System S46 – kluczowe narzędzie przewidziane w ustawie o krajowym systemie cyberbezpieczeństwa – nie spełnił w praktyce zakładanych celów, a sposób jego zaprojektowania i wdrożenia doprowadził do znacznej dysproporcji między poniesionymi kosztami a uzyskanymi efektami. Zadecydowały o tym błędy na początkowym etapie projektu, wynikające głównie z presji czasu i braku rzetelnego rozpoznania potrzeb uczestników systemu – wynika z raportu pokontrolnego Najwyższej Izby Kontroli.
System teleinformatyczny S46 wspiera zgłaszanie i obsługę incydentów, wymianę informacji i współpracę pomiędzy uczestnikami Krajowego Systemu Cyberbezpieczeństwa (KSC). Jest przeznaczony dla podmiotów wchodzących w skład KSC, czyli między innymi dla: operatorów usług kluczowych (m.in.: z sektora energetycznego, transportowego, zdrowotnego i bankowości), dostawców usług cyfrowych, podmiotów publicznych, zespołów reagowania na incydenty bezpieczeństwa komputerowego (zespoły CSIRT) oraz organów właściwych ds. cyberbezpieczeństwa. System S46 wspiera również szacowanie ryzyka na poziomie krajowym i ostrzeganie o zagrożeniach cyberbezpieczeństwa.
Kontrola NIK objęła działania Ministra Cyfryzacji oraz Naukowej i Akademickiej Sieci Komputerowej − Państwowy Instytut Badawczy (NASK-PIB) jako podmiotów odpowiedzialnych za utrzymanie i rozwój systemu S46, na który wydano dotąd ponad 74 mln zł.
Z ustaleń kontroli wynika, że nie wspierał on jednak dostatecznie uczestników i nie dostarczał im istotnych funkcjonalności i treści. Minister Cyfryzacji wykonał co prawda terminowo nałożone ustawą zadanie, lecz jakość uruchomionego systemu S46 nie wpłynęła w znaczący sposób na podniesienie poziomu cyberbezpieczeństwa w Polsce, a tym samym nadrzędny cel przypisany zadaniu nie został dotąd osiągnięty.
Na pocieszenie NIK pozytywnie ocenić, że w obu podmiotach odpowiedzialnych za funkcjonowanie systemu, czyli w NASK-PIB i Ministerstwie Cyfryzacji, podejmowano działania w kierunku zwiększenia jego użyteczności. W ocenie NIK obie instytucje będą musiały jednak zmierzyć się z kryzysem zaufania kluczowych interesariuszy, wynikającym z wcześniejszych niedoskonałości systemu S46. Szybkie i skuteczne wdrożenie zapowiadanych zmian będzie kluczowe dla odbudowy jego wiarygodności.
A system S46 jest potrzebny przede wszystkim ze względu na rosnącą skalę i złożoność cyberzagrożeń, dotykających zarówno sektor publiczny, jak i prywatny. To sprawia zaś, że zespoły reagowania na incydenty (CSIRT), mimo swojej wiedzy i doświadczenia, nie były już w stanie w skuteczny sposób samodzielnie obsłużyć tak dużej liczby zgłoszeń i przeanalizować danych napływających z różnych źródeł w czasie rzeczywistym. Potrzebowały do tego narzędzi i systemu, który umożliwiałby automatyzację wielu kluczowych procesów – od wczesnego ostrzegania, przez zgłaszanie i klasyfikację incydentów, po przekazywanie rekomendacji i tworzenie jednolitego obrazu sytuacyjnego. Pozwoliłoby to nie tylko na szybszą reakcję na zagrożenia, ale również na bardziej efektywną współpracę między podmiotami odpowiedzialnymi za bezpieczeństwo cyfrowe. Dodatkowo system S46 miał gromadzić wszystkie te funkcje w jednym miejscu, co byłoby wygodne dla jego uczestników, jako że przed jego wdrożeniem zadania te realizowane były za pośrednictwem rozproszonych baz wiedzy, formularzy oraz innych narzędzi informatycznych.
Kontrola wykazała, że choć system funkcjonuje stabilnie, to jego rzeczywiste wykorzystanie było ograniczone. W wielu okresach znaczna część podłączonych instytucji wchodzących w skład Krajowego Systemu Cyberbezpieczeństwa nie korzystała z systemu w ogóle lub używała go sporadycznie. Przykładowo w II kwartale 2025 r. na 296 podmiotów nie zalogowało się do niego ani razu 100 (34 proc.). W I kwartale 2025 r. na 278 podmiotów nie zalogowało się ani razu 105 (38 proc.). Jeszcze gorzej prezentują się te dane w ujęciu miesięcznym: w grudniu 2024 r. na 252 użytkowników 136 nie zalogowało się ani razu (54 proc.), 116 zalogowało się przynajmniej raz, ale tylko 75 przynajmniej trzy razy (29 proc.).
