1 godzina temu
System S46 – najważniejsze narzędzie przewidziane w ustawie o krajowym systemie cyberbezpieczeństwa – nie spełnił w praktyce zakładanych celów, a sposób jego zaprojektowania i wdrożenia doprowadził do znacznej dysproporcji między poniesionymi kosztami a uzyskanymi efektami. Zadecydowały o tym błędy na początkowym etapie projektu, wynikające głównie z presji czasu i braku rzetelnego rozpoznania potrzeb uczestników systemu. Pozytywnie należy ocenić, iż w obu podmiotach odpowiedzialnych za funkcjonowanie systemu, czyli w NASK-PIB i Ministerstwie Cyfryzacji, podejmowano działania w kierunku zwiększenia jego użyteczności. W ocenie NIK obie instytucje będą musiały jednak zmierzyć się z kryzysem zaufania kluczowych interesariuszy, wynikającym z wcześniejszych niedoskonałości systemu S46. Szybkie i skuteczne wdrożenie zapowiadanych zmian będzie najważniejsze dla odbudowy jego wiarygodności.
System teleinformatyczny S46 wspiera zgłaszanie i obsługę incydentów, wymianę informacji i współpracę pomiędzy uczestnikami Krajowego Systemu Cyberbezpieczeństwa (KSC). Jest przeznaczony dla podmiotów wchodzących w skład KSC, czyli między innymi dla: operatorów usług kluczowych (m.in.: z sektora energetycznego, transportowego, zdrowotnego i bankowości), dostawców usług cyfrowych, podmiotów publicznych, zespołów reagowania na incydenty bezpieczeństwa komputerowego (zespoły CSIRT) oraz organów adekwatnych ds. cyberbezpieczeństwa. System S46 wspiera również szacowanie ryzyka na poziomie krajowym i ostrzeganie o zagrożeniach cyberbezpieczeństwa.
Kontrola NIK objęła działania Ministra Cyfryzacji oraz Naukowej i Akademickiej Sieci Komputerowej − Państwowy Instytut Badawczy (NASK-PIB) jako podmiotów odpowiedzialnych za utrzymanie i rozwój systemu S46, na który wydano dotąd ponad 74 mln zł.
Z ustaleń kontroli wynika, że nie wspierał on jednak dostatecznie uczestników i nie dostarczał im istotnych funkcjonalności i treści. Minister Cyfryzacji wykonał co prawda terminowo nałożone ustawą zadanie, lecz jakość uruchomionego systemu S46 nie wpłynęła w znaczący sposób na podniesienie poziomu cyberbezpieczeństwa w Polsce, a tym samym nadrzędny cel przypisany zadaniu nie został dotąd osiągnięty.
NIK docenia jednak działania naprawcze podjęte przez resort jeszcze w trakcie kontroli, które mają tak usprawnić system, by przynosił uczestnikom wyraźną wartość dodaną, będąc dla nich użytecznym narzędziem, w szczególności w obszarze ostrzeżeń, komunikacji między uczestnikami Krajowego Systemu Cyberbezpieczeństwa, dostarczania im rekomendacji, szacowania ryzyka oraz zgłaszania i obsługi incydentów. Ma to szczególne znaczenie w obliczu procedowanej nowelizacji przepisów, które, w przypadku wejścia w życie, spowodują znaczący wzrost liczby uczestników systemu, jak również w kontekście dużych nakładów już poniesionych i planowanych na jego utrzymanie.
