Minister Cyfryzacji 8 lipca 2025 r. przygotował projekt uchwały Rady Ministrów w sprawie Strategii Cyberbezpieczeństwa Rzeczypospolitej Polskiej na lata 2025-2029 ujęty w wykazie prac legislacyjnych Rady Ministrów pod numerem ID 131, który został skierowany do uzgodnienia z organami administracji rządowej oraz niektórymi podmiotami państwowymi, których działalności dotyczy za pismem Ministra Cyfryzacji z dnia 9.07.2025 r.
Co symptomatyczne, a zarazem rzucające się w oczy to pominięcie przez Ministra Cyfryzacji jako organ wnioskujący trybu konsultacji publicznych projektu uchwały Rady Ministrów w sprawie Strategii Cyberbezpieczeństwa Rzeczypospolitej Polskiej na lata 2025-2029 przewidzianego w § 36 ust. 1 uchwały nr 190 Rady Ministrów z dnia 29.10.2013 r. Regulamin pracy Rady Ministrów (tekst jedn. Dz. U. z 2024 r. poz. 806 z późn. zm.), zwanej dalej Regulaminem pracy RM, mimo iż nie zaistniały wyjątkowe przesłanki odstąpienia od trybu konsultacji publicznych projektu przedmiotowej uchwały Rady Ministrów określone w § 36 ust. 3 regulaminu pracy RM, w szczególności pod postacią bezpieczeństwa, porządku publicznego, ochrony zdrowia czy też ochrony środowiska.
W ust. 5 Oceny Skutków Regulacji projektu uchwały Rady Ministrów w sprawie Strategii Cyberbezpieczeństwa Rzeczypospolitej Polskiej na lata 2025-2029 Minister Cyfryzacji jako powód rezygnacji z przeprowadzania konsultacji publicznych projektu przedmiotowej uchwały podaje, iż „Z uwagi na to, iż projektowana uchwała Rady Ministrów ma charakter wewnętrzny nie przewiduje się przeprowadzania konsultacji publicznych w ramach rządowego procesu legislacyjnego”.
Nieuzasadnione pominięcie konsultacji
Doprawdy trudno z jednej strony zgodzić się z twierdzeniem Ministra Cyfryzacji jakoby Strategia Cyberbezpieczeństwa RP mogła mieć charakter wyłącznie wewnętrzny, skoro dotyczy ona całego Państwa Polskiego, wszystkich jego obywateli, a także odnosi się do interakcji z podmiotami zewnętrznymi (inne państwa i organizacje międzynarodowe), z drugiej zaś strony domniemamy przez Ministra Cyfryzacji wewnętrznych charakter Strategii Cyberbezpieczeństwa RP trudno by było racjonalnie zagadnienie oceniając uznać za wyjątkową okoliczność uzasadniającą odstąpienie od trybu konsultacji publicznych projektu uchwały Rady Ministrów w tej materii w świetle przesłanek przedmiotowej rezygnacji z trybu konsultacji publicznych przewidzianych w § 36 ust. 3 regulaminu pracy RM.
rezygnacja Ministra Z przeprowadzenia konsultacji publicznych projektu uchwały w sprawie Strategii Cyberbezpieczeństwa RP na lata 2025-2029 to pozbawienie izb gospodarczych ich praw
Należy zważyć, że nieuzasadniona rezygnacja organu wnioskującego (Ministra Cyfryzacji) z przeprowadzenia konsultacji publicznych projektu uchwały Rady Ministrów w sprawie Strategii Cyberbezpieczeństwa RP na lata 2025-2029 to ewidentne wręcz pozbawienie izb gospodarczych przyznanych im przez polskiego ustawodawcę praw do: wyrażania opinii o projektach rozwiązań odnoszących się do funkcjonowania gospodarki oraz do uczestniczenia na zasadach określonych w odrębnych przepisach (w tym przypadku w regulaminie pracy RM) w przygotowaniu projektów aktów prawnych w tym zakresie [art. 4 ust. 1 ustawy z dnia 30.05.1989 r. o izbach gospodarczych (tekst jedn. Dz. U. z 2019 r. poz. 579), zwanej dalej ustawą o izbach gospodarczych].
