18 lutego 2026 r. Najwyższa Izba Kontroli opublikowała wyniki kontroli systemu teleinformatycznego S46 – narzędzia, które miało być filarem polskiego Krajowego Systemu Cyberbezpieczeństwa. Wnioski są jednoznaczne i niepokojące: system pochłonął ponad 74 miliony złotych, lecz nie spełnił swojego zasadniczego celu.
Czym jest system S46 i po co powstał?
System S46 to narzędzie teleinformatyczne wdrożone na podstawie ustawy o krajowym systemie cyberbezpieczeństwa. Jego zadaniem jest wspieranie zgłaszania i obsługi incydentów cybernetycznych, wymiana informacji oraz koordynacja współpracy pomiędzy uczestnikami Krajowego Systemu Cyberbezpieczeństwa (KSC). Z systemu korzystają lub powinny korzystać podmioty z sektorów: energetycznego, transportowego, zdrowotnego i bankowego, a także dostawcy usług cyfrowych, podmioty publiczne, zespoły reagowania na incydenty bezpieczeństwa komputerowego (CSIRT) i organy właściwe ds. cyberbezpieczeństwa.
Idea projektu była uzasadniona. Jak wskazuje NIK w swoim raporcie, rosnąca skala i złożoność cyberzagrożeń sprawiły, że zespoły CSIRT „nie były już w stanie w skuteczny sposób samodzielnie obsłużyć tak dużej liczby zgłoszeń i przeanalizować danych napływających z różnych źródeł w czasie rzeczywistym”. System S46 miał to zmienić — automatyzować kluczowe procesy, od wczesnego ostrzegania po analizę ryzyka i przekazywanie rekomendacji.
Stabilny technicznie, ale nieużywany
Problemem okazała się nie awaryność systemu, lecz jego praktyczna użyteczność. Wyniki kontroli NIK są pod tym względem dobitne.
W II kwartale 2025 r. na 296 podmiotów podłączonych do systemu 100 (34%) nie zalogowało się do niego ani razu. W I kwartale 2025 r. z 278 podmiotów żadnej aktywności nie wykazało 105 (38%). Jeszcze bardziej wymowne są dane miesięczne: w grudniu 2024 r. spośród 252 użytkowników 136 (54%) nie zalogowało się ani razu, a co najmniej trzy razy skorzystało z systemu zaledwie 75 podmiotów (29%).
Jak podsumowuje NIK: „kluczowe funkcje – reagowanie na incydenty, ostrzeganie, rekomendacje i szacowanie ryzyka – nie zapewniały wartości dodanej proporcjonalnej do skali systemu i poniesionych nakładów.” W praktyce S46 pełnił rolę repozytorium informacji, a nie operacyjnego centrum bezpieczeństwa.
Błędy na starcie, które zaważyły na całości
Źródeł problemu NIK upatruje już w fazie projektowania systemu. Izba wskazuje, że „system oparto na wcześniejszych projektach badawczo-rozwojowych, bez rzetelnego rozpoznania realnych potrzeb przyszłych użytkowników.” Przyjęto nadmiernie rozbudowaną architekturę techniczną oraz kosztowny model dostępu, który nie uwzględniał barier organizacyjnych i kompetencyjnych po stronie podmiotów zobowiązanych do korzystania z systemu.
Równie poważny zarzut dotyczy zawartości merytorycznej: system „nie zawierał żadnych unikalnych lub trudno dostępnych w innych miejscach informacji”, a dane o podatnościach i ostrzeżeniach można było znaleźć w innych, ogólnodostępnych źródłach. Z kolei funkcje unikalne dla S46, takie jak analiza ryzyka oparta na sieci powiązań, jak stwierdza NIK, „nie działały zgodnie z założeniami.”
Decydujące znaczenie miała presja czasu. Minister Cyfryzacji co prawda „wykonał terminowo nałożone ustawą zadanie”, lecz — jak ocenia Izba — „jakość uruchomionego systemu S46 nie wpłynęła w znaczący sposób na podniesienie poziomu cyberbezpieczeństwa w Polsce, a tym samym nadrzędny cel przypisany zadaniu nie został dotąd osiągnięty.”
