Reklama

Ustawa „lex Huawei” pod lupą. Obok finansowania pojawił się kolejny problem

Po sześciu latach prac w polskim parlamencie rząd Donalda Tuska zbliża się do końca procesu legislacyjnego w sprawie ustawy o krajowym systemie cyberbezpieczeństwa, potocznie określanej jako „lex Huawei”. Przyjęcie ustawy spotyka się jednak z wieloma problemami na ścieżce przyjmowania projektu. Obok braku potrzebnego finansowania pojawiła się również krytyka ze strony Ministerstwa Rozwoju i Technologii, które ostrzega, że wprowadzenie przepisów w obecnym kształcie może doprowadzić do nadregulacji i uderzenia w biznes.

Publikacja: 16.09.2025 04:00

Polska chce zwiększyć poziom ochrony infrastruktury krytycznej i usług kluczowych, ale spóźnia się z implementacją przepisó unijnych

Foto: AdobeStock

Artur Osiecki

Reklama

Ustawa o krajowym systemie cyberbezpieczeństwa stanowi element wdrażania przez Polskę przepisów unijnej dyrektywy NIS2 i i ma stworzyć ramy ochrony państwa przed rosnącą falą cyberataków. Dyrektywa NIS2 (Network and Information Security 2) to unijny akt prawny przyjęty w 2022 r., który zastąpił wcześniejszą dyrektywę NIS z 2016 r. Jej celem jest podniesienie poziomu cyberbezpieczeństwa w całej Unii Europejskiej poprzez wprowadzenie jednolitych standardów ochrony dla kluczowych sektorów gospodarki i administracji. Nowe przepisy obejmują m.in. energetykę, transport, zdrowie, bankowość, wodociągi, telekomunikację, infrastrukturę cyfrową czy administrację publiczną. Zobowiązują one przedsiębiorstwa i instytucje do stosowania rygorystycznych środków ochrony, raportowania incydentów oraz przechodzenia regularnych audytów. Dyrektywa przewiduje także wysokie sankcje za brak zgodności. W przypadku dużych firm mogą one sięgać nawet 10 mln euro lub 2 proc. rocznego obrotu.

Państwa członkowskie musiały więc wdrożyć przepisy NIS2 do października 2024 r., ale wiele, w tym Polska, wciąż jest na etapie dostosowywania prawa. I choć dokument zyskał akceptację Stałego Komitetu Rady Ministrów, wciąż nie wiadomo, kiedy trafi pod obrady całego rządu.

Rosnące ryzyko cyberataków

Jeszcze kilka lat temu cyberataki kojarzyły się przede wszystkim z wykradaniem danych osobowych czy phishingiem. Dziś są w stanie sparaliżować całe szpitale, sieci transportowe czy systemy energetyczne. Tak było niedawno w Krakowie, gdzie cyberatak na szpital MSWiA unieruchomił system dokumentacji medycznej i wymusił wstrzymanie przyjęć pacjentów.

Eksperci ostrzegają, że to tylko zapowiedź tego, co może się wydarzyć, jeśli Polska nie wzmocni ochrony swoich systemów cyberbezpieczeństwa. W skrajnych scenariuszach zagrożone są dostawy energii, wody pitnej, funkcjonowanie kolei czy dostęp do usług medycznych. Komisja Europejska od lat alarmuje, że odporność cyfrowa infrastruktury krytycznej musi być traktowana niemal tak samo poważnie, jak obrona militarna.

Rząd musi znaleźć kompromis – nie tylko między potrzebami bezpieczeństwa a możliwościami budżetu, ale także między wymaganiami Brukseli a głosem własnych przedsiębiorców

Reklama

Dlatego dyrektywa NIS2, przyjęta przez Unię Europejską w 2022 r. i obowiązująca od października 2024 r., wymaga od państw członkowskich wprowadzenia przepisów zapewniających podwyższony poziom ochrony infrastruktury krytycznej i usług kluczowych. Polska spóźnia się jednak z jej implementacją. Bruksela już wezwała Warszawę do złożenia wyjaśnień, a dalsze opóźnienia mogą oznaczać postępowania przed TSUE.

