Według praktyków rynku aż 80 proc. firm objętych ustawą o krajowym systemie cyberbezpieczeństwa (KSC) nie ma świadomości nowych obowiązków. Realnie działa zaledwie co dziesiąty podmiot, a najsłabszym ogniwem są małe firmy z mniejszych miejscowości. Spór o to, kto zapłaci za bezpieczeństwo państwa, dopiero się rozkręca.
Trzy daty wyznaczają nowy porządek w polskim cyberbezpieczeństwie: 3 października 2026 r. – wejście w życie nowelizacji KSC, 3 kwietnia 2028 r. – koniec moratorium na kary, oraz 3 października 2031 r. – ostateczny termin wymiany sprzętu od dostawców wysokiego ryzyka. Tymczasem, jak wynika z dyskusji podczas CYBERSEC EXPO & FORUM 2026 w Katowicach, większość objętych ustawą organizacji wciąż nie wie, że problem ich dotyczy.
Nieświadomość i opóźnienia
Przemysław Frąk, starszy inżynier sprzedaży w Axence, stwierdził, że 50 proc. firm, z którymi rozmawiał o przygotowaniach do KSC, już coś w tym kierunku robi, a reszta wciąż czeka. Dariusz Szostek, sędzia Trybunału Konstytucyjnego i profesor Uniwersytetu Śląskiego, uznał to za niepokojące. – Jeżeli ktoś dopiero teraz chce coś robić, to może już nawet niech nic nie robi, bo do 3 października i tak nie zdąży. To trzeba było robić dwa, trzy lata temu – powiedział.
Karol Skupień, prezes Krajowej Izby Komunikacji Ethernetowej, oszacował, że około 80 proc. firm objętych KSC w ogóle nie ma świadomości tego faktu. – Jeżeli mówimy, że połowa coś zrobiła, to moim zdaniem jest to połowa z tych 20 proc. świadomych. Czyli około 10 proc. firm objętych regulacją coś robi, a reszta jest w lesie – dodał. Problem pogłębia się w małych gminach: Jarosław Homa, pełnomocnik rektora Politechniki Śląskiej ds. cyberbezpieczeństwa, wskazał, że w małych jednostkach czasami jest jeden informatyk na etacie, a czasem na pół etatu.
Kary i kontrowersje wokół dostawców wysokiego ryzyka
Konsekwencją braku wdrożenia procedur będą surowe kary: do 10 mln zł za naruszenia systemu, do 50 mln zł za niedopełnienie obowiązków, a nawet do 100 mln zł za bezpośrednie i poważne zagrożenie dla obronności państwa. Nałożenie większości kar zostało odroczone do kwietnia 2028 r., co – zdaniem Dariusza Szostka – sprawi, że podmioty zaczną myśleć o cyberbezpieczeństwie dopiero za dwa lata.
Najwięcej kontrowersji budzi mechanizm dostawcy wysokiego ryzyka (DWR). Karol Skupień alarmował, że aby nakazać prywatnej firmie usunięcie sprzętu kupionego za własne pieniądze, nie trzeba udowodnić, że jest niebezpieczny – wystarczy uznanie ryzyka. – To rozwiązanie jest niezwykle korupcjogenne – stwierdził. Dariusz Szostek odpowiadał, że w czasie wojny cyfrowej nie można na to patrzeć przez pryzmat interesów prywatnych firm. – Mówimy o bezpieczeństwie państwa – podkreślił.
Joanna Karczewska, audytorka i ekspertka ds. cyberbezpieczeństwa, zwróciła uwagę na rozdźwięk między teorią a praktyką. – Żadna ustawa nie pomoże, jeśli za nią nie pójdą inne działania państwa – powiedziała, podając przykład komercyjnych programów do faktur KSeF, których bezpieczeństwa nikt nie weryfikuje. Przemysław Frąk radził na koniec: – Zróbmy inwentaryzację. To podstawa wszystkiego, co dotyczy bezpieczeństwa.
Źródło: WNP.PL, Fot. PTWP