Implementacja unijnej dyrektywy NIS2 ma wreszcie stać się faktem w 2026 roku. Ma — i powinna — bo termin jej wdrożenia minął już ponad rok temu. Stawka jest wysoka. Chodzi bowiem o nasze, polskie cyberbezpieczeństwo. Problem polega na tym, że ustawodawcza ślamazarność idzie tu w parze z legislacyjnym przeregulowaniem. Projekt nowelizacji ustawy o Krajowym Systemie Cyberbezpieczeństwa (KSC), który ma przenieść unijne przepisy do krajowego porządku prawnego, budzi poważne wątpliwości i nie jest wolny od wad. O tym, dlaczego implementacja NIS2 ma kluczowe znaczenie, jak z tym wyzwaniem poradziły sobie inne państwa UE oraz czy rządowe propozycje rzeczywiście przełożą się na realne bezpieczeństwo polskich przedsiębiorców, mówi w rozmowie z „Wprost” ekspert ds. cyberbezpieczeństwa, płk dr Piotr Potejko.
Beata Anna Święcicka, „Wprost”: Prace nad nowelizacją KSC ciągną się w nieskończoność, jednak implementacja unijnej dyrektywy NIS2 to krok w dobrą stronę, prawda?
Płk dr Piotr Potejko: Zdecydowanie tak. Po latach zapowiedzi i nieudanych prób Polska wreszcie przechodzi do realnej implementacji unijnej dyrektywy NIS2 i porządkowania systemu cyberbezpieczeństwa. Cyberzagrożenia są dziś jednym z kluczowych ryzyk dla państwa i gospodarki, a brak spójnych ram prawnych utrudnia zarówno reakcję administracji, jak i inwestycje firm w bezpieczeństwo cyfrowe.
Sam fakt, że rząd zdecydował się zakończyć (po kilku latach, bowiem prace zaczęły się jeszcze za rządów poprzedniej koalicji) etap analiz i przejść do legislacji, zasługuje na pozytywną ocenę. Problemem nie jest jednak cel, lecz dobór środków.
Te środki są nieadekwatne do skali problemu?
Unijna dyrektywa NIS2 została zaprojektowana jako instrument minimalnej harmonizacji. Z jednej strony podnosi standardy bezpieczeństwa, z drugiej pozostawia państwom członkowskim przestrzeń do dostosowania rozwiązań do własnych realiów. Logicznym warunkiem jest zachowanie proporcjonalności, neutralności technologicznej i oparcia regulacji na analizie ryzyka.
Polski projekt nowelizacji ustawy o Krajowym Systemie Cyberbezpieczeństwa idzie dalej, niż wspomniana dyrektywa. Skala regulacji, obejmująca bardzo szeroki katalog sektorów i dziesiątki tysięcy podmiotów, budzi pytania o jej adekwatność i wykonalność, a przede wszystkim realną skuteczność.
Co jest kluczowe z perspektywy biznesu?
W tym aspekcie znaczenie ma przewidywalność prawa. Im więcej firm obejmuje regulacja, tym większe znaczenie mają jasne kryteria i stabilne procedury. Tymczasem polski projekt wprowadza rozwiązania, które przesuwają punkt ciężkości z oceny konkretnych technologii na kwalifikację dostawców według kryteriów podmiotowych, w tym kraju pochodzenia. To podejście rodzi praktyczne wątpliwości.
Dlaczego?
W cyberbezpieczeństwie decydujące znaczenie mają testy, certyfikacja, audyty i kontrola operacyjna rozwiązań technicznych. Punktem wyjścia nie jest państwo pochodzenia, lecz technologie, które można badać, konfigurować i dostosowywać do własnych wymogów bezpieczeństwa. Praktyka gospodarcza pokazuje, że regulacje oparte wyłącznie na kryterium pochodzenia bywają nieskuteczne, bowiem produkty objęte embargiem potrafią omijać ograniczenia poprzez zmianę formalnej metki. Tak dzieje się z produktami wytwarzanymi w Rosji, lecz wprowadzanymi do obrotu pod „obcą banderą”. W przypadku technologii jest to trudniejsze, ale nie niemożliwe, co tym bardziej przemawia za koncentracją na realnych parametrach technicznych, a nie uproszczonych kwalifikacjach podmiotowych.
Co z firmami działającymi transgranicznie?
Na tym tle pojawia się istotny problem dla firm działających transgranicznie. Jeżeli dany dostawca technologii jest dopuszczony do użytku w Niemczech czy Czechach, a w Polsce zostanie wykluczony, powstaje pytanie o konsekwencje dla działalności w ramach jednolitego rynku. Co z urządzeniami wykorzystywanymi w spedycji, transporcie czy logistyce przez firmy, które regularnie operują na terytorium Polski? Auta i pociągi otrzymają zakaz wjazdu do Polski?
