W marcu 2025 roku Rada Ministrów Rzeczpospolitej Polskiej przyjęła uchwałę w sprawie realizacji inicjatywy Wspólna Infrastruktura Informatyczna Państwa (WIIP) – projektu mającego na celu stworzenie jednolitego, bezpiecznego i efektywnego środowiska chmurowego dla administracji publicznej. W ślad za tą decyzją ogłoszono również nowe standardy cyberbezpieczeństwa, które będą obowiązywać wszystkie jednostki korzystające z zasobów WIIP. Zmiany te wpisują się w strategię cyfrowej suwerenności Państwa oraz przeciwdziałania coraz bardziej zaawansowanym zagrożeniom w cyberprzestrzeni.

Cel WIIP – wspólna chmura dla Państwa

Wspólna Infrastruktura Informatyczna Państwa, to rządowy projekt budowy zunifikowanej chmury obliczeniowej, której celem jest konsolidacja rozproszonych zasobów informatycznych sektora publicznego. Inicjatywa zakłada stopniowe przeniesienie systemów administracji centralnej i samorządowej do jednego środowiska chmurowego, zarządzanego zgodnie z jednolitymi, wysokimi standardami bezpieczeństwa i interoperacyjności.

Wprowadzenie WIIP ma na celu:

• zwiększenie bezpieczeństwa systemów publicznych,
• ograniczenie kosztów utrzymania infrastruktury IT,
• usprawnienie wymiany danych między instytucjami,
• zapewnienie zgodności z europejskimi regulacjami dotyczącymi przetwarzania danych.

Nowe standardy cyberbezpieczeństwa

W związku z wdrażaniem WIIP, Rada Ministrów zatwierdziła nowy pakiet wymagań dotyczących cyberbezpieczeństwa w środowiskach chmurowych. Do najważniejszych należą:

1. Obowiązek stosowania certyfikowanych rozwiązań chmurowych – dostawcy świadczący usługi w ramach WIIP muszą posiadać certyfikaty zgodności z normami ISO/IEC 27001, ISO/IEC 27017 (dla usług chmurowych) oraz spełniać wymogi ustawy o krajowym systemie cyberbezpieczeństwa.
2. Zasada lokalizacji danych – wszystkie dane wrażliwe i systemy krytyczne muszą być przechowywane i przetwarzane na terytorium Polski, z wykorzystaniem centrów danych należących do Skarbu Państwa lub podmiotów przez niego kontrolowanych.
3. Wzmocniona segmentacja środowisk – środowiska chmurowe muszą być logicznie i fizycznie oddzielone w zależności od klasy przetwarzanych danych, co pozwala ograniczyć ryzyko nieautoryzowanego dostępu.
4. Obowiązkowe testy penetracyjne i audyty bezpieczeństwa – wszystkie jednostki administracji publicznej korzystające z WIIP będą zobowiązane do corocznego przeprowadzania testów bezpieczeństwa swoich systemów oraz zgłaszania wyników do Centrum Operacyjnego Cyberbezpieczeństwa.
5. Zintegrowany mechanizm monitorowania incydentów – WIIP przewiduje wprowadzenie wspólnej platformy do wykrywania, rejestrowania i raportowania incydentów cyberbezpieczeństwa w czasie rzeczywistym.

Rola operatorów WIIP

Operatorem technicznym WIIP zostało Centralne Centrum Przetwarzania Danych (CCPD) przy wsparciu NASK i COI, które odpowiadają za utrzymanie, rozwój i bezpieczeństwo infrastruktury. Dostawcy prywatni mogą świadczyć usługi tylko w modelu chmury hybrydowej lub jako poddostawcy zgodni z wymaganiami bezpieczeństwa.

Wpływ na administrację i rynek

Decyzja Rady Ministrów oznacza istotne zmiany dla instytucji publicznych – od urzędów centralnych, po gminy i jednostki oświatowe. Będą one zobowiązane do migracji do WIIP zgodnie z harmonogramem przewidzianym przez Ministerstwo Cyfryzacji. Oznacza to konieczność:

• przeglądu dotychczasowych umów z komercyjnymi dostawcami chmur,
• dostosowania polityk bezpieczeństwa do nowych standardów,
• przeszkolenia personelu IT.

Z perspektywy rynku IT, inicjatywa WIIP stwarza szansę dla polskich firm technologicznych na udział w budowie bezpiecznego i nowoczesnego ekosystemu usług cyfrowych dla Państwa.

Podsumowanie
Inicjatywa Wspólnej Infrastruktury Informatycznej Państwa to jeden z najważniejszych projektów cyfryzacyjnych ostatnich lat w Polsce. Wprowadzenie spójnych standardów cyberbezpieczeństwa nie tylko zabezpiecza dane obywateli i funkcjonowanie Państwa, ale również buduje fundament pod dalszy rozwój usług cyfrowych opartych o zaufane i krajowe zasoby IT. Nowe regulacje są wyrazem ambicji Polski w zakresie budowy suwerennej, odpornej infrastruktury cyfrowej XXI wieku.

Autor: Tomasz Szepelak
Ekspert z wieloletnim doświadczeniem w branży IT, posiadający obszerną wiedzę techniczną obejmującą Cyberbezpieczeństwo w środowiskach Windows i Linux, znajdowanie podatności na stronach internetowych oraz udzielanie zaleceń dotyczących zamykania znalezionych podatności. Jest odpowiedzialny za wsparcie użytkowników końcowych, instalację, wdrożenie i utrzymanie różnych komponentów LAN/WAN w środowisku korporacyjnym w strukturach firmy międzynarodowej. Uczestniczy w różnorodnych projektach, jako niezależny lider projektu, pracuje nad wdrożeniami nowych rozwiązań. Może pochwalić się również szeroką wiedzą w zakresie procesów IT i tytułem ITIL® Expert.