Rachunek: 74 miliony złotych i perspektywa pół miliarda
System S46 był budowany i utrzymywany przez NASK-PIB (Naukową i Akademicką Sieć Komputerową – Państwowy Instytut Badawczy) w ramach siedmiu zadań finansowanych głównie z dotacji Ministra Cyfryzacji. W chwili zakończenia kontroli (22 sierpnia 2025 r.) dwa zadania były w toku — ich planowany koszt wynosił odpowiednio 16,1 mln zł oraz 41,7 mln zł (w tym 39,7 mln zł z funduszy UE i ponad 2 mln zł z budżetu państwa).
Łączne wydatki do dnia zakończenia kontroli przekroczyły 74 miliony złotych. Co ważniejsze, NIK odnotowuje, że dokumenty związane z nowelizacją ustawy o KSC wskazują, iż „w perspektywie dziesięciu lat po nowelizacji łączne wydatki mogą przekroczyć nawet 500 milionów złotych.” To perspektywa, która wymaga szczególnej rozwagi — zwłaszcza wobec dotychczasowych wyników systemu.
Fałszywy obraz bezpieczeństwa
Szczególnie niepokojący jest wątek dotyczący jakości danych gromadzonych w systemie. S46 służył m.in. do szacowania ryzyka na poziomie krajowym — ale ankiety, na których opierało się to szacowanie, nie były w praktyce aktualizowane, weryfikowane merytorycznie ani potwierdzane audytem.
NIK ocenia, że „zakres, kompletność i aktualność tych danych były ograniczone, a niska aktywność części uczestników powodowała, że obraz sytuacji nie odzwierciedlał w sposób rzetelny rzeczywistego stanu zagrożeń.” W konsekwencji analizy ryzyka prowadzono przez kilka lat w oparciu o informacje „o nieznanej jakości i wiarygodności”. W ocenie Izby oznaczało to „ryzyko podejmowania decyzji strategicznych w oparciu o dane niepełne lub niereprezentatywne, co może prowadzić do fałszywego poczucia bezpieczeństwa lub nieadekwatnych reakcji państwa.”
Działania naprawcze i rekomendacje NIK
NIK pozytywnie oceniła fakt, że zarówno Ministerstwo Cyfryzacji, jak i NASK-PIB podjęły działania naprawcze jeszcze w trakcie trwania kontroli. Jednocześnie Izba zastrzega, że obie instytucje „będą musiały zmierzyć się z kryzysem zaufania kluczowych interesariuszy, wynikającym z wcześniejszych niedoskonałości systemu S46.”
W skierowanych wnioskach pokontrolnych NIK zobowiązała Ministerstwo Cyfryzacji do wdrożenia mechanizmu ewaluacji projektów informatycznych — obejmującego realną ocenę czasu realizacji i obowiązkowe zbieranie wymagań od użytkowników końcowych — oraz do dostosowania S46 do potrzeb uczestników KSC, tak aby stał się narzędziem operacyjnie użytecznym w zakresie ostrzeżeń, komunikacji, rekomendacji, szacowania ryzyka i obsługi incydentów.
NASK-PIB otrzymał natomiast zalecenie konsekwentnego stosowania mechanizmów identyfikacji wymagań użytkowników na etapie projektowania systemów — nawet pod presją czasową — oraz wdrożenia cyklicznych testów ciągłości działania systemu S46, w tym pełnych testów odtworzeniowych kopii zapasowych.
Podsumowanie
Historia systemu S46 to przestroga przed wdrażaniem kosztownych narzędzi cyfrowych w trybie przyspieszonym, bez rzetelnego rozpoznania potrzeb użytkowników końcowych. Cyberbezpieczeństwo to dziedzina, w której stawką jest bezpieczeństwo państwa i jego obywateli — a niski poziom wykorzystania systemu, dane wątpliwej jakości i funkcje działające niezgodnie z założeniami mogą dawać iluzję bezpieczeństwa, zamiast je faktycznie wzmacniać.
Zbliżająca się nowelizacja ustawy o KSC — która według zapowiedzi znacząco zwiększy liczbę podmiotów zobowiązanych do korzystania z S46 — sprawia, że czas na skuteczną naprawę systemu jest krótki, a presja na jego realne usprawnienie rośnie.
Źródła
- Najwyższa Izba Kontroli, System S46 – kosztowny, a jego realny wpływ na cyberbezpieczeństwo ograniczony, komunikat z 18 lutego 2026 r.
https://www.nik.gov.pl/aktualnosci/cyberbezpieczenstwo-system-s46.html - NIK, Wystąpienia pokontrolne, kontrola I/25/001/KPB
https://www.nik.gov.pl/kontrole/I/25/001/KPB/
