74 mln zł wydane, strategiczne funkcje wyłączone. Raport o systemie S46.

Co pokazują dokumenty? W dokumentach S46 wygląda jak serce Krajowego Systemu Cyberbezpieczeństwa. Oficjalny opis Ministerstwa Cyfryzacji mówi o platformie, która ma łączyć podmioty KSC, wspierać zgłaszanie i obsługę incydentów, wymianę informacji, ostrzeganie, rekomendacje, szacowanie ryzyka i prowadzenie wykazu podmiotów kluczowych oraz ważnych. Brzmi jak centrum dowodzenia. W świecie, w którym atak na elektrownię, szpital albo wodociągi nie jest już sceną z filmu, taki system jest potrzebny. Ba, jest wręcz oczywisty. Nikt rozsądny nie kwestionuje potrzeby wspólnego systemu. Pytanie brzmi ostrzej: czy zbudowano narzędzie, które realnie pomaga bronić państwa, czy raczej kosztowną konstrukcję, do której dopiero po latach próbuje się dopasować użytkowników. NIK kontrolowała Ministerstwo Cyfryzacji i NASK-PIB w sprawie realizacji celów systemu S46. Wnioski są niewygodne właśnie dlatego, że nie da się ich łatwo zbyć politycznym refleksem. Izba odnotowała, że minister wykonał obowiązek ustawowy i wdrożył system w terminie. Wskazała też, że zapewniono finansowanie, ramy organizacyjne, zabezpieczenia i mechanizmy ciągłości działania. To ważne, bo uczciwy tekst musi widzieć całość, a nie tylko wygodne kawałki. Tyle że po tej części zaczyna się sedno. Według NIK jakość uruchomionego systemu nie wpłynęła w znaczący sposób na podniesienie poziomu cyberbezpieczeństwa w Polsce, a nadrzędny cel zadania nie został dotąd osiągnięty. Najbardziej twarda liczba jest prosta: do zakończenia kontroli na S46 wydano ponad 74 mln zł. Druga liczba pokazuje skalę następnego ruchu: dokumenty i komunikaty wskazują na dalszy rozwój, w tym projekt S46-KPO o wartości 41,7 mln zł, finansowany głównie z funduszy UE, oraz perspektywę rozszerzenia systemu po nowelizacji KSC. Trzecia liczba jest najbardziej obrazowa: w grudniu 2024 r. na 252 użytkowników aż 136 nie zalogowało się do systemu ani razu, a tylko 75 zalogowało się przynajmniej trzy razy. To tak, jakby kupić bardzo drogi system przeciwpożarowy do całego bloku, a potem odkryć, że większość mieszkańców nie wie, gdzie jest panel, a część w ogóle nie otworzyła instrukcji. Dane kwartalne nie wyglądają jak incydent statystyczny. W pierwszym kwartale 2025 r. 105 z 278 podmiotów nie zalogowało się ani razu, czyli 38 proc. W drugim kwartale 2025 r. nie logowało się 100 z 296 podmiotów, czyli 34 proc. Same logowania nie są oczywiście pełną miarą cyberbezpieczeństwa. Można mieć dobre procedury poza systemem, można reagować kanałami telefonicznymi, mailowymi albo przez istniejące zespoły CSIRT. Ale jeśli państwo buduje centralną platformę i jednocześnie duża część adresatów z niej nie korzysta, to nie jest drobiazg. To czerwone światło na pulpicie, którego nie wolno przykrywać komunikatem o modernizacji. Gdzie pojawia się luka? Luka nie leży w samej idei S46. Leży w kolejności działań. Z ustaleń NIK wynika, że system oparto na wcześniejszych projektach badawczo-rozwojowych, bez rzetelnego rozpoznania realnych potrzeb przyszłych użytkowników. Innymi słowy: najpierw powstała ambitna konstrukcja, a dopiero potem zaczęto sprawdzać, czy pasuje do codziennej pracy ludzi, którzy mieli z niej korzystać. Wystąpienie pokontrolne do NASK wskazuje, że pierwszą ankietę wykorzystania systemu skierowano do uczestników w 2023 r., a była ona jednocześnie próbą zbadania ich potrzeb. System oficjalnie uruchomiono 1 stycznia 2021 r. To odwrócenie logiki, które w administracji bywa zabójczo kosztowne: kuchnia jest gotowa, menu wydrukowane, rachunek zapłacony, a dopiero potem ktoś pyta gości, czy w ogóle mogą jeść to danie. Drugą luką była architektura. S46 wyróżniał się wysokim poziomem niezawodności dzięki specjalnym urządzeniom brzegowym i odseparowanej sieci, a uczestnik miał zapewnić dwa niezależne łącza. Z punktu widzenia bezpieczeństwa brzmi to solidnie. Ale według