Tomasz Zalewski: Niemiecka lekcja cyberbezpieczeństwa

Opóźnienie Polski w implementacji dyrektywy NIS2 sprawia, że znajduje się ona w teoretycznie uprzywilejowanej pozycji. Możemy analizować sposób, w jaki dyrektywa NIS2 była implementowana w innych krajach unijnych i uczyć się na błędach popełnionych przez innych. W myśl rzymskiej maksymy „słowa uczą, przykłady pociągają” Polska może mieć najlepszą ustawę spośród innych państw UE. Pytanie jednak, czy właściwie wykorzystamy tę szansę?

W poprzednim artykule („Rzeczpospolita” z 3 grudnia 2025 r.) opisałem lekcję wynikającą z tego, jak NIS2 była implementowana we Włoszech. Dziś chciałbym pokazać, jak do tego zadania podszedł nasz największy sąsiad – Niemcy.

Analiza porównawcza prowadzi do ciekawych wniosków – Niemcy przyjęli model, który można by określić połączeniem „niemieckiej precyzji” z łagodną ogólną prewencją, podczas gdy model polski przypomina „walec drogowy”, który w imię zapewnienia najwyższego poziomu cyberbezpieczeństwa wyrównuje poziom wszystkich i wszystkiego.

Pod wieloma względami model niemieckiej transpozycji opiera się na pragmatyzmie i umiarze, a model polski dąży z kolei do „bezpieczeństwa totalnego”.

Wdrożenie dyrektywy NIS2: Dlaczego płyniemy pod prąd?

Analizując niemieckie i polskie podejście, nie można pominąć szerszego kontekstu. Unijna legislacja gospodarcza – zwłaszcza w obszarze nowych technologii – znajduje się w fazie gwałtownego odwrotu od wszechobejmujących regulacji. Unijni regulatorzy zrozumieli, że próba objęcia restrykcyjnym nadzorem całego rynku jest nie tylko kosztowna, ale przede wszystkim nieskuteczna i obciążająca dla konkurencyjności gospodarki unijnej. Kolejne propozycje Komisji Europejskiej określane mianem „omnibusów” zmierzają w celu odroczenia w czasie wejścia w życie najbardziej uciążliwych wymagań lub regulacji i zdobycia czasu na ponowne przeanalizowanie, czy rzeczywiście potrzebujemy tak surowych regulacji.

Nowoczesny paradygmat dotyczący regulacji to podejście oparte na ryzyku (risk-based approach). Państwa dochodzą do wniosku, że należy regulować tylko to, co naprawdę najważniejsze – krytyczne węzły, bez których państwo i gospodarka nie mogą funkcjonować.

Czytaj więcej

Bezpieczeństwo

Sześć grzechów głównych zmian planowanych w KSC

Prace w Sejmie dają okazję do naprawienia legislacyjnego potworka, jakim jest projekt ustawy o Kr...

Niemiecka ustawa, ograniczająca mechanizm dostawców wysokiego ryzyka do wąskiej grupy operatorów infrastruktury krytycznej, jest tego najlepszym dowodem. Gdy zasoby obrońców są ograniczone, muszą być one skoncentrowane na najważniejszych odcinkach frontu.

Tymczasem polski projekt nowelizacji ustawy o krajowym systemie cyberbezpieczeństwa (KSC) wydaje się hołdować minionym już tendencjom regulacyjnym. Zamiast regulowania tego, co najbardziej ryzykowne, stosujemy „legislację dywanową”, próbując nałożyć te same rygory zarówno na strategiczne porty i elektrownie, jak i na lokalne firmy usługowe.

Dlaczego mniejsza gospodarka reguluje więcej?

Niemieckie szacunki rządowe wskazują, że nowym, surowym wymogom przepisów o cyberbezpieczeństwie podlegać będzie u nich około 30 000 podmiotów. W Polsce, przy wielokrotnie mniejszej gospodarce (PKB Niemiec to ok. 4,5 bln dol., podczas gdy Polski PKB to 0,8 bln dol.), regulacją ma być objętych aż 38 000 podmiotów kluczowych i ważnych.