Nowe instytucje i wielkie koszty

Projekt ustawy zakłada powstanie dziesięciu sektorowych zespołów reagowania na incydenty komputerowe (CSIRT – Computer Security Incident Response Team), które miałyby czuwać nad bezpieczeństwem w kluczowych branżach – od ochrony zdrowia, przez transport, po gospodarkę wodną. Miałyby one stanowić 377 etatów, które obsługiwałyby około 40 tys. różnych podmiotów. Z szacunków zawartych w Ocenie Skutków Regulacji wynika, że utrzymanie sektorowego zespołu liczącego 20 osób to koszt około 8 mln zł rocznie, przy czym przeciętne miesięczne wynagrodzenie jednego specjalisty określono na 16 tys. zł (nie wliczając w to składek). Dziś funkcjonują tylko dwa takie centra: przy Komisji Nadzoru Finansowego i Centrum e-Zdrowia.

Warto podkreślić, że koszty związane z ustawą znacząco wzrosły w porównaniu z wcześniejszymi założeniami. Podczas gdy w kwietniu 2024 r. Ocena Skutków Regulacji wskazywała, że pierwszy rok wdrożenia przepisów pochłonie ok. 300 mln zł, to w sierpniu 2025 r. prognozy wzrosły już do 560 mln zł. Z kolei całkowite wydatki w perspektywie dekady oszacowano na 8 mld zł, czyli dwukrotnie więcej niż pierwotnie zakładano.

Ponadto, resorty zdrowia i infrastruktury sygnalizują, że bez dodatkowych pieniędzy nie zdołają one sfinansować własnych CSIRT-ów. Ministerstwo Finansów odpowiada jednak, że przestrzeni na nowe wydatki nie ma, gdyż Polska znajduje się w procedurze nadmiernego deficytu, a każdy nowy koszt musi zostać zbilansowany.

Komisja Europejska z kolei przewiduje, że wdrożenie dyrektywy NIS2 pozwoli ograniczyć łączne straty wynikające z incydentów cyberbezpieczeństwa w państwach Unii Europejskiej o około 11,3 mld euro.

MRiT: nadregulacja może uderzyć w biznes

Poza kwestią finansowania projekt ustawy o krajowym systemie cyberbezpieczeństwa napotkał krytykę ze strony Ministerstwa Rozwoju i Technologii. W piśmie do Stałego Komitetu Rady Ministrów wiceszef MRiT Michał Jaros ostrzega, że obecna wersja ustawy zawiera przepisy nadmiarowe, wykraczające poza wymogi dyrektywy NIS2 i niepotrzebnie pogarszające warunki prowadzenia działalności gospodarczej w Polsce. Według MRiT nadregulacja dotyczy m.in. wymagań w zakresie bezpieczeństwa łańcucha dostaw, obowiązków informacyjnych oraz rozbudowanych mechanizmów kontrolnych. Resort podkreśla, że takie przepisy mogą w średniej i długiej perspektywie wymuszać na przedsiębiorcach kosztowne i niezamierzone inwestycje.

Reklama

Kolejny zarzut dotyczy katalogu podmiotów uznawanych za kluczowe. Jak zaznacza MRiT, projekt ustawy, w przeciwieństwie do dyrektywy NIS2, obejmuje m.in. hurtownie farmaceutyczne, apteki, producentów substancji czynnych czy importerów leków, a także inwestycje z zakresu energetyki jądrowej. Zdaniem ministerstwa oznacza to poszerzenie unijnych wymogów na dodatkowe branże, co zwiększy obciążenia regulacyjne.

Jeszcze większy sprzeciw resortu rozwoju i technologii budzi procedura uznawania dostawcy za tzw. podmiot wysokiego ryzyka (HRV). Dyrektywa unijna ogranicza ją do krytycznych elementów sieci 5G, podczas gdy polski projekt rozszerza ten mechanizm na wszystkie 18 sektorów gospodarki.

