Ministerstwo Cyfryzacji postanowiło szerzej wyjaśnić czym są dostawcy wysokiego ryzyka (DWR), których będą dotyczyć chyba najbardziej kontrowersyjne zapisy w nowelizowanej ustawie o krajowym systemie cyberbezpieczeństwa (KSC) wdrażającej na polski grunt dyrektywę NIS 2.
Jak wyjaśnia resort, przepisy ustawy, która niebawem będzie procedowana w parlamencie, pozwolą wskazać producentów sprzętu i oprogramowania, którzy mogą zagrażać bezpieczeństwu kluczowych systemów państwa. Dzięki temu najważniejsze usługi, z których korzystają wszyscy obywatele – od dostaw energii i wody po bankowość – będą lepiej chronione przed cyberatakami i ingerencją z zewnątrz. A celem nowych przepisów jest ochrona najważniejszych systemów w państwie przed zagrożeniami cybernetycznymi. Obecnie bowiem w Polsce nie ma przepisów, które pozwalają wycofać z użycia produkty zagrażające bezpieczeństwu państwa w kluczowych sektorach (np. telekomunikacji). Tymczasem atak na nie mógłby sparaliżować działanie infrastruktury krytycznej i doprowadzić do przejęcia ogromnej ilości danych.
Nowe rozwiązania mają zwiększyć bezpieczeństwo najważniejszych usług, z których korzystają obywatele, wpisując się w europejskie standardy cyberbezpieczeństwa.
– Nowelizacja ustawy o krajowym systemie cyberbezpieczeństwa pozwoli zidentyfikować dostawcę sprzętu lub oprogramowania, który zagraża bezpieczeństwu publicznemu (dostawcę wysokiego ryzyka). Chodzi o to, żeby systemy informatyczne, od których zależy sprawne działanie państwa, były bezpieczne. Minister cyfryzacji będzie mógł wydać decyzję, w której wskaże dostawcę wysokiego ryzyka, aby wyeliminować niebezpieczny sprzęt lub usługi ICT z użycia w podmiotach kluczowych dla funkcjonowania państwa. W efekcie takie podmioty nie będą mogły wprowadzać do swoich systemów konkretnych typów produktów, pochodzących od dostawcy wysokiego ryzyka. Jeśli takie posiadają – będą obowiązane do ich wycofania w ciągu 7 lub 4 lat – wskazuje ministerstwo.
Twierdzi, że dzięki temu najważniejsze usługi – jak na przykład dostawy energii, wody czy ochrona zdrowia – będą lepiej zabezpieczone przed cyberatakami. Skorzystają na tym wszyscy mieszkańcy Polski. Podkreśla przy tym, że samo wprowadzenie przepisów o dostawcach wysokiego ryzyka ma charakter prewencyjny – służy bezpieczeństwu państwa, ale nie przesądza, czy kiedykolwiek zajdzie potrzeba wydawania tego typu decyzji.
Według resortu, zapisy o DWR nie są polskim wymysłem, bo większość krajów Unii Europejskiej już je wprowadziła. Wiele z rozwiązań przyjętych przez inne państwa jest zbliżonych do tych, które przewiduje polski projekt ustawy.
Ministerstwo podkreśla, że proponowane przepisy nie odnoszą się do żadnego konkretnego kraju. Decyzja wskazująca dostawcę wysokiego ryzyka będzie dotyczyła określonej firmy, a nie wszystkich dostawców z tego państwa. Postępowanie może dotyczyć dostawcy z dowolnego kraju, także z Unii Europejskiej, gdyby zaszła taka potrzeba.
Postępowanie w sprawie uznania firmy za dostawcę wysokiego ryzyka może rozpocząć minister cyfryzacji – z własnej inicjatywy lub na wniosek przewodniczącego Kolegium ds. Cyberbezpieczeństwa.
W toku postępowania Kolegium przygotuje opinię, w której oceni zagrożenia dla bezpieczeństwa narodowego związane z dostawcą oraz jego sprzętem lub usługą. W skład zespołu, który przeanalizuje zagrożenia, będzie wchodził przedstawiciel Urzędu Ochrony Konkurencji i Konsumentów. Swoją opinię mogą przedstawić także organizacje społeczne.