Ta uderzająca dysproporcja raczej nie wynika z faktu, że mamy więcej zagrożeń czy więcej firm. Powodem jest pragmatyczne podejście niemieckiego regulatora, który tam, gdzie zastosowanie pełnej regulacji byłoby nieuzasadnione, łagodzi wymogi lub całkiem z nich rezygnuje.

Przykładem może być zastosowana przez ustawodawcę niemieckiego koncepcja „bagatelności” (vernachlässigbare Geschäftstätigkeit), która pozwala przy sprawdzaniu, czy dany podmiot kwalifikuje się jako „kluczowy” lub „ważny” pominąć te rodzaje działalności, które w odniesieniu do całokształtu biznesu są „zaniedbywalne” (nieistotne). Oznacza to, że np. firma, która produkuje głównie meble (sektor nieobjęty NIS2), ale posiada mały dział IT, który świadczy ubocznie usługi IT także dla innych spółek z grupy kapitałowej, może uniknąć pełnych rygorów ustawy, jeśli ta druga działalność zostanie uznana za bagatelną.

Celem tego rozwiązania jest uniknięcie nadmiernego obciążenia biurokratycznego dla przedsiębiorstw (szczególnie MŚP) o szerokim profilu działalności, w których usługi kluczowe lub ważne stanowią jedynie ułamek obrotów lub aktywności. Ma to zapobiec sytuacji, w której „nieistotna” działalność uboczna będzie wymagała wdrożenia pełnego systemu zapewniania zgodności z wymogami w zakresie cyberbezpieczeństwa.

Jednak największe różnice w podejściu do regulacji widać w zakresie mechanizmu dostawcy wysokiego ryzyka (DWR). To tutaj widać wyraźnie starcie dwóch filozofii: niemieckiej „precyzji” i polskiego „walca drogowego”.

Niemcy przyjęły selektywne podejście do tematu DWR

Po pierwsze, restrykcje dotyczące wykluczania sprzętu dotyczą wyłącznie operatorów infrastruktury krytycznej (KRITIS). Jest to elitarna grupa ok. 1 177 podmiotów w skali całych Niemiec. Aby zostać uznanym za firmę KRITIS, podmiot musi przekroczyć określone progi liczbowe (tzw. wartości progowe), np. zaopatrywać w usługi ponad 500 000 osób.

Po drugie, decyzje dotyczące wykluczenia lub ograniczenia w korzystaniu dotyczą konkretnego sprzętu wykorzystywanego przez operatorów infrastruktury krytycznej, a nie dostawcy jako takiego lub wszystkich jego produktów.

Polski model „walca” przyjmuje odmienną logikę. Procedura uznania dostawcy za DWR ma zastosowanie do wszystkich podmiotów kluczowych i ważnych. Jeśli zapadnie decyzja po uznaniu produktów firmy „X” za niebezpieczne, dotknie ona nie tylko elektrownię jądrową, ale również szpital czy ową fabrykę mebli z działem IT.

Z punktu widzenia przedsiębiorców taka konstrukcja przepisów generuje ryzyko inwestycyjne. Przedsiębiorca w Polsce, planując dziś np. modernizację linii produkcyjnej, gra w rosyjską ruletkę. Sprzęt, który jest dziś legalny i certyfikowany, za rok lub dwa może zostać objęty decyzją dotyczącą DWR.

Czytaj więcej

Opinie Prawne

Tomasz Zalewski: Włoska lekcja cyberbezpieczeństwa

Zamiast korzystać z doświadczeń innych państw powielamy błędy zaobserwowane już podczas wdrażania...

W tym samym czasie jego niemiecki konkurent – o ile nie jest operatorem infrastruktury krytycznej – takiego ryzyka nie ponosi. Może kupować technologię, kierując się relacją ceny do jakości, co daje mu na starcie przewagę kosztową. Polska ustawa tworzy zatem nierówne pole gry na jednolitym rynku europejskim.

