Raport Krajowej Izby Komunikacji Ethernetowej z lutego 2026 r. dotyczy kosztów wymiany sprzętu i oprogramowania dostawców spoza Unii Europejskiej i NATO. Jest to jedno z pierwszych kompleksowych opracowań próbujących oszacować ekonomiczne konsekwencje projektowanej nowelizacji ustawy o krajowym systemie cyberbezpieczeństwa. Analiza odnosi się bezpośrednio do sektora komunikacji elektronicznej.
Dokument odnosi się bezpośrednio do projektu ustawy transponującego dyrektywę NIS2 oraz wdrażającego rozwiązania wynikające z 5G Toolbox. Szczególnym przedmiotem analizy jest mechanizm uznawania dostawców za dostawców wysokiego ryzyka (DWR) oraz wynikający z niego obowiązek wycofania określonych produktów oraz usług w terminie czterech lub siedmiu lat, bez przewidzianego systemowego mechanizmu rekompensaty finansowej.
Autorzy raportu wskazują, że na etapie prac legislacyjnych projektodawca nie przeprowadził szczegółowej analizy kosztów, jakie regulacja może wygenerować po stronie przedsiębiorców. W Ocenie Skutków Regulacji zawarto jedynie ogólne stwierdzenia o wzroście nakładów finansowych, bez ich kwantyfikacji. Raport KIKE ma w założeniu wypełnić tę lukę analityczną.
Kontekst regulacyjny i zakres oddziaływania ustawy
Projektowana nowelizacja ustawy o KSC znacząco rozszerza zakres regulacji w porównaniu z dyrektywą NIS2. Obejmuje ona szeroki katalog sektorów i podsektorów, w tym komunikację elektroniczną, infrastrukturę cyfrową, energetykę, transport, ochronę zdrowia oraz administrację publiczną.
Szczególną pozycję w tym systemie zajmuje podsektor komunikacji elektronicznej. Projekt przewiduje, że przedsiębiorcy telekomunikacyjni osiągający próg przedsiębiorcy średniego będą kwalifikowani jako podmioty kluczowe, a pozostali jako podmioty ważne. W praktyce oznacza to objęcie znaczącej części rynku obowiązkami wynikającymi z ustawy.
Zgodnie z danymi przywoływanymi w Ocenie Skutków Regulacji, regulacja może dotyczyć około 42 tysięcy podmiotów w skali całej gospodarki, w tym ponad trzech tysięcy przedsiębiorców telekomunikacyjnych. W tym kontekście decyzje dotyczące dostawców wysokiego ryzyka mogą mieć charakter systemowy, a nie wyłącznie sektorowy.
Metodologia badania
Podstawą opracowania była ankieta skierowana do mikro, małych i średnich przedsiębiorców telekomunikacyjnych, zrzeszonych w KIKE. Badanie przeprowadzono w okresie od listopada 2025 r. do stycznia 2026 r. i objęło 152 podmioty.
Ankieta obejmowała pytania dotyczące:
- poziomu świadomości regulacyjnej,
- struktury wykorzystywanego sprzętu i oprogramowania,
- możliwości zastąpienia rozwiązań spoza UE i NATO,
- szacowanych kosztów wymiany infrastruktury,
- kosztów serwisu i wsparcia technicznego.
Na potrzeby analizy finansowej zastosowano metodę średniej ważonej, opartą na przedziałach kwotowych wskazywanych przez respondentów. Pozwoliło to na uzyskanie uśrednionych wartości kosztów w poszczególnych kategoriach.
Autorzy raportu podkreślają, że badanie ma charakter deklaratywny i opiera się na szacunkach przedsiębiorców, jednak w warunkach braku innych dostępnych danych stanowi istotne źródło informacji o potencjalnej skali problemu.