Minister cyfryzacji rozpatrzy sprawę na podstawie obiektywnych przesłanek, w tym technicznych, takich jak wykryte incydenty czy podatności sprzętu. Jeśli uzna, że dostawca stanowi zagrożenie, wskaże w decyzji konkretne typy produktów lub usługi ICT, które są niebezpieczne. Jeśli w trakcie postępowania okaże się, że dostawca nie stanowi zagrożenia, minister zakończy sprawę bez wydawania takiej decyzji.
Przedsiębiorca będzie mógł przedstawić swoje stanowisko w czasie postępowania. Jeśli zostanie uznany za dostawcę wysokiego ryzyka, będzie mógł odwołać się od takiej decyzji do sądu administracyjnego.
Decyzja o uznaniu danego dostawcy za dostawcę wysokiego ryzyka będzie oparta na dokładnej analizie jego działalności.
Kolegium ds. Cyberbezpieczeństwa sprawdzi m.in., czy dostawca może zagrażać bezpieczeństwu państwa – na przykład w sferze wywiadowczej lub walki z terroryzmem. Oceni też, czy jego działania mogą zaszkodzić realizacji zobowiązań wobec sojuszników Polski, takich jak NATO czy Unia Europejska. Sprawdzona zostanie również struktura własnościowa i powiązania firmy (tj. kto faktycznie nią zarządza i kto ma na nią wpływ).
Pod uwagę będą brane kwestie techniczne, w tym m.in.:
- liczba i rodzaj wykrytych podatności;
- wcześniejsze incydenty cyberbezpieczeństwa;
- certyfikaty posiadane przez produkty, usługi i procesy danej firmy;
- nadzór dostawcy nad procesem produkcji i dystrybucji jego produktów;
- wcześniejsze rekomendacje Pełnomocnika Rządu ds. Cyberbezpieczeństwa.
Wydana decyzja będzie wynikiem wieloetapowego, transparentnego postępowania i będzie się opierać na obiektywnych przesłankach.
Nowe przepisy stworzą ramy prawne, które umożliwią prowadzenie postępowania w sprawie dostawcy wysokiego ryzyka. Nie oznacza to jednak automatycznie, że takie postępowanie zostanie wszczęte, ani tym bardziej nie określa jego rozstrzygnięcia.
Każdy przedsiębiorca objęty postępowaniem będzie miał zapewnioną ochronę swoich praw. W pracach Kolegium do spraw Cyberbezpieczeństwa weźmie udział Prezes Urzędu Ochrony Konkurencji i Konsumentów. Jego obecność zagwarantuje, że w procesie opiniowania zostaną uwzględnione kwestie uczciwej konkurencji i równego traktowania firm.
W ramach postępowania dostawca będzie też mógł przedstawiać swoje stanowisko i dowody, które będą musiały być wzięte pod uwagę przy przygotowywaniu decyzji.
Jeśli minister cyfryzacji wyda decyzję o uznaniu danego podmiotu za dostawcę wysokiego ryzyka, decyzja taka obejmie tylko konkretne typy sprzętu lub oprogramowania, a nie cały asortyment firmy. Oznacza to, że żaden przedsiębiorca nie zostanie zmuszony do całkowitego wycofania się z polskiego rynku.
Przedsiębiorca będzie mógł odwołać się od wydanej decyzji do sądu administracyjnego. To ważna gwarancja ochrony interesów uczestnika postępowania.
Jeśli minister cyfryzacji wyda decyzję wskazującą dostawcę wysokiego ryzyka, do nałożonych ograniczeń będą musiały się dostosować wszystkie podmioty kluczowe i ważne. Są to firmy i instytucje, które działają w ramach obszarów szczególnie istotnych dla prawidłowego funkcjonowania państwa, takich jak na przykład energetyka, bankowość czy dostarczanie wody pitnej.
