Interpelacja w sprawie zagrożeń cyberbezpieczeństwa oraz ryzyk reputacyjnych państwa związanych z funkcjonowaniem Krajowego Systemu e-Faktur
Data wpływu: 2026-01-18
Co to jest interpelacja? To formalne pytanie posła do organu władzy (np. ministra) w konkretnej sprawie publicznej.
Przeglądaj też tematy interpelacji, profile posłów i druki sejmowe.
Poseł Janusz Kowalski wyraża obawy dotyczące cyberbezpieczeństwa Krajowego Systemu e-Faktur (KSeF), szczególnie w kontekście niskiej świadomości użytkowników na temat bezpieczeństwa certyfikatów. Pyta o analizy ryzyka, planowane działania minimalizujące zagrożenia i wpływ potencjalnych incydentów na zaufanie do państwa.
HTML źródłowy dostępny także bez JavaScript
Interpelacja w sprawie zagrożeń cyberbezpieczeństwa oraz ryzyk reputacyjnych państwa związanych z funkcjonowaniem Krajowego Systemu e-Faktur Interpelacja nr 14690 do ministra finansów i gospodarki w sprawie zagrożeń cyberbezpieczeństwa oraz ryzyk reputacyjnych państwa związanych z funkcjonowaniem Krajowego Systemu e-Faktur Zgłaszający: Janusz Kowalski Data wpływu: 18-01-2026 Jednym z pomijanych, a jednocześnie kluczowych aspektów wdrażania Krajowego Systemu e-Faktur są zagrożenia związane z cyberbezpieczeństwem oraz niska świadomość użytkowników w zakresie ochrony narzędzi dostępowych do systemu, w szczególności tokenów i certyfikatów.
W praktyce znaczna część użytkowników traktuje certyfikaty KSeF wyłącznie jako „pliki techniczne“, nie dostrzegając ich rzeczywistej funkcji ani konsekwencji ich utraty, skopiowania lub przejęcia przez osoby trzecie. Taki sposób postrzegania narzędzi uwierzytelniających jest szczególnie niebezpieczny w środowisku, w którym obowiązek korzystania z systemu ma charakter powszechny i dotyczy również podmiotów nieposiadających zaplecza informatycznego ani kompetencji w zakresie cyberbezpieczeństwa.
Brak odpowiedniej wiedzy i procedur bezpieczeństwa po stronie użytkowników zwiększa podatność na ataki phishingowe, złośliwe oprogramowanie przechwytujące certyfikaty oraz inne formy ingerencji w systemy finansowo-księgowe przedsiębiorców. Skutkiem takich incydentów może być nieautoryzowane wystawianie faktur, dostęp do wrażliwych danych gospodarczych oraz destabilizacja bieżącej działalności firm. Ryzyka te mają jednak wymiar szerszy niż indywidualne interesy podatników. W przypadku masowych incydentów bezpieczeństwa może dojść do poważnego podważenia zaufania do KSeF jako narzędzia państwowego.
W konsekwencji jest zagrożone również postrzeganie stabilności regulacyjnej państwa oraz zdolności administracji publicznej do bezpiecznego wdrażania systemów o charakterze powszechnym i obowiązkowym. W świetle powyższego proszę o udzielenie odpowiedzi na poniższe pytania: Czy Ministerstwo Finansów przeprowadziło analizę poziomu świadomości użytkowników Krajowego Systemu e-Faktur w zakresie bezpiecznego posługiwania się certyfikatami i innymi narzędziami uwierzytelniającymi?
Jakie konkretne ryzyka cyberbezpieczeństwa ministerstwo identyfikuje w związku z powszechnym wykorzystywaniem certyfikatów KSeF przez podmioty nieposiadające specjalistycznej wiedzy informatycznej? Czy Ministerstwo Finansów przewiduje, że przejęcie certyfikatu KSeF przez osoby trzecie może skutkować nieautoryzowanym wystawianiem faktur oraz innymi nadużyciami o istotnych konsekwencjach podatkowych i gospodarczych? W jaki sposób ministerstwo zamierza ograniczyć ryzyko ataków phishingowych, malware oraz innych zagrożeń skierowanych w systemy księgowe przedsiębiorców korzystających z KSeF?
Czy ministerstwo bierze pod uwagę, że kumulacja niskiego poziomu adopcji KSeF, problemów technicznych oraz incydentów bezpieczeństwa może trwale podważyć zaufanie przedsiębiorców do tego systemu, a w szerszej perspektywie osłabić wiarygodność państwa jako regulatora i organizatora procesów cyfrowych?
Poseł Janusz Kowalski kwestionuje brak precyzji w przepisach dotyczących dostępu podmiotów publicznych do danych z Krajowego Systemu e-Faktur (KSeF), wyrażając obawę o ochronę danych przedsiębiorców. Pyta o konkretny zakres danych udostępnianych podmiotom innym niż KAS oraz o mechanizmy kontroli i nadzoru nad tym dostępem.
