Subskrybuj nas na Youtube
Zapisz się na newsletter
Justyna Wilczyńska-Baraniak, adwokat, partner w EY Law
Gabriela Sacha, radca prawny, EY Law
Projekt nowelizacji ustawy o krajowym systemie cyberbezpieczeństwa (UKSC), implementujący dyrektywę NIS2, jest na zaawansowanym etapie prac legislacyjnych. Projekt właśnie trafił do Sejmu. Celem jest podniesienie poziomu cyberbezpieczeństwa w Polsce, co w obliczu rosnącej liczby cyberataków i zagrożeń cyfrowych jest uzasadnione. Kluczowe pozostaje jednak zachowanie proporcjonalności przepisów – regulacje powinny równoważyć potrzebę ochrony infrastruktury i danych z możliwościami organizacyjnymi przedsiębiorstw, aby nie ograniczyć innowacyjności i nie zwolnić tempa cyfryzacji gospodarki, a przede wszystkim by uniknąć zbędnych kosztów.
Polska obiektem cyberataków
Cyberbezpieczeństwo jest dziś jednym z priorytetów. W ostatnich 12 miesiącach połowa firm w Polsce odczuła wzrost liczby cyberataków, a niemal połowa specjalistów ds. cyberbezpieczeństwa potwierdza zwiększoną liczbę incydentów. Ataki dotyczą nie tylko dużych podmiotów, lecz także MŚP, sektora ochrony zdrowia, administracji publicznej i infrastruktury krytycznej. Konsekwencje cyberataków obejmują m.in. utracone dane osobowe i nieosobowe, straty finansowe, przestoje operacyjne, brak dostępu do kont bankowych i utratę reputacji.
Według danych ESET 88 proc. firm w Polsce doświadczyło cyberataku lub wycieku danych w ostatnich pięciu latach. Ransomware znajduje się wśród najczęściej wskazywanych zagrożeń (18 proc.), zaraz po phishingu (34 proc.). Niska świadomość zagrożeń (tylko 22 proc. pracowników zna pojęcie ransomware'u), brak szkoleń (55 proc. pracowników nie uczestniczyło w żadnym szkoleniu z cyberbezpieczeństwa w ciągu ostatnich pięciu lat) oraz luki w podstawowych zabezpieczeniach (tylko 53 proc. firm korzysta z oprogramowania antywirusowego) zwiększają podatność organizacji (ESET, Cyberportret polskiego biznesu 2025).
UKSC może nie uchronić przed cyberatakami
Projekt nowelizacji UKSC rozszerza katalog podmiotów objętych jej reżimem. Obowiązki dotyczące m.in. wdrożenia systemu zarządzania bezpieczeństwem informacji, raportowania incydentów oraz audytów obejmą co najmniej 38 tys. podmiotów (Poland Insight, Poland Prepares to Implement NIS2 Directive: Cybersecurity Overhaul to Impact 38.000 Entities). Harmonogram wdrożenia jest bardzo krótki – przewiduje miesięczną vacatio legis i sześć miesięcy na pełne dostosowanie, co może oznaczać wysokie koszty implementacji. Podejście w projekcie UKSC, motywowane bezpieczeństwem państwa, w ograniczonym stopniu adresuje najczęstsze wektory ataków, z którymi mierzą się przedsiębiorstwa na co dzień – phishing, ataki ransomware czy luki wynikające z braku aktualizacji systemów.
Zamiast skupiać się na kosztownych rozwiązaniach przewidujących możliwość usunięcia produktu, usługi, procesu z infrastruktury informatycznej lub infrastruktury krytycznej, warto rozważyć model oparty na ryzyku, który jest znany z innych regulacji, takich jak RODO czy AI Act. Takie podejście pozwoli na elastyczne zarządzanie bezpieczeństwem, dostosowane do specyfiki organizacji, a jednocześnie zapewnia zgodność z wymogami unijnymi. Wdrożenie mechanizmów oceny ryzyka z udziałem użytkowników końcowych, audytów i raportowania incydentów może się okazać bardziej skuteczne niż wykluczanie technologii.