Najobszerniejsza krytyka MRiT dotyczy jednak proponowanych rozwiązań w zakresie kontroli prowadzonych przez organy właściwe ds. cyberbezpieczeństwa. Projekt przewiduje m.in. nowe przepisy o kontrolach doraźnych (art. 59c ustawy o KSC) oraz wyłączenie zasady zakazującej prowadzenia kilku kontroli równocześnie (art. 65a). Resort rozwoju podkreśla, że już dziś Prawo przedsiębiorców pozwala na przeprowadzanie kontroli planowych i doraźnych – w tym w razie naruszenia prawa czy zagrożenia życia i zdrowia. Co więcej, zdaniem MRiT, kontrole doraźne wyłączone spod zasad Prawa przedsiębiorców mogą stać się częstsze i mniej przewidywalne, co stoi w sprzeczności z reformami deregulacyjnymi przyjętymi w maju 2025 r., mającymi ograniczać częstotliwość kontroli gospodarczych.

Resort rozwoju twierdzi również, że skuteczność nie może oznaczać nadmiernego obciążania firm ponad unijne wymogi. Wskazuje przy tym, że w przypadku wcześniejszej dyrektywy NIS1 Polska nie wprowadzała podobnych rozwiązań, a instytucje unijne nigdy nie zakwestionowały braku dodatkowych przesłanek do wszczynania kontroli.

Podobne uwagi dotyczą propozycji zniesienia zakazu równoczesnych kontroli. MRiT ostrzega, że przedsiębiorcy byliby zmuszeni do obsługi kilku organów kontrolnych naraz, zapewniając im warunki lokalowe i organizacyjne, a także równocześnie realizując różne zalecenia.

Eksperci zwracają uwagę, że gdy Polska chce wprowadzić restrykcyjne przepisy, inne państwa UE implementują NIS2 bez nadregulacji.

Reklama

Dylematy rządu przy ustawie o KSC. Wzrost presji z obu stron

Przed rządem Donalda Tuska stoi więc podwójne wyzwanie. Z jednej strony presja Komisji Europejskiej, domagającej się szybkiej implementacji NIS2 i wzmocnienia ochrony przed cyberatakami, a z drugiej strony obawy resortu rozwoju i przedsiębiorców, którzy alarmują, że nadmierna regulacja może osłabić konkurencyjność polskiej gospodarki.

Projekt, po akceptacji Stałego Komitetu Rady Ministrów, formalnie jest gotowy do przyjęcia przez rząd. Wicepremier i minister cyfryzacji Krzysztof Gawkowski wielokrotnie zapowiadał, że ustawa zostanie uchwalona jeszcze w 2025 r. Jednak im bliżej finału, tym bardziej narasta spór o jej ostateczny kształt.

Rząd musi znaleźć kompromis – nie tylko między potrzebami bezpieczeństwa a możliwościami budżetu, ale także między wymaganiami Brukseli a głosem własnych przedsiębiorców. Nie bez znaczenia jest też kontekst relacji polsko-chińskich. W poniedziałek odbyło się spotkanie szefa MSZ Radosława Sikorskiego z jego chińskim odpowiednikiem Wangiem Yi.

Jeśli projekt pozostanie w obecnej wersji, grozi mu los wielu wcześniejszych prób reform: deklaratywne zapisy, których nikt nie będzie w stanie w pełni wdrożyć.

Dotychczasowa historia "lex Huawei" to pasmo niepowodzeń i przeciągających się konsultacji. Pierwsza wersja nowelizacji ustawy o KSC została opublikowana we wrześniu 2020 r., jeszcze za rządów PiS. Trzy lata później projekt trafił do Sejmu, ale został wycofany jeszcze przed rozpoczęciem prac.

Dopiero po wyborach parlamentarnych i przejęciu władzy przez Koalicję 15 października prace przyspieszyły. W kwietniu 2024 r. wicepremier i minister cyfryzacji Krzysztof Gawkowski zaprezentował nową wersję projektu i zapowiedział uchwalenie ustawy do końca 2025 r. Gdy 4 września 2025 r. Stały Komitet Rady Ministrów dał zielone światło, wydawało się, że finał jest bliski. Wtedy pojawiły się dwa poważne problemy: pieniądze i nadregulacja.