KSC niesie istotne ryzyko nadregulacji sektora szkolnictwa wyższego

Przepisy czekającej na prezydencki podpis nowelizacji ustawy o Krajowym Systemie Cyberbezpieczeństwa zostały skrytykowane przez środowisko akademickie. W najnowszym raporcie, przygotowanym przez KUL wskazano na rozbieżność filozofii regulacyjnej, ryzyko nadregulacji, pozorną zgodność zamiast odporności operacyjnej, niespójność z kierunkiem UE i znaczące koszty wprowadzenia ustawy.

Publikacja: 17.02.2026 19:20

Artur Osiecki

W opracowaniu pt. „Problematyka planowanych zmian w polskim porządku prawnym w związku z wdrożeniem Dyrektywy NIS 2 w stosunku do uczelni wyższych.” przygotowanym przez Instytut Patria Polonia Towarzystwa Naukowego Katolickiego Uniwersytetu Lubelskiego (KUL) wskazano pięć głównych mankamentów projektowanych przepisów. Są to: 1 - rozbieżność filozofii regulacyjnej, 2 - ryzyko nadregulacji (ang. „gold plating”), 3 - pozorna zgodność zamiast odporności operacyjnej, 4 - istotne i trwałe koszty wdrożeniowe oraz 5 - niespójność z kierunkiem europejskim (CSA 2.0). Co autorzy raportu mają na myśli wskazując te sformułowania jako słabości nowelizacji?

Ryzyko nadregulacji dla uczelni

Odnosząc się do rozbieżności filozofii regulacyjnej wskazano, że dyrektywa NIS2 opiera się na zasadzie proporcjonalności, skalowalności i podejścia opartego na ryzyku, umożliwiając warunkowe lub dobrowolne objęcie regulacją podmiotów, których działalność ma rzeczywiste znaczenie systemowe (np. badania o charakterze odkrywczym lub strategicznym). Tymczasem projekt ustawy przygotowany przez resort cyfryzacji przyjmuje podejście sektorowe i administracyjne, które w praktyce prowadzi do automatycznego włączania uczelni wyższych do katalogu podmiotów „ważnych”, niezależnie od ich faktycznej roli w krajowym systemie cyberodporności.

W raporcie wskazano też na ryzyko nadregulacji, na którą zresztą zwracało uwagę wielu ekspertów zabierających głos w sprawie. Wynika to z faktu, że w obecnej treści ustawy o Krajowym Systemie Cyberbezpieczeństwa do podmiotów „ważnych” zaliczono wszystkie uczelnie wyższe, a nie tylko organizacje badawcze jak w Dyrektywie NIS. Jednakże zadania wskazane w podlegającej nowelizacji ustawie o KSC dotychczas skupiały się głównie na udostępnianiu informacji o ewentualnych incydentach do właściwego podmiotu, tj. CSIRT MON, CSIRT NASK lub CSIRT GOV. Autorzy konstatują, że objęcie wszystkich uczelni wyższych bez żadnych wyjątków i zakwalifikowanie ich do sektora ważnego stanowi znaczącą nadregulację dyrektywy NIS 2, tj. wykraczającą swoim zakresem ponad unijne regulacje. Wskazują też, że projekt KSC w wielu obszarach wykracza poza minimalne wymogi NIS2, wprowadzając dodatkowe obowiązki formalne, dokumentacyjne i operacyjne. Dotyczy to w szczególności governance, dokumentowania zgodności, zarządzania incydentami, ciągłości działania oraz relacji z dostawcami ICT. Nadregulacja ta zwiększa obciążenia administracyjne i finansowe uczelni bez proporcjonalnego wzrostu ich realnej odporności cybernetycznej.

Pozorna zgodność

Podniesiony został także wątek pozornej zgodności zamiast odporności operacyjnej. Jak piszą: „Analiza organizacyjna i techniczna (AS-IS) wskazuje, że wiele uczelni może funkcjonować obecnie w modelu reaktywnym, z fragmentarycznym zarządzaniem ryzykiem, ograniczonym monitoringiem, niespójnym zarządzaniem tożsamością IAM oraz nieprzetestowanymi planami ciągłości działania. W takim środowisku presja regulacyjna KSC sprzyja budowaniu zgodności formalnej („papierowej”) zamiast inwestycji w mierzalne zdolności wykrywania, reagowania i odtwarzania usług.”

