Nowelizacja ustawy o Krajowym Systemie Cyberbezpieczeństwa, przyjęta przez Sejm 23 stycznia 2026 r., miała być długo oczekiwaną implementacją dyrektywy NIS2. Polska, jako państwo szczególnie narażone na cyberataki, rzeczywiście potrzebuje skutecznych narzędzi reagowania. Jednak sposób, w jaki ustawodawca ukształtował nowe regulacje, budzi poważne wątpliwości w środowisku biznesowym i eksperckim. Nie dotyczą one celu ustawy, lecz jej skutków gospodarczych.
Nowelizacja rozszerza katalog podmiotów objętych KSC do nawet 38 tys. przedsiębiorstw w 18 sektorach gospodarki.Oznacza to objęcie obowiązkami nie tylko infrastruktury krytycznej, lecz również podmiotów z obszaru produkcji żywności, logistyki czy dostaw wody. Skala regulacji jest jedną z największych w UE.
W praktyce oznacza to dla firm konieczność wdrożenia rozbudowanych systemów zarządzania cyberbezpieczeństwem, raportowania incydentów, audytów i stałego monitorowania ryzyk. Koszty tych działań, według szacunków ekspertów, mogą sięgać miliardów złotych. W sektorze telekomunikacyjnym mówi się nawet o kwocie przekraczającej 14 mld zł. Na tyle oszacowała je Krajowa Izba Komunikacji Ethernetowej, zrzeszająca małych polskich operatorów, świadczących usługi dla prawie 4 mln gospodarstw w mniejszych ośrodkach. Nie ma wątpliwości, że te koszty odczują – w erze powszechnej drożyzny – konsumenci. Bo przecież nie Ministerstwo Cyfryzacji.
Dla małej firmy minimalny koszt wdrożenia nowych obowiązków (niewymaganych unijnymi regulacjami) to, wg analityków Ernst&Young, kilkadziesiąt tysięcy złotych. Dla wielkich firm to nawet kilka milionów złotych. Do tego należy doliczyć ryzyko nawet 70-90-procentowej utraty wartości infrastruktury w przypadku obowiązkowej wymiany sprzętu. Warto przypomnieć, że nie mówimy tu o podmiotach o strategicznym znaczeniu dla bezpieczeństwa kraju, w przypadku których konieczność poniesienia tego rodzaju kosztów jest zrozumiała. Chodzi o dziesiątki tysięcy firm, reprezentujących całe spektrum rynku.
Eliminacja zamiast certyfikacji
Jednym z najbardziej kontrowersyjnych elementów ustawy są przepisy o tzw. dostawcach wysokiego ryzyka (DWR).Minister właściwy ds. cyfryzacji będzie mógł uznać określonego dostawcę technologii za podmiot stanowiący zagrożenie. W konsekwencji firmy zostaną zobowiązane do wycofania jego produktów w terminie od 4 do 7 lat – bez przewidzianego mechanizmu rekompensaty.
Specjalista od cyberbezpieczeństwa, płk dr Piotr Potejko (Uniwersytet Warszawski) w rozmowie z „Wprost” zwrócił uwagę, że dyrektywa NIS2 opiera się na podejściu ryzykobazowym, natomiast polska regulacja przesuwa ciężar w stronę rozwiązań definitywnych.
– Cyberbezpieczeństwo buduje się poprzez certyfikację, audyty i monitoring, a nie przez administracyjne eliminowanie dostawców – podkreśla ekspert. W jego ocenie odejście od analizy technologii na rzecz klasyfikowania całych podmiotów zwiększa uznaniowość decyzji i może prowadzić do fragmentacji rynku.
Ryzyko „małego wywłaszczenia” i niepewność regulacyjna
W świetle opinii prawnej dr. Krzysztofa Wąsowskiego obowiązek usunięcia sprzętu bez rekompensaty może oznaczać w praktyce „małe wywłaszczenie”. Formalnie przedsiębiorca pozostaje właścicielem infrastruktury, lecz jej wartość i użyteczność zostają drastycznie ograniczone. Sprzęt, który wcześniej stanowił kluczowy element infrastruktury, może stracić znaczną część wartości rynkowej.