Brak jasnych odpowiedzi grozi fragmentacją rynku i dodatkowymi kosztami dla przedsiębiorców. Przede wszystkim zaś chaosem, który osłabi działanie nowego prawa.
Tu na marginesie powstaje pytanie: czy optymalnym rozwiązaniem nie byłaby jednolita regulacja dla wszystkich unijnych państw?
W jaki sposób z implementacją NIS2 poradziły sobie inne państwa UE?
Czechy komunikują wprost, że ich nowa ustawa o cyberbezpieczeństwie, obowiązująca od 1 listopada 2025 r., „spełnia minimalne wymagania” NIS2. Akcent pada zatem na obowiązki, procedury i egzekucję, ale bez nadmiernego wychodzenia poza unijne minimum. W Niemczech akt wdrażający NIS2 wszedł w życie 6 grudnia ub. r. Dyrektywę wdrożono w formie szerokiej reformy (włączając obowiązki dla wielu podmiotów według progów), ale elementy wykraczające poza NIS2 są opisywane jako „specyfika” (np. mechanizm dotyczący zakazu użycia „komponentów wysokiego ryzyka” w krytycznych instalacjach, przypisany wprost do kompetencji resortu spraw wewnętrznych).
Trzeba zauważyć, że o ile polski projekt skupia się na „dostawcach wysokiego ryzyka”, o tyle niemiecki na komponentach, czyli technologiach, a nie państwie pochodzenia.
Francja z kolei pozostaje w procesie transpozycji, lecz państwo buduje komunikację wokół narzędzi zgodności i praktycznego mapowania obowiązków, a nie wokół kraju pochodzenia dostawców. Nie jest to oczywiście argument za automatycznym kopiowaniem cudzych modeli, lecz za uczeniem się na ich konstrukcji: gdzie postawiono akcent (procedury, technika, egzekucja), jakie są bezpieczniki prawne i jakie skutki gospodarcze uznano za akceptowalne.
Cyberataki to wspólny europejski problem, ale Polska jest na nie szczególnie podatna. Jak powinien działać polski rząd?
Nie ulega wątpliwości, że rząd ma rację, wskazując na szczególną podatność Polski na cyberataki i zagrożenia hybrydowe. Warto jednak pamiętać, że inne państwa UE również mierzą się z podobnymi wyzwaniami. Ich doświadczenia pokazują, że skuteczna regulacja cyberbezpieczeństwa opiera się przede wszystkim na zdolności szybkiej i precyzyjnej reakcji na realne zagrożenia, a nie na masowym wykluczaniu całych kategorii dostawców.
Z punktu widzenia gospodarki i bezpieczeństwa kluczowe jest, aby nowe przepisy działały jak skalpel, a nie siekiera.
Państwo powinno mieć narzędzia do zdecydowanego działania w sytuacjach kryzysowych, ale jednocześnie regulacja nie może generować chaosu na rynku, ograniczać konkurencji i zwiększać ryzyka regulacyjnego dla firm, które inwestują i planują w długim horyzoncie.
Jak zatem należałoby przygotować nowelizację KSC, by realnie wzmocnić cyberbezpieczeństwo polskich firm, zamiast obciążać je dodatkowymi ryzykami?
Implementacja NIS2 to właściwy kierunek. Aby jednak wzmocnić bezpieczeństwo bez osłabiania rynku, potrzebne są przepisy bardziej precyzyjne, oparte na technologii i analizie ryzyka, a nie na szerokich kwalifikacjach podmiotowych. W przeciwnym razie koszt regulacji może okazać się wyższy niż korzyści, jakie ma ona przynieść.
Dziękuję za rozmowę.
BIO – płk dr Piotr Potejko, ekspert cyberbezpieczeństwa, adiunkt na Katedrze Technologii Informacyjnych Uniwersytetu Warszawskiego. Zawodowo związany również ze służbami specjalnymi, wieloletni Dyrektor Departamentu Ochrony Informacji Niejawnych, Dyrektor Centralnego Ośrodka Szkolenia, Doradca Szefa, Pełnomocnik ds. organizacji Szczytu NATO w Warszawie. Członek Komitetu Sterującego Narodowego Centrum Badań i Rozwoju w zakresie realizacji strategicznych i międzynarodowych kwestii bezpieczeństwa oraz międzynarodowych projektów związanych z badaniami na rzecz bezpieczeństwa i obronności w polskiej gospodarce. Współautor nowelizacji Ustawy o ochronie informacji niejawnych wraz z rozporządzeniami wykonawczymi. W latach 2004-2009 przedstawiciel Prezesa Rady Ministrów w zakresie procedowania i parafowania umów międzypaństwowych w zakresie ochrony informacji niejawnych.
