Ministerstwo Cyfryzacji powołuje CSIRT Cyfra – pierwszy w Polsce sektorowy zespół reagowania na incydenty przeznaczony wyłącznie dla infrastruktury cyfrowej, czyli m.in. operatorów DNS, punktów wymiany ruchu i rejestrów domen. Projekt otrzymał 10 mln zł z Krajowego Planu Odbudowy, a pełną gotowość ma osiągnąć w czerwcu 2026 r. Resort zapowiada, że nowa formacja wesprze już istniejące krajowe CSIRT-y, skracając czas wykrywania i neutralizacji ataków wymierzonych w fundamenty polskiego internetu. Pomysł wpisuje się w europejski trend budowania wyspecjalizowanych, sektorowych centrów SOC i ma wypełnić lukę między CSIRT GOV a prywatnymi operatorami sieci. Czy te plany uda się zrealizować na czas – zależy od pieniędzy, ludzi i tempa biurokracji.
Dlaczego sektor cyfrowy potrzebuje własnego CSIRT-u?
Zgodnie z rządowymi dokumentami CSIRT Cyfra ma działać „piętro niżej” od zespołów krajowych i koncentrować się na wąsko zdefiniowanym obszarze infrastruktury krytycznej internetu. W praktyce chodzi o podmioty świadczące usługi DNS, operatorów IXP-ów czy rejestry TLD, które stanowią szkielet polskiej sieci. Incydenty w tych węzłach mogą błyskawicznie sparaliżować setki usług online, dlatego – jak argumentuje ministerstwo – potrzebny jest wyspecjalizowany zespół z bezpośrednim mandatem do interweniowania właśnie tam. Nowa jednostka ma korzystać z otwartego oprogramowania, o ile spełnia ono wymogi bezpieczeństwa, oraz współpracować z CSIRT GOV, NASK i MON przy wymianie danych o zagrożeniach. W ten sposób rząd chce zmniejszyć lukę pomiędzy cyberobroną państwa a prywatnymi operatorami sieci, która uwidoczniła się w ostatnich, coraz częstszych atakach DDoS na polskie węzły.
Finansowanie i kalendarz – wyścig z czasem
Na uruchomienie CSIRT Cyfra resort dostał dokładnie 10 482 667,10 zł z KPO. Pieniądze mają pokryć zakup platform do monitoringu zagrożeń, stworzenie zaplecza analitycznego i szkolenie kadr. Choć decyzja o finansowaniu zapadła 11 czerwca 2025 r., harmonogram jest napięty: umowa o dofinansowanie ma zostać podpisana do końca wakacji, a jednostka powinna ruszyć operacyjnie najpóźniej w czerwcu 2026 r. Oznacza to dwanaście miesięcy na stworzenie procedur, infrastrukturę teleinformatyczną i wpięcie CSIRT-u w krajowy system wymiany informacji. Po wygaśnięciu dotacji koszty działania przejmie budżet państwa, co – według ekspertów – może wymusić coroczny przegląd efektywności nowej struktury.
Kadra poszukiwana – eksperci pilnie potrzebni
Kluczowym wyzwaniem będzie rekrutacja specjalistów. Ministerstwo zapowiada, że trzon zespołu zbuduje z obecnych pracowników Departamentu Cyberbezpieczeństwa, ale planuje też otwarty nabór do służby cywilnej i poza nią. W praktyce oznacza to konieczność przyciągnięcia analityków malware, inżynierów sieci i operatorów SOC w sytuacji, gdy rynek IT już dziś zmaga się z niedoborem talentów i presją płacową. Źródła resortowe mówią o stworzeniu struktury organizacyjnej „w toku prac”, co sugeruje, że szczegółowe role i procedury dopiero powstają – a to może opóźnić start, jeśli proces legislacyjno-kadrowy się przeciągnie. Z drugiej strony, zapewnienie stabilnego budżetu i jasnej ścieżki rozwoju ma pomóc utrzymać ekspertów w sektorze publicznym, zamiast tracić ich do komercyjnych SOC-ów.
Co dalej? Kolejne CSIRT-y na horyzoncie
Jeśli CSIRT Cyfra zdoła wystartować zgodnie z planem, rząd planuje utworzenie kolejnych zespołów sektorowych – w resortach infrastruktury oraz klimatu i środowiska. Taki ruch wpisuje się w projekt nowelizacji ustawy o krajowym systemie cyberbezpieczeństwa, który przewiduje gęstszą siatkę CSIRT-ów odpowiadających za branże kluczowe dla gospodarki. Wzorem ma być model funkcjonujący w Holandii i Czechach, gdzie sektorowe CSIRT-y skracają czas reakcji i usprawniają wymianę informacji z CERT-ami komercyjnymi. Eksperci podkreślają jednak, że bez jasnych standardów współdziałania i stałego finansowania nowe jednostki mogą stać się „papierowymi tygrysami”. Los CSIRT Cyfra, pierwszego z nich, będzie więc ważnym testem gotowości państwa do budowy prawdziwie zintegrowanego systemu cyberobrony.