Prawdziwy “test systemu” na dużą skalę – ponad sto instytucji sprawdziło procedury i gotowość operacyjną przed wdrożeniem dyrektywy NIS 2
26 listopada 2025 r. polski system cyberbezpieczeństwa przeszedł jeden z najważniejszych testów operacyjnych w ostatnich latach. W ramach ćwiczenia KSC-EXE, zorganizowanego z inicjatywy Pełnomocnika Rządu ds. Cyberbezpieczeństwa, ponad stu przedstawicieli kluczowych instytucji państwowych sprawdzało procedury działania i gotowość na wypadek poważnego cyberataku.
W wydarzeniu uczestniczyło kierownictwo Ministerstwa Cyfryzacji, a sama inicjatywa była osadzona w przepisach ustawy o krajowym systemie cyberbezpieczeństwa (KSC) z 2018 roku, która niedługo zostanie dostosowana do wymagań unijnej dyrektywy NIS 2.
Celem ćwiczenia była ocena zdolności współpracy, koordynacji i wymiany informacji między podmiotami KSC w warunkach symulowanego kryzysu teleinformatycznego. Tegoroczna edycja, przygotowana przez Ministerstwo Cyfryzacji oraz Fundację Bezpieczna Cyberprzestrzeń, ponownie wykorzystała sprawdzoną formułę Table Top Exercises. TTX umożliwia realistyczne modelowanie incydentów przy jednoczesnym braku ingerencji w rzeczywiste systemy IT, co pozwala uczestnikom bezpiecznie testować procedury, analizować warianty działania i identyfikować słabe punkty w reakcjach na incydenty.
W ćwiczeniu uczestniczyły najważniejsze instytucje odpowiedzialne za bezpieczeństwo cyfrowe państwa. Obecni byli przedstawiciele resortów – m.in. Ministerstwa Energii, Infrastruktury, Zdrowia, Obrony Narodowej, Cyfryzacji oraz Komisji Nadzoru Finansowego – a także najważniejsze zespoły reagowania na incydenty: CSIRT GOV, CSIRT MON i CSIRT NASK. Wzięły udział również zespoły sektorowe, takie jak CSIRT KNF i CSIRT Centrum e-Zdrowia, oraz instytucje wspierające system, w tym MSZ, Prokuratura Krajowa, Rządowe Centrum Bezpieczeństwa, Urząd Komunikacji Elektronicznej i Centralne Biuro Zwalczania Cyberprzestępczości. Tak szeroka reprezentacja podkreśla rosnącą wagę koordynacji międzyresortowej i budowania wspólnych zdolności operacyjnych wobec coraz bardziej złożonych zagrożeń.
Scenariusze przygotowane na potrzeby KSC-EXE 2025 obejmowały przekrojowy zestaw zagrożeń – od zakłóceń infrastruktury krytycznej po wieloetapowe kampanie cyberataków. Uczestnicy mieli za zadanie identyfikować źródła incydentów, oceniać ich wpływ, inicjować odpowiednie procedury i prowadzić komunikację międzyinstytucjonalną, a także formułować rekomendacje dotyczące działań naprawczych i prewencyjnych. Wyniki pozwolą wskazać zarówno obszary o wysokiej skuteczności, jak i elementy wymagające wzmocnienia w perspektywie nadchodzących zmian prawnych.
Ćwiczenia odbyły się w ważnym momencie – tuż przed wdrożeniem do polskiego prawa dyrektywy NIS 2, która nałoży na operatorów usług kluczowych i ważnych bardziej rygorystyczne wymogi w zakresie bezpieczeństwa, raportowania, nadzoru oraz zarządzania ryzykiem. KSC-EXE 2025 stały się więc praktycznym przygotowaniem krajowego systemu cyberbezpieczeństwa do wdrożenia nowych regulacji. Ich wyniki mają wzmocnić odporność organizacyjną państwa i poprawić gotowość operacyjną instytucji odpowiedzialnych za bezpieczeństwo cyfrowe w Polsce.
