"To trzeba było zrobić 2 lata temu". Firmy spóźnione. Kary mogą sięgnąć nawet 100 mln zł

15-16 czerwca 2026 • Katowice • Międzynarodowe Centrum Kongresowe

Zarejestruj się

• Według praktyków rynku około 80 proc. firm objętych ustawą o krajowym systemie cyberbezpieczeństwa (KSC) nie ma w ogóle świadomości nowych obowiązków. Z tych świadomych zaś, konkretne działania podejmuje może połowa - czyli co dziesiąty z wszystkich podmiotów KSC.
• Najsłabszym ogniwem są małe i średnie firmy z mniejszych miejscowości, którym brakuje specjalistów, a podstawowe pojęcia ustawy o KSC są dla nich niezrozumiałe.
• Mechanizm dostawcy wysokiego ryzyka dzieli ekspertów najmocniej: dla jednych to fundament bezpieczeństwa narodowego, dla innych - rozwiązanie korupcjogenne, które każe prywatnej firmie płacić za cudzy błąd.
• Odpowiedzialność firm i innych organizacji objętych obowiązkami cyberbezpieczeństwa nie dotyczy samego ataku, lecz braku procedur i niezdolności do odtworzenia działania. Zakłada się bowiem, że atak nastąpi – niewiadomą jest tylko, czy zaatakowany podmiot to przetrwa.
• Takie tematy omawiali uczestnicy sesji „KSC i NIS2 w praktyce” podczas CYBERSEC EXPO & FORUM 2026: Przemysław Frąk, Jarosław Homa, Joanna Karczewska, Karol Skupień i Dariusz Szostek.

Trzy daty wyznaczają nowy porządek w polskim cyberbezpieczeństwie:

• 3 kwietnia weszła w życie nowelizacja ustawy o krajowym systemie cyberbezpieczeństwa (KSC),
• 3 października mija termin rejestracji podmiotów ważnych i kluczowych,
• do 3 kwietnia 2027 r. trzeba będzie mieć wdrożony system zarządzania bezpieczeństwem informacji (SZBI).

Tymczasem - jak wynika z dyskusji ekspertów na CYBERSEC EXPO & FORUM 2026 w Katowicach - większość objętych ustawą organizacji wciąż nie ma świadomości, że problem w ogóle ich dotyczy.

Za pięć dwunasta. Gdzie naprawdę są polskie firmy z gotowością do KSC

Przemysław Frąk, starszy inżynier sprzedaży w Axence, w prezentacji otwierającej panel „KSC i NIS2 w praktyce” stwierdził, że 50 proc. firm, z którymi spotkał się w sprawie przygotowań do KSC, już zaczęło coś w tym kierunku robić, a 50 proc. jeszcze czeka.

Dariusz Szostek, sędzia Trybunału Konstytucyjnego i profesor Uniwersytetu Śląskiego, uważa to za niepokojące.

- Jeżeli ktoś dopiero teraz chce coś robić, to może już nawet niech nic nie robi, bo do 3 października i tak nie zdąży. To trzeba było robić dwa, trzy lata temu - stwierdził Dariusz Szostek. Jego zdaniem podmioty, które dotychczas nie były objęte KSC i dopiero wchodzą do tego systemu wypadają „źle, bardzo źle albo koszmarnie źle”.

- Jako przedstawiciel biznesu i praktyk oceniam, że około 80 proc. firm, których dotyczy KSC, w ogóle nie ma świadomości tego faktu. Jeżeli więc mówimy, że połowa coś zrobiła, to moim zdaniem jest to połowa z tych 20 proc. świadomych. Czyli około 10 proc. firm objętych regulacją coś robi, a reszta jest w lesie – oszacował Karol Skupień, prezes Krajowej Izby Komunikacji Ethernetowej.

Z kolei Jarosław Homa, pełnomocnik rektora Politechniki Śląskiej ds. cyberbezpieczeństwa, zaznaczył, że duże, wiodące uczelnie od dawna mają systemy zarządzania bezpieczeństwem informacji i dziś je tylko uszczelniają.

Gorzej wygląda sytuacja w samorządach. - Tam odpowiedź brzmi: to zależy. Duże jednostki są zwykle przygotowane, tam cyberbezpieczeństwo jest na wysokim poziomie. Problem pojawia się w małych gminach, gdzie czasem jest jeden informatyk na etacie, a czasem na pół etatu – powiedział Jarosław Homa.

Karol Skupień zwrócił ponadto uwagę na niejasność przepisów.