Wyjątkiem jest sektor telekomunikacji – w tym przypadku sprzęt będą musieli wycofać tylko tacy przedsiębiorcy telekomunikacyjni, których roczne przychody w poprzednim roku przekraczały 10 mln złotych.
Po wydaniu decyzji o uznaniu danej firmy za dostawcę wysokiego ryzyka, podmioty kluczowe dla funkcjonowania państwa, które korzystają ze sprzętu, oprogramowania lub usług takiego dostawcy, będą musiały z nich zrezygnować. Co ważne, nie chodzi o to, żeby wycofać z użycia taki sprzęt od razu – będą na to kilkuletnie terminy, tak aby organizacje miały dużo czasu na dostosowanie się do nałożonych ograniczeń.
Do momentu wycofania sprzętu lub oprogramowania będzie można z nich dalej korzystać – naprawiać je, modernizować, wymieniać elementy, czy instalować aktualizacje. Takie działania będą dozwolone, jeśli będą potrzebne do utrzymania odpowiedniej jakości i ciągłości świadczonych usług.
Standardowy termin na to, by wycofać sprzęt lub oprogramowanie pochodzące od dostawcy wysokiego ryzyka, to 7 lat. Czas na wycofanie sprzętu zostanie skrócony do 4 lat w przypadku krytycznych funkcji sieci i usług komunikacji elektronicznej.
Resort zwraca uwagę, że termin ten odpowiada przeciętnemu cyklowi życia urządzenia lub oprogramowania. W praktyce oznacza to, że produkty można będzie wymienić w naturalnym rytmie ich eksploatacji – bezpiecznie i bez zakłócenia codziennej pracy organizacji.
– Nowe przepisy zostały przygotowane w taki sposób, aby nie zakłóciły ciągłości działania żadnego podmiotu, który będzie musiał wymienić sprzęt. Podmioty kluczowe i ważne będą mogły świadczyć usługi dla obywateli bez przeszkód, ponieważ nie będzie wymagane natychmiastowe wycofanie sprzętu ani oprogramowania od dostawcy wysokiego ryzyka. Będą to mogły robić stopniowo i bez pośpiechu – zapewnia Ministerstwo Cyfryzacji.
Termin 7- lub 4-letni pozwoli zachować ciągłość działania organizacji i zmniejszyć koszty wycofania niebezpiecznego sprzętu lub oprogramowania. Wymianę można będzie zaplanować tak, aby wydatki rozłożyć w czasie.
A co się stanie, jeśli podmiot nie wycofa sprzętu lub oprogramowania od dostawcy wysokiego ryzyka?
Podmiot kluczowy lub ważny, który nie wycofa sprzętu lub oprogramowania dostarczanego przez dostawcę wysokiego ryzyka, zapłaci karę w wysokości:
- od 20 000 zł – w przypadku podmiotu kluczowego,
- od 15 000 zł – w przypadku podmiotu ważnego.
Wysokość kar będzie uzależniona od analizy konkretnej sprawy. Kary będą mogły być wymierzone kwotowo lub jako określony procent przychodów firmy.
Jeśli naruszenie obowiązków będzie powodowało:
- bezpośrednie i poważne zagrożenie cyberbezpieczeństwa dla:
- obronności,
- bezpieczeństwa państwa,
- bezpieczeństwa i porządku publicznego,
- życia i zdrowia ludzi
- lub zagrożenie poważną szkodą majątkową lub poważnych utrudnień w świadczeniu usług przez dany podmiot,
to taki podmiot będzie mógł zostać obciążony karą w wysokości do 100 000 000 zł.
Na razie jeszcze nie wiadomo, kiedy przepisy dotyczące dostawców wysokiego ryzyka wejdą w życie.
Projekt ustawy o zmianie ustawy o krajowym systemie cyberbezpieczeństwa oraz niektórych innych ustaw został przyjęty przez Radę Ministrów 21 października 2025 r. i wkrótce zostanie skierowany do prac parlamentarnych. Termin wejścia w życie nowych przepisów będzie więc uzależniony od przebiegu dalszych prac nad projektem.
Ustawa wejdzie w życie po upływie miesiąca od jej ogłoszenia w Dzienniku Ustaw.
