Według ekspertów aż 80 proc. firm objętych ustawą o krajowym systemie cyberbezpieczeństwa (KSC) nie ma świadomości nowych obowiązków, a realnie działa zaledwie co dziesiąty podmiot. Najsłabszym ogniwem są małe przedsiębiorstwa z mniejszych miejscowości, dla których nowe przepisy są niejasne, a spór o to, kto zapłaci za bezpieczeństwo państwa, dopiero się rozkręca.
Trzy daty wyznaczają nowy porządek w polskim cyberbezpieczeństwie: 3 października 2026 r. – pierwsze obowiązki dla podmiotów KSC, 3 kwietnia 2028 r. – możliwość nakładania surowych kar finansowych. Tymczasem jak wynika z dyskusji ekspertów na CYBERSEC EXPO & FORUM 2026 w Katowicach, większość organizacji wciąż nie ma pojęcia, że problem ich dotyczy.
– Jeżeli ktoś dopiero teraz chce coś robić, to może już nawet niech nic nie robi, bo do 3 października i tak nie zdąży. To trzeba było robić dwa, trzy lata temu – stwierdził Dariusz Szostek, sędzia Trybunału Konstytucyjnego i profesor Uniwersytetu Śląskiego. Jego zdaniem podmioty, które dopiero wchodzą do systemu, wypadają „źle, bardzo źle albo koszmarnie źle”.
– Jako przedstawiciel biznesu i praktyk oceniam, że około 80 proc. firm, których dotyczy KSC, w ogóle nie ma świadomości tego faktu. Jeżeli więc mówimy, że połowa coś zrobiła, to moim zdaniem jest to połowa z tych 20 proc. świadomych. Czyli około 10 proc. firm objętych regulacją coś robi, a reszta jest w lesie – oszacował Karol Skupień, prezes Krajowej Izby Komunikacji Ethernetowej.
Małe firmy w gorszej sytuacji
Największe problemy dotyczą małych i średnich firm z mniejszych miejscowości. Brakuje im specjalistów, a podstawowe pojęcia ustawy o KSC są dla nich niezrozumiałe. – Duże jednostki są zwykle przygotowane, tam cyberbezpieczeństwo jest na wysokim poziomie. Problem pojawia się w małych gminach, gdzie czasem jest jeden informatyk na etacie, a czasem na pół etatu – powiedział Jarosław Homa, pełnomocnik rektora Politechniki Śląskiej ds. cyberbezpieczeństwa.
Przemysław Frąk, starszy inżynier sprzedaży w Axence, przyrównał obecną sytuację do wprowadzenia RODO. – Wszyscy czekali na ostatni dzwonek, na audyt albo na pierwszy incydent. Dopiero wtedy wdrażano plan naprawczy. Teraz przy ustawie o krajowym systemie cyberbezpieczeństwa dzieje się praktycznie to samo – stwierdził.
Odpowiedzialność firm nie dotyczy samego ataku, lecz braku procedur i niezdolności do odtworzenia działania. Zakłada się bowiem, że atak nastąpi – niewiadomą jest tylko, czy zaatakowany podmiot to przetrwa. Kary za brak wdrożenia procedur są surowe: nawet 100 mln zł za poważne zagrożenie bezpieczeństwa państwa. Moratorium na kary wprowadzono dopiero na dwa lata, co według Szostka nie jest dobrą wiadomością. – To znaczy, że podmioty zaczną być świadome, myśleć i obawiać się dwa lata później – stwierdził.
Kontrowersje wokół dostawców wysokiego ryzyka
Przepisy KSC upoważniają ministra cyfryzacji do wskazywania dostawców wysokiego ryzyka (DWR). Podstawą decyzji będą zarówno kryteria techniczne, jak i nietechniczne. W konsekwencji kilkadziesiąt tysięcy podmiotów KSC będzie musiało w ciągu od 4 do 7 lat wymienić kupiony od DWR sprzęt ICT, bez rekompensaty.
– Żeby nakazać prywatnej firmie usunięcie sprzętu kupionego za własne pieniądze, nie trzeba nawet udowodnić, że sprzęt jest niebezpieczny. Wystarczy uznanie ryzyka. Tu jest ogromne pole do błędów i manipulacji. To rozwiązanie jest niezwykle korupcjogenne – alarmował Karol Skupień.
– Jesteśmy w środku wojny, także wojny cyfrowej. Na wymogi dotyczące dostawcy wysokiego ryzyka nie możemy patrzeć przez pryzmat tego, czy prywatna firma będzie miała taki czy inny sprzęt. Mówimy o bezpieczeństwie państwa – podkreślał prof. Dariusz Szostek. Eksperci zwracali uwagę, że audytowanie wszystkich kontrahentów będzie bardzo trudne, szczególnie dla małych firm. – Łańcuch dostaw trzeba analizować szeroko, nawet od usług sprzątania. Dzisiaj często nie sprawdzamy osób sprzątających. A człowiek jest w centrum bezpieczeństwa – ostrzegał prof. Szostek.
Joanna Karczewska, audytorka i ekspertka ds. cyberbezpieczeństwa, podkreślała rozdźwięk teorii z praktyką. – Żadna ustawa nie pomoże, jeśli za nią nie pójdą inne działania państwa – powiedziała. – Dla większości firm to wciąż nieważny dodatek: ktoś coś wymyślił w KSC, prawnicy albo politycy, a ja mam za to zapłacić. Tak nie jest. Bez cyberbezpieczeństwa nie ma naszego państwa – podsumował Dariusz Szostek.
Źródło: WNP.PL, Fot. PTWP