Dyrektywa NIS2 została uchwalona przez Unię Europejską z myślą o wzmocnieniu poziomu ochrony infrastruktury krytycznej oraz podniesieniu standardów cyberbezpieczeństwa w krajach członkowskich. Tymczasem wdrożenie tej dyrektywy w Polsce w ramach ustawy o Krajowym Systemie Cyberbezpieczeństwa (KSC) – rodzi poważne kontrowersje i może przynieść skutki odwrotne do zamierzonych.
Raport SprawdzaMY – głos ekspertów pozostawiony bez echa
Projekt nowelizacji ustawy o Krajowym Systemie Cyberbezpieczeństwa to klasyczny przykład szkodliwej krajowej nadregulacji. Jeszcze kilka miesięcy temu obietnica deregulacji była jednym z ważnych punktów rządowej agendy. Powstał zespół pod przewodnictwem Rafała Brzoski, który w ramach inicjatywy SprawdzaMY zdiagnozował jedną z kluczowych bolączek polskiej gospodarki – skłonność do wdrażania unijnych dyrektyw w sposób wykraczający daleko poza wymogi prawa UE. Raport SprawdzaMY z maja 2025 r. pokazuje, że Polska ma systemowy problem z „nadimplementacją” (tzw. gold-plating), podczas gdy wiele państw UE stosuje zasadę „EU+0” – implementując jedynie to, co konieczne. W ramach uruchomionej rządowej inicjatywy obiecywano przedsiębiorcom ograniczenie zbędnych obowiązków, większą przewidywalność prawa i otoczenie sprzyjające inwestycjom. Tymczasem pierwszy poważny test tej wiarygodności – nowelizacja ustawy o KSC – pokazuje coś zgoła odmiennego, a uwagi rynku przekazane w licznych stanowiskach konsultacyjnych nadal czekają na uwzględnienie.
Regulacyjna prowizorka za miliardy
Wdrażając dyrektywę NIS2 w ramach nowelizacji ustawy KSC, Polska wychodzi dalej, niż wymaga prawo unijne, wprowadzając m.in. arbitralny mechanizm określania dostawców „wysokiego ryzyka” z konsekwencją obowiązku usunięcia sprzętu z sieci, bardzo wysokie kary finansowe za brak dostosowania czy możliwość wstrzymania działalności gospodarczej. Kosztowne obowiązki wdrożeniowe, wychodzące poza unijne zalecenia, adresowane wyłącznie do krytycznych komponentów infrastruktury 5G, obejmą nie tylko operatorów telekomunikacyjnych, ale także przedsiębiorstwa z innych branż: instytucji finansowych, służby zdrowia, energetyki, transportu czy IT. Sama wymiana sprzętu operatorów telekomunikacyjnych to wydatek szacowany na ponad 6 miliardów złotych. Wdrożenie przepisów KSC w obecnym kształcie oznacza nieproporcjonalne i nieuzasadnione koszty dla biznesu, podatnika i konsumenta, a jednocześnie – poprzez mechanizmy opierające się na uznaniowości politycznej – osłabi odporność kluczowych dla bezpieczeństwa Polski sektorów. W dłuższej perspektywie grozi to ograniczeniem inwestycji i spowolnieniem rozwoju technologicznego.
Jedna decyzja polityka i sprzęt znika
Choć projekt nowelizacji KSC formalnie nie wprowadza bezwzględnego zakazu korzystania ze sprzętu i technologii azjatyckich, w każdej chwili może uruchomić procedurę ich wykluczenia – decyzją jednego ministra, opartą na nieprecyzyjnych przesłankach, bez odwołania i skutecznej kontroli sądowej. Możliwość zakwalifikowania dowolnego dostawcy do grupy „wysokiego ryzyka” oznacza, że całe linie produktów mogą zostać z dnia na dzień usunięte z rynku. Nawet jeśli przedsiębiorcy otrzymają kilkuletni okres na wymianę sprzętu, ich inwestycje mogą zostać uznane za ryzykowne, a rozpoczęte projekty – wstrzymane. To utrzyma branżę w stanie przewlekłej niepewności, zniechęcając do długoterminowych inwestycji i innowacji i istotnie podwyższając koszty. Projekt KSC w obecnym kształcie stwarza duże ryzyko spowolnienia wdrożeń innowacyjnych usług, jak Internet Rzeczy, inteligentne miasta czy automatyzacja przemysłu. Ograniczenie dostawców, obciążenie kosztami i utrzymująca się niepewność regulacyjna mogą osłabić inwestycje w sektorze i pozbawić Polskę przewagi konkurencyjnej wobec państw regionu.