To nas dotyczy
Raczej nikt nie powinien mieć żadnych wątpliwości po analizie projektu uchwały Rady Ministrów w sprawie Strategii Cyberbezpieczeństwa RP na lata 2025-2029, iż przedmiotowy projekt dokumentu rządowego zawiera rozwiązania odnoszące się także do funkcjonowania rodzimej gospodarki w zakresie cyberbezpieczeństwa występującego przecież we wszystkich jej gałęziach, co przesądza o potrzebie umożliwienia izbom gospodarczym zaopiniowania przedmiotowego projektu uchwały oraz udziału w procesie przygotowania projektu przedmiotowego dokumentu rządowego (art. 4 ust. 1 ustawy o izbach gospodarczych).
Ograniczenie się zatem przez Ministra Cyfryzacji jako organ wnioskujący o uchwalenie przedmiotowej Strategii Cyberbezpieczeństwa RP jedynie do poczynienia uzgodnień z członkami Rady Ministrów oraz organami administracji rządowej i podmiotami państwowymi, których projekt uchwały Rady Ministrów dotyczy (§ 35 ust. 1 regulaminu pracy RM, § 35 ust. 4 regulaminu pracy RM) nie okazuje się być wystarczające.
Winę za ten stan rzeczy ponosi w sposób oczywisty Minister Cyfryzacji jako organ wnioskujący o przyjęcie przedmiotowej uchwały albowiem to organ wnioskujący prowadzi proces uzgodnień, konsultacji publicznych i opiniowania projektu dokumentu rządowego (§ 34 regulaminu pracy RM).
W zakresie bowiem swojej właściwości każdy członek Rady Ministrów, w tym i Minister Cyfryzacji, prowadzi konsultacje publiczne [art. 7 ust. 4 ustawy z dnia 8.08.1996 r. o Radzie Ministrów (tekst jedn. Dz. U. z 2025 r. poz. 780), zwanej dalej ustawą o RM, w zw. z § 20 ust. 1 pkt. 1 w zw. z § 34 regulaminu pracy RM ].
Prawa i obowiązki ministra
Aby zrozumieć istotę zagadnień poruszonych w niniejszym artykule trzeba przede wszystkim wziąć pod uwagę, iż do projektów dokumentów rządowych zaliczamy projekty innych niż ustawy i rozporządzenia dokumentów rządowych dotyczących działań Rady Ministrów, w tym uchwał Rady Ministrów dotyczących przyjęcia określonych strategii (§ 19 ust. 1 pkt. 2 regulaminu pracy RM), w tym i projektu Strategii Cyberbezpieczeństwa RP.
Do obowiązków każdego z Członków Rady Ministrów, nie wyłączając z tego grona Ministra Cyfryzacji, należy w zakresie jego działania inicjowanie i opracowywanie polityki rządu, a także przedkładanie inicjatyw, projektów założeń do ustaw i projektów aktów normatywnych na posiedzenia Rady Ministrów na zasadach i w trybie określonych w regulaminie pracy Rady Ministrów[art. 7 ust. 2 ustawy o RM].
Do opracowania, prowadzenia procesu uzgodnień, konsultacji publicznych lub opiniowania oraz wnoszenia do rozpatrzenia projektu dokumentu rządowego jest uprawniony między innymi każdy członek Rady Ministrów, stosownie do zakresu swojej właściwości, który jest uznawany za organ wnioskujący (§ 20 ust. 1 pkt. 1 regulaminu pracy RM).
Niewątpliwie do kompetencji Ministra Cyfryzacji należą wszelkie sprawy dotyczące cyberbezpieczeństwa, w tym także opracowanie projektu Strategii Cyberbezpieczeństwa RP i jego wdrożenia oraz przestrzegania.
