Projekt nowelizacji ustawy o Krajowym Systemie Cyberbezpieczeństwa (KSC) zakłada stworzenie szerokiego systemu ochrony przed zagrożeniami cyfrowymi. Cel jest słuszny. Jednak kolejne projekty ustawy nie tylko istotnie wychodzą poza obowiązki unijne, ale także możliwości wdrożeniowe polskiego rynku. Zamiast wzmocnić odporność państwa, wejście w życie ustawy w obecnym kształcie może ją osłabić – generując chaos, niepewność i ryzyko inwestycyjne w krytycznych dla gospodarki sektorach.
Projekt nowelizacji KSC obejmuje kilkanaście sektorów gospodarki – od telekomunikacji, przez energetykę, zdrowie i transport, po sektor finansowy i publiczny. W praktyce oznacza to objęcie nowymi obowiązkami setek tysięcy podmiotów, w tym samorządów, szpitali, instytucji kultury i małych przedsiębiorstw. To rozwiązanie bez precedensu w Unii Europejskiej. Większość państw członkowskich wdraża dyrektywę NIS2 w formule „EU+0” – zgodnie z jej zakresem ‒ bez krajowego rozszerzenia. Polska planuje stworzyć system znacznie bardziej kompleksowy, bez planu finansowania ani wsparcia dla podmiotów objętych nowymi obowiązkami. Taka konstrukcja to przykład nadregulacji – rozszerzania unijnych wymogów bez analizy skutków i zasadności, zjawiska znanego jako gold-plating. Kolejne obowiązki nakładane są na przedsiębiorców i instytucje publiczne ponad ich realne możliwości finansowe i operacyjne. Projekt nie przewiduje środków budżetowych na dostosowanie jednostek publicznych do nowych obowiązków. Dla wielu z nich – zwłaszcza samorządów, szkół i szpitali – oznacza to konieczność finansowania wdrożeń z własnych, ograniczonych budżetów.
Podobnie w sektorze prywatnym – odpowiedzialność przenoszona jest w całości na przedsiębiorców, bez zapewnienia im warunków do realizacji nowych zadań. Mimo tak potężnej skali, rząd nie przedstawił dotąd rzetelnej Oceny Skutków Regulacji. Nie wiadomo, jakie będą koszty dla poszczególnych branż, jakie nakłady poniosą operatorzy, a jakie podmioty publiczne. Szacunki branżowe mówią o wydatkach liczonych w miliardach złotych.
We wrześniu 2025 r. izby gospodarcze reprezentujące sektor telekomunikacyjny – w tym Krajowa Izba Komunikacji Ethernetowej, Polska Izba Komunikacji Elektronicznej i Mediakom – przekazały premierowi i ministrom odpowiedzialnym za cyfryzację stanowisko branży w sprawie projektu nowelizacji KSC, w którym przedsiębiorcy ostrzegają, że proponowane przepisy grożą eliminacją polskich MŚP z rynku, wzrostem cen usług, utrudnieniem dostępu do sprzętu i serwisu oraz osłabieniem konkurencyjności całego sektora telekomunikacyjnego.
Izby wskazują, że mechanizm uznaniowego wykluczania tzw. dostawców wysokiego ryzyka – bez jasnych kryteriów, ścieżki odwoławczej i kontroli sądowej – tworzy stan trwałej niepewności inwestycyjnej. Jedna decyzja administracyjna może unieważnić wieloletnie inwestycje w sprzęt warty miliony złotych, bez możliwości uzyskania rekompensaty.
