Piątek, 3 lipca, poranny blok głosowań

W piątek 3 lipca 2026 r., w porannym bloku głosowań, Sejm rozpatrzył uchwałę Senatu w sprawie ustawy o systemach sztucznej inteligencji. Poseł Grzegorz Napieralski, sprawozdawca Komisji Cyfryzacji, Innowacyjności i Nowoczesnych Technologii, zarekomendował przyjęcie dwudziestu czterech z dwudziestu pięciu senackich poprawek — i dokładnie tak izba zagłosowała. Ostatnią poprawkę odrzucono stosunkiem głosów 405 do 13, przy 17 wstrzymujących się. Tym samym prace parlamentarne nad polskim aktem wdrażającym unijne rozporządzenie 2024/1689, znane powszechnie jako AI Act, dobiegły końca. Ustawa leży na biurku prezydenta, który zgodnie z art. 122 Konstytucji ma dwadzieścia jeden dni na podpis.

Cztery dni wcześniej, 29 czerwca, Rada Unii Europejskiej dała ostateczne zielone światło pakietowi Digital Omnibus w części dotyczącej sztucznej inteligencji — temu samemu, który przesuwa o kilkanaście miesięcy obowiązki dla systemów wysokiego ryzyka. Parlament Europejski formalnie zatwierdził tekst 16 czerwca. Publikacja w Dzienniku Urzędowym UE spodziewana jest w lipcu, a nowelizacja wejdzie w życie trzeciego dnia po niej.

I tu zaczyna się problem, który obserwujemy w rozmowach z zarządami i sekretarzami gmin od kilku tygodni. W obiegu funkcjonuje wygodna, ale fałszywa teza: skoro omnibus przesunął wysokie ryzyko na 2027 i 2028 rok, to AI Act można odłożyć na półkę obok segregatora z RODO. Tymczasem 2 sierpnia 2026 r. pozostaje żywą datą zgodności — i to pod kilkoma względami ważniejszą, niż była w pierwotnym kalendarzu. Tego dnia rozporządzenie wchodzi w pełne stosowanie, zaczyna działać architektura nadzoru i kar, a obowiązki transparentności z art. 50 obejmują każdy chatbot na stronie urzędu i każdą wygenerowaną przez model grafikę w firmowym newsletterze.

Co naprawdę zaczyna obowiązywać 2 sierpnia 2026 roku

AI Act wszedł w życie 1 sierpnia 2024 r., ale jego przepisy stosuje się etapami. Od 2 lutego 2025 r. obowiązują zakazy praktyk niedopuszczalnych z art. 5 oraz obowiązek kompetencji w zakresie AI z art. 4. Od 2 sierpnia 2025 r. — obowiązki dostawców modeli ogólnego przeznaczenia. Data 2 sierpnia 2026 r. to moment, w którym zgodnie z art. 113 rozporządzenie zaczyna być stosowane co do zasady w całości.

W praktyce oznacza to trzy rzeczy. Po pierwsze, państwa członkowskie muszą mieć wyznaczone i działające organy nadzoru rynku oraz organy notyfikujące — w Polsce tę rolę obejmie Komisja Rozwoju i Bezpieczeństwa Sztucznej Inteligencji, o której za chwilę. Po drugie, zaczynają być stosowane przepisy o karach administracyjnych: do 35 mln euro lub 7 proc. rocznego światowego obrotu za naruszenie zakazów z art. 5, do 15 mln euro lub 3 proc. obrotu za naruszenie pozostałych obowiązków i do 7,5 mln euro lub 1 proc. obrotu za podanie organom nieprawdziwych informacji. Po trzecie — i to jest zmiana najbardziej odczuwalna dla zwykłej organizacji — zaczynają obowiązywać wymogi transparentności z art. 50.

Zakazy z art. 5 formalnie obowiązują od osiemnastu miesięcy, ale do tej pory ich naruszenie w Polsce nie groziło niczym konkretnym, bo nie było ani organu, ani procedury, ani kar. Od sierpnia ta zaległość znika. Jeżeli ktoś przez półtora roku eksploatował system scoringu społecznego, manipulacji podprogowej albo nieukierunkowanego scrapingu wizerunków twarzy, licząc na to, że przepis bez egzekutora jest tylko deklaracją — czas na korektę kursu właśnie się skończył.

