O cyberbezpieczeństwie warto przypomnieć w związku z wchodzącą w życie w kwietniu 2026 r. ustawą o nowelizacji Krajowego Systemu Cyberbezpieczeństwa i nowymi obowiązkami dla wielu przedsiębiorstw, które będą zobowiązane do działania w tym zakresie np. dostosowania systemów informatycznych do nowych wymagań i stworzenia procedur odporności cyfrowej.

W niniejszym artykule wskażemy, czy działania podmiotów kluczowych i ważnych, będzie można kwalifikować do ulgi B+R i w jakim zakresie, w odniesieniu do powyżej powołanej ustawy.

W pierwszej kolejności przypomnijmy jakie obowiązki będą spoczywać na przedsiębiorcach objętych postanowieniami nowelizacji ustawy o krajowym systemie cyberbezpieczeństwa (ustawa z 23 stycznia 2026 o zmianie ustawy o krajowym systemie cyberbezpieczeństwa oraz niektórych innych Dz U. 2026 poz.252) Podmioty kluczowe i podmioty ważne (np. producenci żywności, chemikaliów, wyrobów medycznych, urządzeń i maszyn czy producenci urządzeń elektrycznych, pojazdów samochodowych czy sprzętu transportowego) będą zobowiązani do wdrożenia rozwiązań technicznych i organizacyjnych z zakresu cyberbezpieczeństwa, aby chronić swoje dane i infrastrukturę przed cyberzagrożeniami.

W celu budowania odporności cyfrowej i reagowania na incydenty w sieci, przedsiębiorcy zobowiązani będą do:

• wprowadzenia systemu zarządzania bezpieczeństwem informacji w procesach służących świadczeniu usług przez te podmioty ( zapobiegania, wykrywania i reagowania na incydenty tj. obsługa incydentów, zarządzanie incydentami, bezpieczeństwo sieci i systemów informacyjnych, stosowanie zasad tzw. cyberhigieny, w tym kryptografii i szyfrowania
• wdrożenia skutecznych zabezpieczeń, szacowania ryzyka związanego z cyberbezpieczeństwem

w tym: stosowania mechanizmów zapewniających poufność, integralność, dostępność i autentyczność danych przetwarzanych w systemie informacyjnym, regularne przeprowadzanie aktualizacji oprogramowania;

• przekazywania informacji i raportowania o poważnych incydentach do wyznaczonych podmiotów jak CSIRT,
• wymiany informacji dotyczących cyberbezpieczeństwa. Podmioty mogą wymieniać miedzy sobą informacje o cyberzagrożeniach, potencjalnych zdarzeniach dla cyberbezpieczeństwa, podatnościach, technikach i procedurach, oznakach naruszenia integralności systemu informacyjnego, ostrzeżenia dotyczące cyberbezpieczeństwa).
• Korzystania z systemu S46 służącego wymianie informacji o incydentach, cyberzagrożeniach i podatnościach. Będzie to główny system komunikacji pomiędzy podmiotami KSC.

Przedsiębiorca w terminie 6 miesięcy od opublikowanych wymagań przez ministra właściwego do spraw informatyzacji na stronie podmiotowej Biuletynu Informacji Publicznej musi dostosować sprzęt informatyczny do korzystania systemu S46. Dostosowanie systemu informacyjnego przez przedsiębiorcę oznacza spełnienie minimalnych wymagań technicznych i funkcjonalnych do korzystania z systemu teleinformatycznego.

Na to czy dostosowanie systemów informatycznych firmy do korzystania systemu S46 i dostosowania wymagań technicznych do budowania systemu bezpieczeństwa danych zgodnie z wymienioną ustawą  oraz ponoszone związku z tym koszty przez firmy na ulepszenie, modernizację systemów informatycznych można zaliczyć do kosztów ulgi badawczo rozwojowej, będzie zapewne tematem przyszłych interpretacji indywidualnych.

W tym miejscu możemy powołać się na wydaną przez Dyrektora Krajowej Informacji Skarbowej dnia 26 lutego 2026 r. interpretację indywidualną o sygnaturze 0111-KDIB1-3.4010.16.2026.2.DW, w której organ podatkowy zgodził się, że Bank jest on uprawniony do skorzystania z ulgi na działalność badawczo-rozwojową, o której mowa w art. 18d Ustawy o CIT.