Jednocześnie podkreślono, że wdrożenie ustawy przyniesie ze sobą znaczące i trwałe koszty, gdyż w ocenie przygotowujących analizę, pełne wdrożenie wymogów KSC w aktualnie projektowanej formie oznacza dla uczelni konieczność poniesienia wysokich kosztów stałych i jednorazowych, obejmujących m.in.:

• budowę lub zakup usług SOC/SIEM/EDR,

• centralizację IAM i wdrożenie MFA/PAM,

• stałe audyty, testy bezpieczeństwa i ćwiczenia BCP/DR,

• utrzymanie „żywej” dokumentacji i dowodów operacyjnych,

• wzmocnienie zespołów cyberbezpieczeństwa lub outsourcing (vCISO).

Skala tych kosztów ma być, ich zdaniem, porównywalna z obciążeniami sektora infrastruktury krytycznej, co jest trudne do uzasadnienia w odniesieniu do większości uczelni.

Brak spójności z kierunkiem UE

W opracowaniu zwrócono też uwagę na niespójność z kierunkiem europejskim (CSA 2.0), gdyż projektowane europejskie ramy CSA 2.0 zmierzają do harmonizacji wymagań, centralnej certyfikacji oraz ograniczenia fragmentacji regulacyjnej w UE. Tymczasem krajowe rozwiązania KSC, w szczególności w zakresie łańcucha dostaw ICT i decyzji administracyjnych o charakterze natychmiastowym, mogą prowadzić do konfliktu z przyszłymi mechanizmami unijnymi i osłabienia konkurencyjności polskiego sektora nauki i technologii.

Uczelnie nie są przygotowane na KSC

Finalnie w raporcie sformułowano wnioski strategiczne. Jakie one są? Wskazano, że uczelnie wyższe nie są systemowo przygotowane do funkcjonowania w KSC jako podmioty „ważne” w rozumieniu projektowanej ustawy, bez istotnego ryzyka nadmiernych kosztów i obciążeń organizacyjnych. W ocenie autorów opracowania objęcie uczelni reżimem KSC powinno mieć charakter fakultatywny, zgodny z NIS2 i dotyczyć wyłącznie jednostek prowadzących badania o znaczeniu odkrywczym, eksperymentalnym lub posiadających status uczelni badawczej. Podkreślono też, że skuteczna poprawa cyberodporności sektora szkolnictwa wyższego wymaga instrumentów wsparcia państwowego (ramy referencyjne, wspólne usługi SOC, centralne wytyczne techniczne, programy kompetencyjne), a nie wyłącznie rozszerzania obowiązków ustawowych.

Cyberodporność na papierze

Autorzy raportu konkludują, że w obecnym kształcie projekt ustawy niesie istotne ryzyko nadregulacji sektora szkolnictwa wyższego. Zamiast wzmacniać realną odporność cybernetyczną, może on utrwalić model kosztownej, formalnej zgodności, nieadekwatnej do charakteru i misji uczelni.

- Projekt nowelizacji ustawy o Krajowym Systemie Cyberbezpieczeństwa, w obecnym kształcie, niesie istotne ryzyko nadregulacji sektora szkolnictwa wyższego. Dlaczego? Bo nakłada obowiązki wykraczające poza minimum określone w Dyrektywie NIS2 i generuje potencjalne koszty, nieadekwatne do realnej „krytyczności” większości uczelni. Zamiast wzmacniać cyberodporność, regulacja może utrwalić model „papierowej” zgodności, w którym presja formalno-dokumentacyjna wypiera inwestycje w mierzalne zdolności wykrywania, reagowania i odtwarzania usług – tłumaczy prof. Jacek Gołębiowski z KUL.

- Strategicznie potrzebne jest dostosowanie krajowych przepisów do ducha NIS2 i kierunku CSA 2.0 – z zachowaniem proporcjonalności, dobrowolności oraz podejścia opartego na rzeczywistym ryzyku i dojrzałości organizacyjnej uczelni - dodaje prof. Gołębiowski.

Raport dostępny jest na stronie: https://portalpolonii.pl/patriapolonia/raporty.php