Minister Cyfryzacji bowiem zobowiązany jest do monitorowania wdrażania Strategii Cyberbezpieczeństwa Rzeczypospolitej Polskiej oraz realizacji planów działań na rzecz jej wdrożenia [art. 45 ust. 1 pkt. 1 ustawy z dnia 5.07.2018 r. o krajowym systemie cyberbezpieczeństwa (tekst jedn. Dz. U. z 2024 r. poz. 1077 z późn. zm.), zwanej dalej ustawą o KSC], zaś Departament Cyberbezpieczeństwa Ministerstwa Cyfryzacji odpowiada za realizację zadań Ministra Cyfryzacji w zakresie krajowego systemu cyberbezpieczeństwa [§ 19 ust. 1 zarządzenia nr 27 Ministra Cyfryzacji z dnia 25.09.2024 r. w sprawie regulaminu organizacyjnego Ministerstwa Cyfryzacji (Dz. Urz.MC z 2024 r. poz. 31 z późn. zm.), zwanego dalej regulaminem organizacyjnym MC], do których należy także funkcjonowanie i rozwój krajowego systemu cyberbezpieczeństwa oraz koordynacja realizacji Strategii Cyberbezpieczeństwa Rzeczypospolitej Polskiej.
Nie może zatem budzić cienia wątpliwości, iż skoro obowiązek opracowania i przyjęcia uchwały Rady Ministrów dotyczącej Strategii Cyberbezpieczeństwa państwa wynika z regulacji ustawowej (art. 68 ustawy o KSC), przeto to organ wnioskujący, którym jest Minister Cyfryzacji podejmuje prace nad projektem dokumentu rządowego pod postacią projektu uchwały Rady Ministrów w sprawie Strategii Cyberbezpieczeństwa RP na lata 2025-2029 (§ 24 ust. 1 pkt. 1 regulaminu pracy RM) wnioskując o wprowadzenie projektu przedmiotowej uchwały Rady Ministrów do wykazu prac legislacyjnych Rady Ministrów lub wykazu prac programowych Rady Ministrów (§ 25 pkt. 3 regulaminu pracy RM).
Należy także zważyć, że każdy Członek Rady Ministrów, w tym i Minister Cyfryzacji, uczestniczy na zasadach określonych w Konstytucji Rzeczypospolitej Polskiej, w ustalaniu polityki państwa, ponosząc za treść i realizację zadań Rządu odpowiedzialność w trybie i na zasadach określonych w odrębnych przepisach [art. 7 ust. 1 ustawy o RM].
To zatem Minister Cyfryzacji będący organem wnioskującym odpowiada za terminowe rozpoczęcie prac nad projektem uchwały Rady Ministrów dotyczącej przyjęcia Strategii Cyberbezpieczeństwa RP na lata 2025-2029, wprowadzenie projektu do wykazu prac legislacyjnych lub programowych rządu oraz prowadzenie procesu jego opiniowania, uzgadniania, konsultacji publicznych, a także wnoszenia do rozpatrzenia projektu na posiedzeniach Rady Ministrów.
To Minister Cyfryzacji odpowiada zatem także za terminowe wdrożenie samej Strategii Cyberbepzieczeństwa państwa na kolejny pięcioletni okres czasu (art. 68 w zw. z art. 69 ust. 3 ustawy o KSC).
To wygląda niepoważnie
Mając na uwadze powyższe uwarunkowania kompletnie niepoważnie ze strony Ministra Cyfryzacji wygląda przygotowywanie projektu Strategii Cyberbezpieczeństwa Rzeczypospolitej Polskiej na lata 2025-2029 dopiero w dniu 8.07.2025 r., a zatem w drugim półroczu roku 2025, gdyż już od ponad sześciu miesięcy w momencie przygotowania projektu przedmiotowej uchwały rzeczona Strategia Cyberbezpieczeństwa winna stanowić obowiązujący akt prawny w naszym kraju.
