W dniach 25–26 maja 2026 roku wzięliśmy udział w tegorocznej edycji CONFidence 2026 – jednej z największych konferencji cyberbezpieczeństwa w Europie Środkowej. Ta edycja zgromadziła w krakowskim EXPO niemal 60 prelegentów i ponad 2000 specjalistów z całego świata. Naszą kancelarię reprezentował Pavlo Svysiuk, specjalista ds. cyberbezpieczeństwa, który przez dwa dni śledził najbardziej aktualne tematy branży. Poniżej dzielimy się naszymi spostrzeżeniami z perspektywy prawno-regulacyjnej.
Jako kancelaria specjalizująca się w prawie IT, cyberbezpieczeństwie i regulacjach cyfrowych (NIS2, AI Act, DORA, RODO), CONFidence stanowi dla nas obowiązkowy punkt w kalendarzu. Nie tylko po to, by śledzić techniczne trendy. Przede wszystkim po to, by na bieżąco rozumieć ryzyka, z którymi nasi klienci będą mierzyć się w nadchodzących miesiącach. Tegoroczna edycja nie zawiodła.
1. Bezpieczeństwo systemów publicznych pod lupą badaczy
Jednym z głośniejszych wystąpień, była prezentacja Roberta Kruczka i Kamila Szczurowskiego zatytułowana „How we hacked half of the Polish government”. Badacze szczegółowo omówili proces identyfikacji i odpowiedzialnego raportowania podatności w systemach publicznych. Pokazali, że infrastruktura cyfrowa państwa wciąż pozostawia wiele do życzenia pod względem bezpieczeństwa.
Równie mocnym uderzeniem była prezentacja Michała Leszczyńskiego, który ujawnił podatności umożliwiające ominięcie uwierzytelniania podpisem kwalifikowanym w ZUS, e-Sądzie, Usługach Elektronicznych Ochrony Zdrowia i kilku innych systemach administracji publicznej. Jak słyszeliśmy w kuluarach – i co potwierdzają relacje z sali – temat ten prawdopodobnie niebawem trafi do mediów głównego nurtu.
⚖️ Komentarz prawny Kancelaria IT
Podatność w systemie kluczowego dostawcy stawia przed prawnikiem trzy konkretne pytania: (1) czy podmiot dopełnił obowiązku zarządzania ryzykiem łańcucha dostaw w rozumieniu NIS2?; (2) czy incydent podlega obowiązkowemu zgłoszeniu do właściwego CSIRT?; (3) jakie są konsekwencje dla certyfikowanego audytora ISO/IEC 27001, który sygnował wdrożenie? W każdym przypadku odpowiedź zależy od precyzyjnej kwalifikacji podmiotu jako kluczowego lub ważnego w rozumieniu dyrektywy NIS2 i nowelizowanej ustawy o KSC.
2. Ataki na systemy płatnicze – odpowiedzialność cywilna i regulacyjna
Na sali podczas prezentacji Marcina Ochaba „How to rob a bank using a payment terminal” trudno było znaleźć wolne miejsce – i nic dziwnego. Prelegent pokazał praktyczne nadużycia w systemach płatniczych, demonstrując, że przy odpowiedniej wiedzy technicznej możliwe jest zrealizowanie nieautoryzowanej transakcji z użyciem standardowego terminala. Wątek uzupełniła Julia Zduńczyk, prezentując skuteczne metody obejścia systemów kontroli dostępu opartych na kartach RFID.
Z perspektywy naszej kancelarii te demonstracje mają bezpośrednie przełożenie na odpowiedzialność operatorów płatności w reżimie PSD2 oraz – co dziś szczególnie istotne – na wymogi rozporządzenia DORA, które obowiązuje w pełnym zakresie od 17 stycznia 2025 r. Każdy incydent w systemach płatniczych generuje konkretny harmonogram raportowania i obowiązki po stronie dostawców ICT, których z góry nie można zbagatelizować.