Problemów interpretacyjnych jest bardzo dużo, począwszy od samej definicji systemów informacyjnych. Dla prawników, którzy pracowali nad ustawą, może to być jasne. Ale jeżeli pójdziemy do małej miejscowości, do przedsiębiorcy, który nie jest prawnikiem, nie zatrudnia prawnika, a IT obsługuje mu firma zewnętrzna, to podstawowe pojęcia nie są jasne – wskazał.

Oceniając gotowość firm, Przemysław Frąk przywołał analogię do wprowadzenia RODO. - Wszyscy czekali na ostatni dzwonek, na audyt albo na pierwszy incydent. Dopiero wtedy wdrażano plan naprawczy. Teraz przy ustawie o krajowym systemie cyberbezpieczeństwa dzieje się praktycznie to samo – stwierdził.

Odpowiedzialność za atak czy za brak procedur? Zmiana podejścia

Dariusz Szostek prostował błędne przekonanie, że podmioty KSC będą ponosiły odpowiedzialność, jeśli dotknie ich cyberatak.

- NIS2 zmieniła podejście – podkreślił, odnosząc się do unijnej dyrektywy w sprawie środków na rzecz wysokiego wspólnego poziomu cyberbezpieczeństwa (nowelizacja KSC stanowi jej wdrożenie). - Dzisiaj zakładamy, że atak będzie i że nasze zasoby mogą zostać poważnie naruszone. Odpowiedzialność dotyczy niewdrożenia procedur, braku zasad zarządzania i niezdolności do odtworzenia działania – wyjaśnił prof. Szostek.

Joanna Karczewska, audytorka i ekspertka ds. cyberbezpieczeństwa, podkreślała znaczenie praktycznego stosowania zasad bezpieczeństwa przygotowanych na papierze.

- Kiedy robię audyty, nie sprawdzam tylko papierów. Owszem, biorę dokumenty, ale potem pytam: „Dobrze, a jak to stosujecie?” - opowiadała.

Jarosław Homa wskazał zaś, że sednem dyrektywy NIS2 jest zachowanie ciągłości działania. - Część instytucji, które padły ofiarą incydentu, cyberataku czy nawet pożaru, wie, jak się zachować. Kluczowe jest odpowiednie przygotowanie – powiedział.

Konsekwencją braku wdrożenia procedur na wypadek incydentu cyberbezpieczeństwa będą – oprócz skutków samego ataku – także kary przewidziane w ustawie o KSC. A będą one surowe:

• dla podmiotów kluczowych - od 20 tys. zł do 10 mln euro,
• dla podmiotów ważnych - od 15 tys. zł do 7 mln euro,
• za najpoważniejsze naruszenia – do 100 mln zł,
• za niezastosowanie się do nakazu organu cyberbezpieczeństwa - od 500 zł do 100 tys. zł za każdy dzień opóźnienia,
• dla kierownika jednostki - do 300 proc. miesięcznego wynagrodzenia.

Ponadto najwyższa kara, do 100 mln zł, może być nałożona na podmiot, który naruszy przepisy, powodując bezpośrednie i poważne zagrożenie cyberbezpieczeństwa dla obronności, bezpieczeństwa państwa, bezpieczeństwa i porządku publicznego, życia i zdrowia ludzi; albo zagrożenie wywołania poważnej szkody majątkowej lub poważnych utrudnień w świadczeniu usług.

Ta ostatnia kara grozi podmiotom KSC już dziś. Natomiast wszystkie pozostałe dzięki poprawce sejmowej będzie można nakładać dopiero dwa lata po wejściu w życie nowelizacji, czyli po 3 kwietnia 2028 r.

Moratorium na kary ucieszyło przedstawicieli biznesu, ale zdaniem Dariusza Szostka nie jest to dobra wiadomość. - To znaczy, że podmioty zaczną być świadome, myśleć i obawiać się dwa lata później – stwierdził.

Dostawca wysokiego ryzyka i audyt sprzątaczki, czyli kto zapłaci za bezpieczeństwo

Przepisy KSC upoważniają ministra cyfryzacji do wskazywania dostawców wysokiego ryzyka (DWR). Podstawą tych decyzji będą zarówno kryteria techniczne, jak i nietechniczne. Przewidziano też konsultacje z prokuraturą, stroną społeczną i kolegium ds. cyberbezpieczeństwa.