Założenia projektu – cel i odbiorcy
System S46 był potrzebny przede wszystkim ze względu na rosnącą skalę i złożoność cyberzagrożeń, dotykających zarówno sektor publiczny, jak i prywatny. Zespoły reagowania na incydenty (CSIRT), mimo swojej wiedzy i doświadczenia, nie były już w stanie w skuteczny sposób samodzielnie obsłużyć tak dużej liczby zgłoszeń i przeanalizować danych napływających z różnych źródeł w czasie rzeczywistym. Potrzebowały do tego narzędzi i systemu, który umożliwiałby automatyzację wielu kluczowych procesów – od wczesnego ostrzegania, przez zgłaszanie i klasyfikację incydentów, po przekazywanie rekomendacji i tworzenie jednolitego obrazu sytuacyjnego. Pozwoliłoby to nie tylko na szybszą reakcję na zagrożenia, ale również na bardziej efektywną współpracę między podmiotami odpowiedzialnymi za bezpieczeństwo cyfrowe. Dodatkowo system S46 miał gromadzić wszystkie te funkcje w jednym miejscu, co byłoby wygodne dla jego uczestników, jako iż przed jego wdrożeniem zadania te realizowane były za pośrednictwem rozproszonych baz wiedzy, formularzy oraz innych narzędzi informatycznych.
System wdrożony, ale niewykorzystywany
Kontrola wykazała, iż choć system funkcjonuje stabilnie, to jego rzeczywiste wykorzystanie było ograniczone. W wielu okresach znaczna część podłączonych instytucji wchodzących w skład Krajowego Systemu Cyberbezpieczeństwa nie korzystała z systemu w ogóle lub używała go sporadycznie. Przykładowo w II kwartale 2025 r. na 296 podmiotów nie zalogowało się do niego ani razu 100 (34%). W I kwartale 2025 r. na 278 podmiotów nie zalogowało się ani razu 105 (38%). Jeszcze gorzej prezentują się te dane w ujęciu miesięcznym: w grudniu 2024 r. na 252 użytkowników 136 nie zalogowało się ani razu (54%), 116 zalogowało się przynajmniej raz, ale tylko 75 przynajmniej trzy razy (29%).
W praktyce system pełnił więc najczęściej rolę repozytorium informacji. Kluczowe funkcje – reagowanie na incydenty, ostrzeganie, rekomendacje i szacowanie ryzyka – nie zapewniały wartości dodanej proporcjonalnej do skali systemu i poniesionych nakładów.
Błędy u źródeł projektu
Izba wskazała, iż zasadnicze problemy systemu miały swoje źródło już na etapie projektowania. System oparto na wcześniejszych projektach badawczo-rozwojowych, bez rzetelnego rozpoznania realnych potrzeb przyszłych użytkowników. Przyjęto zbyt złożoną architekturę techniczną oraz kosztowny model dostępu, nieuwzględniający barier organizacyjnych i kompetencyjnych. System miał też niewielką praktyczną wartość dla uczestników. Nie zawierał żadnych unikalnych lub trudno dostępnych w innych miejscach informacji, a dane o podatnościach i ostrzeżeniach można było stosunkowo łatwo znaleźć poza nim. Natomiast unikatowe dla systemu S46 funkcje, takie jak analiza ryzyka oparta na sieci powiązań, nie działały zgodnie z założeniami.
Koszty znacznie wyższe niż zakładano
W kontrolowanym przez NIK okresie system S46 był budowany i utrzymywany przez NASK, w ramach siedmiu zadań finansowanych głównie z dotacji Ministra Cyfryzacji, z których pięć zostało już zrealizowanych. W dniu zakończenia kontroli (22 sierpnia 2025) w trakcie realizacji pozostawały dwa zadania, których planowany koszt wynosił odpowiednio 16,1 mln zł oraz 41,7 mln zł (w tym 39,7 mln zł z funduszy UE i ponad 2 mln zł z budżetu państwa).
Kontrola NIK wykazała, iż rzeczywiste koszty budowy i utrzymania S46 znacząco przekroczyły założenia przyjęte przy uchwalaniu ustawy o krajowym systemie cyberbezpieczeństwa w 2018 r. Do momentu zakończenia kontroli na system wydano już ponad 74 miliony złotych, a dokumenty związane z nowelizacją ustawy KSC wskazują, iż w perspektywie dziesięciu lat po nowelizacji łączne wydatki mogą przekroczyć choćby 500 milionów złotych.
