NIS 2: nie wdrażajcie ustawy, budujcie odporność

Polskie firmy stoją dziś przed strategicznym wyborem. Mogą minimalizować wysiłki i koncentrować się na formalnej zgodności z Ustawą o Krajowym Systemie Cyberbezpieczeństwa – ryzykując potem trudne rozmowy z audytorami – albo zbudować coś znacznie bardziej wartościowego: prawdziwą, odporną na współczesne zagrożenia organizację. To jeden z głównych wniosków ze zorganizowanego przez ITwiz, we współpracy z Exea Data Center, spotkania społeczności CXO HUB.

Dyskusje prowadzone w jego trakcie pokazują, że możliwe jest stworzenie organizacji, w której cyberbezpieczeństwo przestaje być kosztem, a staje się elementem przewagi konkurencyjnej i gwarancją ciągłości biznesu. Nowela UKSC, wprowadzająca wytyczne NIS2 do polskiego systemu prawnego, sama w sobie nie podniesie poziomu cyberbezpieczeństwa. Wszystko zależy od tego, w jaki sposób nowe ramy będą postrzegane i wykorzystywane.

Harmonogram wdrożenia jest bezlitosny: samookreślenie się i rejestracja podmiotów ma nastąpić do października 2026, a pełne wdrożenie obowiązków do kwietnia 2027 roku. Ci, którzy już teraz traktują NIS2/UKSC jako okazję do realnej poprawy odporności, a nie jedynie jako kolejny akt prawny, będą w znacznie lepszej sytuacji, gdy przyjdzie pierwszy audyt lub, co gorsza, prawdziwy, poważny incydent bezpieczeństwa.

Cztery filary prawdziwej cyberodporności

W sesji otwierającej kwietniowe spotkanie społeczności CXO HUB doświadczenia związane z wdrażaniem założeń NIS2 zaprezentował Rafał Jaczyński, CSO firm Diagnostyka. Zamiast standardowej listy kontrolnej zgodności i slajdów z paragrafami, uczestnicy spotkania CXO HUB usłyszeli szczerą, dojrzałą i momentami prowokacyjną refleksję nad tym, czym w praktyce jest cyberodporność w dużej, regulowanej organizacji z sektora ochrony zdrowia.

Rafał Jaczyński zaczął od mocnej, przewrotnej metafory. Przedstawił ustawę o Krajowym Systemie Cyberbezpieczeństwa i jej nowelę jako górę lodową, ale odwróconą względem klasycznego wyobrażenia i to znacznie bar dziej niż klasyczna zasada Pareto (80/20).

Według niego 95% tekstu NIS2/UKSC to „didaskalia” skierowane przede wszystkim do państwa i dla aparatu państwa. Opisują one, jak zorganizować CSIRT-y sektorowe, jak prowadzić nadzór, audytować i wyglądać będzie cały aparat biurokratyczny. Dla zwykłej firmy fragmenty te mają marginalne znaczenie, jeśli chodzi o rzeczywiste podniesienie poziomu bezpieczeństwa.

Natomiast pozostałe 5% ustawy to elementy, które realnie wpływają na cyberodporność. I właśnie ta część jest najcięższa, najdroższa oraz najbardziej wymagająca organizacyjnie i technologicznie. „Cyberbezpieczeństwo to prosta rzecz – chodzi wyłącznie o czas” – przekonywał Rafał Jaczyński.

Przedstawił on prosty, ale bardzo obrazowy model składający się z 4 czasów: obserwacji, detekcji, reakcji (nazwanego „czasem gaśnicy”) oraz prewencji. Całość określa, jak długo organizacja jest eksponowana na atak. Kluczowy problem współczesności polega na tym, że czas prewencji, czyli okres, w którym możemy skutecznie zapobiegać zagrożeniom, gwałtownie zmierza do zera. Atakujący, korzystający z narzędzi opartych na sztucznej inteligencji, potrafią przygotować exploity na znane podatności w ciągu minut lub godzin.

W takiej rzeczywistości liczy się już nie to, jak długo uda się powstrzymać napastnika, lecz jak szybko go wykryjemy i zareagujemy. Jeśli nie damy rady, pozostaje pytanie jak szybko będziemy w stanie odtworzyć zdolności biznesowe po incydencie.