Poseł Janusz Kowalski pyta o funkcjonowanie pełnomocnictw w postępowaniach podatkowych, szczególnie w kontekście interpretacji pełnomocnictwa szczególnego i ogólnego. Zwraca uwagę na potrzebę wprowadzenia pełnomocnictwa "rodzajowego" obejmującego określone kategorie spraw podatkowych i pyta o plany legislacyjne Ministerstwa Finansów w tym zakresie.
Poseł Janusz Kowalski pyta o możliwość zaliczenia do kosztów uzyskania przychodu wydatków na okulary korekcyjne dla przedsiębiorców, szczególnie w kontekście pracy przy komputerze. Podkreśla niespójność obecnych przepisów, gdzie pracodawcy mogą finansować okulary dla pracowników, a przedsiębiorcy nie mogą ich odliczyć.
Poseł pyta o interpretację ulgi termomodernizacyjnej w kontekście wydatków na modernizację dachu, kwestionując zawężające podejście organów podatkowych, które wyklucza z ulgi elementy pokrycia dachowego. Domaga się doprecyzowania przepisów i analizy wpływu obecnej interpretacji na efektywność ulgi.
Projekt ustawy ma na celu implementację dyrektywy Parlamentu Europejskiego i Rady (UE) 2022/2557 w sprawie odporności podmiotów krytycznych. Wprowadza zmiany w ustawie o zarządzaniu kryzysowym oraz w niektórych innych ustawach, definiując m.in. pojęcia takie jak 'podmiot krytyczny', 'usługa kluczowa' i 'incydent istotny'. Projekt określa nowe zadania i obowiązki organów właściwych w sprawach zarządzania kryzysowego oraz podmiotów krytycznych, a także zasady sprawowania nadzoru i kontroli. Wprowadza również dokumenty strategiczne takie jak Krajowa Ocena Ryzyka (KOR) i Krajowa Strategia Odporności Podmiotów Krytycznych (KSOPK).
Projekt ustawy zakłada wprowadzenie dobrowolności stosowania Krajowego Systemu e-Faktur (KSeF) dla mikro-, małych i średnich przedsiębiorstw (MŚP). Nowelizacja ma na celu odciążenie tych podmiotów od kosztów związanych z wdrożeniem i funkcjonowaniem obowiązkowego KSeF, który według wnioskodawców stanowi dodatkowe obciążenie i ryzyko dla najmniejszych firm. Autorzy argumentują, że KSeF jest niedopracowany, zagraża stabilności gospodarki i narusza zasadę zaufania do przedsiębiorcy. Zmiana ta ma być trwała i niezależna od czasowych zwolnień, przywracając stan zgodny z prawem UE, które chroni dobrowolność wyboru formy faktury.
Projekt ustawy zakłada odroczenie obowiązku stosowania Krajowego Systemu e-Faktur (KSeF) dla mikroprzedsiębiorców o dwa lata, tj. do 31 grudnia 2027 r. Celem jest uniknięcie dodatkowych kosztów związanych z wdrożeniem i funkcjonowaniem KSeF dla najmniejszych firm, które często wystawiają faktury ręcznie i nie odnajdują się w transformacji cyfrowej. Wnioskodawcy argumentują, że obowiązkowy KSeF dla mikroprzedsiębiorców może doprowadzić do zamknięcia firm i negatywnie wpłynąć na gospodarkę. Odroczenie ma dać czas na okrzepnięcie systemu i spokojne przygotowanie się mikroprzedsiębiorców.
Projekt ustawy wprowadza zmiany w ustawie o krajowym systemie cyberbezpieczeństwa oraz niektórych innych ustawach. Zmiany dotyczą definicji podmiotów kluczowych i ważnych, obowiązków tych podmiotów związanych z cyberbezpieczeństwem, w tym terminów na uzupełnienie danych w wykazie i wdrażanie systemów zarządzania bezpieczeństwem informacji. Wprowadzono również mechanizmy wsparcia dla jednostek samorządu terytorialnego w zakresie cyberbezpieczeństwa oraz przesunięto termin możliwości nakładania kar pieniężnych za naruszenia przepisów. Dodatkowo doprecyzowano kwestie dotyczące osób realizujących zadania w CSIRT i podmiotach kluczowych oraz ważnych.
Projekt ustawy nowelizuje ustawę o krajowym systemie cyberbezpieczeństwa oraz szereg innych ustaw, implementując dyrektywę NIS2 (2022/2555) i częściowo stosując rozporządzenie delegowane Komisji (UE) 2024/1366. Celem jest podniesienie poziomu cyberbezpieczeństwa w Polsce poprzez wprowadzenie nowych definicji, rozszerzenie zakresu podmiotów objętych regulacjami (podmioty kluczowe i ważne) oraz doprecyzowanie obowiązków. Ustawa ma na celu dostosowanie polskiego prawa do wymogów unijnych w zakresie cyberbezpieczeństwa, szczególnie w odniesieniu do infrastruktury krytycznej i usług cyfrowych. Wprowadza także zmiany dotyczące prowadzenia wykazu podmiotów kluczowych i ważnych oraz ich obowiązków w zakresie zarządzania cyberbezpieczeństwem.