa specjalistów ds. cyberbezpieczeństwa potwierdza zwiększoną liczbę incydentów. Ataki dotykają nie tylko dużych podmiotów, ale także MŚP, sektor ochrony zdrowia, administrację publiczną i infrastrukturę krytyczną. Konsekwencje cyberataków obejmują m.in. utracone dane osobowe i nieosobowe, straty finansowe, przestoje operacyjne, brak dostępu do kont bankowych i utratę reputacji.

Według raportu EY „Trendy i wyzwania w cyberbezpieczeństwie”, w 2024 roku aż 32 proc. polskich organizacji doświadczyło cyberataku, co oznacza wzrost o 23 proc. w porównaniu z rokiem poprzednim. Najczęściej wskazywane zagrożenia to phishing (ponad jedna trzecia zgłoszeń) oraz ataki na infrastrukturę krytyczną. Skala potwierdzonych incydentów rośnie – w ciągu roku ich liczba zwiększyła się o ponad jedną piątą, co pokazuje, że mimo rosnących inwestycji w zabezpieczenia, poziom odporności polskich firm wciąż pozostaje niewystarczający. UKSC może nie uchronić Polski przed cyberatakami

Projekt nowelizacji UKSC rozszerza katalog podmiotów objętych jej reżimem. Obowiązki dotyczące m.in. wdrożenia systemu zarządzania bezpieczeństwem informacji, raportowania incydentów oraz audytów obejmą co najmniej 38 tys. podmiotów¹. Harmonogram wdrożenia jest bardzo krótki - przewiduje miesięczne vacatio legis i sześć miesięcy na pełne dostosowanie, co może oznaczać wysokie koszty implementacji.

Podejście w projekcie UKSC, motywowane bezpieczeństwem państwa, w ograniczonym stopniu adresuje najczęstsze wektory ataków, z którymi mierzą się przedsiębiorstwa na co dzień - phishing, ataki ransomware czy luki wynikające z braku aktualizacji systemów. ²

Zamiast skupiać się na kosztownych rozwiązaniach przewidujących możliwość usunięcia produktu, usługi, procesu z infrastruktury informatycznej, z infrastruktury krytycznej, warto rozważyć model oparty na ryzyku, który jest znany z innych regulacji, takich jak RODO czy AI Act. Takie podejście pozwoli na elastyczne zarządzanie bezpieczeństwem, dostosowane do specyfiki organizacji, a jednocześnie zapewnia zgodność z wymogami unijnymi. Wdrożenie mechanizmów oceny ryzyka z udziałem użytkowników końcowych, audytów i raportowania incydentów może okazać się bardziej skuteczne niż wykluczanie technologii.

Szeroko komentowany i kontrowersyjny jest mechanizm wskazywania dostawców wysokiego ryzyka (DWR). Wykonanie tego mechanizmu w praktyce również będzie kosztowne. Podmioty kluczowe i ważne nie będą mogły bowiem korzystać z produktów lub usług ICT pochodzących od DWR. Obowiązek wycofania istniejących technologii może wymagać wymiany istotnej części infrastruktury IT, w tym sprzętu sieciowego czy oprogramowania zarządzającego.

Wprowadzając nowe regulacje, należy uwzględnić zarówno skalę zagrożeń, jak i realia biznesowe. Równocześnie, doświadczenia państw takich jak np. Finlandia pokazują, że minimalistyczne podejście do implementacji NIS2 może ograniczyć koszty i wspierać innowacyjność, jednocześnie zapewniając zgodność z wymogami unijnymi.

Implementacja NIS2 w innych państwach UE

Projekt UKSC wprowadza rozwiązania wykraczające poza minimalne wymogi dyrektywy NIS2, co określa się jako “gold plating”. Dyrektywa zakłada harmonizację poziomu cyberbezpieczeństwa w UE, tymczasem polska implementacja przewiduje dodatkowe obowiązki, niespotykane w ustawach implementujących w innych państwach członkowskich. Takie podejście może prowadzić do fragmentacji regulacyjnej i utrudniać funkcjonowanie przedsiębiorstw na jednolitym rynku cyfrowym.