Polska regulacja jest z całą pewnością bardziej radykalna i surowa, ale nie jest pewne, czy jest to równoznaczne z tym, że będzie skuteczniejsza w zapewnieniu cyberbezpieczeństwa w państwie. Podjęcie decyzji o uznaniu konkretnego dostawcy za dostawcę wysokiego ryzyka będzie miało dużo bardziej poważne konsekwencje niż podjęcie decyzji o zakazaniu operatorowi infrastruktury krytycznej stosowania krytycznych komponentów danego producenta. Oznacza to, że decyzja taka będzie wydawana dłużej i poprzedzona będzie odpowiednio dłuższymi badaniami i procedurami.

Powstaje zatem pytanie, co będzie skuteczniejsze w praktyce: decyzje o całościowym uznaniu danego dostawcy jako DWR, które mogą być znacznie opóźnione w czasie, czy decyzje o uznaniu konkretnego komponentu za zakazany, co nastąpi szybciej i szybciej zostanie wykonane.

Odpowiedzialność przed wspólnikami czy przed organem nadzorczym?

Dyrektywa NIS2 kładzie nacisk na odpowiedzialność kadry zarządzającej, jednak sposób transpozycji tego wymogu w Polsce przybrał formę represyjną, której nie znajdziemy za Odrą.

W Niemczech obowiązuje koncepcja Binnenhaftung (odpowiedzialność wewnętrzna). Jeśli spółka otrzyma karę za brak zgodności z wymogami cyberbezpieczeństwa, to wspólnicy rozliczą zarząd za brak należytej staranności.

W Polsce natomiast projekt ustawy wprowadza bezpośrednie administracyjne kary pieniężne nakładane na osoby fizyczne. Kierownik podmiotu (prezes, dyrektor) może zapłacić karę w wysokości do 300 proc. swojego miesięcznego wynagrodzenia.

Taka personalizacja odpowiedzialności wywoła dość oczywisty i chyba spodziewany klasyczny efekt mrożący. Zarządy, w obawie przed osobistą odpowiedzialnością, będą skłonne do „nadmiernego compliance” – zgłaszania wszystkiego i wszędzie, byle tylko mieć „podkładkę”. Może to mieć konsekwencje nie tylko w postaci niezasadnego zgłaszania się do wykazu podmiotów kluczowych i ważnych, ale także w asekuracyjnym zgłaszaniu błahych incydentów, co grozi paraliżem krajowych zespołów CSIRT. Może to także spowodować zwiększenie kosztów zapewnienia zgodności, gdyż zarządy będą wolały na wszelki wypadek wdrożyć nowe regulacje „na wyrost” z dużym zapasem w stosunku do wymaganego poziomu.

Pośpiech nigdy nie jest dobrym doradcą

Choć termin implementacji NIS2 minął w październiku 2024 r., warto jeszcze rozważyć lekcje z implementacji NIS2 w innych krajach. Mamy przed oczami dwa modele: niemiecką koncepcję „precyzyjnego pragmatyzmu”, która chroni to, co niezbędne, i polski „walec”, który próbuje zabezpieczyć wszystko, ryzykując jednak przy tym zadławienie zarówno gospodarki, jak i samej administracji powołanej do nadzoru.

Wnioski z analizy porównawczej są proste:

1. Polskie regulacje dotyczyć będą większej liczby podmiotów niż te same regulacje w Niemczech przy znacznie mniejszym potencjale ekonomicznym polskiej gospodarki w porównaniu do Niemiec.

2. Polskie firmy będą ponosić wyższe koszty obsługi prawnej i audytów niż firmy niemieckie.

3. Mechanizm DWR w modelu eliminacji dostawców, a nie ich konkretnego sprzętu, to ryzyko inwestycyjne, którego nie mają nasi zachodni sąsiedzi.

Z pierwszych prac w Sejmie dotyczących projektu ustawy o KSC wynika, że możliwe jest jeszcze doprecyzowanie przepisów. Skoro mamy gotowe dowody na to, jak można wdrożyć te przepisy w sposób bardziej przyjazny dla gospodarki (Niemcy) oraz wiemy, jakie błędy popełnili inni (Włochy), to warto wykorzystać tę wiedzę dla poprawy projektu tak, aby zapewnił transpozycję dyrektywy NIS2 w sposób realizujący jej cele, ale jednocześnie nie dławiący polskiej gospodarki i administracji.