NIK to, jak system funkcjonował, nie uzasadniało tak ciężkiego modelu dla skali, do której miał rosnąć. Rozwiązania wywodzące się z koncepcji przeznaczonej dla kilkunastu lub kilkudziesięciu kluczowych podmiotów stały się problematyczne przy setkach uczestników, a tym bardziej przy planowanym wejściu znacznie szerszego katalogu podmiotów. NIK wskazała wręcz na ograniczenie sięgające dwóch tysięcy podmiotów, podczas gdy po nowelizacji ustawy liczba podmiotów może znacząco wzrosnąć, według wystąpienia nawet do ponad 60 tys. Trzecia luka dotyczy jakości danych. S46 miał wspierać szacowanie ryzyka na poziomie krajowym. To brzmi jak funkcja strategiczna: państwo patrzy na mapę zagrożeń i widzi, gdzie rośnie pożar. NIK opisała jednak, że metodologia opierała się na ankietach, a więc na założeniu, że uczestnicy podają dane prawidłowe, prawdziwe i aktualne. Problem w tym, że ankiety nie były w praktyce aktualizowane, weryfikowane merytorycznie ani potwierdzane audytem. Jeśli radar działa na podstawie nieaktualnych deklaracji, to można patrzeć na ekran z wielką powagą, ale obraz może być rozmazany. A w cyberbezpieczeństwie rozmazany obraz nie jest niewinny. Może dawać fałszywe poczucie bezpieczeństwa. Czwarta luka jest symboliczna, ale ważna: w styczniu 2026 r., w wersji 6.2.0 systemu, zrezygnowano czasowo z pozyskiwania danych poprzez ankiety oraz z automatycznej analizy ryzyka. Oficjalny komunikat mówi, że funkcje ankiet i analizy ryzyka są zablokowane, a do tych zagadnień system wróci w kolejnych wersjach. To można czytać jako element naprawy. Ale w zestawieniu z ustaleniami NIK wygląda to także jak przyznanie, że jedna z najbardziej strategicznych obietnic wymagała cofnięcia do warsztatu. Nie ma w tym nic złego, jeśli naprawa jest realna. Problem zaczyna się wtedy, gdy publiczność ma nadal wierzyć, że tarcza działała, skoro właśnie zdjęto z niej jeden z ważnych modułów. Kto zyskuje, kto płaci? Na tym etapie dokumenty nie dają podstaw do pisania o prywatnym beneficjencie, nieuprawnionym przepływie pieniędzy ani korupcyjnym mechanizmie. Byłoby to publicystycznie łatwe i prawnie ryzykowne, ale przede wszystkim nieuczciwe. Mamy za to dobrze udokumentowany inny mechanizm: koszt błędnych założeń ponosi państwo, a więc podatnicy, instytucje publiczne i podmioty, które muszą poświęcić czas na włączanie się do systemu. Zyskiem miała być lepsza odporność. Według NIK przez lata zysk był nieproporcjonalny do nakładów. Najdroższym elementem takiego projektu nie jest sama faktura. Najdroższe jest zaufanie. Uczestnik systemu cyberbezpieczeństwa, który raz uzna narzędzie za mało użyteczne, nie zacznie z niego korzystać tylko dlatego, że ktoś dopisze obowiązek w ustawie. Może wykonywać minimum formalne, klikać, rejestrować, raportować, ale prawdziwa współpraca wymaga poczucia, że system daje coś więcej niż kolejny formularz. NIK napisała wprost o kryzysie zaufania kluczowych interesariuszy. To zdanie powinno wisieć na ścianie każdego zespołu projektującego państwowe systemy IT. Bez zaufania nawet najlepszy interfejs jest jak strażnica bez dyżurnego. Płacą także ci, którzy nie mają nic wspólnego z administracyjnymi diagramami. W 2025 r. zespoły CSIRT poziomu krajowego otrzymały łącznie 682 245 zgłoszeń, a liczba obsłużonych incydentów osiągnęła 272 941. CERT Polska w samym NASK zarejestrował 260 783 unikalne incydenty, z czego dominującą część stanowiły oszustwa komputerowe. To nie są abstrakcyjne piki na wykresie. To fałszywe SMS-y, wyłudzenia danych, paraliż firm, próby wejścia do systemów instytucji i rosnąca presja na infrastrukturę krytyczną. Każdy miesiąc słabo działającego narzędzia koordynacyjnego jest miesiącem, w którym państwo musi nadrabiać ręcznie to, co miała robić platforma. Najmocniejszy kontekst przyszedł 29 grudnia 2025 r., kiedy doszło do skoordynowanego, destrukcyjnego cyberataku na sektor energii. Według komunikatu Ministerstwa Energii