Z perspektywy biznesu oznacza to podwyższone ryzyko inwestycyjne. Inwestycje infrastrukturalne w sektorze telekomunikacyjnym czy energetycznym planowane są na kilkanaście lat. Jeżeli państwo może w dowolnym momencie zakwestionować używaną technologię, bez systemu rekompensat, kalkulacja ekonomiczna ulega zasadniczej zmianie.
Wątpliwości budzi również sama konstrukcja proceduralna. Rygor natychmiastowej wykonalności decyzji administracyjnych oznacza, że ich skutki gospodarcze mogą nastąpić jeszcze przed rozstrzygnięciem ewentualnych sporów sądowych. Dla przedsiębiorstwdziałających w sektorach infrastrukturalnych oznacza to poważne ryzyko operacyjne.
Uznaniowość prowadzi do korupcji
Andrzej Sadowski, prezydent Centrum im. Adama Smitha, komentując projekt ustawy na łamach „Dziennika Gazety Prawnej” wskazywał na zagrożenia korupcyjne związane z forsowanymi regulacjami.
– Wprowadzenie arbitralnych i wysoce uznaniowych rozwiązań jest równocześnie wystawieniem instytucji państwowych na korupcyjną infiltrację, która jest znacznie groźniejsze dla obronności i bezpieczeństwa państwa, niż sama technologia – zaznaczył ekspert. – W Indeksie Percepcji Korupcji (CPI) Transparency International za rok 2024 Polska spadła na 53. miejsce wśród 180 państw, zaliczając spadek o 6 pozycji w porównaniu do poprzedniego roku, znajdując się zatem pośrodku między państwami skrajnie skorumpowanymi, a tymi o znikomym jej poziomie. Regulacja, która sprzyja uznaniowym decyzjom podejmowanym przez polityków, bowiem ogranicza sądową kontrolę nad decyzjami ministra cyfryzacji stanowi zagrożenie nie tylko dla firm, ale przede wszystkim dla bezpieczeństwa narodowego i z pewnością nie poprawi pozycji Polski w tym rankingu.
Czemu pominięto notyfikację KE?
Dodatkowy element niepewności dotyczy notyfikacji przepisów technicznych. Prof. Maciej Taborowskiw swojej analizie dla Polskiego Towarzystwa Gospodarczego wskazał, że regulacje dotyczące dostawców wysokiego ryzyka mogą wymagać notyfikacji Komisji Europejskiej jako przepisy techniczne. W przypadku jej braku istnieje ryzyko sporów i podważania stosowania tych przepisów w sądach.Polska zaś tego nie uczyniła.
Dla przedsiębiorców oznacza to podwójne ryzyko: z jednej strony konieczność ponoszenia kosztów dostosowawczych, z drugiej – możliwość wieloletnich sporów prawnych dotyczących skuteczności regulacji.
Bezpieczeństwo tak, ale proporcjonalnie
Debata wokół KSC nie jest sporem o potrzebę cyberbezpieczeństwa, jak próbują ją przedstawić zwolennicy regulacji w obecnym kształcie. Jest sporem o proporcjonalność i stabilność regulacyjną. Eksperci zgodnie podkreślają, że państwo musi reagować na zagrożenia cyfrowe. Pytanie brzmi jednak, czy wybrany model nie przyniesie skutków ubocznych w postaci spowolnienia inwestycji i wzrostu kosztów prowadzenia działalności. A model ten zakłada m.in. szerokie rozszerzenie obowiązków, eliminacyjne podejście do dostawców (nie technologii) i brak mechanizmów kompensacyjnych.
W gospodarce cyfrowej zaufanie do stabilności prawa jest równie istotne jak bezpieczeństwo systemów.Jeśli regulacja osłabi jedno, by wzmocnić drugie, bilans może okazać się mniej korzystny, niż zakładali projektodawcy.
Ustawa czeka na decyzję prezydenta Karola Nawrockiego. Na jej podjęcie zostało mu kilka dni. Czy posłucha posłów opozycji oraz ekspertów i przedsiębiorców, apelujących o wypracowanie dobrego, skutecznego i bezpiecznego dla gospodarki rozwiązania?