Prace nad ustawą o KSC nabrały tempa, ale kontrowersje nie cichną. Osią sporu jest instytucja Dostawcy Wysokiego Ryzyka. Szacuje się, że w Polsce przepisy uderzą nawet w kilkadziesiąt tysięcy firm. W Niemczech, rynku nieporównywalnie większym, obejmą zaledwie ok. tysiąca podmiotów. Skąd różnica?
prof. Maciej Rogalski, rektor Uczelni Łazarskiego i partner w kancelarii Rogalski i Wspólnicy
ikona lupy />
prof. Maciej Rogalski, rektor Uczelni Łazarskiego i partner w kancelarii Rogalski i Wspólnicy / Materiały prasowe

W Niemczech przyjęto inne założenia oraz uregulowania prawne. 5 grudnia 2025 r. w Niemczech weszła w życie nowela ustawy o Federalnym Urzędzie ds. Bezpieczeństwa Informacji i Bezpieczeństwa Informatycznego Obiektów („BSIG”). Istotna różnica polega na tym, że zgodnie z tymi przepisami wykluczenia lub ograniczenia dotyczyć będą wyłącznie krytycznych komponentów danego producenta wykorzystywane przez operatora infrastruktury krytycznej. W Polsce natomiast procedowany projekt przewiduje, że wykluczenia będą miały zastosowanie do produktów ICT (Information and Communication Technologies - technologie informacyjne i komunikacyjne), usług lub procesów ICT wykorzystywanych przez podmioty ważne lub kluczowe, niezależnie od tego czy mają charakter krytyczny, pochodzących od dostawcy sprzętu lub oprogramowania uznanego za dostawcę wysokiego ryzyka. Wyjątek dotyczy tylko jednego z 18 sektorów, telekomunikacji, gdzie projekt przewiduje, aby decyzja o wycofaniu produktów czy usług uwzględniała te, które są określone w wykazie kategorii funkcji krytycznych dla bezpieczeństwa sieci i usług w załączniku nr 3 do projektu noweli ustawy.

Oznacza to, że ewentualnym wykluczeniom czy restrykcjom podlegać będą tylko te urządzenia, usługi i oprogramowanie, które zostaną uznane za krytyczne dla funkcjonowania państwa. W Polsce natomiast brakuje takiego rozróżnienia. U nas, jeśli dany dostawca zostanie uznany za dostawcę wysokiego ryzyka w danym sektorze, to negatywne konsekwencje dotyczyć będą jego produktów i usług niezależnie od tego czy mają znaczenie krytyczne czy też nie.

Do tego w Niemczech produkty, usługi i procesy ICT określone jako krytyczne komponenty zostaną wskazane w akcie prawnym dla danego z określonych dziewięciu sektorów (na podstawie § 56 ustępów 7 i 8 BSiG), jeśli spełnione określone warunki. Zatem będą to operatorzy infrastruktury krytycznej funkcjonujący w jednym z 9 sektorów uznanych za krytyczne i dotyczyć to będzie, według szacunków niemieckich, ok 1,2 tys. podmiotów. W Polsce, w Ocenie Skutków Regulacji (OSR) projektodawcy wskazali, że nowe regulacje będą dotyczyć ok 40 tys. podmiotów z 18 sektorów. Pojawiają się także szacunki znacznie przewyższające tę liczbę.

Skoro Niemcy będą mieli inne kryteria to może tak być, że u nich będą dozwoleni dostawcy, którzy u nas będą wykluczeni - i co wtedy? Jak to wpłynie na bezpieczeństwo UE? A jak np. na konkurencyjność gospodarek?

W niemieckiej ustawie sformułowane kryteria oceny różnią się od kryteriów określonych w polskim projekcie. Według mnie kryteria z niemieckiej ustawy są bardziej precyzyjne. Uniemożliwia to większą uznaniowość w podejmowaniu decyzji, a także zapewnia jej weryfikowalność w znaczeniu stwierdzenia konkretnych, negatywnych działań po stronie dostawcy. Przykładowo § 41 ust. 4 pkt 2 BSiG stanowi, że „przy ocenie przewidywanego naruszenia porządku publicznego lub bezpieczeństwa publicznego można w szczególności uwzględnić, czy producent był lub jest zaangażowany w działania, które mogły lub mogą wywierać negatywny wpływ na porządek publiczny lub bezpieczeństwo publiczne Republiki Federalnej Niemiec albo innego państwa członkowskiego Unii Europejskiej, Europejskiego Stowarzyszenia Wolnego Handlu lub Organizacji Traktatu Północnoatlantyckiego, lub na ich instytucje”. Skoro różne są kryteria oceny to i wynik tej oceny może być różny. Może się więc tak zdarzyć, że dostawca w jednym kraju zostanie wykluczony z dostaw na danym rynku a w innym nie. Z pewnością nie będzie to pożądana sytuacja z punktu widzenia zapewnienia konkurencyjności gospodarek, gdyż niektóre kraje będą mogły zezwalać tym samym dostawcom na funkcjonowanie na danym rynku, zapewniając ich większą konkurencyjność, a inne nie, ograniczając taką konkurencyjność.