atak objął liczne farmy wiatrowe i fotowoltaiczne, spółkę prywatną z sektora produkcyjnego oraz elektrociepłownię dostarczającą ciepło dla prawie pół miliona odbiorców. Dostawy energii nie zostały zakłócone, ale sam fakt ataku pokazuje, że mówimy o bezpieczeństwie państwa w najbardziej dosłownym sensie. W takim świecie centralny system współpracy nie może być administracyjnym dodatkiem. Musi być narzędziem, do którego ludzie wracają, bo pomaga im szybciej rozumieć zagrożenie. Co jest faktem, a co wymaga dalszego sprawdzenia? Faktem jest, że S46 jest systemem przewidzianym w ustawie i opisanym przez państwo jako kluczowa aplikacja KSC. Faktem jest, że NIK nie zakwestionowała potrzeby takiego systemu, ale zakwestionowała skuteczność dotychczasowej realizacji celu. Faktem jest też ponad 74 mln zł wydatków do momentu zakończenia kontroli, niskie wykorzystanie przez znaczną część podmiotów w wybranych okresach, błędy projektowe u źródeł i oparcie analiz ryzyka na danych, których jakość nie była wystarczająco weryfikowana. Faktem jest również, że Ministerstwo Cyfryzacji i NASK podjęły działania naprawcze. NIK to odnotowała i oceniła pozytywnie sam kierunek. W styczniu 2026 r. wdrożono wersję 6.2.0, zmieniono sposób opisu działalności podmiotów, zablokowano ankiety i automatyczną analizę ryzyka, uproszczono dostęp przez Internet. Po nowelizacji KSC uruchomiono też samorejestrację w Wykazie KSC, a podmioty objęte ustawą mają złożyć wniosek do 3 października 2026 r. To już nie jest projekt w gabinecie. To proces, który zaczął dotykać kolejnych instytucji i firm. Hipotezą, którą trzeba dalej sprawdzić, jest to, czy naprawa S46 nadąży za skokowym rozszerzeniem systemu. Dokumenty dają podstawę, by postawić ostrożne pytanie: czy państwo nie próbuje jednocześnie remontować silnika i zwiększać liczby pasażerów? Jeśli po nowelizacji do systemu wejdą kolejne tysiące podmiotów, a zaufanie i użyteczność nie zostaną odbudowane, S46 może stać się przede wszystkim miejscem formalnej rejestracji i raportowania, a nie operacyjnym centrum współpracy. Do dalszego sprawdzenia pozostają konkretne dokumenty: pełne kosztorysy zadań, umowy i aneksy, protokoły komitetów sterujących, analiza użytkowania według sektorów, skargi i zgłoszenia helpdesk, wskaźniki sukcesu po wersji 6.2.0, harmonogram przywrócenia analizy ryzyka oraz mierniki pokazujące, czy system skraca czas reakcji na incydenty. Bez tego nie da się odpowiedzieć na najważniejsze pytanie: czy wydane i planowane pieniądze kupują realną odporność, czy tylko kolejną warstwę obowiązków administracyjnych. Dlaczego zwykły obywatel powinien to zrozumieć? Cyberbezpieczeństwo brzmi jak sprawa ekspertów. Słowa są techniczne, skróty mnożą się jak kable pod biurkiem, a przeciętny obywatel zwykle widzi tylko komunikat: nie klikaj w podejrzany link. Ale za tym komunikatem stoi infrastruktura, która ma chronić bank, urząd, szpital, wodociąg, system płatności, sieć energetyczną i dane osobowe. Jeśli ta infrastruktura koordynacyjna działa słabo, obywatel nie zobaczy tego od razu. Zobaczy to dopiero wtedy, gdy nie działa rejestracja do lekarza, firma traci dane, gmina nie może obsłużyć sprawy, a fałszywy SMS wygląda coraz bardziej jak prawdziwy. S46 można porównać do miejskiego centrum zarządzania kryzysowego. Nie wystarczy, że budynek ma monitoring, zapasowe zasilanie i ładną salę odpraw. Jeśli dzielnice nie przekazują danych, jeśli raporty są nieaktualne, jeśli dyżurni korzystają z telefonu, bo system nie daje im przewagi, to centrum nie jest centrum. Jest dekoracją procedury. W zwykły dzień nikt nie zauważa różnicy. W dniu kryzysu różnica może decydować o czasie reakcji. Właśnie dlatego ten temat jest społecznie ważny. Nie chodzi o kompromitowanie samej idei państwowej platformy. Chodzi o banalną, brutalną zasadę bezpieczeństwa: system jest wart tyle, ile jego użycie w realnym momencie presji. Jeśli raport NIK