Aktualności12 min czytania

Sprawozdanie Pełnomocnika Rządu ds. Cyberbezpieczeństwa za 2025 — co wynika z raportu dla podmiotów KSC

Kontekst raportu i podstawa prawna

Sprawozdanie Pełnomocnika Rządu do Spraw Cyberbezpieczeństwa za 2025 rok to obowiązkowy dokument sprawozdawczy wynikający z art. 63 ust. 1 ustawy z 5 lipca 2018 r. o krajowym systemie cyberbezpieczeństwa (UKSC). Pełnomocnik — w 2025 r. funkcję pełnił Wiceprezes Rady Ministrów, Minister Cyfryzacji Krzysztof Gawkowski — przedkłada raport Radzie Ministrów. Dokument opracowano w Departamencie Cyberbezpieczeństwa Ministerstwa Cyfryzacji na podstawie danych CSIRT-ów poziomu krajowego (NASK, GOV, MON), zespołów sektorowych (CSIRT KNF, CSIRT CeZ), organów właściwych oraz służb specjalnych.

Sprawozdanie za 2025 r. ma szczególną wagę: to pierwszy dokument opisujący system stojący w przededniu strukturalnej zmiany — pełnej implementacji dyrektywy NIS 2 i wdrożenia znowelizowanej UKSC. Zawiera on nie tylko dane operacyjne, ale również pierwszy sformalizowany rejestr ryzyka dla KSC, analizę SWOT i PESTLE oraz wnioski, które bezpośrednio przekładają się na obowiązki tysięcy podmiotów kluczowych i ważnych.

Kluczowe liczby 2025

Rok 2025 przyniósł bezprecedensowy wzrost liczby incydentów we wszystkich trzech CSIRT-ach krajowych. Skala zmian jest najlepiej widoczna w zestawieniu rok do roku:

ZespółIncydenty 2024Incydenty 2025Zmiana r/r
CSIRT NASK103 449260 783+152%
CSIRT MON4 2207 125+68,9%
CSIRT GOV3 9915 033+26,1%
SUMA (kraj)111 660272 941+144,4%

Do CSIRT-ów poziomu krajowego wpłynęło łącznie 682 245 zgłoszeń (wzrost o 10% r/r). W samym CSIRT NASK stosunek potwierdzonych incydentów do zgłoszeń wzrósł z 17% do 39,6% — co oznacza drastyczny wzrost „celności” ataków. Średnia dzienna liczba incydentów obsługiwanych przez NASK wzrosła z 283 w 2024 r. do 714 w 2025 r. Incydentów poważnych w klasyfikacji art. 2 pkt 5-9 UKSC zarejestrowano 54 (wobec 69 w 2024 r.), jednak incydentów w podmiotach publicznych było 5 204 (+49% r/r).

Oszustwa komputerowe stanowiły w 2025 r. aż 97% wszystkich incydentów obsłużonych przez CSIRT NASK (ponad 253 tysiące zgłoszeń). Dominują fałszywe inwestycje promowane w mediach społecznościowych z bezprawnym wykorzystaniem wizerunków firm i polityków. Nowy trend: przenoszenie komunikacji na szyfrowane komunikatory (Signal, WhatsApp), co omija korporacyjne filtry anty-spamowe.

Pięć zdiagnozowanych trendów

Sprawozdanie identyfikuje pięć dominujących trendów krajobrazu zagrożeń 2025, które bezpośrednio przekładają się na wymagania SZBI w podmiotach KSC:

  1. Sztuczna inteligencja jako „mnożnik siły” adwersarzy — modele językowe generują masowo spersonalizowane, bezbłędne językowo kampanie phishingowe, technologia deepfake umożliwia podszywanie się pod urzędników, a AI przyspiesza rekonesans i omijanie reguł detekcji.
  2. Aktywność grup APT powiązanych z Rosją i Białorusią — polska infrastruktura pod stałą presją cyberszpiegostwa i działań destrukcyjnych; najpoważniejszy przykład to atak wiper na ponad 30 farm wiatrowych i fotowoltaicznych z końca grudnia 2025 r.
  3. Cyberprzestępczość jako usługa (CaaS) i ewolucja ransomware — popularyzacja modelu Ransomware-as-a-Service (RaaS) i usług brokerów dostępu (IAB) obniżyła barierę wejścia; dominuje model „podwójnego wymuszenia” (szyfrowanie + kradzież danych + groźba publikacji).
  4. Ataki na łańcuchy dostaw — kompromitacja słabiej zabezpieczonych kontraktorów i dostawców IT/OT jako wektor wejścia do dobrze chronionych podmiotów kluczowych; atakujący wykorzystują routery SOHO i urządzenia brzegowe jako infrastrukturę anonimizacyjną.
  5. Ewolucja socjotechniki na prywatne komunikatory — przenoszenie ataków z firmowego e-maila na Signal i WhatsApp, aby ominąć korporacyjne systemy monitorowania i prewencji.