W konsekwencji kilkadziesiąt tysięcy podmiotów KSC będzie musiało w ciągu od 4 do 7 lat wymienić kupiony od DWR sprzęt ICT (produkty i usługi związane z technologiami informacyjno-telekomunikacyjnymi). W trakcie prac nad nowelizacją krytykowano fakt, że środki bezpieczeństwa przewidziane pierwotnie dla operatów sieci komórkowych 5G zostały rozszerzone na 18 sektorów objętych NIS2. Za wymianę sprzętu nie przewidziano dla firm rekompensaty.

Podczas panelu prezes KIKE nie zostawił suchej nitki na rozwiązaniach dotyczących DWR.

Żeby nakazać prywatnej firmie usunięcie sprzętu kupionego za własne pieniądze, nie trzeba nawet udowodnić, że sprzęt jest niebezpieczny. Wystarczy uznanie ryzyka. Tu jest ogromne pole do błędów i manipulacji. To rozwiązanie jest niezwykle korupcjogenne - alarmował Karol Skupień.

Dariusz Szostek odpowiedział na to z pozycji bezpieczeństwa państwa.

- Jesteśmy w środku wojny, także wojny cyfrowej. Na wymogi dotyczące dostawcy wysokiego ryzyka nie możemy patrzeć przez pryzmat tego, czy prywatna firma będzie miała taki czy inny sprzęt. Mówimy o bezpieczeństwie państwa – podkreślał prof. Szostek.

Procedura DWR to jeden z mechanizmów zapewnienia bezpieczeństwa łańcucha dostaw. Podmioty KSC muszą się bowiem troszczyć nie tylko o swoje cyberbezpieczeństwo. Ich obowiązkiem jest także dobór bezpiecznych dostawców.

W praktyce wykonanie audytu wszystkich kontrahentów będzie jednak bardzo trudne, a firmy o mniejszych zasobach takie wyzwanie może przerosnąć.

- Wracamy do podziału na dużych i małych – komentował Karol Skupień. - Duży podmiot ma prawnika i radcę prawnego. Łatwiej zweryfikuje dostawcę. Mniejszy podmiot, na przykład gmina, mały przedsiębiorca czy przedsiębiorca telekomunikacyjny zatrudniający trzy albo pięć osób, będzie miał problem – stwierdził.

Dariusz Szostek wskazywał tu na doświadczenia sektora finansowego, który w ubiegłym roku wprowadzał wymogi cyberbezpieczeństwa wynikające z unijnego rozporządzenia DORA.

- DORA wymusiła audytowanie dostawców: albo się audytujesz i weryfikujesz, albo nie jesteś naszym dostawcą – powiedział. - Połowę dostawców być może trzeba będzie wymienić – przyznał. Dodał, że mniejszym podmiotom KSC mogą przyjść w sukurs unijne certyfikaty bezpieczeństwa, oznaczające bezpieczne produkty i usługi.

- Łańcuch dostaw trzeba analizować szeroko, nawet od usług sprzątania. Dzisiaj często nie sprawdzamy osób sprzątających. A człowiek jest w centrum bezpieczeństwa – ostrzegał prof. Szostek.

Joanna Karczewska zwróciła uwagę na rozdźwięk teorii z praktyką. - Żadna ustawa nie pomoże, jeśli za nią nie pójdą inne działania państwa – powiedziała.

Podała przykład oferowanych komercyjnie programów dotworzenie faktur ustrukturyzowanych zgodnych z KSeF. - Czy ktoś te firmy sprawdzał? Czy ktoś ma pewność, że to oprogramowanie jest bezpieczne? Czy wyśle dane tylko do KSeF, czy przy okazji jeszcze gdzie indziej? - pytała Joanna Karczewska.

Bez cyberbezpieczeństwa nie ma państwa

- Zróbmy inwentaryzację. To podstawa wszystkiego, co dotyczy bezpieczeństwa – radził na zakończenie Przemysław Frąk.

Z kolei Dariusz Szostek zaznaczył, że cyberbezpieczeństwo należy traktować poważnie.

Dla większości firm to wciąż nieważny dodatek: ktoś coś wymyślił w KSC, prawnicy albo politycy, a ja mam za to zapłacić. Tak nie jest. Bez cyberbezpieczeństwa nie ma naszego państwa – podkreślił Dariusz Szostek.

Jednak zdaniem prezesa KIKE przepisy o KSC wymagają korekty.

- Obciążanie małej lokalnej firmy odpowiedzialnością finansową za to, że słabo zaudytowała międzynarodową korporację, jest fikcją. To nie jest droga do bezpieczeństwa. Dlatego ta ustawa nie jest tak prosta i zapewne będziemy ją jeszcze kilkukrotnie zmieniać, żeby zaczęła działać realnie – podsumował Karol Skupień.