Ryzyko błędnej oceny sytuacji krajowej
Najwyższa Izba Kontroli zwróciła uwagę na zagrożenie związane z wykorzystywaniem danych gromadzonych w S46 do szacowania ryzyka na poziomie krajowym. Metodologia gromadzenia tych danych, pozyskiwanych z ankiet, opierała się na założeniu, iż ankietowani uczestnicy podają prawidłowe, prawdziwe i aktualne informacje. Podstawowym mankamentem był jednak fakt, iż ankiety nie były w praktyce aktualizowane, weryfikowane merytorycznie ani potwierdzane audytem. W systemie gromadzono więc często dane o niskiej jakości, na podstawie których wykonywano kolejne szacowania ryzyka. Zatem zakres, kompletność i aktualność tych danych były ograniczone, a niska aktywność części uczestników powodowała, iż obraz sytuacji nie odzwierciedlał w sposób rzetelny rzeczywistego stanu zagrożeń. W konsekwencji przez kilka lat takie analizy ryzyka były prowadzone na podstawie informacji o nieznanej jakości i wiarygodności, co wpływało na rzetelność i użyteczność wniosków wyciąganych na poziomie krajowym. W ocenie Izby oznaczało to ryzyko podejmowania decyzji strategicznych w oparciu o dane niepełne lub niereprezentatywne, co może prowadzić do fałszywego poczucia bezpieczeństwa lub nieadekwatnych reakcji państwa.
Działania naprawcze i wnioski
NIK pozytywnie oceniła rozpoczęcie działań naprawczych przez Ministra Cyfryzacji i NASK, jednocześnie podkreślając, iż są one reakcją na wcześniejsze błędy projektowe. Izba zaleciła m.in. rzetelne przygotowywanie projektów IT, obejmujących ocenę realizacji celów strategicznych oraz potrzeb użytkowników końcowych.
W związku ze stwierdzonymi nieprawidłowościami Najwyższa Izba Kontroli skierowała wnioski:
do Ministerstwa Cyfryzacji o:
- wdrożenie mechanizmu ewaluacji własnych projektów informatycznych, obejmującego prawidłową ocenę czasu potrzebnego na realizację projektu oraz obowiązkowe zebranie i uwzględnienie wymagań od użytkowników końcowych, tak aby przyszłe projekty mogły być od początku dostosowane do potrzeb uczestników i celów strategicznych;
- dostosowanie systemu S46 do potrzeb zarówno uczestników Krajowego Systemu Cyberbezpieczeństwa, jak i kluczowych interesariuszy, poprzez wprowadzenie takich zmian funkcjonalnych, które uczynią go narzędziem operacyjnie użytecznym, w szczególności w obszarze ostrzeżeń, komunikacji między uczestnikami, rekomendacji, szacowania ryzyka oraz zgłaszania i obsługi incydentów.
do Naukowej i Akademickiej Sieci Komputerowej – Państwowego Instytutu Badawczego o:
- zapewnienie konsekwentnego stosowania przez NASK-PIB mechanizmów identyfikacji i uwzględniania wymagań użytkowników końcowych na etapie projektowania i realizacji systemów teleinformatycznych – również w warunkach silnej presji czasowej – w celu zagwarantowania pełnej funkcjonalności oraz efektywnego wykorzystania wdrażanych rozwiązań;
- wdrożenie w NASK-PIB cyklicznych, udokumentowanych testów mechanizmów utrzymania ciągłości działania systemu S46 – w tym pełnych testów odtworzeniowych kopii zapasowych – z wykorzystaniem scenariuszy różnych wariantów sytuacji awaryjnych, w celu wiarygodnej weryfikacji zdolności systemu do odzyskania funkcjonalności w wymaganym czasie.