Omnibus: co faktycznie przesunięto i pod jakim warunkiem

Pakiet zmian w AI Act Komisja Europejska przedstawiła 19 listopada 2025 r., w ramach szerszego przeglądu cyfrowych regulacji, który opisywaliśmy przy okazji zapowiedzi zmian w RODO. Pierwsza runda trilogu 28 kwietnia 2026 r. zakończyła się fiaskiem, porozumienie polityczne osiągnięto 6 maja, Rada potwierdziła je 13 maja, a formalna ścieżka legislacyjna domknęła się w czerwcu: Parlament Europejski przegłosował tekst 16 czerwca, Rada — 29 czerwca.

Najważniejsze przesunięcia wyglądają następująco. Obowiązki dla samodzielnych systemów wysokiego ryzyka z załącznika III — czyli m.in. systemów wykorzystywanych w rekrutacji, scoringu kredytowym, edukacji, egzekwowaniu prawa i kontroli granicznej — zaczną być stosowane 2 grudnia 2027 r. zamiast 2 sierpnia 2026 r. Systemy AI wbudowane w produkty regulowane sektorowo z załącznika I, takie jak wyroby medyczne, maszyny czy pojazdy, dostały termin 2 sierpnia 2028 r. Obowiązek utworzenia przez państwa członkowskie piaskownic regulacyjnych przesunięto na 2 sierpnia 2027 r. Zamiast pierwotnie proponowanego przez Komisję mechanizmu warunkowego, uzależniającego start obowiązków od gotowości norm zharmonizowanych, przyjęto daty sztywne.

Omnibus to jednak nie tylko odroczenia. Do art. 5 dopisano nowy zakaz dotyczący systemów generujących niekonsensualne intymne wizerunki oraz materiały przedstawiające seksualne wykorzystywanie dzieci — z okresem przejściowym do 2 grudnia 2026 r. Co istotne, zakaz obejmie nie tylko narzędzia stworzone w tym celu, lecz także generatory ogólnego przeznaczenia, jeżeli taki rezultat jest przewidywalny i odtwarzalny, a system nie ma skutecznych zabezpieczeń technicznych. Rozszerzono podstawę prawną przetwarzania danych szczególnych kategorii na potrzeby wykrywania i korygowania stronniczości — dotychczas zarezerwowaną dla dostawców systemów wysokiego ryzyka — na wszystkie systemy i modele AI. Wzmocniono też Urząd ds. AI, który zyskał wyłączną kompetencję nadzorczą nad systemami zbudowanymi na modelach ogólnego przeznaczenia, gdy model i system pochodzą od tego samego dostawcy, oraz uprawnienia do kontroli, inspekcji na miejscu i nakładania kar. Obowiązek kompetencji AI z art. 4 złagodzono redakcyjnie: organizacje mają „wspierać rozwój" kompetencji personelu, a nie gwarantować ich określony poziom — co w praktyce niewiele zmienia, bo nadal trzeba umieć wykazać, że cokolwiek się w tym zakresie robi.

Jest wreszcie zastrzeżenie, o którym wielu komentatorów zapomina: nowe daty zwiążą dopiero z chwilą publikacji nowelizacji w Dzienniku Urzędowym UE. Do tego momentu formalnie obowiązuje pierwotny kalendarz. Publikacja przed 2 sierpnia jest niemal pewna, ale organizacja, która buduje plan zgodności na komunikatach prasowych zamiast na opublikowanych aktach prawnych, robi to na własne ryzyko.

Art. 50, czyli transparentność: obowiązek, którego nikt nie przesunął

Obowiązki transparentności z art. 50 AI Act wchodzą do stosowania 2 sierpnia 2026 r. zgodnie z pierwotnym planem — omnibus dodał jedynie czteromiesięczny okres przejściowy na znakowanie maszynowe dla systemów wprowadzonych na rynek przed tą datą, do 2 grudnia 2026 r. Warto rozpisać, co konkretnie się za tym kryje, bo to przepis o najszerszym praktycznym zasięgu w całym rozporządzeniu.

Dostawcy systemów przeznaczonych do bezpośredniej interakcji z ludźmi muszą zaprojektować je tak, by użytkownik wiedział, że rozmawia z maszyną — chyba że jest to oczywiste z kontekstu. Każdy chatbot i voicebot obsługujący klientów albo mieszkańców podlega temu wymogowi wprost. Dostawcy systemów generujących syntetyczne audio, obraz, wideo lub tekst muszą oznaczać wyniki w formacie nadającym się do odczytu maszynowego, tak by dało się je zidentyfikować jako wygenerowane sztucznie. Podmioty stosujące systemy generujące deepfake'i muszą ujawniać, że treść została sztucznie wygenerowana lub zmanipulowana. Podmioty stosujące systemy rozpoznawania emocji lub kategoryzacji biometrycznej muszą informować o tym osoby, których to dotyczy. A tekst wygenerowany przez AI i publikowany w celu informowania opinii publicznej o sprawach interesu publicznego wymaga ujawnienia — co powinno zainteresować każdego, kto generuje modelem komunikaty prasowe i aktualności na stronę urzędu.

Od strony technicznej znakowanie maszynowe oznacza osadzanie w treści metadanych lub znaków wodnych, które da się automatycznie odczytać i zweryfikować — branża krystalizuje się wokół standardów pochodzenia treści, a najwięksi dostawcy modeli deklarują zgodność na poziomie API. Sęk w tym, że odpowiedzialność nie kończy się na dostawcy. Podmiot stosujący, który treść wygenerował, przetworzył i opublikował, musi wiedzieć, czy oznaczenie przetrwało jego własny proces produkcyjny: eksport z narzędzia graficznego, kompresję na stronie, wklejenie tekstu do systemu CMS. W praktyce oznacza to przegląd całego łańcucha publikacji, a nie tylko zakup „zgodnego" narzędzia.

Dla organizacji, która przez ostatnie dwa lata wdrożyła u siebie generatory treści, asystentów klienta i automatyzację korespondencji, art. 50 oznacza więc konkretny audyt: gdzie w naszych procesach powstają treści syntetyczne, kto jest ich dostawcą, a kto podmiotem stosującym, i czy mamy techniczną możliwość znakowania. To dokładnie ten obszar, w którym shadow AI — niekontrolowane używanie narzędzi przez pracowników — przestaje być tylko problemem wycieku danych, a staje się problemem regulacyjnym. Pracownik, który generuje grafiki prywatnym kontem i publikuje je w kanałach pracodawcy, tworzy zobowiązanie regulacyjne, o którym organizacja nie wie.

KRiBSI: polska ustawa domyka układankę

Unijne rozporządzenie stosuje się bezpośrednio, ale bez krajowej ustawy nie ma organu, procedur ani sankcji. Polska ustawa o systemach sztucznej inteligencji przeszła całą ścieżkę w niecałe cztery miesiące: rząd przyjął projekt pod koniec marca, do Sejmu wpłynął 9 kwietnia, izba uchwaliła go 11 czerwca głosami 421 posłów, Senat zgłosił 25 czerwca dwadzieścia pięć poprawek, komisja cyfryzacji rozpatrzyła je 2 lipca, a 3 lipca Sejm zakończył prace. O samej ustawie i jej konsekwencjach pisaliśmy szerzej po czerwcowym głosowaniu — tu przypomnijmy architekturę.

Sercem ustawy jest Komisja Rozwoju i Bezpieczeństwa Sztucznej Inteligencji, w skrócie KRiBSI — krajowy organ nadzoru rynku AI i pojedynczy punkt kontaktowy z instytucjami unijnymi. W jej składzie zasiądą przedstawiciele UOKiK, KNF, KRRiT i UKE, a przewodniczącego powoła Sejm za zgodą Senatu na pięcioletnią kadencję. Komisja będzie prowadzić postępowania, kontrolować rynek i nakładać kary w widełkach zbieżnych z rozporządzeniem. Ustawa przewiduje też piaskownice regulacyjne — kontrolowane środowiska testowe pod nadzorem państwa, pomyślane jako wsparcie dla firm rozwijających systemy AI zanim wejdą z nimi na rynek.

Zbieg terminów nie jest przypadkowy: ustawa ma zdążyć przed 2 sierpnia, żeby Polska nie weszła w pełne stosowanie AI Act bez organu nadzoru — jak to się nam przydarzyło z NIS-2, gdzie opóźnienie transpozycji liczyliśmy w latach. Jeżeli prezydent podpisze ustawę w lipcu, KRiBSI zacznie się formować w okolicach daty granicznej. Pierwsze miesiące będą siłą rzeczy okresem budowania struktur, ale doświadczenie z UODO uczy, że organy nadzorcze nadrabiają rozruch z nawiązką — a postępowania wszczęte w trzecim roku działalności dotyczą naruszeń z roku pierwszego.

Dwa organy, jedno naruszenie: AI Act spotyka RODO

Jest jeszcze jeden wymiar sierpniowej daty, o którym mówi się zaskakująco mało: nakładanie się reżimów. Zdecydowana większość systemów AI używanych w polskich organizacjach przetwarza dane osobowe — chatbot obsługujący mieszkańca, asystent piszący odpowiedzi na korespondencję, narzędzie analizujące CV. To oznacza, że jedno wdrożenie podlega równolegle AI Act i RODO, a jedno naruszenie może uruchomić dwa niezależne postępowania: przed KRiBSI i przed Prezesem UODO. Kary z obu reżimów się nie znoszą.

Praktyczna konsekwencja jest taka, że zgodności z AI Act nie da się budować w oderwaniu od istniejącej dokumentacji ochrony danych. Ocena skutków dla ochrony danych z art. 35 RODO i ocena skutków dla praw podstawowych z art. 27 AI Act dotyczą często tego samego systemu i tych samych ryzyk — rozsądna organizacja prowadzi je jako jeden proces z dwoma produktami, zamiast zlecać dwa osobne opracowania dwóm zespołom, które się nie znają. Podobnie rejestr systemów AI powinien wyrastać z rejestru czynności przetwarzania, a klauzule z dostawcami narzędzi AI — z istniejących umów powierzenia. Prezes UODO zresztą nie czeka na KRiBSI: dotychczasowe decyzje w sprawach naruszeń pokazują, że tam, gdzie w grę wchodzi automatyczne przetwarzanie danych na dużą skalę, organ potrafi sięgnąć po art. 5, 25 i 32 RODO niezależnie od tego, czy system nazwiemy sztuczną inteligencją, czy zwykłym oprogramowaniem.

Samorząd: chatbot na stronie urzędu to też AI Act

Dla jednostek samorządu terytorialnego najczęstszym punktem styku z AI Act nie będzie żaden system wysokiego ryzyka, tylko prozaiczny chatbot na stronie urzędu, voicebot w centrum obsługi mieszkańca i treści generowane do biuletynów oraz mediów społecznościowych. Wszystko to od 2 sierpnia podlega art. 50. Urząd występuje tu zwykle w roli podmiotu stosującego, ale bywa też dostawcą w rozumieniu rozporządzenia — jeżeli zamówił system pod własną marką albo istotnie go zmodyfikował.

Drugi wątek samorządowy to systemy, które dziś wyglądają niewinnie, a w klasyfikacji załącznika III lądują w wysokim ryzyku: narzędzia wspierające decyzje o świadczeniach z pomocy społecznej, systemy oceniające w rekrutacjach urzędniczych, algorytmy przydziału miejsc w placówkach. Ich obowiązki przesunięto na 2 grudnia 2027 r., a dla systemów wysokiego ryzyka używanych już przez organy publiczne art. 111 rozporządzenia przewiduje dodatkowy horyzont dostosowania sięgający sierpnia 2030 r. — ale ocena skutków dla praw podstawowych, dokumentacja i nadzór ludzki to nie jest praca na kwartał. Samorząd, który w tym roku zinwentaryzuje swoje systemy i sklasyfikuje je według ryzyka, w 2027 będzie dopinał szczegóły. Ten, który zacznie w październiku 2027, będzie kupował gotowe „wdrożenia" z półki — wiemy, jak to się kończy, bo dokładnie ten scenariusz obserwowaliśmy przy RODO w 2018 r.

Trzeci wątek: kalendarz regulacyjny samorządu na drugą połowę 2026 r. jest bezlitosny. Do 3 października trwa samorejestracja w wykazie podmiotów kluczowych i ważnych po nowelizacji ustawy o krajowym systemie cyberbezpieczeństwa, równolegle biegną obowiązki z analizą ryzyka i zgłaszaniem incydentów, a od 2 sierpnia dochodzi transparentność AI. To trzy reżimy naraz, obsługiwane zwykle przez tego samego, jednego informatyka i tego samego sekretarza. Bez decyzji organizacyjnej — kto jest właścicielem tematu AI w urzędzie — żaden z tych terminów nie obsłuży się sam.

MŚP: jesteś podmiotem stosującym, nawet jeśli o tym nie wiesz

W małych i średnich firmach dominuje przekonanie, że AI Act dotyczy „tych od modeli" — OpenAI, Google'a, może największych integratorów. Tymczasem rozporządzenie nakłada obowiązki także na podmioty stosujące, czyli każdą organizację używającą systemów AI w celach zawodowych. Firma, której marketing generuje grafiki i teksty modelami generatywnymi, której handlowcy używają asystenta AI w korespondencji, a rekruter — narzędzia do preselekcji CV, jest podmiotem stosującym w trzech różnych punktach regulacji.

Od 2 sierpnia najpilniejsze są dwa obszary. Pierwszy to wspomniana transparentność: chatbot obsługi klienta musi się przedstawiać, deepfake w kampanii reklamowej wymaga ujawnienia, a treści syntetyczne — oznaczenia po stronie dostawcy narzędzia. Drugi to higiena zakupowa: skoro obowiązki dla systemów wysokiego ryzyka wejdą w grudniu 2027 r., to właśnie teraz podpisywane umowy z dostawcami oprogramowania HR, finansowego czy scoringowego powinny zawierać zobowiązania dotyczące zgodności z AI Act, dokumentacji technicznej i wsparcia przy ocenie ryzyka. Dostawca, który dziś nie potrafi odpowiedzieć, czy jego produkt będzie systemem wysokiego ryzyka z załącznika III, wystawia swoim klientom rachunek z odroczonym terminem płatności.

Osobnym zjawiskiem, na które warto uczulić osoby decydujące o zakupach, jest rozkwit rynku „zgodności z AI Act" w wydaniu ekspresowym. Odroczenie obowiązków wysokiego ryzyka paradoksalnie nasiliło sprzedażową narrację pilności: oferty certyfikatów zgodności, których rozporządzenie nie przewiduje, gotowych polityk AI za kilkaset złotych i szkoleń obiecujących pełne przygotowanie w jedno popołudnie. Warto pytać dostawców takich usług o trzy rzeczy: na jakich przepisach i terminach opierają swoją ofertę po omnibusie, w jakiej roli — dostawcy czy podmiotu stosującego — widzą naszą organizację dla każdego systemu, i jakie dowody zgodności zostaną po ich pracy. Odpowiedzi zwykle porządkują rynek szybciej niż jakakolwiek regulacja.

Jest i trzeci obszar, mniej regulacyjny, a bardziej praktyczny: bezpieczeństwo samych narzędzi. Agenci AI zintegrowani z firmową pocztą i dokumentami to nowa powierzchnia ataku — pisaliśmy o tym szerzej przy okazji podatności typu prompt injection. Zgodność z art. 50 nie ochroni firmy, której asystent AI da się namówić na przesłanie bazy klientów pod adres atakującego.

Kalendarz, który warto powiesić nad biurkiem

Po omnibusie oś czasu AI Act wygląda następująco — i warto ją zapamiętać w tej wersji, bo w obiegu wciąż krążą materiały sprzed nowelizacji. Od 2 lutego 2025 r. obowiązują zakazy praktyk niedopuszczalnych i obowiązek kompetencji AI. Od 2 sierpnia 2025 r. — obowiązki dostawców modeli ogólnego przeznaczenia. 2 sierpnia 2026 r. rozporządzenie wchodzi w pełne stosowanie: transparentność z art. 50, organy nadzoru, kary. 2 grudnia 2026 r. kończy się okres przejściowy dla znakowania treści przez systemy już obecne na rynku oraz dla nowego zakazu generatorów treści intymnych i CSAM. 2 sierpnia 2027 r. mija termin utworzenia krajowych piaskownic regulacyjnych. 2 grudnia 2027 r. startują obowiązki dla samodzielnych systemów wysokiego ryzyka z załącznika III. 2 sierpnia 2028 r. — dla systemów AI wbudowanych w produkty regulowane z załącznika I. A równolegle, poza AI Act, ale w tym samym budżecie i na tych samych barkach: 3 października 2026 r. upływa termin wpisu do wykazu podmiotów kluczowych i ważnych według znowelizowanej ustawy o KSC.

Z tej perspektywy widać jasno, że omnibus nie dał nikomu wolnego. Dał czas — a to zupełnie inna waluta. Osiemnaście miesięcy do grudnia 2027 r. to dokładnie tyle, ile potrzeba na rzetelną inwentaryzację, klasyfikację, dostosowanie umów i zbudowanie nadzoru nad systemami wysokiego ryzyka. Organizacje, które ten czas skonsumują na czekanie, spotkają się w listopadzie 2027 r. w tej samej kolejce do tych samych konsultantów, płacąc stawki sezonu wysokiego.

Dlaczego z Fib.Code przygotujesz organizację na AI Act

W Fib.Code od lat pracujemy na styku regulacji i praktyki bezpieczeństwa informacji: prowadzimy audyty zgodności, wdrażamy systemy zarządzania bezpieczeństwem według ISO 27001 i ISO 22301, obsługujemy organizacje jako zewnętrzny inspektor ochrony danych i pełnomocnik do spraw bezpieczeństwa informacji, wspieramy podmioty kluczowe i ważne we wdrożeniach NIS-2 i znowelizowanej ustawy o KSC. AI Act traktujemy jako kolejną warstwę tego samego systemu — nie osobną religię, tylko zestaw obowiązków, które muszą się spiąć z tym, co organizacja już ma: rejestrem czynności przetwarzania, analizą ryzyka, zarządzaniem dostawcami i incydentami.

Pracujemy według trzech zasad. Po pierwsze, zaczynamy od inwentaryzacji stanu faktycznego, nie od szablonu polityki — bo dokument o sztucznej inteligencji, którego nikt nie stosuje, chroni wyłącznie jego autora, i to słabo. Po drugie, klasyfikujemy systemy według realnego ryzyka regulacyjnego i biznesowego, żeby budżet szedł tam, gdzie grożą kary i incydenty, a nie tam, gdzie najgłośniej krzyczy marketing dostawców. Po trzecie, każde wdrożenie kończymy przeszkoleniem ludzi, którzy będą z tym żyć — od zarządu, przez informatyka, po osoby publikujące treści.

Efektem nie jest segregator na kontrolę KRiBSI, tylko organizacja, która wie, jakich systemów AI używa, w jakiej roli występuje wobec każdego z nich, co musi ujawniać użytkownikom od 2 sierpnia i co ma zaplanowane na grudzień 2027 r. — z dowodami, które można położyć na stole przed organem nadzoru, audytorem i własnym zarządem.

Co zrobić w tym tygodniu, zanim kalendarz zrobi to za ciebie

Do 2 sierpnia zostały niecałe cztery tygodnie, z czego część przypada na urlopy. W tym tygodniu zwołaj jedno spotkanie — zarządu z osobą odpowiedzialną za IT i osobą odpowiedzialną za komunikację — i odpowiedzcie sobie na pięć pytań. Pierwsze: jakich systemów AI faktycznie używamy, wliczając narzędzia, z których pracownicy korzystają bez formalnej zgody? Drugie: gdzie w naszych kanałach działa chatbot, voicebot albo inna forma interakcji z maszyną — i czy użytkownik się o tym dowiaduje? Trzecie: jakie treści generujemy modelami i publikujemy na zewnątrz, i kto odpowiada za ich oznaczanie? Czwarte: które z naszych systemów mogą podpadać pod załącznik III — rekrutacja, scoring, świadczenia — i co na temat zgodności mówią umowy z ich dostawcami? Piąte: kto imiennie jest właścicielem tematu AI w organizacji i przed kim raportuje?

Jeżeli na dwa lub więcej pytań odpowiedź brzmi „nie wiemy", to jest dokładnie ten moment, w którym warto sięgnąć po wsparcie z zewnątrz — póki termin jeszcze pracuje dla was, a nie przeciwko wam.

Zapraszamy do kontaktu: l.grabowski@fibcode.com | fibcode.com/pl/kontakt. Bezpośrednio powiązane materiały: Sejm uchwalił ustawę o AI — KRiBSI, kary, obowiązki firm, Digital Omnibus i zapowiedź zmian w RODO, AI Act a bezpieczeństwo informacji — co łączą nowe regulacje — razem układają się w mapę drogową zgodności AI na lata 2026–2028.