Szczególnie wyraźny kontrast widać w porównaniu z Finlandią, która przyjęła podejście minimalistyczne, ograniczając się do kluczowych wymogów dyrektywy. Fińska ustawa o cyberbezpieczeństwie implementuje dyrektywę w sposób zgodny z jej treścią, bez dodawania rozwiązań ponad to, co przewiduje prawo unijne. ³ Takie podejście pozwala na zachowanie spójności regulacyjnej w UE i minimalizuje ryzyko dodatkowych obciążeń dla przedsiębiorstw związanych z różnymi wymogami na poziomie krajowym.

Inne państwa też proponują bardziej elastyczne przepisy. Dla przykładu, w Niemczech wprowadzono klauzulę ‘nieistotności’, która pozwala wyłączyć działalność, która nie należy do głównych aktywności podmiotu, a która mogłaby spowodować, że podmiot miałby zobowiązania pod implementacją (Sekcja 28 (3) BSI-Gesetz). Można w tym dostrzec wyjście naprzeciw realiom biznesowym podmiotów.

Polska, jako jedyne państwo członkowskie, integruje elementy rekomendacji 5G Toolbox z implementacją NIS2, włączając do UKSC mechanizmy właściwe raczej dla bezpieczeństwa infrastruktury krytycznej, niż ogólnego systemu cyberbezpieczeństwa.

Rozbieżne implementacje NIS2 w państwach członkowskich mogą utrudnić realizację głównego celu dyrektywy – stworzenia jednolitego, spójnego ekosystemu cyberbezpieczeństwa w Europie. Zamiast wspierać harmonizację, nadmierne obciążenia mogą wprowadzać bariery dla przedsiębiorców działających na wielu rynkach, zwiększając koszty i komplikując procesy zgodności.

Według naszych zebranych wyników Polska niepokojąco wyróżnia się liczbą podmiotów objętych implementacją NIS2. Projekt UKSC obejmie aż 38 000 podmiotów, co jest proporcjonalnie najwyższą wartością wśród analizowanych państw UE względem całkowitej liczby podmiotów w kraju. Dla przykładu, w Niemczech regulacje obejmą ok. 29 000 ⁴ podmiotów natomiast we Francji 10 000 ⁵. Podobnie w Hiszpanii, skala implementacji jest znacznie mniejsza i szacuję się że implementacja obejmie 12 000 podmiotów. ⁶ Co więcej, wyżej wspomniana Finlandia obejmuje jedynie około 5 500 podmiotów ⁷, co dodatkowo pokazuje, jak duża jest różnica w skali regulacji między podejściem polskim a minimalistycznym fińskim. Warto również zwrócić uwagę na Włochy, gdzie implementacja dotyczy około 50 000 podmiotów, jednak w kontekście całkowitej liczby podmiotów w tym kraju (ponad 4,6 mln według Eurostat), proporcjonalnie w Polsce regulacje obejmują większy odsetek rynku.

Czy cyberzagrożenia zostały właściwie zaadresowane?

NIS2 promuje zasadę proporcjonalności wskazując na potrzebę stosowania podejścia opartego na analizie ryzyka i adekwatności środków. Dlatego trzeba rozważyć wprowadzenie mechanizmów oceny ryzyka opartych na analizie technicznej i zgodności ze standardami, zamiast kryteriów pozatechnicznych. Takie podejście zwiększa elastyczność i pozwala dostosować regulacje do realiów biznesowych, co jest zgodne z trendem legislacyjnym w UE.

Zgodnie z zasadą proporcjonalności, środki ingerencji administracyjnej powinny odpowiadać rzeczywistemu poziomowi zagrożenia i być stosowane tylko w takim zakresie, w jakim są niezbędne do realizacji celu publicznego.

Inaczej mówiąc, w ramach zasady proporcjonalności należy zwrócić uwagę czy proponowane rozwiązanie jest najmniej "uciążliwe" i czy na pewno nie można osiągnąć celu regulacyjnego przepisami które są mniejszym obciążeniem.

W kontekście Polski należałoby rozważyć model, w którym odpowiedzialność za bezpieczeństwo i ocenę ryzyka w zakresie łańcucha dostaw spoczywałaby na podmiocie korzystającym rozwiązań danych dostawców. Takie podejście wpisuje się w unijną koncepcję zarządzania ryzykiem promowaną w dyrektywie NIS2 (motyw 15 i art. 21 NIS2 – wskazują na potrzebę stosowania podejścia opartego na analizie ryzyka i proporcjonalności środków), a jednocześnie sprzyjałoby proporcjonalnemu i efektywnemu zarządzaniu ryzykiem w krajowym systemie cyberbezpieczeństwa.

