Atak hakerski na Uniwersytecie Warszawskim to sygnał, że infrastruktura cyfrowa polskich uczelni i instytutów badawczych stała się realnym polem zagrożeń. Odpowiedzią jest uchwalona 29 stycznia nowelizacja ustawy o Krajowym Systemie Cyberbezpieczeństwa, która powstała we współpracy ze środowiskiem akademickim. Nowe regulacje czekają na podpis prezydenta.
Uczelnie i instytuty naukowe są dziś integralną częścią infrastruktury cyfrowej. Przetwarzają dane osobowe, badawcze i technologiczne, realizują projekty międzynarodowe oraz kształcą niemal 1,3 mln studentów. Jednocześnie poziom cyberbezpieczeństwa w polskiej nauce przez lata pozostawał bardzo zróżnicowany – od bardzo wysokiego, charakterystycznego dla najlepszych uczelni technicznych, po niepokojąco niski w części uniwersytetów czy wyższych szkół zawodowych.
Wady starego modelu
Choć od lat obowiązywały przepisy wymagające zabezpieczenia systemów teleinformatycznych – w tym wynikające z Krajowych Ram Interoperacyjności – w praktyce brakowało jednolitego nadzoru, jasnych standardów i realnych mechanizmów egzekwowania obowiązków. Co więcej, mimo rosnącej skali zagrożeń cyberbezpieczeństwo nie było zadaniem pierwszej potrzeby.
Teraz ma szansę się to zmienić dzięki uchwalonej 29 stycznia nowelizacji ustawy o Krajowym Systemie Cyberbezpieczeństwa. Dostosowuje ona poziom wymagań cyberbezpieczeństwa do realnego poziomu ryzyka. W praktyce oznacza to zróżnicowanie obowiązków po stronie uczelni i instytutów.
Najwyższe wymagania dotyczą konkretnych systemów i procesów związanych z badaniami stosowanymi i pracami rozwojowymi. Pozostałe obszary działalności uczelni i instytutów objęte są mniej rygorystycznymi, choć nadal wysokimi standardami.
Takie rozwiązanie pozwala skutecznie chronić te elementy systemu nauki, które rzeczywiście mają znaczenie strategiczne, bez paraliżowania codziennego funkcjonowania uczelni.
Nowy model: odpowiedzialność i nadzór
Istotna zmiana dotyczy jednoznacznego określenia odpowiedzialności. Znowelizowana ustawa wyraźnie przypisuje jednostkom naukowym, rektorom i dyrektorom instytutów obowiązki w zakresie cyberbezpieczeństwa. Przyznaje też ministrowi nauki i szkolnictwa wyższego szeregu uprawnień i obowiązków w zakresie nadzoru i kontroli. Co ważne, system nie ogranicza się do sankcji. Przewiduje bowiem zapewnienie środków na cyberbezpieczeństwo w nauce i utworzenie CSIRT Nauka.
– Dzięki tym rozwiązaniom cyberbezpieczeństwo przestaje być wyłącznie kwestią techniczną. Staje się elementem zarządzania i odpowiedzialności instytucjonalnej. Uczelnie i instytuty muszą wiedzieć, jak mają działać w tym zakresie. Nowelizacja ustawy o KSC przynosi konkretne rozwiązania – mówi dr hab. Dariusz Szostek, prof. UŚ, przewodniczący Zespołu ds. Cyberbezpieczeństwa KRASP.
Współtworzenie standardów zamiast regulacji narzucanych z góry
Nowe podejście do cyberbezpieczeństwa w nauce to efekt współpracy władz publicznych
ze środowiskiem akademickim. Przepisy znowelizowanej ustawy o Krajowym Systemie Cyberbezpieczeństwa uwzględniają zarówno wymogi prawa unijnego, jak też realia funkcjonowania polskich uczelni i instytutów.
– To przykład regulacji, która łączy bezpieczeństwo państwa z poszanowaniem autonomii akademickiej. Dzięki otwartej dyskusji w toku procesu legislacyjnego zostały wypracowane standardy adekwatne do ryzyka, proporcjonalne i możliwe do wdrożenia – podsumowuje prof. Bogumiła Kaniewska, przewodnicząca KRASP.
– Są to rozwiązania, których potrzebuje sektor nauki i szkolnictwa wyższego. Cyberbezpieczeństwo w tym sektorze jest naszą wspólną odpowiedzialnością – zarówno uczelni i instytutów, jak też organów władzy publicznej. W imieniu całego środowiska akademickiego apeluję do Pana Prezydenta o podpisanie nowelizacji ustawy o Krajowym Systemie Cyberbezpieczeństwa – dodaje przewodnicząca KRASP.
Atak hakerski na UW
Po otrzymaniu informacji o trwającej kampanii złośliwego oprogramowania Zespół ds. Bezpieczeństwa Informacji Uniwersytetu Warszawskiego niezwłocznie rozpoczął weryfikację środowiska teleinformatycznego uczelni.
W wyniku przeprowadzonych analiz potwierdzono obecność złośliwego oprogramowania. Ustalono, że zdarzenie miało miejsce w styczniu 2026 roku. Zidentyfikowano również stację roboczą, z której wprowadzono złośliwe oprogramowanie do środowiska uczelni.
Jak informuje Uniwersytet Warszawski, trwa szczegółowa analiza techniczna i prawna. Dotychczasowe ustalenia nie wskazują na wystąpienie nieuprawnionego dostępu do danych osobowych.