Zamiast koncentrować się na „wdrażaniu ustawy”, w Diagnostyce postawiono na budowę czterech filarów prawdziwej odporności:

• Tożsamość – kompleksowe porządkowanie i ochrona tożsamości zarówno ludzkiej, jak i maszynowej przed nieuprawnionym dostępem do systemów i danych.
• Inteligencja – cywilizowanie sztucznej inteligencji wewnątrz organizacji oraz aktywne wykorzystywanie AI do celów obronnych.
• Wytrzymałość – zdolność do przetrwania incydentu i szybkiego, sprawnego odtworzenia kluczowych procesów biznesowych.
• Dojrzałość – umiejętność połączenia wszystkich powyższych elementów w jeden spójny, działający system zarządzania.

UKSC jedynie weryfikuje przyjęte założenia

Projekt „Zgodność z KSC” nie jest w Diagnostyce projektem wiodącym, który otwiera całą roadmapę. Pojawia się dopiero na końcu jako element weryfikujący czy pozostałe strumienie prac dostarczyły już wszystko, co jest wymagane przepisami. Ustawa traktowana jest jako dodatkowy interesariusz w pejzażu biznesowym – ważny, ale zdecydowanie nie centralny.

Rafał Jaczyński podzielił się też kilkoma praktycznymi lekcjami, które warto zapamiętać:

1. Nie należy robić analizy luk wyłącznie pod kątem potencjalnych kar. Lepiej przeprowadzać ją pod realne ryzyko biznesowe i pod to, co rzeczywiście może zagrozić ciągłości działania organizacji.
2.  Ustawę warto wykorzystać jako wehikuł do konstruktywnej rozmowy z zarządem, zamiast traktować ją jako kolejny obowiązek do odhaczenia w Excelu.
3. Prezes rzadko zadaje pytanie „czy jesteśmy Compliant?”. Zazwyczaj pyta znacznie prościej i bardziej bezpośrednio: „czy nam się biznes nie zawali?”.

Zdaniem Rafała Jaczyńskiego największe realne korzyści, jakie przyniosła ustawa, to wprowadzenie odpowiedzialności członków zarządu oraz obowiązek raportowania incydentów. Te dwa mechanizmy w końcu zmuszają organizacje do traktowania cyberbezpieczeństwa jako sprawy całej firmy, a nie wyłącznie działu IT. Reszta wymagań – jeśli organizacja konsekwentnie buduje prawdziwą odporność – „wdroży się niejako sama”.

Rafał Jaczyński zakończył wystąpienie prostym, ale bardzo mocnym apelem: „Nie wdrażajcie ustawy. To nie ma sensu. Budujecie za to prawdziwą odporność. Róbmy swoje. Ale róbmy je dobrze” – podsumował. Ta filozofia, w której skupienie przede wszystkim na wartości dostarczanej pacjentom, klientom i interesariuszom, a nie na ślepym wypełnianiu paragrafów dla urzędników i dla zasady, sprawiła, że sala słuchała go z prawdziwą uwagą i uznaniem.

W czasach, gdy wiele firm wciąż szuka gotowych formatek i checklist „jak wdrożyć NIS2”, podejście Diagnostyki pokazuje alternatywną, bardziej dojrzałą drogę: zamiast literalnie wdrażać ustawę, warto wykorzystać ją jako okazję do zbudowania czegoś trwałego i wartościowego dla bezpieczeństwa całego biznesu.

Wyzwania związane z dostosowaniem do NIS2/UKSC w praktyce

Tuż po mocnym wystąpieniu Rafała Jaczyńskiego rozpoczęła się jedna z najbardziej wyczekiwanych części spotkania CXO HUB – debata „Wyzwania związane z dostosowaniem do NIS2/UKSC”. W panelu udział wzięli czterej doświadczeni praktycy: Łukasz Ozimek, COO Exea Data Center; Patryk Gęborys, dyrektor Biura Cyberbezpieczeństwa / CISO w Grupie PZU; Krzysztof Romasz, dyrektor Biura Cyberbezpieczeństwa i Standardów w Poczcie Polskiej oraz Bartosz Lewandowski, dyrektor Działu Innowacji i Rozwoju w Atende.