Z praktycznego punktu widzenia, udział użytkownika sprzętu, usług czy oprogramowania w procesie oceny dostawcy:

• umożliwia bardziej zróżnicowaną i kontekstową ocenę ryzyka,

• pozwala uniknąć nadmiernie restrykcyjnych decyzji administracyjnych,

• wspiera model współodpowiedzialności za cyberbezpieczeństwo promowanej w dyrektywie NIS2,

• a zarazem wzmacnia transparentność procesu decyzyjnego w relacji pomiędzy administracją publiczną a sektorem prywatnym.

Włączenie perspektywy użytkowników w proces oceny dostawców wysokiego ryzyka może więc stanowić istotny krok w kierunku bardziej proporcjonalnego, efektywnego i partnerskiego modelu zarządzania ryzykiem w krajowym systemie cyberbezpieczeństwa.

Podsumowanie

Projekt nowelizacji UKSC jest istotnym krokiem w kierunku wzmocnienia odporności cyfrowej polskiego gospodarki, ale powinien także zachować równowagę między bezpieczeństwem a konkurencyjnością. Restrykcyjność przepisów i krótki harmonogram wdrożenia mogą generować wysokie koszty, które w praktyce zostaną przeniesione na klientów końcowych, wpływając na ceny usług IT, telekomunikacyjnych i finansowych. Przyjęcie rozwiązań zbliżonych do praktyk państw takich jak Finlandia czy Niemcy oraz wprowadzenie bardziej elastycznych przepisów może wspierać spójność regulacyjną w UE i zmniejszyć bariery dla przedsiębiorstw działających transgranicznie, jednocześnie podnosząc poziom bezpieczeństwa.

Wdrożenie NIS2 stwarza szansę na zbudowanie odpornego, nowoczesnego i bezpiecznego ekosystemu cyfrowego w Polsce. Dzięki odpowiednim korektom legislacyjnym możliwe jest pogodzenie wysokich standardów bezpieczeństwa z dynamicznym rozwojem sektora IT. Takie podejście w dłuższej perspektywie może wzmocnić pozycję polskich przedsiębiorców na rynku europejskim i globalnym, zwiększając ich konkurencyjność. Kluczowe jest bowiem, aby przepisy wspierały odporność i rozwój.

_____________________

¹ Poland Insight, Poland Prepares to Implement NIS2 Directive: Cybersecurity Overhaul to Impact 38,000 Entities; link: https://polandinsight.com/poland-prepares-to-implement-nis2-directive-cybersecurity-overhaul-to-impact-38000-entities-68477/ [dostęp: 7.11.2025].

² ESET, Cyberportert polskiego biznesu 2025; link: https://in.eset.pl/cyberportret-polskiego-biznesu?gad_source=1&gad_campaignid=23098942789&gclid=Cj0KCQiA5abIBhCaARIsAM3-zFUHWo_fbcWBOrLeMHYPcs53P1IvMxqE2xybM0TplHsCs9P_jw2BgQ8aAurvEALw_wcB#download [dostęp: 4.11.2025]

³ Roschier, NIS2 and Finnish Cybersecurity Act; link: https://www.roschier.com/newsroom/nis2-and-finnish-cybersecurity-act [dostęp: 4.11.2025].

⁴ ISICO, NIS2 implementation is coming: German government aims for entry into force by early 2026; link https://www.isico.de/en/article/nis2-implementation-2026 [dostęp 7.11.2025]

⁵ MonEspaceNIS2, The NIS 2 Directive Collectively raising our level of cybersecurity https://monespacenis2.cyber.gouv.fr/statique/Plaquette_NIS2_2024_English.pdf [dostęp 7.11.2025]

⁶ Copla, NIS2 directive regulations and implementation in Spain; link https://copla.com/blog/compliance-regulations/nis2-directive-regulations-and-implementation-in-spain/ [dostęp 13.11.2025]

⁷ Copla, NIS2 directive regulations and implementation in Finland; link https://copla.com/blog/compliance-regulations/nis2-directive-regulations-and-implementation-in-finland/ [dostęp 13.11.2025]