Nowe przepisy uderzą w polskie uczelnie? Eksperci ostrzegają przed paraliżem

Adrianna Ewa Stawska-Ostaszewska
Adrianna Ewa Stawska-Ostaszewska
PAP
PAP
2026-02-17 14:30

Implementacja unijnej dyrektywy NIS2 w polskim wydaniu może okazać się gwoździem do trumny dla budżetów wielu szkół wyższych. Zamiast realnego bezpieczeństwa, grozi nam biurokratyczny chaos i ogromne wydatki. Takie wnioski płyną z najnowszego raportu ekspertów, którzy prześwietlili projekt nowelizacji ustawy o Krajowym Systemie Cyberbezpieczeństwa.

cyberbezpieczeństwo

i

Autor: Prae_Studio Kobieta używa laptopa, wprowadzając dane logowania do systemu. Obok dłoni widoczny jest tablet, a nad klawiaturą unosi się interfejs użytkownika z polami "Username" i "Password" oraz ikonami kłódki, symbolizującymi cyberbezpieczeństwo i potrzebę ochrony danych. Artykuły o cyberbezpieczeństwie dostępne są na Super Biznes.
  • Planowane regulacje KSC mogą zmusić szkoły wyższe do tworzenia fikcyjnej, „papierowej” zgodności, zamiast inwestować w faktyczne zabezpieczenia sieci.
  • Krajowa implementacja dyrektywy NIS2 traktuje uczelnie na równi z sektorem infrastruktury krytycznej, nakładając na nie nieproporcjonalne obowiązki.
  • Specjaliści wskazują na ryzyko tzw. gold platingu, czyli wprowadzania przez polskiego ustawodawcę wymogów znacznie surowszych niż te wymagane przez Unię Europejską.
  • Wspólny raport KUL i Instytutu Patria Polonia to pierwsza tak szczegółowa analiza zagrożeń, jakie niesie za sobą reforma cyberbezpieczeństwa dla świata nauki.

Ochrona czy biurokracja? Źródło kontrowersji

W gabinetach rządowych trwają intensywne prace nad nowelizacją ustawy o Krajowym Systemie Cyberbezpieczeństwa (KSC). Jej celem jest wprowadzenie do polskiego prawa unijnej dyrektywy NIS2. Choć nikt nie kwestionuje konieczności walki z cyberzagrożeniami w sektorze edukacji, sposób wdrażania tych zmian budzi poważne wątpliwości. Analiza przygotowana przez Instytut Patria Polonia oraz Towarzystwo Naukowe Katolickiego Uniwersytetu Lubelskiego sugeruje, że obecny projekt może przynieść więcej szkód niż pożytku.

Głównym punktem spornym jest fundamentalna różnica w podejściu do tematu. Prawo unijne opiera się na analizie ryzyka i zasadzie proporcjonalności środków do zagrożeń. Tymczasem polska nowelizacja proponuje sztywne podejście administracyjne, które automatycznie wrzuca większość uczelni do worka z napisem „podmioty ważne”, narzucając im drastyczne wymogi.

Zjawisko „gold platingu”. Nadgorliwość ustawodawcy

W dyskusji o nowej ustawie coraz częściej pojawia się termin „gold plating”. Oznacza on praktykę, w której krajowe przepisy nakładają na podmioty obowiązki wykraczające poza niezbędne unijne minimum. W kontekście KSC może to doprowadzić do absurdalnej sytuacji, w której przeciętna uczelnia, niemająca strategicznego znaczenia dla państwa, będzie musiała wdrożyć zaawansowane systemy ochrony tożsame z infrastrukturą krytyczną.

Mowa tu o konieczności budowy kosztownych centrów operacji bezpieczeństwa (SOC), systemów SIEM, a także utrzymywaniu rozbudowanych zespołów eksperckich i przeprowadzaniu regularnych audytów. Dla mniejszych ośrodków akademickich, szczególnie tych regionalnych, spełnienie takich wymogów finansowych może być po prostu niemożliwe.

Ekspert KUL: Grozi nam fikcja bezpieczeństwa

Współautor raportu, profesor Jacek Gołębiowski z KUL, nie ukrywa swojego krytycznego stosunku do proponowanych zmian. Jego zdaniem, nadmierna presja na spełnianie wymogów formalnych może przynieść skutek odwrotny do zamierzonego. Zamiast inwestować w realne zdolności wykrywania ataków i reagowania na incydenty, placówki naukowe skupią się na biurokracji.

Istnieje realne ryzyko, że uczelnie będą dążyć jedynie do spełnienia wymogów na papierze, zaniedbując przy tym faktyczne uszczelnianie swoich systemów informatycznych. W efekcie powstanie iluzja bezpieczeństwa, poparta jedynie stosami dokumentów.

Postulaty naprawcze. Czas na zmiany w projekcie

Twórcy raportu przedstawili szereg rekomendacji dla ustawodawcy, mających uchronić polską naukę przed paraliżem. Kluczowym postulatem jest odejście od obligatoryjnego obejmowania wszystkich uczelni reżimem KSC. Według ekspertów, surowe nowe przepisy powinny dotyczyć wyłącznie jednostek prowadzących badania o znaczeniu strategicznym, co byłoby zgodne z duchem dyrektywy europejskiej.

Autorzy opracowania apelują również o dostosowanie prawa do standardów CSA 2.0 i uwzględnienie specyfiki oraz dojrzałości organizacyjnej poszczególnych szkół wyższych. Bez odpowiedniego wsparcia ze strony państwa i poszanowania autonomii uczelni, nowe regulacje mogą drastycznie obniżyć konkurencyjność polskich ośrodków badawczych na świecie.

Głos środowiska akademickiego

Opublikowany dokument to pierwsza tak szeroka analiza wpływu reformy prawa cyberbezpieczeństwa na sektor akademicki w Polsce. Raport zatytułowany „Problematyka planowanych zmian w polskim porządku prawnym w związku z wdrożeniem Dyrektywy NIS 2 w stosunku do uczelni wyższych” został udostępniony publicznie na łamach serwisu portalpolonii.pl.

Za jego powstanie odpowiadają specjaliści z Instytutu Patria Polonia oraz KUL. Debata nad ostatecznym kształtem przepisów wciąż się toczy, a środowisko akademickie liczy na to, że ich merytoryczne argumenty zostaną uwzględnione w procesie legislacyjnym.

Polecany artykuł:

Polska zainwestuje 4 mld zł w cyberbezpieczeństwo. Nowa ustawa ma umocnić krajo…
Radio ESKA Google News
M. Głazik: Lublin cyberbezpieczny
Mediateka.pl
cyberbezpieczeństwo