Rejestr ryzyka — co zagraża KSC

Po raz pierwszy Sprawozdanie zawiera usystematyzowany rejestr ryzyka dla KSC na poziomie strategicznym, oceniony według iloczynu wpływu (W) i prawdopodobieństwa (P) w skali 1-4. Tylko jedno ryzyko otrzymało ocenę krytyczną (16 pkt):

RyzykoWpływPrawd.OcenaPoziom
Niewystarczające finansowanie i przeciążenie organów właściwych4416Bardzo wysokie
Ataki ransomware (w tym na podmioty lecznicze)4312Wysokie
Ataki wolumetryczne DDoS4312Wysokie
Przestarzała infrastruktura i luki w sprzęcie medycznym4312Wysokie
Złośliwe wykorzystanie AI (phishing, deepfake)4312Wysokie
Uderzenia w łańcuchy dostaw IT/OT339Wysokie
Kryzys kadrowy cyberbezpieczeństwa339Wysokie
Niska dojrzałość nowych podmiotów NIS2339Wysokie
Pełnomocnik wskazuje, że największym ryzykiem systemowym nie są ataki zewnętrzne, lecz wewnętrzne wąskie gardło: braki kadrowe i ograniczenia budżetowe organów właściwych. Przy skokowym rozszerzeniu systemu o tysiące nowych podmiotów kluczowych i ważnych, grozi to powstaniem struktur „fasadowych” niezdolnych do realnego reagowania na incydenty.

Wnioski dla podmiotów KSC

Z punktu widzenia podmiotu kluczowego lub ważnego dane ze Sprawozdania przekładają się na konkretne priorytety operacyjne. Rejestr ryzyka Pełnomocnika de facto wyznacza obszary, które organy właściwe będą szczególnie kontrolować w ramach nadzoru proaktywnego (ex-ante) oraz reaktywnego (ex-post) po wejściu w życie znowelizowanej UKSC.

  1. Plan ciągłości działania (BCP) i odtwarzania (DRP) — w sektorze zdrowia, energii i wodociągów plany BCP/DRP nie są już opcjonalne; są podstawowym środkiem zaradczym wskazanym w rejestrze ryzyka.
  2. Kopie zapasowe offline (air-gapped) — wobec dominacji ransomware kopie online w modelu „podwójnego wymuszenia” są szyfrowane razem z produkcją; jedyna skuteczna obrona to backup izolowany.
  3. Inwentaryzacja aktywów i zarządzanie podatnościami — systematyczne patchowanie urządzeń brzegowych, wymiana sprzętu bez wsparcia producenta; to priorytet nr 1 dla samorządów i szpitali.
  4. Audyt łańcucha dostaw — klauzule bezpieczeństwa w umowach z dostawcami IT/OT, weryfikacja personelu serwisowego, zamykanie zbędnych usług; dotyczy szczególnie podmiotów kluczowych (art. 8 UKSC).
  5. Uwierzytelnianie wieloskładnikowe (MFA) — obrona przed masową socjotechniką wspieraną AI; obowiązkowe dla dostępów administracyjnych i zdalnych.
  6. Szkolenia personelu — Pełnomocnik wskazuje jako podstawowy środek zaradczy dla ryzyk socjotechnicznych; szkolenia zarządu są obowiązkiem ustawowym pod rygorem osobistej odpowiedzialności.

Plan działań na 2026

Sprawozdanie definiuje siedem głównych kierunków działań na 2026 r., które realnie wpłyną na obowiązki podmiotów KSC:

  1. Implementacja dyrektywy NIS 2 i operacjonalizacja znowelizowanej UKSC — przejście z modelu OUK/DUC do podmiotów kluczowych i ważnych, masowa rejestracja w wykazie S46.
  2. Centralizacja koordynacji i formalizacja PCOC — Połączone Centrum Operacyjne Cyberbezpieczeństwa stanie się oficjalnym organem pomocniczym Pełnomocnika („jedno okienko” dla ekosystemu KSC).
  3. Budowa gotowości operacyjnej nowych CSIRT-ów sektorowych — Infrastruktura, Cyfra, Energia; 18-miesięczny termin na osiągnięcie zdolności operacyjnej.
  4. Modernizacja systemu S46 i platformy cyber.gov.pl — rozszerzenie funkcjonalności rejestracyjnej (samoidentyfikacja) oraz integracja narzędzi (moje.cert.pl, bezpiecznedane.gov.pl).
  5. Krajowy System Certyfikacji Cyberbezpieczeństwa (KSCC) — nowy mechanizm certyfikacji produktów i usług ICT zgodnie z rozporządzeniem (UE) 2019/881.
  6. Wzmocnienie kapitału ludzkiego — kontynuacja świadczenia teleinformatycznego (w 2025 r. wypłacono ~377 mln zł dla ~7 000 specjalistów), program „Cyberbezpieczny Samorząd” (1,3 mld zł do końca 2025 r.).
  7. Działania wobec nowych technologii — migracja do kryptografii postkwantowej (projekt PIONIER-Q, EuroQCI), Laboratorium Bezpieczeństwa AI, regulacje dla modeli generatywnych.
Pełnomocnik wypłacił w 2025 r. świadczenie teleinformatyczne dla prawie 7 000 specjalistów z budżetem ~377 mln zł — to jedno z głównych narzędzi walki z kryzysem kadrowym. Program „Cyberbezpieczny Samorząd” objął niemal 90% JST, a plan wdrożenia KSC w gminie jest obecnie realnie wspierany finansowo.
FAQ4 pytania

Najczęstsze pytania

Ile incydentów cyberbezpieczeństwa obsłużono w Polsce w 2025 roku?
CSIRT-y poziomu krajowego (NASK, GOV, MON) obsłużyły łącznie 272 941 incydentów — wzrost o 144,4% rok do roku. Zgłoszeń było 682 245 (+10% r/r). Dominował CSIRT NASK z 260 783 incydentami (+152%), obsługujący średnio 714 incydentów dziennie. Oszustwa komputerowe stanowiły 97% incydentów NASK. Źródło: Sprawozdanie Pełnomocnika Rządu ds. Cyberbezpieczeństwa za 2025 r., art. 63 ust. 1 UKSC.
Jakie są największe zagrożenia dla podmiotów KSC według Sprawozdania 2025?
Rejestr ryzyka wskazuje pięć zagrożeń wysokich (12 pkt): (1) ransomware na podmioty lecznicze, (2) ataki DDoS wolumetryczne, (3) przestarzała infrastruktura i luki w sprzęcie medycznym, (4) złośliwe wykorzystanie AI (phishing, deepfake), (5) uderzenia w łańcuchy dostaw IT/OT. Ryzyko krytyczne (16 pkt) to niedofinansowanie i kryzys kadrowy organów właściwych — systemowa słabość zagrażająca wdrożeniu NIS 2.
Co to jest PCOC i jak zmieni się w 2026 roku?
PCOC (Połączone Centrum Operacyjne Cyberbezpieczeństwa) to nieformalna platforma koordynacyjna funkcjonująca od 2022 r. przy Ministerstwie Cyfryzacji i RCB. Zrzesza CSIRT-y krajowe, służby specjalne i resorty — spotyka się cotygodniowo. Nowelizacja UKSC (NIS 2) formalizuje PCOC jako oficjalny organ pomocniczy Pełnomocnika — „jedno okienko” dla ekosystemu KSC. W 2026 r. PCOC przekształci się w stałą strukturę administracyjną z zapleczem operacyjnym.
Jakie wnioski dla szpitali wynikają ze Sprawozdania 2025?
Sektor zdrowia wskazano jako szczególnie narażony: (1) ransomware paraliżujący systemy HIS/EDM (case: szpital MSWiA w Krakowie), (2) przestarzały sprzęt medyczny bez wsparcia producenta, (3) brak specjalistów IT i ograniczenia budżetowe. Rekomendacje: plany BCP/DRP, kopie zapasowe offline, segmentacja sieci, EDR/XDR, inwentaryzacja urządzeń medycznych, zarządzanie podatnościami. Szpitale jako podmioty kluczowe podlegają audytowi co 3 lata (art. 15 UKSC) i muszą stosować SZBI (art. 8).
Potrzebujesz wsparcia we wdrożeniu?

Sprawdzimy status Twojej organizacji, wskażemy obowiązki i zaproponujemy ścieżkę do zgodności z KSC. Pierwsza konsultacja bezpłatna.

🍪 Szanujemy Twoją prywatność

Ta strona wykorzystuje wyłącznie niezbędne pliki cookie zapewniające prawidłowe działanie serwisu (np. zapamiętanie Twojego wyboru w tym oknie). Nie stosujemy plików cookie marketingowych ani analitycznych. Szczegóły znajdziesz w polityce prywatności.