Aktualności
Szkoły wyższe
27 Lutego
Źródło: www.pixabay.com
Opublikowano: 2026-02-27

Cyberbezpieczeństwo w nauce: rozwiązania szyte na miarę

Uchwalona przez parlament i podpisana przez prezydenta nowelizacja ustawy o Krajowym Systemie Cyberbezpieczeństwa porządkuje obszar, który przez lata pozostawał jednym z najsłabszych ogniw infrastruktury publicznej: cyberbezpieczeństwo uczelni i instytutów naukowych. Regulacje wypracowano we współpracy władz publicznych ze środowiskiem akademickim.

Uczelnie i instytuty naukowe są dziś integralną częścią infrastruktury cyfrowej. Przetwarzają dane osobowe, badawcze i technologiczne, realizują projekty międzynarodowe oraz kształcą niemal 1,3 mln studentów. Jednocześnie poziom cyberbezpieczeństwa w polskiej nauce przez lata pozostawał bardzo zróżnicowany – od bardzo wysokiego, charakterystycznego dla najlepszych uczelni technicznych, po niepokojąco niski w części uniwersytetów czy wyższych szkół zawodowych.

Wady starego modelu

Choć od lat obowiązywały przepisy wymagające zabezpieczenia systemów teleinformatycznych – w tym wynikające z Krajowych Ram Interoperacyjności – w praktyce brakowało jednolitego nadzoru, jasnych standardów i realnych mechanizmów egzekwowania obowiązków. Co więcej, mimo rosnącej skali zagrożeń cyberbezpieczeństwo nie było zadaniem pierwszej potrzeby.

Początkowe wersje projektu nowelizacji ustawy o KSC próbowały ten problem rozwiązać w sposób prosty, lecz nadmiernie radykalny: przypisując wszystkie uczelnie i instytuty do kategorii podmiotów kluczowych lub ważnych, niezależnie od charakteru ich działalności. Oznaczałoby to objęcie jednolitymi, bardzo wysokimi wymaganiami całych instytucji – łącznie z akademikami, muzeami czy infrastrukturą pomocniczą.

NIS2 i pojęcie organizacji badawczej

Tak radykalne podejście nie było jednak wymagane przez prawo unijne. Dyrektywa NIS2 wprowadza bowiem pojęcie organizacji badawczej, rozumianej jako podmiot, którego głównym celem jest prowadzenie badań stosowanych lub eksperymentalnych prac rozwojowych z myślą o praktycznym wykorzystaniu ich wyników. Nie każda uczelnia ani nie każda jednostka naukowa prowadzi tego rodzaju działalność.

Co ważne, w toku prac legislacyjnych uwagi środowiska akademickiego zostały uwzględnione. Ostatecznie w ustawie wprowadzono definicję organizacji badawczej obejmującą tylko te podmioty lub te obszary ich działalności, które realizują badania aplikacyjne lub prace rozwojowe z wykorzystaniem systemów informatycznych. To kluczowa zmiana, która pozwoliła odejść od automatycznego obejmowania całych uczelni najwyższymi wymogami cyberbezpieczeństwa.

Zasada adekwatności i proporcjonalności w praktyce

Nowelizacja ustawy o KSC opiera się na wspólnie uzgodnionej zasadzie, w myśl której poziom wymagań cyberbezpieczeństwa odpowiada realnemu poziomowi ryzyka. W praktyce oznacza to zróżnicowanie obowiązków po stronie uczelni i instytutów. Najwyższe wymagania dotyczą konkretnych systemów i procesów związanych z badaniami stosowanymi i pracami rozwojowymi. Pozostałe obszary działalności uczelni i instytutów objęte są mniej rygorystycznymi, choć nadal wysokimi standardami. Takie rozwiązanie pozwala skutecznie chronić te elementy systemu nauki, które rzeczywiście mają znaczenie strategiczne, bez paraliżowania codziennego funkcjonowania uczelni.

Istotna zmiana dotyczy jednoznacznego określenia odpowiedzialności. Znowelizowana ustawa wyraźnie przypisuje jednostkom naukowym, rektorom i dyrektorom instytutów obowiązki w zakresie cyberbezpieczeństwa. Przyznaje też ministrowi nauki i szkolnictwa wyższego szereg uprawnień i obowiązków w zakresie nadzoru i kontroli. Co ważne, system nie ogranicza się do sankcji. Przewiduje bowiem zapewnienie środków na cyberbezpieczeństwo w nauce i utworzenie CSIRT Nauka.

Dzięki tym rozwiązaniom cyberbezpieczeństwo przestaje być wyłącznie kwestią techniczną. Staje się elementem zarządzania i odpowiedzialności instytucjonalnej – zauważa dr hab. Dariusz Szostek, przewodniczący Zespołu ds. Cyberbezpieczeństwa Konferencji Rektorów Akademickich Szkół Polskich.

Współtworzenie standardów zamiast regulacji z góry

Nowe podejście do cyberbezpieczeństwa w nauce to efekt współpracy władz publicznych ze środowiskiem akademickim.

Możemy dziś bez przesady ogłosić, że nastąpił przełom w ochronie cyfrowej naszej nauki. To nie kolejna zmiana w prawie, odczuwalna tylko dla grupy zainteresowanych. Stawiamy dziś tamę wzmacniającą bezpieczeństwo, ale – co warto podkreślić – nie ma mowy o krępowaniu kreatywności i ograniczaniu autonomii akademickiej. Zyskujemy spokój, zachowując wolność – podkreśla minister nauki i szkolnictwa wyższego Marcin Kulasek.

Przepisy znowelizowanej ustawy o Krajowym Systemie Cyberbezpieczeństwa uwzględniają zarówno wymogi prawa unijnego, jak też realia funkcjonowania polskich uczelni i instytutów.

To przykład regulacji, która łączy bezpieczeństwo państwa z poszanowaniem autonomii akademickiej. Dzięki otwartej dyskusji w toku procesu legislacyjnego zostały wypracowane standardy adekwatne do ryzyka, proporcjonalne i możliwe do wdrożenia. Cieszymy się, że uchwalona przez parlament nowelizacja ustawy o KSC została podpisana przez prezydenta – podsumowuje prof. Bogumiła Kaniewska, przewodnicząca KRASP.

MK, źródło: KRASP

Dyskusja (0 komentarzy)