Działania Banku w zakresie poprawy cyberbezpieczeństwa (cyber security) i bezpieczeństwa danych, tworzenia ulepszonego modelu odporności cyfrowej poprzez zastosowanie nowej wiedzy i nowatorskich unikatowych narzędzi i rozwiązań, wykonywane systematycznie i planowo, zostały uznane przez organ podatkowy jako działalność wypełniająca definicję działalności badawczo – rozwojowej, co wiąże się z możliwością skorzystania z ulgi badawczo-rozwojowej.

 Jak czytamy w/w interpretacji „(…)W wyniku realizacji opisanych prac powstaje nowa wiedza związana m.in. z opracowywaniem, organizacją i funkcjonowaniem systemów informatycznych oraz procesów bankowych w środowisku o podwyższonych wymaganiach regulacyjnych i bezpieczeństwa. Nowa wiedza dotyczy w szczególności obszaru technologii informatycznych (IT), cyberbezpieczeństwa, zapewnienia integralności danych, ciągłości działania oraz budowy odporności cyfrowej organizacji funkcjonującej w modelu wieloplacówkowym. (…) Powstająca wiedza obejmuje m.in. know-how w zakresie opracowania i konfiguracji rozwiązań informatycznych dostosowanych do specyfiki Banku, identyfikacji i eliminacji punktów krytycznych infrastruktury, definiowania scenariuszy zakłóceniowych i awaryjnych oraz opracowywania mechanizmów ich automatycznej mitygacji. Nowa wiedza dotyczy również sposobów integracji systemów, automatyzacji procesów bankowych oraz parametryzacji i weryfikacji rozwiązań informatycznych. Jednocześnie, powstaje nowa wiedza z zakresu organizacji procesów i zarządzania operacyjnego w instytucji finansowej, obejmująca opracowanie docelowych modeli procesowych, zasad odpowiedzialności, mechanizmów kontroli oraz procedur zapewniających spójność, powtarzalność i bezpieczeństwo działania. (…) W ramach prowadzonych prac Bank opracował nowe produkty, usługi, procesy oraz rozwiązania, które nie funkcjonowały wcześniej w jego praktyce, w szczególności: spójny, całościowy model odporności cyfrowej obejmujący Bank jako jedną organizację (zamiast rozproszonych, punktowych zabezpieczeń), zautomatyzowane mechanizmy mitygacji zdarzeń i awarii uruchamiane według zdefiniowanych scenariuszy, a także nowe podejście do zapewnienia ciągłości działania w środowisku wieloplacówkowym, pozwalające na utrzymanie pełnej funkcjonalności Banku niezależnie od dostępności konkretnej lokalizacji. Unikatowość tych rozwiązań polega na ich indywidualnym zaprojektowaniu pod specyfikę Banku oraz integracji wielu obszarów (technicznych, organizacyjnych i proceduralnych).”

W konsekwencji działania w zakresie digitalizacji Banku, automatyzacji produktów bankowych, budowania bezpieczeństwa danych i struktury odporności cyfrowej, nawet jeśli bank kupuje oprogramowanie od podmiotu trzeciego,  może być podstawą do skorzystania z ulgi B+R.

Powyższa interpretacja daje możliwość nowym podmiotom Krajowego Systemu Cyberbezpieczeństwa zaliczenia części kosztów ponoszonych w związku z dostosowaniem systemu informatycznego firm do nowych obowiązków wynikających z ustawy, do kosztów kwalifikowanych ulgi B+R i zmniejszenia zobowiązania podatkowego CIT/PIT.

Warto oczywiście złożyć wniosek do Dyrektora Krajowej Informacji Skarbowej o wydanie Indywidualnej Interpretacji w zakresie realizowanych prac w celu potwierdzenia, iż wskazane działania wypełniają definicję działalności badawczo-rozwojowej. Wydana przez Dyrektora Krajowej Informacji Skarbowej pozytywna indywidualna stanowi dla podatnika ochronę prawno-podatkową w zakresie odliczenia Ulgi B+R.

Autor: Iwona Makosz, prawnik w Kancelarii Adwokackiej Małgorzata Boguszewska i Wspólnicy.