Wielowątkowa, intensywna debata o polskiej gospodarce w gronie przedstawicieli świata biznesu, polityki oraz nauki i środowiska eksperckiego odbędzie się 9 lutego 2026 r. w Warszawie. Zapraszamy na EEC Trends. Rejestracja dostępna na stronie wydarzenia.
- Polska nie przyjęła aktualnej Strategii Cyberbezpieczeństwa RP, a poprzednia obejmowała lata 2019-2024.
- Konieczność posiadania strategii cyberbezpieczeństwa państwa jest wskazana zarówno w unijnych, jak i krajowych przepisach.
- Jak wskazuje ekspert Ireneusz Piecuch, doświadczenie uczy, że działania pozbawione wizji, tj. strategii przełożonej na konkretne programy wykonawcze, kosztują więcej i okazują się mniej efektywne.
Poprzednia Strategia Cyberbezpieczeństwa RP obowiązywała na lata 2019-2024, a kolejna powinna dotyczyć lat 2025-2029. Problem w tym, że jako państwo nie mamy obowiązującej, aktualnej wersji tego istotnego dokumentu. Jako planowany termin przyjęcia przez Radę Ministrów nowego projektu uchwały wskazywano III/IV kwartał 2025 r., ale terminu nie dotrzymano.
Jak informowaliśmy w WNP, ustawa o KSC wskazuje w art. 68, że Rada Ministrów przyjmuje strategię, obejmującą cele strategiczne, środki polityczne i regulacyjne „mające na celu osiągnięcie i utrzymanie wysokiego poziomu cyberbezpieczeństwa” (art. 69 ustawy o KSC). Nie mamy zatem obowiązującego dokumentu wynikającego z przepisów prawa.
Ministerstwo Cyfryzacji: prace nad strategią cyberbezpieczeństwa trwają
Ministerstwo Cyfryzacji brak przyjęcia istotnego dokumentu dla funkcjonowania państwa tłumaczy, wskazując termin: 2 grudnia ub.r. projekt nowej Strategii Cyberbezpieczeństwa RP został przyjęty przez Komitet Rady Ministrów ds. Bezpieczeństwa Narodowego.
“Obecnie projekt został skierowany do rozpatrzenia przez Stały Komitet Rady Ministrów. W następnym kroku, po przyjęciu przez SKRM, projekt zostanie przedłożony do przyjęcia przez Radę Ministrów” – otrzymaliśmy odpowiedź.
Nowa strategia ma uwzględniać zmiany dotyczące bezpieczeństwa międzynarodowego, postęp technologiczny, cyfryzację praktycznie każdej dziedziny życia, potrzebę zwalczania i przeciwdziałania cyberprzestępczości, uzyskania zdolności do prowadzenia pełnego spektrum działań w cyberprzestrzeni oraz międzynarodową współpracę w zakresie cyberbezpieczeństwa. Wyznacza najważniejsze kierunki działań państwa w obszarze cyberbezpieczeństwa.
Najważniejszym celem – w ujęciu ogólnym – ma być podniesienie poziomu odporności krajowych podmiotów funkcjonujących w cyberprzestrzeni. Inne wskazane cele to m.in. zwiększanie potencjału krajowej bazy technologiczno-przemysłowej, wzmocnienie suwerenności technologicznej w obszarze cyberbezpieczeństwa; budowania świadomości, wiedzy i kompetencji kadr podmiotów krajowego systemu cyberbezpieczeństwa oraz obywateli. Dokument dotyczy także zmian regulacyjnych, instytucjonalnych, działań operacyjnych, technicznych i inwestycyjnych.
Jak czytamy w ocenie skutków regulacji, “zakres strategii jest znacząco odmienny od dokumentu obowiązującego w latach 2019-2024. Nowa Strategia obejmuje wiele nowych elementów, co wynika z ewolucji Krajowego Systemu Cyberbezpieczeństwa oraz zmiany postrzegania samego cyberbezpieczeństwa. Nowym elementem jest dołączony w postaci załącznika ‘Plan działań na rzecz wdrożenia Strategii Cyberbezpieczeństwa Rzeczypospolitej Polskiej’, który zawiera nowe, szczegółowo określone zadania, służące realizacji Strategii”.
Krajowe przepisy wymagają strategii
Resort zapewnia, że przy opracowywaniu strategii korzystano z dotychczasowych doświadczeń funkcjonowania KSC. “Nowa Strategia uwzględnia także zmiany w środowisku bezpieczeństwa międzynarodowego oraz kwestie związane z postępem technologicznym i powszechną cyfryzacją wszystkich dziedzin życia” – odpowiedziało WNP biuro prasowe Ministerstwa Cyfryzacji.
Cel główny i cele szczegółowe mają być podobne do celów ujętych w strategii na lata 2019-2024, ale – jak przekazał nam resort – “treść wypełniająca te cele i postawione zadania będą już znacznie inne”. “Prace nad nową Strategią Cyberbezpieczeństwa RP prowadzimy w taki sposób, aby była ona jasnym drogowskazem dla Krajowego Systemu Cyberbezpieczeństwa, wytyczała kierunki zmian oraz usprawniła na swoim polu strategiczne zarządzenie państwem. W efekcie Strategia i jej wdrożenie wzmocnią bezpieczeństwo naszej ojczyzny i wszystkich obywateli RP” – usłyszeliśmy ze strony MC.
Strategia powinna zostać uchwalona już w 2024 r.