⚖️ Komentarz prawny Kancelaria IT
Dla instytucji finansowych i ich dostawców ICT każda podatność tego rodzaju to potencjalne naruszenie art. 9 DORA (zarządzanie ryzykiem ICT) oraz art. 17 DORA (zarządzanie incydentami). Klasyczna odpowiedzialność kontraktowa i deliktowa schodzi tu na drugi plan – w grę wchodzi przede wszystkim reżim regulacyjny z jego sankcjami administracyjnymi. Warto też pamiętać, że DORA nakłada obowiązki nie tylko na instytucje finansowe, ale i bezpośrednio na ich dostawców technologicznych sklasyfikowanych jako krytyczni.
3. Sztuczna inteligencja jako narzędzie atakujących – i jako ryzyko prawne
Ścieżka Future Tech tegorocznej edycji była dla Pavla szczególnie interesująca ze względu na liczbę praktycznych demonstracji. Tomasz Turba w prezentacji „Niszczenie LLM” pokazał na żywo nowe wektory ataków realizowanych za pomocą narzędzi AI – w tym techniki promptingu, które pozwalają na ominięcie zabezpieczeń dużych modeli językowych. Stanisław Kozioł z CERT Orange omawiał koncepcję rejestru zaufanych serwerów MCP, a Kamil Dębek stawiał pytanie, które słyszymy coraz częściej od naszych klientów: czy LLM-y w środowisku SOC naprawdę nam pomagają, czy może generują nowe, trudniejsze do kontrolowania ryzyko?
To pytanie techniczne, ale ma też poważny wymiar prawny – szczególnie w kontekście AI Act, który od sierpnia 2026 r. stosuje się w pełnym zakresie. Systemy AI używane do oceny ryzyka incydentów lub zarządzania nimi w infrastrukturze krytycznej mogą podlegać klasyfikacji jako systemy wysokiego ryzyka (Załącznik III). Oznacza to obowiązki z zakresu zgodności technicznej, rejestracji w unijnej bazie danych, przejrzystości wobec użytkowników i zapewnienia nadzoru ludzkiego — zanim taki system w ogóle trafi do środowiska produkcyjnego.
⚖️ Komentarz prawny Kancelaria IT
Przed wdrożeniem modelu AI do procesu bezpieczeństwa IT każda organizacja powinna odpowiedzieć na trzy pytania: (1) czy system kwalifikuje się jako system wysokiego ryzyka w rozumieniu art. 6 AI Act?; (2) kto jest dostawcą, a kto podmiotem stosującym system – i jakie obowiązki z tego wynikają?; (3) czy operator dysponuje dokumentacją wymaganą przez art. 13 i 14 AI Act (przejrzystość i nadzór ludzki)? Doradzamy klientom w przeprowadzaniu takich ocen jeszcze na etapie wyboru narzędzia, nie dopiero po jego wdrożeniu.
4. Dezinformacja jako wektor zagrożeń – regulacyjne odpowiedzi DSA
Piotr Zarzycki z CERT Orange Polska – jeden z tych prelegentów, po których sali nie ubywa ani jedna osoba – powrócił do tematu, który po raz pierwszy poruszył 2,5 roku temu. Wtedy opisał, jak w ciągu kilku dni stał się na platformie Znany Lekarz wysoko ocenianym „ekspertem”. Tym razem pokazał, że – mimo wcześniejszych zgłoszeń do administratorów – mechanizm fałszywych recenzji i sfabrykowanych opinii eksperckich działa dokładnie tak samo.
Dla prawnika IT jest to temat o co najmniej dwóch wymiarach regulacyjnych. DSA (Digital Services Act) nakłada na platformy internetowe obowiązki reagowania na nielegalne treści – w tym treści wprowadzających użytkowników w błąd co do tożsamości lub kompetencji osób. Podmioty działające w sektorze zdrowia lub usług regulowanych mogą natomiast ponosić odpowiedzialność wobec użytkowników poszkodowanych wskutek decyzji podjętych w oparciu o sfabrykowane rekomendacje.