W praktyce system pełnił więc najczęściej rolę repozytorium informacji. Kluczowe funkcje – reagowanie na incydenty, ostrzeganie, rekomendacje i szacowanie ryzyka – nie zapewniały wartości dodanej proporcjonalnej do skali systemu i poniesionych nakładów.
Izba wskazała, że zasadnicze problemy systemu miały swoje źródło już na etapie projektowania. System oparto na wcześniejszych projektach badawczo-rozwojowych, bez rzetelnego rozpoznania realnych potrzeb przyszłych użytkowników. Przyjęto zbyt złożoną architekturę techniczną oraz kosztowny model dostępu, nieuwzględniający barier organizacyjnych i kompetencyjnych. System miał też niewielką praktyczną wartość dla uczestników. Nie zawierał żadnych unikalnych lub trudno dostępnych w innych miejscach informacji, a dane o podatnościach i ostrzeżeniach można było stosunkowo łatwo znaleźć poza nim. Natomiast unikatowe dla systemu S46 funkcje, takie jak analiza ryzyka oparta na sieci powiązań, nie działały zgodnie z założeniami.
W kontrolowanym przez NIK okresie system S46 był budowany i utrzymywany przez NASK, w ramach siedmiu zadań finansowanych głównie z dotacji Ministra Cyfryzacji, z których pięć zostało już zrealizowanych. W dniu zakończenia kontroli (22 sierpnia 2025) w trakcie realizacji pozostawały dwa zadania, których planowany koszt wynosił odpowiednio 16,1 mln zł oraz 41,7 mln zł (w tym 39,7 mln zł z funduszy UE i ponad 2 mln zł z budżetu państwa).
Kontrola NIK wykazała, że rzeczywiste koszty budowy i utrzymania S46 znacząco przekroczyły założenia przyjęte przy uchwalaniu ustawy o krajowym systemie cyberbezpieczeństwa w 2018 r. Do momentu zakończenia kontroli na system wydano już ponad 74 miliony złotych, a dokumenty związane z nowelizacją ustawy KSC wskazują, że w perspektywie dziesięciu lat po nowelizacji łączne wydatki mogą przekroczyć nawet 500 milionów złotych.
W związku ze stwierdzonymi nieprawidłowościami Najwyższa Izba Kontroli skierowała wnioski:
do Ministerstwa Cyfryzacji o:
- wdrożenie mechanizmu ewaluacji własnych projektów informatycznych, obejmującego prawidłową ocenę czasu potrzebnego na realizację projektu oraz obowiązkowe zebranie i uwzględnienie wymagań od użytkowników końcowych, tak aby przyszłe projekty mogły być od początku dostosowane do potrzeb uczestników i celów strategicznych;
- dostosowanie systemu S46 do potrzeb zarówno uczestników Krajowego Systemu Cyberbezpieczeństwa, jak i kluczowych interesariuszy, poprzez wprowadzenie takich zmian funkcjonalnych, które uczynią go narzędziem operacyjnie użytecznym, w szczególności w obszarze ostrzeżeń, komunikacji między uczestnikami, rekomendacji, szacowania ryzyka oraz zgłaszania i obsługi incydentów.
do Naukowej i Akademickiej Sieci Komputerowej – Państwowego Instytutu Badawczego o:
- zapewnienie konsekwentnego stosowania przez NASK-PIB mechanizmów identyfikacji i uwzględniania wymagań użytkowników końcowych na etapie projektowania i realizacji systemów teleinformatycznych – również w warunkach silnej presji czasowej – w celu zagwarantowania pełnej funkcjonalności oraz efektywnego wykorzystania wdrażanych rozwiązań;
- wdrożenie w NASK-PIB cyklicznych, udokumentowanych testów mechanizmów utrzymania ciągłości działania systemu S46 – w tym pełnych testów odtworzeniowych kopii zapasowych – z wykorzystaniem scenariuszy różnych wariantów sytuacji awaryjnych, w celu wiarygodnej weryfikacji zdolności systemu do odzyskania funkcjonalności w wymaganym czasie.