już od ponad sześciu miesięcy Strategia Cyberbezpieczeństwa winna stanowić obowiązujący akt prawny
Można zasadnie zapytać czym Minister Cyfryzacji zajmował się w drugim półroczu roku 2024, skoro z jednej strony zakończył prace uwiecznione opublikowaniem w Dzienniku Ustaw ustawy z dnia 12.07.2024 r. – Prawo komunikacji elektronicznej (Dz. U. z 2024 r. poz. 1221 z późn. zm.) oraz ustawy z dnia 12.07.2024 r.- Przepisy wprowadzające ustawę – Prawo komunikacji elektronicznej (Dz. U. z 2024 r. poz. 1222), a jednocześnie w tamtym czasie nie zajmował się przygotowywaniem projektu Strategii Cyberbezpieczeństwa Rzeczypospolitej Polskiej na lata 2025-2029, która to Strategia Cyberbezpieczeństwa Rzeczypospolitej Polskiej na lata 2025-2029 winna być przygotowana w roku 2024, w roku 2024 winna przejść pełny proces konsultacji publicznych, uzgodnień i opiniowania i w roku 2024 winna zostać uchwalona przez Radę Ministrów wchodząc w życie z dniem 1 stycznia 2025, tak aby objąć cały okres, na który przyjmowana jest Strategia Cyberbezpieczeństwa, a nie jedynie jego część.
Uchwalenie Strategii Cyberbezpieczeństwa Rzeczypospolitej Polskiej na lata 2025-2029 pod koniec roku 2025 (w drugiej jego połowie) świadczyć będzie o tym, iż Strategia Cyberbezpieczeństwa Rzeczypospolitej Polskiej na lata 2019-2024 przestała obowiązywać z dniem 31 grudnia 2024 r. o północy i od dnia 1 stycznia 2025 r., a zatem przez ponad siedem miesięcy, Rzeczpospolita Polska funkcjonuje nie mając wdrożonej żadnej Strategii Cyberbezpieczeństwa, co stanowi stwarzanie przez Ministra Cyfryzacji niezwykle niebezpiecznego precedensu.
Biorąc pod uwagę termin opracowania projektu Strategii Cyberbezpieczeństwa na lata 2025-2029 oraz potencjalny termin jej wejścia w życie w czwartym kwartale 2025 r. można zasadnie postawić pytanie, czy przedmiotem analizy w ramach uzgodnień nie powinno być przyjęcie Strategii Cyberbezpieczeństwa Rzeczypospolitej Polskiej na lata 2026-2030, bo uchwalanie Strategii Cyberbezpieczeństwa na lata 2025-2029 pod koniec roku 2025 wygląda co najmniej mało poważnie i niewątpliwie świadczy o kompromitacji Ministra Cyfryzacji, a zarazem o niepoważnym podejściu tegoż ministra do kwestii bezpieczeństwa narodowego naszego państwa, raz jeszcze to powtórzymy, stwarzającym bardzo niebezpieczny precedens dla bezpieczeństwa i obronności naszego kraju, a być może i dla zachowania jego niepodległości w obliczu mocarstwowych zapędów jednego ze wschodnich imperialnych mocarstw sąsiadujących z naszym krajem.
Rok bez strategii
Dopuszczenie przez Ministra Cyfryzacji do tego, że po utracie mocy obowiązującej Strategii Cyberbezpieczeństwa na lata 2019-2024 z dniem 1 stycznia 2025 r. nie wdrożono żadnej nowej Strategii Cyberbebezpieczeństwa Państwa Polskiego obejmującej okres lat 2025-2029 to przede wszystkim obraza normy art. 69 ust. 3 ustawy z dnia 5 lipca 2018 r. o krajowym systemie cyberbezpieczeństwa (tekst jedn. Dz. U. z 2024 r. poz. 1077 z późn. zm.), zwanej dalej ustawą o KSC.
w POLSCE nie obowiązuje OBECNIE jakakolwiek Strategia Cyberbezpieczeństwa
Dopuszczenie przez Ministra Cyfryzacji do tego, że od 1.01.2025 r. w naszym kraju nie obowiązuje ani pięcioletnia wymagana art. 69 ust. 3 ustawy o KSC Strategia Cyberbezpiezeństwa, ani też jakakolwiek inna Strategia Cyberbezpieczeństwa Państwa Polskiego to także oczywiste wręcz niedopełnienie przez Ministra Cyfryzacji obowiązku wdrożenia krajowej strategii cyberbezpieczeństwa przewidzianego w art. 7 ust. 1 dyrektywy Parlamentu Europejskiego i Rady (UE) 2022/2555 z dnia 14.12.2022 r. w sprawie środków na rzecz wysokiego wspólnego poziomu cyberbezpieczeństwa na terytorium Unii, zmieniającej rozporządzenie (UE) nr 910/2014 i dyrektywę (UE) 2018/1972 oraz uchylającej dyrektywę (UE) 2016/1148 (dyrektywa NIS2)(Dz. U.UE.L. 2022.333.80), zwanej dalej dyrektywą NIS 2.