⚖️ Komentarz prawny Kancelaria IT
Platformy kwalifikowane jako „bardzo duże platformy internetowe” (VLOP) w rozumieniu DSA są od 2024 r. zobowiązane do przeprowadzania ocen ryzyka systemowego, w tym ryzyka dezinformacji. Pozostałe platformy podlegają uproszczonym obowiązkom w zakresie reagowania na zgłoszenia nielegalnych treści. W obu przypadkach brak skutecznych mechanizmów reakcji może skutkować odpowiedzialnością na gruncie art. 6 i art. 16 DSA – a w przypadku platform działających w Polsce, również wobec krajowego organu właściwego ds. usług cyfrowych.
5. Responsible disclosure – granica między etyką a pozwem
Adam Haertle wystąpił z prezentacją o specjalnym statusie live-only – materiału, który nie zostanie opublikowany. Temat był jeden z tych, przy których w kuluarach rozmowy trwały długo po zakończeniu sesji: co zrobić, gdy ujawniasz poważne luki bezpieczeństwa w cudzym systemie, a w odpowiedzi – zamiast wyjaśnień i podziękowania – do Twojej skrzynki trafiają pozwy?
Ten temat nie jest nam obcy. W Kancelarii IT regularnie doradzamy zarówno badaczom bezpieczeństwa, jak i organizacjom będącym właścicielami systemów – i z obu stron wiemy, że Polska wciąż nie dysponuje mechanizmem prawnym, który dawałby badaczom realną ochronę w stylu anglosaskiego safe harbor. Każda publikacja raportu o lukach w cudzym systemie wiąże się z ryzykiem odpowiedzialności karnej z art. 267 k.k. (nieuprawniony dostęp do systemu) lub odpowiedzialności cywilnej z tytułu naruszenia tajemnicy przedsiębiorstwa.
📌 Rekomendacja praktyczna
Wdrożenie rzetelnej polityki Vulnerability Disclosure Policy (VDP) to dziś nie tylko dobra praktyka – to element zarządzania ryzykiem prawnym po stronie każdej organizacji będącej właścicielem systemu informatycznego. VDP precyzuje zasady bezpiecznego zgłaszania podatności, wyłącza odpowiedzialność badacza działającego w dobrej wierze i ogranicza ryzyko eskalacji incydentu do postępowania karnego lub cywilnego. Pomagamy klientom w opracowaniu i wdrożeniu VDP jako integralnego elementu dokumentacji NIS2 i polityki bezpieczeństwa informacji.
Co zabieramy z Krakowa
CONFidence 2026 po raz kolejny potwierdza obserwację, którą dzielimy się z klientami od kilku lat: linia między technicznym bezpieczeństwem a prawem jest coraz cieńsza. Tegoroczna agenda – podzielona na ścieżki Defense, Offense, Future Tech i Exec Track – pokazała, że środowisko techniczne coraz lepiej rozumie, że każde odkrycie podatności, każdy incydent i każde wdrożenie AI ma swoją regulacyjną drugą stronę.
Z perspektywy naszej praktyki szczególnie uważnie przyglądamy się trzem obszarom, w których spodziewamy się wzrostu aktywności doradczej w najbliższych miesiącach: bezpieczeństwu infrastruktury publicznej i kluczowej na gruncie NIS2, wdrożeniom AI w procesach decyzyjnych organizacji na gruncie AI Act oraz odpowiedzialności za luki w systemach płatniczych pod reżimem DORA.
Dziękujemy organizatorom za kolejną znakomitą edycję – i do zobaczenia w 2027 roku.
Pavlo Svysiuk
Specjalista ds. cyberbezpieczeństwa, Kancelaria IT
Uczestnik CONFidence 2026 · Kraków, maj 2026
Masz pytania dotyczące zgodności Twojej organizacji z NIS2, DORA lub AI Act?
Kancelaria IT oferuje kompleksowe doradztwo w zakresie cyberbezpieczeństwa i prawa nowych technologii — od audytu prawnego przez wdrożenie dokumentacji po reprezentację w postępowaniach regulacyjnych.