Jakie będą konsekwencje?

Dla tych podmiotów oznaczać to będzie konsekwencje organizacyjne, gdyż po prostu będą musiały dostosować się do nowych regulacji. Po drugie, będzie to oznaczać koszty finansowe. W przypadku mniejszych podmiotów, zwłaszcza przedsiębiorców, może to wpłynąć nawet na ich bieżące funkcjonowanie. Po trzecie, w zakresie dostawców, którzy zostaną uznani za dostawców wysokiego ryzyka w danym sektorze, ich wykluczenie może doprowadzić do zmniejszenia konkurencji, a nawet w skrajnych przypadkach powstania oligopoli, co z kolei może doprowadzić do wzrostu cen na tych rynkach. Wreszcie, może prowadzić do negatywnych sytuacji z punktu widzenia tworzenia i przestrzegania prawa, gdyż zostaną przyjęte regulacje, które w praktyce nie będą zawsze przestrzegane, ponieważ adresaci przepisów nie będą mieli wystarczających środków finansowych i organizacyjnych, aby zapewnić ich przestrzeganie.

Rząd policzył, ile etatów i komputerów musi dokupić administracja, ale w OSR pominięto koszty prywatnych przedsiębiorców. Czy to oznacza, że państwo przerzuca koszty ustawy na biznes?

Każda ustawa powinna mieć rzetelną i pogłębioną Ocenę Skutków Regulacji, w tym finansowych. W przypadku nowelizacji KSC, OSR oczywiście istnieje, ale ogranicza się głównie do wydatków rządowych i samorządowych. Brakuje analizy kosztów dla sektora prywatnego, zwłaszcza dla MSP. Rzecznik Małych i Średnich Przedsiębiorców – zarówno poprzedni, jak i obecny – zwracali uwagę na tą kwestię, w tym na konieczność przestrzegania zasady proporcjonalności, w szczególności w zakresie adekwatnego miarkowania obowiązków w zależności od wielkości podmiotu.

W OSR brakuje oceny skutków finansowych także dla innych podmiotów z pozostałych sektorów. Pojawiły się natomiast raporty szacujące koszty wdrożenia regulacji. Przykładowo raport z października 2025 r. przygotowany przez Polskie Towarzystwo Koordynowanej Ochrony Zdrowia „Wpływ projektu nowelizacji ustawy o krajowym systemie cyberbezpieczeństwa na szpitale publiczne”, wskazuje, że koszty mogą wynieść ok. 3,7 mld zł netto w pięcioletniej perspektywie. Inny raport z października, „Wpływ projektu nowelizacji ustawy o krajowym systemie cyberbezpieczeństwa na przedsiębiorców z branży farmaceutycznej”, przewiduje koszty w kwocie ok. 675 mln zł netto w pięcioletniej perspektywie. To wydatki tylko jednego z 18 sektorów – ochrony zdrowia. Koszty wdrożenia, jak pokazuje ten przykład, mogą być więc bardzo duże.

Ustawa wprowadza budzący kontrowersje mechanizm procesowy: sąd w sprawach objętych KSC będzie mógł orzekać na posiedzeniach niejawnych i zatajać uzasadnienie wyroku przed samą stroną. Czy takie rozwiązanie jest zgodne z Konstytucją RP?

W mojej ocenie przepis przewidujący, że skarga rozpatrywana byłaby przez sąd na posiedzeniu niejawnym może naruszać postanowienia art. 45 ust. 1 Konstytucji RP, przewidującego jawność wewnętrzną, która wymaga zapewnienia stronie postępowania pełnoprawnego udziału w tym postępowaniu. Naruszać może także art. 47 Karty Praw Podstawowych UE i art. 6 Europejskiej Konwencji Praw Człowieka, również gwarantujące każdemu prawo do jawnego rozpoznanie sprawy przez sąd. Wątpliwości do to takiego uregulowania podnosiła także Rada Legislacyjna w opinii z dnia 23 lutego 2021 r. do noweli ustawy o KSC. Zgłosiła ona zastrzeżenia co do zgodności z Konstytucją RP odstąpienia od doręczania stronie pełnego uzasadniania wyroku sądu administracyjnego. Według Rady Legislacyjnej, nie ulega wątpliwości, że w świetle konstytucyjnego prawa do sądu (art. 45 Konstytucji RP) zasadą musi być dostarczanie stronie pełnego uzasadnienia wyroku sądu administracyjnego, tak aby mogła w sposób skuteczny wykorzystać swoje uprawnienia do zaskarżenia wyroku na drodze sądowej.