Czy zatem w zaistniałej sytuacji zasadnie możemy twierdzić, że Minister Cyfryzacji należycie zadbał o ochronę bezpieczeństwa Państwa Polskiego i jego obywateli przed zagrożeniami cyberatakami i w jaki sposób jego działania wkomponowują się w dbałość o ochronę bezpieczeństwa Państwa Polskiego, skoro od ponad siedmiu miesięcy w naszym kraju nie obowiązuje żadna Strategia Cyberbezpieczeństwa wymagana przepisami prawa polskiego (art. 68 w zw. z art. 69 ust. 3 ustawy o KSC) oraz prawa europejskiego (art. 7 ust. 1 dyrektywy NIS 2), prace nad Strategią Cyberbepzieczeństwa dopiero co się zaczęły (8.07.2025 r.), a cyberprzestępcy i państwa naszemu krajowi niesprzyjające na każdym kroku czyhają na tego typu potknięcia odpowiedzialnego za ten stan rzeczy Ministra Cyfryzacji i całego rządu polskiego?
Teza o nieomylności ministra
Jak też należy traktować całkowite pominięcie izb gospodarczych w procesie wdrażania przedmiotowej Strategii wbrew normie art. 4 ust. 1 ustawy o izbach gospodarczych, w wyniku rezygnacji z procesu konsultacji publicznych?
Czyżby Minister Cyfryzacji uważał, że opinia właściwych wedle kompetencji izb gospodarczych nie jest mu potrzebna i nie wpłynie na jakość i prawidłowość opracowanej Strategii Cyberbezpieczeństwa, a on sam będąc alfą i omegą w kwestiach cyberbezpieczeństwa przygotuje najlepszy możliwy dokument rządowy w tej materii?
Minister Cyfryzacji kompletnie zignorował obowiązek go obciążający, a z drugiej strony cały czas podnosi jak ważną sprawą jest cyberbezpieczeństwo
Można wreszcie zasadnie zapytać czemuż to Minister Cyfryzacji zamiast zając się w II półroczu roku 2024 r. pracami nad projektem uchwały w sprawie Strategii Cyberbezpieczeństwa RP na lata 2025-2029 kompletnie zignorował ten obowiązek go obciążający, a z drugiej zaś strony cały czas podnosi jak to ważną dla niego sprawą jest cyberbezpieczeństwo, którego zapewnienie w jego mniemaniu ogranicza się jedynie do wdrożenia niewymaganej jakimikolwiek wiążącymi przepisami prawa instytucji decyzji uznania za dostawcę wysokiego ryzyka, która to instytucja będzie niezwykle szkodliwa dla około 38 tysięcy rodzimych przedsiębiorców z 18 sektorów gospodarki, a także dla tysięcy przedsiębiorców i milionów konsumentów będących odbiorcami towarów i usług pochodzących od tych przedsiębiorców, których dotkną skutki wdrożenia przedmiotowej instytucji prawnej?
Przecież jest wręcz oczywiste, że to nie instytucja decyzji uznania za dostawcę wysokiego ryzyka zapewni realne bezpieczeństwo cybernetyczne Państwa Polskiego i jego obywateli, lecz terminowo, prawidłowo przygotowana i skonsultowana z właściwymi i kompetentnymi izbami gospodarczymi Strategia Cyberbezpieczeństwa RP na kolejny okres pięcioletni wymagana przepisami prawa krajowego i europejskiego zapewni przedmiotowe bezpieczeństwo przed cyberatakami Państwu Polskiemu oraz jego obywatelom.
Czytaj także:
