Interpelacja w sprawie architektury Krajowego Systemu e-Faktur

Interpelacja posła Janusza Kowalskiego z dnia 19 lutego 2026 roku w sprawie w sprawie architektury Krajowego Systemu e-Faktur.

W przestrzeni medialnej pojawiły się informacje dotyczące architektury Krajowego Systemu e-Faktur, wskazujące na wykorzystywanie w tej infrastrukturze rozwiązań klasy reverse proxy oraz Web Application Firewall dostarczanych przez spółkę Imperva. Z tych informacji wynika, że komunikacja z API KSeF może odbywać się poprzez infrastrukturę typu edge obsługiwaną przez zewnętrznego dostawcę, którym jest Imperva. Jeśli tak jest, ruch HTTPS kierowany do API KSeF trafia najpierw do warstwy reverse proxy, gdzie może następować terminacja połączenia TLS, czyli odszyfrowanie przesyłanych informacji, analiza tych informacji pod kątem ewentualnych zagrożeń, ponowne zaszyfrowanie oraz ich dalsze przekazanie do właściwej infrastruktury Ministerstwa Finansów. Rozwiązanie to może mieć na celu zapewnienie bezpieczeństwa oraz stabilizację obciążenia systemu KSeF.

Mając na uwadze powyższe, poseł Janusz Kowalski zwrócił się o odpowiedź na następujące pytania:

1. Czy ruch do API KSeF przechodzi przez infrastrukturę reverse proxy oraz WAF obsługiwaną przez zewnętrznego dostawcę?

2. Czy w komunikacji z API KSeF stosowane jest szyfrowanie end to end pomiędzy systemem podatnika a docelową infrastrukturą Ministerstwa Finansów, czy też w przypadku terminacji TLS na warstwie pośredniej podmiot świadczący usługę WAF posiada techniczną możliwość dostępu do odszyfrowanej treści plików XML faktur przesyłanych przez podatników?

3. Czy Ministerstwo Finansów posiada pełną wiedzę oraz kontrolę audytową nad konfiguracją i regułami bezpieczeństwa stosowanymi na warstwie pośredniej (WAF, reverse proxy), obsługiwanej przez zewnętrznego dostawcę, w tym nad mechanizmami logowania, retencji logów oraz ich lokalizacją geograficzną?

4. Czy w związku z wykorzystaniem zewnętrznej infrastruktury edge przeprowadzono analizę ryzyk prawnych i regulacyjnych, w szczególności w kontekście ochrony tajemnicy skarbowej, RODO oraz potencjalnego podlegania dostawcy zagranicznym jurysdykcjom (np. CLOUD Act)?

5. Czy i w jaki sposób zapewniona jest ciągłość działania oraz odporność operacyjna KSeF na wypadek awarii, incydentu bezpieczeństwa lub zakończenia współpracy z zewnętrznym dostawcą infrastruktury WAF/reverse proxy, w tym czy istnieje możliwość szybkiego przełączenia ruchu wyłącznie na infrastrukturę kontrolowaną przez państwo?

6. Czy w toku projektowania architektury bezpieczeństwa KSeF analizowane było rozwiązanie polegające na braku terminacji TLS poza infrastrukturą państwową, czyli pełna suwerenność kryptograficzna infrastruktury państwowej, a jeżeli tak, jakie względy techniczne, bezpieczeństwa lub ekonomiczne przesądziły o wyborze obecnego modelu?

7. Czy w planach Ministerstwa Finansów znajduje się budowa własnej, suwerennej infrastruktury ochrony aplikacyjnej i warstwy edge, obejmującej państwową infrastrukturę WAF, ochronę przed atakami DDoS oraz zarządzanie kluczami TLS, która w przyszłości mogłaby ograniczyć lub wyeliminować wykorzystanie komercyjnych podmiotów zewnętrznych w obsłudze ruchu do KSeF?

Oto odpowiedź Ministerstwa Finansów z dnia 17 marca 2026 roku:

Wodpowiedzi na interpelacje poselską nr 15455 w sprawie architekturyKrajowego Systemu e-Faktur, Ministerstwo Finansów uprzejmie wyjaśnia, że informacje dotyczące architektury technicznej systemów stanowiących kluczowe elementy infrastruktury IT administracji publicznej oraz szczegóły współpracy z dostawcami nie są publicznie ujawniane. Publicznie komunikowane są wyłącznie ogólne zasady funkcjonowania takich systemów, natomiast detale operacyjne pozostają objęte ograniczeniami informacyjnymi ze względów bezpieczeństwa. Komunikowanie informacjitechnicznych mogłoby osłabić poziom ochrony systemówIT administracji publicznej.

Źródło: www.sejm.gov.pl