Debata szybko nabrała konkretnego, a momentami wręcz bezkompromisowego charakteru. Paneliści zgodnie podkreślali, że dla dużych, dojrzałych organizacji nowelizacja Ustawy o Krajowym Systemie Cyberbezpieczeństwa nie stanowi rewolucji, raczej ewolucję z wyraźnym, biurokratycznym narzutem. Dla mniejszych podmiotów i ich dostawców w łańcuchu dostaw zmiany mają zdecydowanie bardziej rewolucyjny i bolesny wymiar i charakter.

Łukasz Ozimek otworzył dyskusję pokazując perspektywę dostawcy usług Data Center. Podkreślił różnicę między organizacjami dojrzałymi a tymi, które dopiero zaczynają poważnie myśleć o cyberbezpieczeństwie.

„W wielu organizacjach ustawa daje działom IT mocny argument wobec zarządu, że budżet na cyberbezpieczeństwo musi rosnąć i stać się istotną pozycją w całym budżecie organizacji” – podkreślał. „Dzisiaj każda firma staje się przedsiębiorstwem technologiczym, tworzy cyfrowe aktywa, które musi chronić. Ryzyka pojawiają się ze wszystkich stron. Gdy dojdzie do incydentu, wtedy cyberbezpieczeństwo staje się najważniejsze, też dla zarządu” – dodał.

Zwrócił też uwagę, że w dojrzałych firmach wiele procesów już funkcjonuje, więc wdrożenie wymagań NIS2/ UKSC jest kwestią dopracowania i integracji. W mniej dojrzałych organizacjach regulacja działa jak katalizator, który wymusza przyspieszenie transformacji.

Z kolei Bartosz Lewandowski chętnie odwoływał się do doświadczeń z DORA, rozporządzenia, które sektor finansowy wdraża od ponad roku. Podkreślił, że cyberbezpieczeństwo nie może być schowane w teczce jako ładny proces. „Dobre cyberbezpieczeństwo jest jak dobrze napisana umowa – gdy wszystko działa sprawnie, nikt o niej nie myśli. Ale to właśnie ona sprawia, że wszystko działa sprawnie” – stwierdził.

Zauważył też, że cyberbezpieczeństwo to kwestia szersza niż litera prawa. „Możemy mieć dziesiątki regulacji, które będą martwymi przepisami i podważą zaufanie do prawa. Najważniejsze jest budowanie świadomości, bo ludzie są najsłabszym ogniwem” – mówił.

Zaznaczył również, że DORA przyniosła sporo dobrego, a przede wszystkim większą świadomość wśród biznesu i konieczność współpracy interdyscyplinarnej (IT, biznes, Compliance, ryzyko). Jednocześnie regulacja ta generuje znaczny narzut dokumentacyjny i biurokratyczny, który w niektórych przypadkach może osłabiać efektywność.

Patryk Gęborys mówił z kolei z perspektywy dużej grupy, w której są podmioty z sektorów finansowego, zdrowotnego czy IT. „W PZU największym wyzwaniem nie jest budowanie mechanizmów od zera, lecz integracja wymagań z różnych regulacji z już istniejącymi procesami” – zauważył.

CISO Grupy PZU szczególnie podkreślił, że kluczową kwestią jest właściwa architektura bezpieczeństwa, która zapewni wiele warstw mechanizmów kontrolnych. „Aż 78% incydentów to błędy ludzkie. Wiele mówimy o podnoszeniu świadomości użytkowników, ale i tak ktoś w końcu kliknie w podejrzany link. Dlatego wielowarstwowa ochrona oraz gotowość do reakcji na incydent są kluczowe” – mówił. Nawet najlepsze technologie nie zastąpią świadomości, ale jednocześnie samo szkolenie nie wystarczy, ponieważ potrzebne są mechanizmy techniczne ograniczające możliwość popełnienia błędu.

Patryk Gęborys wyraził jednocześnie nadzieję, że system raportowania S46 i przyszłe CSIRT-y sektorowe nie staną się jedynie biurokratyczną maszynką, lecz realnym źródłem wartościowej informacji zwrotnej o zagrożeniach, bo będą dostarczać realne, możliwe do operacjonalizacji alerty sektorowe. Jeśli zaś raportowanie do S46 będzie jedynie jednokierunkowym wrzucaniem informacji „do czarnej dziury”, stanie się ono czystą stratą czasu i zasobów.

Regulacje są szczególnie potrzebne dla mniejszych podmiotów, które dotychczas nie miały motywacji do inwestowania wystarczająco w cyberbezpieczeństwo pomimo pełnienia istotnych ról w gospodarce.