Szacowane koszty finansowe
Kluczową częścią opracowania jest analiza kosztów związanych z wymianą infrastruktury teleinformatycznej oraz towarzyszących jej usług serwisowych i wdrożeniowych. Raport KIKE podejmuje próbę ilościowego ujęcia obciążeń, które w obecnym procesie legislacyjnym nie zostały w sposób systemowy przeanalizowane.
Na podstawie danych ankietowych izba oszacowała, że średni koszt wymiany sprzętu sieciowego, obejmujący zakup nowych urządzeń, demontaż istniejącej infrastruktury, jej utylizację oraz instalację i konfigurację nowych rozwiązań, wraz z dodatkowymi kosztami serwisu i wsparcia technicznego, przekracza 1,1 mln zł netto w pierwszym roku. W perspektywie pięcioletniej koszt ten rośnie do około 2,5 mln zł netto na jedno przedsiębiorstwo.
W przypadku oprogramowania, uwzględniając koszty zakupu nowych licencji lub subskrypcji, migracji danych, rekonfiguracji systemów, integracji z istniejącą infrastrukturą oraz zwiększonych kosztów wsparcia technicznego, analogiczne obciążenia wynoszą około 630 tys. zł netto w pierwszym roku oraz około 1,8 mln zł netto w okresie pięciu lat.
Łączny koszt wymiany sprzętu i oprogramowania w horyzoncie pięcioletnim został oszacowany na poziomie około 4,33 mln zł netto na jednego przedsiębiorcę. Dla wielu podmiotów z segmentu mikro, małych i średnich operatorów oznacza to obciążenie porównywalne z wieloletnim budżetem inwestycyjnym lub znaczną częścią rocznych przychodów.
Po odniesieniu tej wartości do liczby przedsiębiorców telekomunikacyjnych wskazanych w Ocenie Skutków Regulacji raport szacuje potencjalny koszt systemowy na poziomie około 14,4 mld zł netto w perspektywie pięciu lat. Skala ta pokazuje, że skutki finansowe mechanizmu DWR nie mają charakteru marginalnego, lecz mogą istotnie wpływać na strukturę inwestycji i kondycję ekonomiczną całego segmentu rynku.
Autorzy raportu zwracają jednocześnie uwagę, że przedstawione wyliczenia obejmują wyłącznie koszty bezpośrednio związane z wymianą infrastruktury i jej utrzymaniem. Nie uwzględniają one wydatków wynikających z pozostałych obowiązków regulacyjnych, takich jak wdrażanie systemów zarządzania bezpieczeństwem informacji, prowadzenie okresowych audytów, szkolenia personelu, opracowywanie procedur reagowania na incydenty czy rozbudowa struktur raportowania do CSIRT. W praktyce oznacza to, że rzeczywiste obciążenie finansowe przedsiębiorców może być istotnie wyższe niż wskazane w raporcie wartości szacunkowe.
Skutki regulacji wykraczające poza pojedyncze przedsiębiorstwa
Jednym z najważniejszych wniosków raportu KIKE jest wskazanie, że potencjalne skutki decyzji o uznaniu dostawcy za wysokiego ryzyka nie ograniczą się do bilansów pojedynczych firm. W sektorze telekomunikacyjnym infrastruktura, modele biznesowe i relacje hurtowe tworzą gęstą sieć powiązań. Operatorzy lokalni funkcjonują w oparciu o współpracę z większymi podmiotami, wspólne węzły, punkty wymiany ruchu, systemy zarządzania siecią oraz współdzielone zasoby techniczne.
W takim środowisku wymuszona, masowa wymiana infrastruktury u części operatorów może prowadzić do efektów pośrednich, obejmujących także podmioty formalnie nieobjęte decyzją DWR. W praktyce może to oznaczać presję na renegocjowanie umów hurtowych, zmianę parametrów technicznych połączeń, ograniczenie dostępności określonych usług lub czasowe spadki jakości transmisji. Raport słusznie zwraca uwagę, że rynek telekomunikacyjny nie funkcjonuje w izolacji, a konsekwencje regulacyjne rozlewają się na kolejne ogniwa łańcucha wartości.
