Ministerstwo Cyfryzacji opublikowało właśnie najnowsze sprawozdanie Pełnomocnika Rządu ds. Cyberbezpieczeństwa za rok 2025. Na pierwszy rzut oka liczby robią wrażenie i budują atmosferę oblężonej twierdzy: blisko 700 tysięcy zgłoszeń, wzrost incydentów o 144% i miliardy złotych pompowane w system. Jeśli jednak przyjrzymy się dokumentowi bliżej, wyłania się z niego obraz, który zamiast uspokajać, budzi poważne wątpliwości. Czy sprawozdanie to analiza, czy też historycznie przygotowany grunt pod wdrożenie kontrowersyjnej nowelizację ustawy o krajowym systemie cyberbezpieczeństwa (UKSC)?

Liczby, które mają przerażać

Oficjalny komunikat grzmi – bezprecedensowy wzrost zagrożeń. CSIRT NASK obsłużył ponad 260 tysięcy incydentów. To brzmi jak cyber wojna. Problem w tym, co kryje się pod tymi statystykami. Z analizy wynika, że nawet 97% tych ataków to phishing i inne masowe, często prymitywne próby wyłudzenia danych, na które przepisy UKSC mają wpływ bliski zeru.Podobnie UKSC nic nie zrobi na wyłudzanie pieniędzy via big tech. A jak wiemy z raportu z USA aż 30% wyłudzeń finansowych w USA dzieje się poprzez whatsapp/instagram. Dlaczego zatem skala jest tak wyolbrzymiana w mediach? Odpowiedź wydaje się prosta. Po prostu aby przepchnąć w opinii publicznej rygorystyczne i kosztowne zapisy nowej ustawy, trzeba było najpierw stworzyć atmosferę kryzysu, który rzekomo tylko te przepisy mogą zażegnać.

Finansowe salto mortale

Jeszcze niedawno Ministerstwo Cyfryzacji (MC) przekonywało, że wdrożenie UKSC nie będzie wymagało wielkich nakładów finansowych. Tymczasem sprawozdanie za 2025 rok wskazuje coś dokładnie odwrotnego. Wśród ryzyk jako jedyne krytyczne zagrożenie wymieniono… brak pieniędzy na KSC i wdrażanie dyrektywy NIS2. Nic innego nie jest tak ważne jak kasa! Nagle okazuje się, że bez miliardów z budżetu i środków unijnych (które już płyną szerokim strumieniem: 1,3 mld zł na samorządy, 590 mln zł na wodociągi), system nie zadziała. To klasyczne radio Erewań. Mówiono, że kasy nie trzeba, a teraz krzyk, że jej brak to ryzyko krytyczne.

Mit niezależności i ukłon w stronę big tech i platform spoza EU

Najbardziej zdumiewającym fragmentem raportu to ocena ryzyk związanych z uzależnieniem od dostawców spoza UE i wielkich korporacji technologicznych. Według autorów sprawozdania… jest to ryzyko najmniejsze.

To jawna nieprawda, którą widać gołym okiem w każdej serwerowni administracji publicznej i firmach. Polska infrastruktura krytyczna siedzi na rozwiązaniach od firm typu Palo Alto, Fortinet i innych gigantów z USA, szczególnie w zakresie chmury obliczeniowej. Udawanie, że głębokie uzależnienie od technologii z jednego kierunku geograficznego nie jest ryzykiem, to ignorowanie realiów geopolitycznych. Wygląda to raczej na próbę ochrony interesów konkretnych graczy rynkowych, dla których UKSC stanie się maszynką do wymiany sprzętu na nowy i oczywiście ich produkcji.

Powrót HRV czyli obietnice vs plany

Pamiętam zapewnienia, że procedury dotyczące dostawców wysokiego ryzyka (HRV) zostaną złagodzone lub odłożone na półkę. Nie będą stosowane od razu, że spokojnie. Przecież też KE ogłosiła właśnie CRA2 który harmonizuje podejście do dostawców wysokiego ryzyka. Sprawozdanie na rok 2025 nie pozostawia jednak złudzeń. Wpisano w planach na 2026 uruchomienie procedur HRV jest jednym z priorytetów.

To dla mnie kolejny dowód na to, że oficjalna komunikacja resortu rozjeżdża się z rzeczywistymi planami operacyjnymi. Miało być to ostatecznością, a staje się narzędziem administracyjnym, które w rękach urzędników może służyć do ręcznego sterowania rynkiem technologicznym w Polsce.

Komu służy ten system?

Sprawozdanie za rok 2025, zamiast być chłodną analizą techniczną, wygląda na historyczny dokument polityczno-zakupowy dla firm spoza EU. Z jednej strony mamy straszenie phishingiem, by uzasadnić wydatki, z drugiej strony mamy ignorowanie realnych ryzyk technologicznych, by nie drażnić dostawców, od których jesteśmy uzależnieni. Zamiast realnego wzmocnienia odporności obywateli (np. poprzez walkę ze wspomnianym phishingiem), dostajemy system, w którym chodzi głównie o kasę i wymianę sprzętu. Jeśli tak ma wyglądać suwerenność cyfrowa Polski, to właśnie otrzymaliśmy poważny powód do niepokoju.