Szeroko komentowany i kontrowersyjny jest mechanizm wskazywania dostawców wysokiego ryzyka (DWR). Wykonanie tego mechanizmu w praktyce również będzie kosztowne. Podmioty kluczowe i ważne nie będą mogły bowiem korzystać z produktów lub usług ICT pochodzących od DWR. Obowiązek wycofania istniejących technologii może wymagać wymiany istotnej części infrastruktury IT, w tym sprzętu sieciowego czy oprogramowania zarządzającego.
Wprowadzając nowe regulacje, należy uwzględnić zarówno skalę zagrożeń, jak i realia biznesowe. Równocześnie doświadczenia państw takich jak np. Finlandia pokazują, że minimalistyczne podejście do implementacji NIS2 może ograniczyć koszty i wspierać innowacyjność, jednocześnie zapewniając zgodność z wymogami unijnymi.
Jakie rozwiązania przyjęły inne państwa UE
Projekt UKSC wprowadza rozwiązania wykraczające poza minimalne wymogi dyrektywy NIS2, co określa się jako „gold plating”. Dyrektywa zakłada harmonizację poziomu cyberbezpieczeństwa w UE, tymczasem polska implementacja przewiduje dodatkowe obowiązki, niespotykane w ustawach implementujących w innych państwach członkowskich. Takie podejście może prowadzić do fragmentacji regulacyjnej i utrudniać funkcjonowanie przedsiębiorstw na jednolitym rynku cyfrowym.
Szczególnie wyraźny kontrast widać w porównaniu z Finlandią, która przyjęła podejście minimalistyczne, ograniczając się do kluczowych wymogów dyrektywy. Fińska ustawa o cyberbezpieczeństwie implementuje dyrektywę w sposób zgodny z jej treścią, bez dodawania rozwiązań ponad to, co przewiduje prawo unijne (Roschier, NIS2 and Finnish Cybersecurity Act). Takie podejście pozwala na zachowanie spójności regulacyjnej w UE i minimalizuje ryzyko dodatkowych obciążeń dla przedsiębiorstw związanych z różnymi wymogami na poziomie krajowym.
Inne państwa też proponują bardziej elastyczne przepisy. Dla przykładu w Niemczech wprowadzono klauzulę „nieistotności” pozwalającą wyłączyć działalność, która nie należy do głównych aktywności podmiotu, a która mogłaby spowodować, że podmiot miałby zobowiązania pod implementacją (Taylor Wessing, The NIS2 Implementation Act: analysis of the draft bill and what happens next). Można w tym dostrzec wyjście naprzeciw realiom biznesowym podmiotów.
Polska, jako jedyne państwo członkowskie, integruje elementy rekomendacji 5G Toolbox z implementacją NIS2, włączając do UKSC mechanizmy właściwe raczej dla bezpieczeństwa infrastruktury krytycznej niż ogólnego systemu cyberbezpieczeństwa. Rozbieżne implementacje NIS2 w państwach członkowskich mogą utrudnić realizację głównego celu dyrektywy – stworzenia jednolitego, spójnego ekosystemu cyberbezpieczeństwa w Europie. Zamiast wspierać harmonizację, nadmierne obciążenia mogą wprowadzać bariery dla przedsiębiorców działających na wielu rynkach, co zwiększa koszty i komplikuje procesy zgodności. Warto podkreślić, że Polska niepokojąco wyróżnia się liczbą podmiotów objętych implementacją NIS2, proporcjonalnie najwyższą wartością wśród analizowanych państw UE względem całkowitej liczby podmiotów (wobec ponad 4,6 mln podmiotów we Włoszech wg Eurostatu, proporcjonalnie w Polsce regulacje obejmują większy odsetek rynku).
Liczba podmiotów objętych implementacją NIS2
| kraj | liczba podmiotów |
| Polska | 38 tys. |
| Włochy* | 50 tys. |
| Niemcy | 29 tys. |
| Hiszpania | 12 tys. |
| Francja | 10 tys. |
| Finlandia | 5,5 tys. |
* wobec ponad 4,6 mln podmiotów we Włoszech wg Eurostatu, proporcjonalnie w Polsce regulacje obejmują większy odsetek rynku.