pokazuje, że wielu uczestników logowało się rzadko albo wcale, a kluczowa funkcja analizy ryzyka została oparta na danych o ograniczonej wiarygodności, to nie jest techniczna ciekawostka. To pytanie o jakość państwa w chwili, gdy cyberataki przestają być dodatkiem do polityki bezpieczeństwa, a stają się jej codziennym narzędziem. Obywatel płaci podwójnie. Najpierw w podatkach i funduszach publicznych, z których finansuje się systemy. Potem w ryzyku, jeśli te systemy nie działają tak, jak obiecywano. To nie jest rachunek widoczny jak paragon ze sklepu. To rachunek rozproszony: trochę w budżecie, trochę w czasie urzędników, trochę w obowiązkach firm, trochę w strachu po kolejnym komunikacie o wycieku danych. Dlatego tekst o S46 nie jest tekstem o panelu administracyjnym. Jest tekstem o tym, czy państwo potrafi budować narzędzia, które w kryzysie są czymś więcej niż ładnie nazwanym obowiązkiem. Co powinny wyjaśnić instytucje? Ministerstwo Cyfryzacji powinno wyjaśnić, jakie mierniki uzna za dowód, że S46 po działaniach naprawczych faktycznie działa. Nie wystarczy informacja, że system został rozwinięty albo że liczba podmiotów w wykazie rośnie. To są miary zasięgu. Potrzebne są miary skutku: ile incydentów obsłużono przez S46, czy skrócił się czas reakcji, ile ostrzeżeń i rekomendacji zostało realnie wykorzystanych przez podmioty, jaki odsetek użytkowników korzysta z systemu regularnie, ile danych pochodzi z wiarygodnych źródeł, a ile z deklaracji. NASK powinien wyjaśnić, jak zmienił proces projektowania po wnioskach NIK. Kluczowe jest nie tylko to, co poprawiono w S46, ale czy instytut wprowadził procedury, które zapobiegają powtórce w przyszłych projektach. Jeśli państwo ma budować kolejne systemy bezpieczeństwa, nie może projektować ich jak eksponatów technologicznych. Musi zaczynać od użytkownika, od scenariusza kryzysowego, od pytania: co ma się wydarzyć w pierwszej godzinie incydentu. Parlament i opinia publiczna powinny zobaczyć pełny koszt dalszego utrzymania. NIK wskazała na możliwość bardzo wysokich wydatków w perspektywie dziesięciu lat po nowelizacji. Jeśli tak jest, trzeba pokazać nie tylko kwotę, ale także plan uzyskania wartości: etap, miernik, odpowiedzialny podmiot, termin, sposób weryfikacji. Bez tego każdy kolejny milion będzie aktem wiary w system, który już raz wymagał poważnego remontu po starcie. Najbardziej niewygodne pytanie brzmi: kto w administracji bierze odpowiedzialność za to, że użytkownicy mają chcieć korzystać z S46, a nie tylko muszą się w nim zarejestrować? W cyberbezpieczeństwie obowiązek jest potrzebny, ale obowiązek bez użyteczności produkuje papierową zgodność. A papierowa zgodność w starciu z dobrze przygotowanym atakiem jest jak parasol narysowany na kartce. Ładnie wygląda dopóki nie zacznie padać. Podpis autora Michał Kazimierczyk Ramka: Najważniejsze ustalenia • NIK uznała, że S46 nie wpłynął dotąd w znaczący sposób na podniesienie poziomu cyberbezpieczeństwa w Polsce, mimo terminowego wykonania obowiązku ustawowego przez ministra. • Do zakończenia kontroli na system wydano ponad 74 mln zł, a dalszy rozwój obejmuje m.in. projekt S46-KPO o wartości 41,7 mln zł. • W grudniu 2024 r. 136 z 252 użytkowników nie zalogowało się do systemu ani razu; w I kwartale 2025 r. było to 105 z 278, a w II kwartale 2025 r. 100 z 296. • Według NIK system oparto na wcześniejszych projektach badawczo-rozwojowych bez wystarczającego rozpoznania realnych potrzeb przyszłych użytkowników. • Dane do szacowania ryzyka pochodziły m.in. z ankiet, które nie były w praktyce aktualizowane, weryfikowane merytorycznie ani potwierdzane audytem. • W styczniu 2026 r. w wersji 6.2.0 czasowo zablokowano ankiety i automatyczną analizę ryzyka, co wpisuje się w diagnozę potrzeby przebudowy systemu. • Nowelizacja KSC z 2026 r. zwiększa znaczenie S46, bo przez system przebiega rejestracja podmiotów kluczowych i ważnych oraz dostęp do Cyber Hub.