Mimo wskazanych wyżej, istotnych zmian i potrzeb, na jakie ma odpowiadać dokument, nie wiadomo, kiedy dokładnie zostanie przyjęty.
Warto wspomnieć, że poza wymogiem wynikającym ze wspomnianej ustawy o krajowym systemie cyberbezpieczeństwa, posiadanie krajowej strategii było wymagane już dyrektywą Parlamentu Europejskiego i Rady (UE) w sprawie środków na rzecz wysokiego wspólnego poziomu bezpieczeństwa sieci i systemów informatycznych na terytorium Unii (NIS). Co więcej, 16 stycznia 2023 r. weszła w życie Dyrektywa NIS2, która także zobowiązuje każde państwo członkowskie do przyjęcia krajowej strategii cyberbezpieczeństwa. Państwa UE – w tym Polska – miały czas na jej implementację do 17 października 2024 r. Ma to mieć miejsce na podstawie nowelizacji ustawy o KSC, ale ta wciąż jest procedowana; w styczniu ponownie ma się nią zająć Sejm.
Ireneusz Piecuch, radca prawny, współzałożyciel i współzarządzający kancelarią DGTL, potwierdza, że faktem jest, iż ostatnia Strategia Cyberbezpieczeństwa RP uchwalona była na lata 2019-2024, więc formalnie brak jest aktualnego dokumentu, o którym mowa w KSC.
– Formalnie jest to więc naruszenie przepisu ustawy, bo strategia na lata 2025-2029 powinna zostać uchwalona jeszcze w 2024 r. Czy może mieć to negatywne skutki dla branży? Krótkoterminowo nie. Strategia nie jest bowiem podstawą do kształtowania jakichkolwiek praw czy obowiązków dla podmiotów tej branży. Długoterminowo – oczywiście, że może i zapewne będzie mieć negatywny wpływ, gdyż dokument takiej rangi pokazuje na ogół główne obszary inwestycji oraz priorytety państwa, co następnie przekłada się na konkretne działania rynkowe, czyli zamówienia – zaznacza nasz rozmówca.
Jak objaśnia, krajowy system cyberbezpieczeństwa był rozumiany jako “pewna spójna całość obejmująca grupę podmiotów poddanych tym regulacjom, przepisy prawa nakazujące określone zachowania tych podmiotów oraz system instytucji stojących na straży skutecznej realizacji celów stawianych przed KSC razem z narzędziami, w które instytucje te zostały wyposażone”.
Niestety, niemal od samego początku widać było, że ktoś przekombinował ze stopniem skomplikowania tego systemu i wiele elementów najnormalniej w świecie zgrzytało. Do takich wniosków prowadzić może chociażby uzasadnienie do projektu zmiany w KSC. To kolejny ciekawy element, bo podejście do zmiany tej ustawy trwa już ponad 7 lat, a Polska jest jednym z krajów, które odnotowały wielomiesięczne opóźnienie we wdrożeniu dyrektywy NIS2 – przypomina Ireneusz Piecuch, komentując tę sprawę dla WNP.
Ekspert: opóźnienie to “grzech zaniechania”
O tym, że resortowi cyfryzacji jednak spieszy się z przyjęciem strategii, może świadczyć stwierdzenie wpisane w Ocenę Skutków Regulacji: “Za nieprzeprowadzaniem ponownych konsultacji społecznych przemawia także potrzeba pilnego uchwalenia tej Strategii z uwagi na to, że upłynął okres, na jaki została przyjęta poprzednia strategia”.
Ministerstwo Cyfryzacji zapewnia nas jednak, że w strategii uwzględniono szereg inicjatyw, ale są one już realizowane, przygotowywane lub planowane. Chodzi m.in. o funkcjonowanie Połączonego Centrum Operacyjnego Cyberbezpieczeństwa (PCOC); utworzenie lub rozwój sektorowych CSIRT-ów (zespołów reagowania na incydenty bezpieczeństwa komputerowego); rozwój systemu S46; prace nad Centrum Cyberbezpieczeństwa NASK; czy “w zakresie bezpiecznych łańcuchów dostaw, wdrożenie mechanizmu, który pozwoli wyeliminować dostawców wysokiego ryzyka” (w praktyce chodzi dopiero o zapisy w projekcie nowelizacji ustawy o KSC – dop. red.).
Ireneusz Piecuch podkreśla, że jeżeli weźmiemy pod uwagę sytuację geopolityczną, radykalnie zwiększony poziom ataków na infrastrukturę krytyczną ze strony podmiotów sponsorowanych przez państwa lub wręcz kierowanych przez państwa trzecie, a także znaczne przyspieszenie rozwoju technik napędzanych AI i mających na celu złamanie barier zapewniających cyberbezpieczeństwo, opóźnienie w przygotowaniu spójnego systemu przeciwdziałania tym zagrożeniom należy postrzegać jako “grzech zaniechania”.
– Oczywiście, brak strategii czy ślamazarność we wprowadzaniu zmian do KSC nie oznaczają, że operacyjnie państwo polskie nie podejmuje niezbędnych działań mających zapewnić bezpieczeństwo infrastruktury krytycznej. Doświadczenie jednak uczy, że działania pozbawione konkretnej wizji, tj. strategii przełożonej na konkretne programy wykonawcze, kosztują więcej i okazują się mniej efektywne, nie mówiąc już o tym, że nie dają wystarczających podstaw do budowania platformy współpracy z setkami polskich przedsiębiorców, chcących tworzyć branżę rozwiązań z zakresu cyberbezpieczeństwa – podsumowuje ekspert dla WNP.