Co warto rozważyć
NIS2 promuje zasadę proporcjonalności, wskazując na potrzebę stosowania podejścia opartego na analizie ryzyka i adekwatności środków. Dlatego trzeba rozważyć wprowadzenie mechanizmów oceny ryzyka opartych na analizie technicznej i zgodności ze standardami zamiast kryteriów pozatechnicznych. Takie podejście zwiększa elastyczność i pozwala dostosować regulacje do realiów biznesowych, co jest zgodne z trendem legislacyjnym w UE.
Zgodnie z zasadą proporcjonalności środki ingerencji administracyjnej powinny odpowiadać rzeczywistemu poziomowi zagrożenia i być stosowane tylko w takim zakresie, w jakim są niezbędne do realizacji celu publicznego. Inaczej mówiąc, w ramach zasady proporcjonalności należy zwrócić uwagę, czy proponowane rozwiązanie jest najmniej uciążliwe i czy na pewno nie można osiągnąć celu regulacyjnego za pomocą przepisów, które są mniejszym obciążeniem.
W kontekście Polski należałoby rozważyć model, w którym odpowiedzialność za bezpieczeństwo i ocenę ryzyka w zakresie łańcucha dostaw spoczywałaby na podmiocie korzystającym z rozwiązań danych dostawców. Takie podejście wpisuje się w unijną koncepcję zarządzania ryzykiem promowaną w dyrektywie NIS2 (motyw 15 i art. 21 NIS2 – wskazują na potrzebę stosowania podejścia opartego na analizie ryzyka i proporcjonalności środków), a jednocześnie sprzyjałoby proporcjonalnemu i efektywnemu zarządzaniu ryzykiem w krajowym systemie cyberbezpieczeństwa.
Z praktycznego punktu widzenia udział użytkownika sprzętu, usług czy oprogramowania w procesie oceny dostawcy:
- umożliwia bardziej zróżnicowaną i kontekstową ocenę ryzyka,
- pozwala na uniknięcie nadmiernie restrykcyjnych decyzji administracyjnych,
- wspiera model współodpowiedzialności za cyberbezpieczeństwo promowanej w dyrektywie NIS2,
- zarazem wzmacnia transparentność procesu decyzyjnego w relacji pomiędzy administracją publiczną a sektorem prywatnym.
Włączenie perspektywy użytkowników w proces oceny dostawców wysokiego ryzyka może więc stanowić istotny krok w kierunku bardziej proporcjonalnego, efektywnego i partnerskiego modelu zarządzania ryzykiem w krajowym systemie cyberbezpieczeństwa.
Podsumowanie
Projekt nowelizacji UKSC jest istotnym krokiem w kierunku wzmocnienia odporności cyfrowej polskiej gospodarki, ale powinien także zachować równowagę między bezpieczeństwem a konkurencyjnością. Restrykcyjność przepisów i krótki harmonogram wdrożenia mogą generować wysokie koszty, które w praktyce zostaną przeniesione na klientów końcowych, wpływając na ceny usług IT, telekomunikacyjnych i finansowych. Przyjęcie rozwiązań zbliżonych do praktyk państw takich jak Finlandia czy Niemcy oraz wprowadzenie bardziej elastycznych przepisów może wspierać spójność regulacyjną w UE i zmniejszyć bariery dla przedsiębiorstw działających transgranicznie, jednocześnie podnosząc poziom bezpieczeństwa.
Wdrożenie NIS2 stwarza szansę na zbudowanie odpornego, nowoczesnego i bezpiecznego ekosystemu cyfrowego w Polsce. Dzięki odpowiednim korektom legislacyjnym możliwe jest pogodzenie wysokich standardów bezpieczeństwa z dynamicznym rozwojem sektora IT. Takie podejście w dłuższej perspektywie może wzmocnić pozycję polskich przedsiębiorców na rynkach europejskim i globalnym, zwiększając ich konkurencyjność. Kluczowe jest bowiem, aby przepisy wspierały odporność i rozwój.
