W celu świadczenia usług na najwyższym poziomie stosujemy pliki cookies. Korzystanie z naszej witryny oznacza, że będą one zamieszczane w Państwa urządzeniu. W każdym momencie można dokonać zmiany ustawień Państwa przeglądarki. Zobacz politykę cookies.

Powrót

Nie daj się dezinformacji - sprawdź fakty o dostawcach wysokiego ryzyka

16.10.2025

W mediach pojawiają się nieprawdziwe informacje o skutkach nowelizacji ustawy o krajowym systemie cyberbezpieczeństwa. Wyjaśniamy, czym jest instytucja dostawcy wysokiego ryzyka i dlaczego nie oznacza automatycznych kosztów ani ograniczeń dla podmiotów korzystających ze sprzętu spoza UE i NATO. Sprawdź fakty i nie daj się dezinformacji!

Sprawdź fakty o dostawcach wysokiego ryzyka

Dezinformacja: Dostawca sprzętu i oprogramowania spoza UE i NATO to automatycznie dostawca wysokiego ryzyka. 

Fakt: 

  • Dostawca spoza UE i NATO nie będzie automatycznie uznawany za dostawcę wysokiego ryzyka. Żadnemu podmiotowi, który korzysta ze sprzętu lub oprogramowania takich dostawców, nie grozi czasowe zaprzestanie działalności w związku z obowiązkiem wycofania sprzętu.  

  • Procedura obejmuje szereg przesłanek, w szczególności technicznych, które wskazują, że jakiś dostawca powinien zostać uznany za dostawcę wysokiego ryzyka. Wobec tego sam status dostawcy spoza UE czy NATO nie przesądza o jego uznaniu za dostawcę wysokiego ryzyka. 

 

Dezinformacja: Instytucja dostawcy wysokiego ryzyka wygeneruje poważne obciążenia finansowe dla podmiotów i problemy z ciągłością działalności z powodu braku zastępowalności sprzętu i oprogramowania sprzętem dostawców z UE.

Fakt: 

  • Nie wiadomo, czy kiedykolwiek zajdzie potrzeba wydania decyzji o uznaniu danego dostawcy za dostawcę wysokiego ryzyka. Nawet jeśli taka decyzja zostanie wydana, będzie dotyczyła wyłącznie konkretnego sprzętu lub oprogramowania wskazanego w decyzji. 

  • Instytucja dostawcy wysokiego ryzyka nie jest wymierzona w konkretnego dostawcę ani państwo. Obowiązek wymiany sprzętu lub oprogramowania nie będzie dotyczył całego sprzętu dostarczanego przez danego dostawcę, a jedynie tego, który zostanie wskazany w decyzji Ministra Cyfryzacji.  

  • Skoro nie wiadomo, czy decyzja kiedykolwiek wobec jakiegoś dostawcy zostanie wydana, na tym etapie nie można określić skutków finansowych związanych z wymianą sprzętu bądź oprogramowania.  

  • Skoro status dostawcy spoza UE i NATO nie jest przesłanką do uznania go za dostawcę wysokiego ryzyka, nie ma potrzeby szukać alternatywnego dostawcy z UE. Nawet jeśli zajdzie potrzeba wymiany sprzętu lub oprogramowania z powodu wydania decyzji o uznaniu dostawcy za dostawcę wysokiego ryzyka, to podmiot będzie mógł je zastąpić sprzętem innego dostawcy spoza UE i NATO – o ile nie został on uznany za dostawcę wysokiego ryzyka.  

 

Dezinformacja: Instytucja dostawcy wysokiego ryzyka wygeneruje poważne obciążenia finansowe dla podmiotów, a w ocenie skutków regulacji projektu ustawy nie przewidziano odszkodowań. 

Fakt: 

  • Na wymianę sprzętu i oprogramowania określonego w decyzji o uznaniu dostawcy za dostawcę wysokiego ryzyka przewidziano – co do zasady – 7-letni okres. Czas ten zazwyczaj odpowiada cyklowi życia urządzeń, więc po tym okresie podmioty dotknięte decyzją o uznaniu dostawcy za dostawcę wysokiego ryzyka i tak musiałyby wymienić używany sprzęt czy oprogramowanie.

 

Wydanie decyzji o uznaniu danego dostawcy za dostawcę wysokiego ryzyka będzie poprzedzone złożoną, transparentną procedurą z udziałem wielu podmiotów kluczowych z punktu widzenia cyberbezpieczeństwa. Szczegółowy schemat postępowania znajduje się w załączonej infografice. 

 

{"register":{"columns":[]}}