Akademicki paraliż zamiast realnej ochrony? Raport o skutkach nowelizacji KSC dla polskich uczelni

Polskim uczelniom wyższym grozi biurokratyczny paraliż oraz drastyczny wzrost wydatków w związku z planowaną nowelizacją ustawy o Krajowym Systemie Cyberbezpieczeństwa. Najnowszy raport przygotowany przez Instytut Patria Polonia we współpracy z Towarzystwem Naukowym Katolickiego Uniwersytetu Lubelskiego alarmuje, że projektowane przepisy mogą zmusić sektor nauki do budowania kosztownej „papierowej zgodności”, która nie przełoży się na realne wzmocnienie odporności na ataki.

KSC narusza zasadę proporcjonalności

Głównym problemem zidentyfikowanym przez ekspertów jest głęboka rozbieżność między unijną dyrektywą NIS2 a jej polską implementacją. Podczas gdy prawo unijne opiera się na zasadzie proporcjonalności i podejściu opartym na ryzyku, polski projekt przyjmuje sztywne podejście administracyjne. Prowadzi to do automatycznego włączania niemal wszystkich uczelni do katalogu „podmiotów ważnych”, co nakłada na nie obowiązki porównywalne z sektorem wrażliwej infrastruktury krytycznej. Jak czytamy w raporcie, „projekt KSC 2026 przyjmuje podejście sektorowe i administracyjne, które w praktyce prowadzi do automatycznego włączania uczelni wyższych do katalogu podmiotów ważnych, niezależnie od ich faktycznej roli w krajowym systemie cyberodporności”.

CZYTAJ TEŻ: Konstytucyjny alarm biznesu. Nowelizacja KSC to „wywłaszczenie” przedsiębiorców?

Sytuacja ta budzi sprzeciw środowiska akademickiego, gdyż profil ryzyka dużego uniwersytetu technicznego prowadzącego badania strategiczne jest nieporównywalny z sytuacją małej uczelni artystycznej czy pedagogicznej. Tymczasem nowelizacja traktuje wszystkie podmioty jednakowo, co rażąco narusza zasadę proporcjonalności.

Cena polskiego „gold platingu”

Eksperci ostrzegają przed tzw. „gold platingiem”, czyli wprowadzaniem przez polskiego ustawodawcę dodatkowych wymogów wykraczających poza unijne minimum. Dla przeciętnej uczelni oznacza to konieczność poniesienia ogromnych kosztów wdrożeniowych, obejmujących budowę centrów operacji bezpieczeństwa (SOC), systemów monitorowania (SIEM) oraz centralizację zarządzania tożsamością. Skala tych wydatków jest trudna do uzasadnienia w odniesieniu do instytucji o profilu czysto dydaktycznym.

Z analizy wynika, że pełne wdrożenie wymogów KSC w projektowanej formie wiąże się z wysokimi kosztami stałymi, takimi jak utrzymanie specjalistycznych zespołów czy outsourcing usług bezpieczeństwa informacji. Raport podkreśla, że bez systemowego wsparcia państwa nowa regulacja uderzy w konkurencyjność polskiej nauki, drenując budżety przeznaczone dotychczas na dydaktykę i badania.

„Papierowa” zgodność zamiast faktycznej odporności

Największym ryzykiem jest jednak utrwalenie modelu „papierowej” zgodności.

Zamiast wzmacniać cyberodporność, regulacja może utrwalić model papierowej zgodności, w którym presja formalno-dokumentacyjna wypiera inwestycje w mierzalne zdolności wykrywania, reagowania i odtwarzania usług – ostrzega profesor Jacek Gołębiowski z KUL.

Obecnie wiele uczelni funkcjonuje w modelu reaktywnym, z fragmentarycznym zarządzaniem ryzykiem i niespójnym monitoringiem. W takim środowisku silna presja regulacyjna sprzyja koncentracji na generowaniu dokumentacji pod audyt, zamiast na realnych działaniach technicznych podnoszących bezpieczeństwo.

Potrzebna ewolucja, nie paraliż

Autorzy raportu rekomendują, aby objęcie uczelni reżimem przepisów o KSC miało charakter fakultatywny i dotyczyło wyłącznie jednostek prowadzących badania o znaczeniu strategicznym lub posiadających status uczelni badawczej. Pozostałe placówki powinny być traktowane zgodnie z duchem NIS2 – w oparciu o rzeczywiste ryzyko i dojrzałość organizacyjną.

CZYTAJ TEŻ: Mec. Wąsowski o nowelizacji ustawy o KSC: piękne hasła maskują brutalną rzeczywistość proceduralną!

Skuteczna poprawa cyberbezpieczeństwa sektora wymaga nie tylko nakładania obowiązków, ale przede wszystkim dostarczenia instrumentów wsparcia ze strony państwa, takich jak wspólne usługi monitorowania i ochrony infrastruktury IT przed cyberzagrożeniami czy centralne programy kompetencyjne. Jak podsumowują eksperci, strategicznie potrzebne jest dostosowanie krajowych przepisów do standardów europejskich, z zachowaniem autonomii uczelni i zdrowego rozsądku w alokacji zasobów publicznych.

Decyzja w rękach Prezydenta RP

Przypomnijmy, parlament przyjął pod koniec stycznia ustawę o zmianie ustawy o Krajowym Systemie Cyberbezpieczeństwa oraz niektórych innych ustaw. Ustawa została przekazana prezydentowi do oceny. Coraz więcej środowisk alarmuje jednak, że poza niekonstytucyjnymi zapisami nowelizacja wpłynie na funkcjonowanie tysięcy przedsiębiorstw. Jak się okazuje – także na działalność polskich uczelni wyższych.

PEŁNA TREŚĆ RAPORTU: portalpolonii

(mac)/Zespół wGospodarce.pl