Z perspektywy użytkowników końcowych może to przełożyć się na okresowe zakłócenia, ograniczenie oferty w mniejszych miejscowościach oraz opóźnienia w rozbudowie sieci. Są to skutki, które rzadko pojawiają się w dokumentach regulacyjnych, lecz w praktyce decydują o postrzeganiu jakości usług.
Wpływ na cykl inwestycyjny i zdolność rozwojową operatorów
Raport KIKE pokazuje, że potencjalne koszty wymiany infrastruktury pojawiają się poza standardowym cyklem modernizacyjnym operatorów. W normalnych warunkach inwestycje w sprzęt sieciowy są rozkładane na wiele lat i powiązane z planami rozwoju zasięgu, zwiększania przepustowości oraz wdrażania nowych usług.
Mechanizm DWR w obecnym kształcie może wymusić przyspieszoną wymianę urządzeń, które z punktu widzenia technicznego i ekonomicznego nadal znajdują się w fazie eksploatacji. Oznacza to, że środki, które w normalnych warunkach zostałyby przeznaczone na rozbudowę sieci FTTH, modernizację rdzenia, inwestycje w centra danych czy wdrażanie nowych usług biznesowych, będą kierowane na zastępowanie istniejącej infrastruktury.
Dla segmentu MŚP jest to szczególnie istotne. Lokalne firmy telekomunikacyjne w dużej mierze finansują rozwój ze środków własnych oraz kredytów inwestycyjnych, których zdolność absorpcji jest ograniczona. Wymuszony, wielomilionowy wydatek może oznaczać zamrożenie innych projektów rozwojowych na kilka lat.
W dłuższej perspektywie może to prowadzić do pogłębienia różnic między największymi operatorami a rynkiem lokalnym. Podmioty o większej skali i dostępie do kapitału łatwiej poradzą sobie z wymianą infrastruktury, natomiast mniejsze firmy mogą stracić tempo rozwoju, konkurencyjność i zdolność inwestycyjną.
Ryzyko konsolidacji wymuszonej regulacyjnie
Choć raport nie formułuje tego wprost, z przedstawionych danych wyłania się ryzyko pośredniego wpływu regulacji na strukturę rynku. Dla części operatorów koszty na poziomie kilku milionów złotych w krótkim okresie mogą okazać się barierą nie do pokonania.
W takich warunkach naturalnym mechanizmem obronnym staje się sprzedaż infrastruktury, połączenie z większym podmiotem lub rezygnacja z części działalności. Oznacza to, że mechanizm DWR może pośrednio przyspieszyć procesy konsolidacyjne, niezależnie od intencji ustawodawcy.
Z punktu widzenia polityki państwa wobec rynku telekomunikacyjnego jest to zagadnienie wymagające szczególnej uwagi. Przez ostatnie lata administracja publiczna wielokrotnie podkreślała rolę lokalnych operatorów w likwidowaniu białych plam, zapewnianiu dostępu do internetu w mniejszych miejscowościach oraz realizacji projektów współfinansowanych ze środków unijnych. Regulacja, która osłabia finansowo ten segment, może pośrednio podważać te cele.
Napięcie między bezpieczeństwem a stabilnością infrastruktury
Raport KIKE nie kwestionuje potrzeby wzmacniania cyberbezpieczeństwa ani znaczenia analizy ryzyk geopolitycznych w odniesieniu do dostawców technologii. Wskazuje jednak na problem braku równowagi między celami bezpieczeństwa a stabilnością funkcjonowania infrastruktury.
Decyzje DWR mają charakter administracyjny i mogą być podejmowane w oparciu o kryteria techniczne, wywiadowcze i polityczne. Jednocześnie skutki tych decyzji wprost obciążają przedsiębiorców. W obecnym modelu odpowiedzialność za realizację celów bezpieczeństwa jest w dużej mierze przenoszona na sektor prywatny, bez równoległych instrumentów wsparcia finansowego.
