Polska zaostrza cyberreguły — 700 mln euro na cybertarczę
Prezydent Nawrocki podpisał nowelizację ustawy o Krajowym Systemie Cyberbezpieczeństwa wdrażającą dyrektywę NIS2, zakazując dostawcom spoza NATO wstępu do strategicznych sektorów. Program cybertarczy wart 700 milionów euro to odpowiedź na rekordową falę cyberataków przypisywanych Rosji.
Ustawa podpisana — ale z zastrzeżeniami
Prezydent Karol Nawrocki podpisał 19 lutego 2026 roku nowelizację ustawy o Krajowym Systemie Cyberbezpieczeństwa (KSC), wdrażającą unijną dyrektywę NIS2. Polska jest jednym z ostatnich państw Unii Europejskiej, które zakończyły ten proces — termin implementacji upłynął w październiku 2024 roku, ponad 15 miesięcy temu. Co znamienne, Nawrocki jednocześnie skierował ustawę do Trybunału Konstytucyjnego, zgłaszając wątpliwości co do jej zakresu.
Zakaz dostawców spoza NATO
Kluczową zmianą jest wprowadzenie kategorii „dostawców wysokiego ryzyka" — podmiotów, które mogą zostać wykluczone z dostarczania produktów i usług dla sektorów strategicznych. Głównym kryterium jest powiązanie dostawcy z krajem spoza NATO lub Unii Europejskiej. W debacie publicznej za główny cel regulacji uznaje się chińskie firmy telekomunikacyjne, a zwłaszcza Huawei — stąd nieoficjalna nazwa Lex Huawei.
Przepisy obejmują 18 sektorów gospodarki, w tym gospodarkę wodno-ściekową, usługi pocztowe, przestrzeń kosmiczną oraz produkcję chemiczną i żywnościową. Podmioty już korzystające ze sprzętu od dostawców wysokiego ryzyka mają siedem lat na jego wymianę. Nowe regulacje nakładają też obowiązek raportowania incydentów, przeprowadzania ocen ryzyka i odpowiedzialności zarządczej za cyberbezpieczeństwo.
Cybertarcza za 700 milionów euro
Nowe przepisy wpisują się w szerszy program „cybertarczy" — pakietu inwestycji wartego 700 milionów euro, mającego wzmocnić odporność Polski na ataki cyfrowe. W 2026 roku budżet na cyberbezpieczeństwo wzrósł do rekordowego miliarda euro, w porównaniu z 600 milionami rok wcześniej. Program obejmuje modernizację systemów ochrony, regularne audyty bezpieczeństwa oraz budowę sektorowych centrów reagowania na incydenty (CSIRT-ów).
Rekordowa fala ataków przypisywanych Rosji
Impulsem do zaostrzenia prawa jest bezprecedensowa skala cyberataków wymierzonych w Polskę. Według raportu Microsoftu Digital Defense Report, Polska jest najczęściej atakowanym cybernetycznie krajem w Unii Europejskiej. W 2024 roku sektor publiczny rejestrował średnio ponad 2 000 ataków miesięcznie.
W grudniu 2025 roku Polska odparła jeden z poważniejszych ataków w ostatnich latach — hakerzy usiłowali zakłócić pracę dwóch elektrociepłowni i farm wiatrowych, zagrażając ogrzewaniu nawet 500 tysięcy ludzi w środku zimy. Premier Donald Tusk pochwalił służby za skuteczną obronę, podkreślając, że „wszystko wskazuje na zaangażowanie grup powiązanych z rosyjskimi służbami bezpieczeństwa". Wicepremier Krzysztof Gawkowski ocenia, że Polska odpiera od 20 do 50 prób uszkodzenia infrastruktury krytycznej każdego dnia.
Biznes protestuje, TK rozstrzygnie
Ustawa nie jest wolna od kontrowersji. Jedenaście organizacji biznesowych wezwało prezydenta do skierowania prawa do Trybunału Konstytucyjnego, argumentując, że przymusowa wymiana sprzętu bez odszkodowania narusza konstytucyjne prawa własności i zagraża konkurencyjności polskich firm. Nawrocki spełnił ten postulat, kierując ustawę do TK równocześnie z jej podpisaniem.
Polska na cyfrowej linii frontu
„Wojny nie zawsze zaczynają się od strzału — czasem zaczynają się od kliknięcia" — podkreślił prezydent Nawrocki. Te słowa oddają nową doktrynę bezpieczeństwa Warszawy: cyberprzestrzeń stała się pełnoprawnym wymiarem konfliktu. Polska, granicząca z Białorusią i będąca kluczowym sojusznikiem Ukrainy, sytuuje się dziś na pierwszej linii cyfrowego frontu w Europie — i zamierza bronić jej za wszelką cenę.
