UKSC, nowe dyrektywy i chaos. Czego nie wiemy o nadchodzących regulacjach?

Nowelizacja UKSC ma wzmocnić krajowy system cyberbezpieczeństwa i umożliwić dostosowanie polskiego prawa do unijnej dyrektywy NIS 2 (rozszerzenia obowiązków w zakresie cyberbezpieczeństwa). Na razie jednak paraliżuje działanie przedsiębiorców. Podczas panelu „Cyberbezpieczeństwo w erze zintegrowanych systemów elektronicznych” na Evertiq Expo Kraków 2025 temat UKSC powracał jako symbol dezinformacji, niepewności i braku realnych narzędzi dla biznesu.

„Trochę się to przeciąga. Przecieki mówią, że nowy prezydent ma podpisać nowelizację ustawy o Krajowym Systemie Cyberbezpieczeństwa, ale ja to słyszę od dwóch lat i nie jestem przekonany”, komentował Piotr Siwek z Hub4Industry.

Ustawa, która miała wprowadzić porządek i obowiązki w zakresie cyberochrony, stała się źródłem chaosu. Pojawiały się kolejne wersje projektu, a konsultacje społeczne trwały miesiącami. Piąta wersja projektu nowelizującego została opublikowana 12 lutego 2025, ale ostatecznego kształtu nadal nie poznaliśmy.

Goście panelu dyskusyjnego zaznaczali, że przedsiębiorcy, zwłaszcza ci z sektora przemysłowego i elektronicznego, potrzebują jasnych wytycznych. Muszą wiedzieć jakie obowiązki zostaną na nich nałożone i jakie kary będą groziły za niewywiązanie się z nich. Muszą zaplanować i przeprowadzić wymagane wdrożenia w terminach, których też jeszcze nie znają. 

RODO 2.0?

„To jest dość analogiczne, te kary mają być podobne do RODO. I z RODO było tak, że każdy się bał, ale nikt nie wiedział dokładnie czego", mówił Siwek.

Gdy wchodziło RODO firmy masowo kupowały odpowiednie szafy, drukowały regulaminy i tworzyły stanowiska inspektorów ochrony danych. Piotr Siwek wspomniał o sytuacji, której był świadkiem, kiedy to prezes zlecił księgowej założenie subkonta, na które firma będzie przelewała 10% miesięcznego obrotu - wszystko po to, żeby pokryć nieuniknione kary.

Podobnie dzieje się w wypadku UKSC i dyrektywy NIS2. Przedsiębiorcy wiedzą, że trzeba będzie wprowadzić zmiany. Niestety nadal nie wiedzą jakie.

„Na chwilę obecną wszystko to jest takie trochę przez mgłę, kijem po wodzie. Nikt na 100% nie wie, jak to będzie wyglądało,” przyznał Siwek.

Regulacje z zakresu cyberbezpieczeństwa (w tym unijne) mówią o konieczności wdrażania systemów zarządzania ryzykiem, obowiązku raportowania incydentów, identyfikacji tzw. „operatorów usług kluczowych” i przede wszystkim o wysokich karach za naruszenia. Jednak, jak tłumaczyli paneliści, bez konkretnych przykładów, podręczników wdrożeniowych, czy nawet oficjalnych checklist, przedsiębiorcy są pozostawieni sami sobie. Szczególnie firmy z sektora MŚP, które nie mają działów prawnych ani specjalistów od norm ISO. O kwestii cyberbezpieczeństwa w sektorze MŚP, poruszonej przez gości panelu, pisaliśmy w Dlaczego MŚP nie wdrażają cyberochrony?

Grozi nam wysyp pseudoekspertów?

„Będzie sytuacja taka, że gdy pojawi się UKSC, to dwa miesiące później jak grzyby po deszczu powstaną firmy od cyberbezpieczeństwa,” przestrzegał Siwek.

To klasyczny scenariusz: prawo tworzy popyt, więc rynek odpowiada podażą. Paneliści uczulali, że oferta może być wątpliwej jakości, a to z kolei może doprowadzić do pojawienia się certyfikatów bezpieczeństwa, za którymi nie będą stały żadne realne kompetencje. Niski standard oferowanych usług z zakresu cyberbezpieczeństwa może również doprowadzić do sytuacji, w której firmy będą kupowały usługi dla formalności, bez żadnego przełożenia na realną ochronę.

Eksperci podkreślali: jeżeli prawo ma mieć sens, musi iść w parze z kompetencjami. Firmy potrzebują specjalistów, którzy znają się na bezpieczeństwie OT i systemach przemysłowych. Niezbędne są również ścieżki szkoleń i procesy rzetelnych certyfikacji, oraz wsparcie ze strony państwa w tworzeniu i finansowaniu tych kompetencji.

„Żeby wyszkolić pracownika, który zna się na cyberbezpieczeństwie przemysłowym, potrzeba lat, nie miesięcy. A teraz takich ludzi po prostu nie ma,” podkreślił Siwek.

Jako punkt wyjścia do pracy z tematem cyberochrony w firmie paneliści zaproponowali utworzenie stanowiska dedykowanego wyłącznie tej kwestii. Osoba piastująca takie stanowisko, wzorem inspektora RODO, mogłaby wdrażać podstawowe procedury, koordynować działaniami w razie wystąpienia incydentu, odpowiadać za kontakt z audytorami, czy pilnować zgodności z przepisami.

Jeśli UKSC ma naprawdę zwiększyć cyberodporność polskich firm, musi być wdrażane z głową. Firmy nie chcą uciekać przed nowymi obowiązkami i nie potrzebują nad sobą bata w postaci kolosalnych kar. Potrzebują wiedzy i instrukcji, które pomogą im działać bezpiecznie i odpowiedzialnie.

Panel „Cyberbezpieczeństwo w erze zintegrowanych systemów elektronicznych” odbył się w ramach Evertiq Expo Kraków 2025. Na kolejną krakowską odsłonę najciekawszego wydarzenia branży elektronicznej zapraszamy 7 maja 2026 roku do CKF13. Rejestracja na Evertiq Expo Kraków 2026 już trwa!