Natomiast Krzysztof Romasz odniósł się do tej kwestii z perspektywy jednego z najbardziej regulowanych podmiotów w Polsce – organizacji podlegającej jednocześnie DORA, NIS i nowemu KSC. „Osobista odpowiedzialność zarządu to najlepsze, co ta ustawa mogła wprowadzić. Wreszcie daje to zarządowi argument do przyznawania budżetu i uzyskiwania wsparcia” – ocenił Krzysztof Romasz.

Zwrócił też uwagę na kwestię najtrudniejszego, praktycznego wyzwania: „Zarządzanie ryzykiem w całym łańcuchu dostaw będzie rewolucją dla małych dostawców. My musimy ich oceniać, a oni muszą sprostać wymaganiom, inaczej przetargi staną” – zauważył.

Podkreślił też, że Poczta Polska ma setki poddostawców, a nowe wymagania dotyczące oceny ryzyka w łańcuchu dostaw mogą znacząco wydłużyć i skomplikować procesy zakupowe. Jednocześnie pozytywnie ocenił wzmocnienie odpowiedzialności zarządu, które w spółkach z udziałem Skarbu Państwa realnie pomaga w uzyskiwaniu środków na inwestycje w CyberSec.

Podsumowując debatę, paneliści zgodnie stwierdzili, że ustawa sama w sobie nie podniesie poziomu cyberbezpieczeństwa w Polsce. Kluczowe jest to, w jaki sposób każda organizacja zdecyduje się ją wykorzystać – czy jako kolejny obowiązek do odhaczenia i schowania do szuflady, czy jako realną szansę na zbudowanie trwałej, biznesowej odporności, która chroni nie tylko przed karami administracyjnymi, ale przede wszystkim przed rzeczywistymi stratami operacyjnymi, wizerunkowymi i finansowymi.

Sól polskiej gospodarki miota się od pozornej świadomości do niebezpiecznej nonszalancji

W drugiej części wydarzenia, Łukasz Ozimek i Paweł Olszynka, Head ICT & Digital Market Analyst, PMR by Hume’s Institute przedstawili wyniki badania „Cyberbezpieczeństwo w sektorze MŚP w Polsce”. Raport, przygotowany na zlecenie Exea, objął 106 firm zatrudniających od 10 do 249 pracowników, które już czują presję NIS2/UKSC lub znajdują się w łańcuchu dostaw podmiotów regulowanych.

Kluczowe wnioski są jednoznaczne. Blisko 80% firm przyznaje cyberbezpieczeństwu wysoki priorytet, a 75% respondentów (głównie z IT) deklaruje wysoką wiedzę w tym obszarze. Jednocześnie aż 85% firm MŚP już rozpoczęło działania na rzecz zgodności z NIS2/UKSC, a 90% planuje w najbliższym czasie inwestycje w technologie IT z powodu nowych przepisów.

Dla 64% badanych ustawa jest szansą na realne korzyści biznesowe, a dla 56% – koniecznym krokiem w stronę większego bezpieczeństwa. Jednak nadal dominuje podejście reaktywne lub wyspowe: firmy kupują pojedyncze rozwiązania, ale brakuje im kompleksowego, systemowego spojrzenia na ryzyko.

Największym problemem pozostaje znalezienie zaufanego partnera. Deklaruje to 32% firm. Aż 47% MŚP czerpie informacje o NIS2 i cyberbezpieczeństwie przede wszystkim od dostawców rozwiązań. Tylko 4% jako główne źródło wskazuje oficjalne strony rządowe i samą ustawę. Reszta to LinkedIn, webinary i portale branżowe. „Firmy same z siebie rzadko idą w kompleksową cyberodporność, bo są od zarabiania pieniędzy, a nie od bycia cyberbezpiecznymi” – mówił Paweł Olszynka. „Dzięki regulacji jednak dzieje się sporo dobrego. Wprowadza ona systematykę i zmusza do szerszego spojrzenia” – dodał.

„Firmy szukają informacji przede wszystkim od zweryfikowanych partnerów. To naturalne, ale wymaga też etyki i odpowiedzialności ze strony dostawców” – podkreślał Łukasz Ozimek. Wskazał on też na potrzebę certyfikacji firm oferujących rozwiązania cyber, aby uniknąć sytuacji, w której „każdy sprzedaje wszystko jako rozwiązanie na NIS2”.