Jakie rodzi to wyzwania na przyszłość?

Przepisy budzące wątpliwości konstytucyjne mogą zostać zaskarżonego do Trybunału Konstytucyjnego. Projekt nie został także zgłoszony do Komisji Europejskiej, jako zawierający przepisy techniczne. W przypadku pominięcia przez państwo członkowskie procedury ich notyfikacji, Komisja Europejska może z własnej inicjatywy wszcząć postępowanie w tej sprawie i podjąć dalsze kroki, łącznie ze skierowaniem sprawy do Trybunału Sprawiedliwości UE. Powoduje to we wskazanych obszarach niepewność prawną.

Dlaczego więc zamiast przejrzystej, nowej ustawy, otrzymujemy gigantyczną nowelizację, która jest dwa razy obszerniejsza niż akt pierwotny?

Trudno odpowiedzieć na to pytanie, gdyż stanowisko w sprawie przygotowania nowej ustawy, a nie nowelizacji obowiązującej, było podzielane także przez Komisję Prawniczą, podczas prac rządowych nad projektem. Analogiczne stanowisko czyli o konieczności przygotowania nowej ustawy, zgodnie z rozporządzeniem Prezesa Rady Ministrów z dnia 20 czerwca 2002 r. w sprawie „Zasad techniki prawodawczej”, zajęło Biuro Legislacyjne Kancelarii Sejmu, już w toku prac sejmowych, podczas prac Komisji Cyfryzacji, Innowacyjności i Nowoczesnych Technologii nad projektem. Należałoby spytać projektodawców o intencje w tym zakresie. Być może uznano, z punktu widzenia ekonomii prac, że lepszym rozwiązaniem będzie kontynuacja prac nad nowelą ustawy o KSC rozpoczętych jeszcze w 2020 r. niż przygotowanie nowej ustawy.

Decyzja rządu o wykluczeniu sprzętu ma być wykonywana natychmiast, a procesy sądowe w razie zaskarżenia będą trwały. Czy jest możliwe, że firma zostanie zmuszona do wyrzucenia sprzętu, sąd po 5 latach stwierdzi, że decyzja była bezpodstawna, tyle że biznes już dawno przestanie istnieć?

Taki scenariusz jest możliwy w praktyce, a nie tylko teoretyczny. Decyzje w sprawie dostawców wysokiego ryzyka mają mieć rygor natychmiastowej wykonalności. Oznacza to, że przedsiębiorca musi rozpocząć proces wymiany sprzętu z chwilą doręczenia decyzji, gdyż proces ten wymaga czasu i jest skomplikowany. Firma musi inwestować w nowy sprzęt, zmieniać architekturę sieci itd. Nie może poczekać z wymianą sprzętu do czasu prawomocnego zakończenia postępowania przed sądem.

Biorąc pod uwagę długotrwałość postępowań w Polsce, wyrok sądu może zapaść po kilku latach. Jeśli sąd uzna, że decyzja była wydana z naruszeniem prawa dla wielu mniejszych firm może nie mieć to już znaczenia, gdyż i tak musieli wymienić sprzęt, aby funkcjonować na rynku a więc już ponieśli koszty albo nie mieli środków na wymianę sprzętu i musieli zakończyć działalność albo zmienić na inną.

Mówimy tutaj o konsekwencjach dla „jednej strony” takiej decyzji, tj. podmiotów które muszą wymienić sprzęt. Ale jest także „druga strona”, a mianowicie dostawca sprzętu. Dla niego będzie to oznaczać także poważne skutki, bo nie będzie mógł dalej dostarczać określonych produktów lub usług, może to również zakończyć się zaprzestaniem działalności na danym rynku. Podobnie jak w przypadku zobowiązanych do wymiany sprzętu, tak i w przypadku tych podmiotów, z uwagi na rygor natychmiastowej wykonalności, ewentualna wygrana w sądzie po kilku latach może nie mieć już znaczenia jeżeli nie będzie tego podmiotu już na rynku.