System S46 pod ostrzałem NIK – wydano miliony, a efekty ograniczone

Najwyższa Izba Kontroli krytycznie ocenia funkcjonowanie systemu S46, kluczowego narzędzia Krajowego Systemu Cyberbezpieczeństwa. Mimo wydatków przekraczających 74 mln zł rozwiązanie nie spełniło założeń, a jego użyteczność dla uczestników pozostaje ograniczona.

System S46 miał wspierać zgłaszanie i obsługę incydentów, wymianę informacji oraz współpracę między podmiotami odpowiedzialnymi za cyberbezpieczeństwo w Polsce – od operatorów usług kluczowych po zespoły CSIRT i administrację publiczną. W praktyce jednak, jak wskazuje NIK, nie dostarczył oczekiwanej wartości.

Kontrola objęła działania Ministerstwa Cyfryzacji oraz NASK-PIB, które odpowiadają za rozwój i utrzymanie systemu. Choć wdrożenie zrealizowano formalnie zgodnie z ustawą, jego jakość nie przełożyła się na realne podniesienie poziomu cyberbezpieczeństwa.

Z ustaleń wynika, że system był wykorzystywany sporadycznie. W niektórych okresach nawet ponad jedna trzecia uprawnionych podmiotów nie logowała się do niego ani razu. Przykładowo, w II kwartale 2025 roku na 296 podmiotów nie zalogowało się do niego ani razu 100 (34%). W I kwartale 2025 roku na 278 podmiotów nie zalogowało się ani razu 105 (38%). W efekcie system S46 pełnił głównie rolę repozytorium informacji, a jego kluczowe funkcje – jak ostrzeganie, analiza ryzyka czy obsługa incydentów – nie zapewniały adekwatnej wartości.

Błędy projektowe i rosnące koszty

Według NIK, problemy systemu wynikają z decyzji podjętych na wczesnym etapie projektu. Wskazano m.in. brak rzetelnej analizy potrzeb użytkowników, zbyt złożoną architekturę oraz model dostępu nieuwzględniający barier organizacyjnych.

Dodatkowo koszty znacząco przekroczyły pierwotne założenia. Do tej pory na system wydano ponad 74 mln zł, a w perspektywie kolejnych lat łączne nakłady mogą sięgnąć nawet 500 mln zł.

Izba zwraca również uwagę na niską jakość danych wykorzystywanych do szacowania ryzyka na poziomie krajowym. Informacje zbierane w systemie nie były regularnie aktualizowane ani weryfikowane, co podważa ich wiarygodność i może prowadzić do błędnych decyzji strategicznych.

Działania naprawcze

NIK pozytywnie oceniła rozpoczęcie działań naprawczych przez Ministra Cyfryzacji i NASK, jednocześnie podkreślając, że są one reakcją na wcześniejsze błędy projektowe. Izba zaleciła m.in. rzetelne przygotowywanie projektów IT, obejmujących ocenę realizacji celów strategicznych oraz potrzeb użytkowników końcowych.

W związku ze stwierdzonymi nieprawidłowościami Najwyższa Izba Kontroli skierowała wnioski:

do Ministerstwa Cyfryzacji o:

• wdrożenie mechanizmu ewaluacji własnych projektów informatycznych, obejmującego prawidłową ocenę czasu potrzebnego na realizację projektu oraz obowiązkowe zebranie i uwzględnienie wymagań od użytkowników końcowych, tak aby przyszłe projekty mogły być od początku dostosowane do potrzeb uczestników i celów strategicznych;
• dostosowanie systemu S46 do potrzeb zarówno uczestników Krajowego Systemu Cyberbezpieczeństwa, jak i kluczowych interesariuszy, poprzez wprowadzenie takich zmian funkcjonalnych, które uczynią go narzędziem operacyjnie użytecznym, w szczególności w obszarze ostrzeżeń, komunikacji między uczestnikami, rekomendacji, szacowania ryzyka oraz zgłaszania i obsługi incydentów.

do Naukowej i Akademickiej Sieci Komputerowej – Państwowego Instytutu Badawczego o:

• zapewnienie konsekwentnego stosowania przez NASK-PIB mechanizmów identyfikacji i uwzględniania wymagań użytkowników końcowych na etapie projektowania i realizacji systemów teleinformatycznych – również w warunkach silnej presji czasowej – w celu zagwarantowania pełnej funkcjonalności oraz efektywnego wykorzystania wdrażanych rozwiązań;
• wdrożenie w NASK-PIB cyklicznych, udokumentowanych testów mechanizmów utrzymania ciągłości działania systemu S46 – w tym pełnych testów odtworzeniowych kopii zapasowych – z wykorzystaniem scenariuszy różnych wariantów sytuacji awaryjnych, w celu wiarygodnej weryfikacji zdolności systemu do odzyskania funkcjonalności w wymaganym czasie.