Raport PMR jasno pokazuje paradoksy MŚP w 2026 roku: wysoka deklarowana świadomość spotyka się z realnymi lukami w podstawowych zabezpieczeniach. NIS2/UKSC nie jest dla firm z sektora MŚP tylko obowiązkiem, a staje się motorem modernizacji technologicznej i procesowej. Dla wielu firm to pierwsza okazja, by przejść od reaktywnego gaszenia pożarów do budowania rzeczywistej, systemowej odporności.

Prezentacja raportu uzupełniła poranną dyskusję o dużych organizacjach i pokazała, że w sektorze MŚP regulacja działa jak zdrowy przymus – nie zawsze lubiany, ale przynoszący realną zmianę na plus. Jednak raport pokazuje też rzeczy bardzo wątpliwe.

Największy paradoks badania CyberSec w MSP

MŚP wiedzą, że powinny, doświadczyły już bólu włamania i luk w podatnościach (50% miała incydent), deklarują priorytet i planują inwestycje, a mimo to ich podejście pozostaje w dużej mierze reaktywne, fragmentaryczne i oparte na deklaracjach zamiast na realnej odporności. NIS2/UKSC działa tu jako zdrowy przymus zewnętrzny – zmusza do systemowości tam, gdzie rynek sam z siebie tego nie zrobił.

Wyniki analizy PMR pokazały, że największą rolę odgrywają zasoby własne (ok. 30%). Hybrydowy model (własny zespół oraz zewnętrzny dostawca) wybrało 30% firm, a pełny outsourcing tylko 9%. „Nawet jeśli jest zespół kilkuosobowy, to 1-2 osoby nie są w stanie zapewnić bezpieczeństwa 24/7. Model hybrydowy to coś, z czym spotykamy się na co dzień i co będzie się dynamicznie rozwijać” – komentował Łukasz Ozimek.

Co istotne, wynik dotyczący dedykowanych zespołów jest zaskakująco wysoki jak na MŚP i prawdopodobnie podbity przez większą reprezentację firm średnich w badaniu.

Incydenty i gotowość – paradoks optymizmu

Prawie połowa firm (50%) twierdzi, że w ciągu ostatnich 2 lat nie odnotowała żadnego incydentu. Eksperci podchodzą do tego wyniku sceptycznie. „Często dział IT ma obawę, że jeśli powie, że coś nie działa, to będzie wyglądało na to, że nie dowozi. Dlatego wiele incydentów jest zamiatanych pod dywan” – zauważył Łukasz Ozimek. „Firmy po prostu nie ich dostrzegły, pewnie dlatego, że nic się nie stało. Nie czytałbym tych odpowiedzi literalnie. To pokazuje, jak niewiele jednak wiedzą” – uzupełnił Paweł Olszynka.

Jeszcze większy paradoks pojawił się przy pytaniu o poziom gotowości do wymagań NIS2/UKSC. Aż 65% firm deklaruje, że jest gotowych lub w pełni dostosowanych. Wysoka samoocena gotowości może jednak wynikać często ze strachu przed przyznaniem się do luk.

Bariery i przyszłość kosztów

Najczęściej wskazywane bariery to klasycznie: brak kompetencji, ograniczony budżet oraz inne priorytety biznesowe. Ciekawe jest też to, że część firm deklaruje problem ze znalezieniem zaufanego partnera – mimo że rynek wydaje się zalany ofertami.

Badanie pokazało, że wiele firm zakłada przerzucenie części kosztów wdrożenia NIS2 na ceny produktów/usług (ok. 60% respondentów). „Pytanie, czy rynek zaakceptuje wzrost ceny o 5-10%, bo musiałem poprawić cyberbezpieczeństwo? To będzie ciekawe zjawisko i będę to obserwował z dużym zainteresowaniem” – podsumował Łukasz Ozimek porównując tą sytuację z doświadczeniami uruchomienia własnego data center 10 lat temu. Wtedy rynek nie był gotowy płacić więcej za wyższy standard bezpieczeństwa. Dziś sytuacja jest inna, ale presja konkurencji globalnej pozostaje.

Prezentacja badania pokazała jasno, że wysoka deklaratywna świadomość i optymizm co do gotowości łączą się z realnymi lukami w podstawowych zabezpieczeniach, reaktywnym podejściem i obawą przed szczerym przyznaniem się do problemów. NIS2/UKSC działa tu jako zewnętrzny przymus, który – choć z początku niechciany i uciążliwy – powoli wprowadza systematykę tam, gdzie rynek sam z siebie jej nie wypracował.