Raport sygnalizuje, że taki model może prowadzić do sytuacji, w której ochrona bezpieczeństwa państwa jest realizowana kosztem stabilności ekonomicznej części rynku. W długim okresie może to osłabiać odporność infrastruktury, zamiast ją wzmacniać, ponieważ ograniczone środki inwestycyjne utrudniają modernizację sieci i wdrażanie nowych zabezpieczeń.
Brak danych jako problem systemowy
Jednym z najpoważniejszych zarzutów raportu wobec procesu legislacyjnego jest sposób przygotowania Oceny Skutków Regulacji. Ministerstwo Cyfryzacji wprost przyznało, że nie jest w stanie oszacować kosztów wycofania sprzętu DWR, ponieważ nie wiadomo, jakie decyzje zostaną wydane w przyszłości.
Z perspektywy rynku takie podejście oznacza przeniesienie ryzyka regulacyjnego na przedsiębiorców. Ustawa wprowadza mechanizm o potencjalnie bardzo wysokich konsekwencjach finansowych, bez przedstawienia choćby scenariuszowych analiz kosztowych.
Raport KIKE pokazuje, że nawet przy ograniczonych danych możliwe jest przygotowanie orientacyjnych wyliczeń. Brak takich analiz na etapie rządowym nie wynika więc wyłącznie z braku informacji, lecz także z przyjętej metodologii procesu legislacyjnego.
Dla branży telekomunikacyjnej jest to sygnał, że w przyszłości podobne mechanizmy mogą być wprowadzane bez pełnej oceny ich wpływu na rynek.
Potrzeba dialogu regulacyjnego i instrumentów łagodzących
W konkluzji raportu wyraźnie wybrzmiewa postulat uzupełnienia procesu wdrażania KSC o realny dialog z sektorem. Nie chodzi wyłącznie o konsultacje formalne, lecz o systematyczne włączanie danych rynkowych do procesu decyzyjnego.
Z punktu widzenia operatorów kluczowe znaczenie mogą mieć instrumenty łagodzące skutki regulacji, takie jak:
- mechanizmy przejściowe powiązane z faktycznym cyklem życia infrastruktury,
- możliwość wydłużania okresów migracji w uzasadnionych przypadkach,
- programy wsparcia inwestycyjnego lub podatkowego,
- współfinansowanie wymiany infrastruktury w regionach o niskiej rentowności.
Brak takich rozwiązań oznacza, że ciężar realizacji celów państwa w zakresie cyberbezpieczeństwa spadnie w całości na przedsiębiorców, bez uwzględnienia ich realnych możliwości finansowych.
Regulacja wymagająca korekty na etapie wdrażania
Raport KIKE pokazuje, że mechanizm dostawcy wysokiego ryzyka w obecnym kształcie jest narzędziem o bardzo dużej sile oddziaływania ekonomicznego. W sektorze komunikacji elektronicznej, opartym na długoterminowych inwestycjach infrastrukturalnych, nagłe i kosztowne wymiany sprzętu mogą prowadzić do trwałych zaburzeń równowagi rynkowej.
Z perspektywy branżowej dokument ten należy traktować nie jako sprzeciw wobec idei bezpieczeństwa cyfrowego, lecz jako próbę urealnienia debaty regulacyjnej. Pokazuje on, że skuteczna polityka cyberbezpieczeństwa wymaga nie tylko decyzji administracyjnych, lecz także stabilnych, przewidywalnych i finansowo wykonalnych mechanizmów wdrożeniowych.
Bez ich uwzględnienia nowelizacja KSC może stać się przykładem regulacji, która formalnie wzmacnia bezpieczeństwo, lecz jednocześnie osłabia segment rynku odpowiedzialny za utrzymanie infrastruktury na poziomie lokalnym i regionalnym.
Cały raport do przeczytania tutaj: Raport z badania nt. kosztów wymiany sprzętu i oprogramowania dostawców spoza UE i NATO.