„Efekt netto” UKSC dla sektora MŚP powinien być pozytywny, choć droga do pełnej odporności będzie wymagała nie tylko inwestycji w technologię, ale przede wszystkim zmiany myślenia – od „jakoś to będzie” do realnego, systemowego zarządzania ryzykiem.

Cybersuwerenność w Polsce: między deklaracjami a rzeczywistością

W ostatniej debacie zatytułowanej „Suwerenność danych”, czwórka panelistów zmierzyła się z jednym z najgorętszych tematów cyfrowej Polski. Wraz z Radosławem Maćkiewiczem, dyrektorem generalnym Centralnego Ośrodka Informatyki, Łukaszem Ozimkiem, Grzegorzem Wójcikiem, CEO Autenti oraz Ignacym Święcickim, kierownikiem Zespołu Gospodarki Cyfrowej w Polskim Instytucie Ekonomicznym analizowaliśmy, jak w praktyce budować kontrolę nad danymi w warunkach ponad 70 proc. dominacji amerykańskich BigTech’ów, rosnącego napięcia geopolitycznego i wejścia w życie Data Act oraz nowelizacji UKSC/NIS2.

Debata rozpoczęła się od szczerego pytania: czy suwerenność danych nie stała się dziś astroturfingiem, w którym nawet najwięksi zagraniczni dostawcy chmur deklarują się jako „polscy patrioci”? Paneliści zgodzili się, że temat malowania usług globalnych na biało-czerwony patriotyzm jest męczący i nadużywany, ale jednocześnie kluczowy.

Łukasz Ozimek przypomniał, że jeszcze 8 lat temu rozmowa o cyfrowej suwerenności była traktowana jak herezja. „De facto suwerenność to nie tylko chmura. To geolokalizacja, warstwa sprzętowa, hardware, którego używamy. Jeśli mamy świetny obiekt, ale stoi on na Bliskim Wschodzie, to w dzisiejszej geopolitycznej rzeczywistości przestaje być bezpieczny” – mówił. Exea, jako operator z w pełni polskim, publicznym kapitałem działający na zasadach komercyjnych, od lat buduje suwerenne rozwiązania. Jest to jednak temat wielowarstwowy i nie da się go sprowadzić do jednego hasła.

Radosław Maćkiewicz, przedstawił perspektywę administracji publicznej, dla której suwerenność jest kluczowa w budowaniu i utrzymaniu rejestrów państwowych. „Jesteśmy zobligowani, aby dane rejestrowe trzymać w infrastrukturze, w której minimum 51% pozostaje pod kontrolą państwa. W praktyce wszystkie kluczowe systemy są utrzymywane w trzech centrach danych, będących w 100% własnością Skarbu Państwa” – podkreślał Radosław Maćkiewicz. Przyznał jednak, że wojna w Ukrainie i późniejsze wydarzenia geopolityczne pobudziły do dyskusji całą Europę.

„W pierwszych tygodniach wojny hyperscalerzy ratowali kluczowe dane Ukrainy, przenosząc je poza terytorium kraju. Późniejsze działania administracji państwowych postawiły znak zapytania w kontekście stabilnego wsparcia procesów IT i przyspieszyły dyskusję o suwerenności w całej Europie. Ta dyskusja jest potrzebna” – przyznał.

Z kolei Ignacy Święcicki przywołał precyzyjną definicję suwerenności technologicznej. „Suwerenność technologiczna oznacza zdolność wspólnoty politycznej do samodzielnego podejmowania i wypełniania decyzji dotyczących technologii zgodnie z celami wyznaczonymi przez tę wspólnotę” – mówił. Podkreślił przy tym, że nie chodzi o autarkię ani odcięcie się od świata. „Nie jest to suwerenność rozumiana jako całkowite zamknięcie. To swoboda wyboru, kontrola i bezpieczeństwo” – zapewnia

Ignacy Święcicki zwrócił też uwagę na wagę dobrego zrozumienia zależności w obrębie stosu technologicznego środowisk chmurowych. „Jeśli przekierujemy za mówienia do polskich czy europejskich firm chmurowe, które rozbudują centra danych to zapewne one kupują sprzęt od firm spoza UE. W ten sposób przesuwamy zależność z warstwy usług na warstwę infrastrukturalną. Wykorzystanie koncepcji stosu technologicznego pozwala dobrze zrozumieć tego typu skutki naszych działań” – zauważył.

Grzegorz Wójcik zdefiniował suwerenność w trzech wymiarach: swoboda i możliwość działania (georedundancja, brak blokad dostępu), aspekt ekonomiczny (niezależność nie może oznaczać strat finansowych) oraz wy miar prawno-kulturowy. Ten ostatni ilustrował mocnym przykładem: „Załóżmy, że mamy bibliotekę rodzinnych zdjęć w usłudze Microsoftu i nagle konto zostaje zablokowane, bo na jednym ze zdjęć było dziecko w kąpieli. Pytanie: czy podzielamy system wartości, który tak daleko interweniuje i decyduje o prywatnych treściach, jak widać często omyłkowo i czy kulturowo zgadzamy się z takim podejściem?” – zauważył zwracając uwagę na fakt, że podejście do prywatności danych w USA różni się diametralnie z tym, które stosuje Europa.

Grzegorz Wójcik podkreślał zarazem, że cyfrowa suwerenność nie musi oznaczać pełnej niezależności i samowystarczalności poszczególnych krajów UE. „Europa daje nam jednolite środowisko prawne i podobne wyczucie kulturowe w zakresie prywatności. Rozproszenie danych w kilku krajach europejskich daje większą stabilizację niż lokalizacja w jednym” – mówił. Ostrzegał też przed irracjonalnym patriotyzmem: „Jest on jednym z elementów pragmatyzmu, ale nie może przysłaniać celów biznesowych”.

Debata obfitowała w konkretne przykłady. Radosław Maćkiewicz opowiedział o decyzji COI dotyczącej wirtualnego asystenta w aplikacji mObywatel. Mimo, że testowano ChatGPT, ostatecznie wybrano polski model językowy PLLuM. „Strategicznie uznaliśmy, że docelowo lepiej mieć rozwiązanie oparte o polski, otwarty model językowy, który rozwijamy lokalnie, nad którym mamy kontrolę” – mówił Radosław Maćkiewicz. COI systematycznie refakturuje także systemy rejestrowe, budując plan przechodzenia z baz komercyjnych na open source.

Natomiast Łukasz Ozimek zwrócił uwagę na długoterminowy charakter procesu budowania suwerenności. Przywołał przykład Japonii, która po konflikcie z Chinami w 2010 roku zmniejszyła zależność od metali rzadkich ziem z 90% do 60%, ale dopiero po 13 latach. „Jesteśmy w momencie, w którym Unia i Polska zaczynają tę ścieżkę. Czas i wsparcie systemowe są potrzebne” – mówił. Wyraził też obawę, że Polska może stać się „montownią data center” – wielkimi inwestycjami zagranicznych gra czy, gdzie lokalni inżynierowie wykonują jedynie pracę odtwórczą i serwisową. W wyścigu o suwerenność i niezależność technologiczną musimy stawiać na budowa nie własnego know-how i local content oraz nieustannie zabiegać o wsparcie systemowe.

W jednym wszyscy uczestnicy panelu się zgodzili: suwerenność cyfrowa to nie zero-jedynkowa decyzja – wszystko lokalnie albo wszystko w chmurze. To świadome zarządzanie ryzykiem na każdym poziomie stosu technologicznego. „Bezpieczeństwo danych jest numerem jeden. Dopuszczalne jest np. czasowe wyłączenie systemu, ale nie utrata zaufania obywateli” – podsumował Radosław Maćkiewicz. „Musimy znaleźć zestaw rozwiązań, który najbardziej odpowiada naszym celom. Zazwyczaj jest to kompromis” – dodał Grzegorz Wójcik.

Debata pokazała, że Polska w 2026 roku stoi przed klasycznym dylematem: jak budować realną kontrolę nad danymi w świecie, w którym dominują globalni gracze, a konkurencja technologiczna staje się jednocześnie konkurencją geopolityczną. W takim środowisku suwerenność danych przestaje być modnym hasłem, a staje się strategiczną koniecznością – już nie dla idei, lecz dla zupełnie przyziemnego i codziennego bezpieczeństwa, ciągłości działania i suwerenności decyzyjnej państwa i biznesu.