close
menu
 

22 października 2024

Komentarz eksperta do projektu nowelizacji Ustawy o Krajowym Systemie Cyberbezpieczeństwa

Skala wyzwań rośnie a dbałość o odpowiednie zabezpieczenie systemów informatycznych oraz sieci przemysłowych po stronie przedsiębiorstw i instytucji za nią nie nadąża. „Ministerstwo Cyfryzacji chce zadbać o podniesienie poziomu cyberbezpieczeństwa w naszym kraju, mając świadomość w jakim miejscu układanki geopolitycznej aktualnie się znajdujemy”, mówi ekspert Stormshield, wytwórcy rozwiązań bezpieczeństwa IT. Dodaje, że mimo wyzwań jakie pojawiają się w związku z nową ustawą, należy ocenić te działania ocenić pozytywnie.

Skala wyzwań rośnie a dbałość o odpowiednie zabezpieczenie systemów informatycznych oraz sieci przemysłowych po stronie przedsiębiorstw i instytucji za nią nie nadąża. „Ministerstwo Cyfryzacji chce zadbać o podniesienie poziomu cyberbezpieczeństwa w naszym kraju, mając świadomość w jakim miejscu układanki geopolitycznej aktualnie się znajdujemy”, mówi ekspert Stormshield, wytwórcy rozwiązań bezpieczeństwa IT. Dodaje, że mimo wyzwań jakie pojawiają się w związku z nową ustawą, należy ocenić te działania ocenić pozytywnie

Paweł Śmigielski
country manager Stormshield w Polsce

Świadczy o tym opisanie w dokumencie obowiązków m.in. odnoszących się do analizy ryzyka, wprowadzania środków technicznych, operacyjnych i organizacyjnych proporcjonalnych do zagrożeń, czy uwzględnienie wątku bezpieczeństwa łańcucha dostaw. Szczególnie ten ostatni aspekt pozostaje naszą bolączką, gdyż zainteresowanie nim, to jeden z głównych trendów w środowisku przestępców, którzy wykorzystując go jako nić, chcą niczym do kłębka dostać się do zasobów organizacji docelowej.

 

Zmiany w projekcie nowelizacji ustawy Krajowy System Cyberbezpieczeństwa

  1. Jedną z bardziej istotnych zmian w projekcie nowelizacji, w porównaniu do wersji ogłoszonej wiosną bieżącego roku, jest zmniejszenie liczby sektorów uznawanych za kluczowe i uwzględnienie ich jako ważnych. Głównie chodzi tutaj o sektor produkcji, chemikaliów i żywności.
  2. Nastąpiło również złagodzenie kryteriów wielkości przy kwalifikowaniu podmiotu jako kluczowy lub ważny. Projekt zmienia wymogi w kontekście mikro i małych przedsiębiorców m.in. podmiotami kluczowymi jako dostawcy usług zarządzanych w zakresie cyberbezpieczeństwa nie będą mikroprzedsiębiorstwa, czyli firmy zatrudniające mniej niż 10 pracowników oraz jednoosobowe działalności gospodarcze, które najczęściej dostarczają wyspecjalizowane usługi np. audyty systemów informacyjnych lub testy bezpieczeństwa.
  3. Pośrednio z kryterium wielkości przedsiębiorstwa wiąże się również złagodzenie wymogów dla podmiotów należących do grup kapitałowych. Nawet jeśli podmiot spełnia kryterium wielkościowe będąc częścią grupy kapitałowej, to podstawą do oceny czy podlega on obowiązkowi wdrożenia określonych środków bezpieczeństwa, będzie powiązanie jego systemów IT z systemami grupy. W przypadku braku takowego podmiot taki nie zostanie uznany za kluczowy lub ważny, a tym samym ustawa go nie obejmie.
  4. W trakcie konsultacji pojawiały się głosy, w których interpretowano zapisy projektu odnoszące się do norm ISO/IEC 27001 oraz PN-EN ISO/IEC 22301 jako obligatoryjnych. Ministerstwo Cyfryzacji zdecydowało się usunąć te odniesienia, aby jednoznacznie wskazać na brak wymogu obowiązkowej certyfikacji.
  5. Innym usuniętym z projektu ustawy wymogiem jest ten dotyczący aspektu znajomości przez personel podmiotu kluczowego i ważnego przepisów prawa z zakresu cyberbezpieczeństwa. Obecnie wprowadzono konieczność znajomości wewnętrznych regulacji podmiotu w tym zakresie, co jest bardzo dobrym krokiem. Specjaliści cyberbezpieczeństwa, na niedobór których mamy prawo narzekać, będą mogli skupić się na przygotowywaniu do implementacji wymogów nakładanych przez ustawę i szkoleniu zespołów w zakresie cyberhigieny, zamiast zmuszać pracowników do studiowania aktów prawnych związanych z cyberbezpieczeństwem.

 

Środki bezpieczeństwa powinny być adekwatne do ryzyka ocenianego indywidualnie

Warto również zwrócić uwagę, że przedstawiciele Ministerstwa Cyfryzacji odnosząc się do uwag zgłaszanych podczas konsultacji społecznych wielokrotnie podkreślali, że podmioty kluczowe lub ważne mają wdrożyć środki techniczne oraz organizacyjne odpowiednie i proporcjonalne do oszacowanego ryzyka, co uwzględnia m.in. koszty wdrożenia i wielkość podmiotu. Innymi słowy mniejsze podmioty nie będą musiały posiadać rozwiązań i procedur na takim samym poziomie jak duże podmioty kluczowe
(siłą rzeczy droższych, których implementacja wymaga więcej czasu).

Wyjaśnienie tej kwestii jest istotne, bo brak jednoznaczności mógł powodować niepewność. W mojej opinii zupełnie nie uzasadnionym jest, gdy mniejsze podmioty (co do liczby pracowników) porównują się do dużych, w kontekście wdrażania technologii bezpieczeństwa. W ich przypadku, ze względu na skalę działalności, najczęściej wygląda to przecież zupełnie inaczej. Powinny się one skupić na analizie ryzyka związanej z własnymi zasobami i wdrażać rozwiązania adekwatne do zidentyfikowanych obszarów wymagających zabezpieczenia. Podczas naszych spotkań z przedsiębiorcami z różnych branż wciąż pojawiają się nawet pytania czy kierowany przez nich podmiot w ogóle będzie objęty ustawą. To pokazuje, że niestety pod względem upowszechniania wiedzy wciąż jest wiele pracy do wykonania

Paweł Śmigielski
country manager Stormshield w Polsce

Obawy wyrażane z tego tytułu uwypuklają problem, że wciąż za mało uwagi poświęcane jest kwestii implementacji założeń dyrektywy, a wiele podmiotów, które wkrótce zostaną objęte obowiązkami nie jest ich świadoma.

 

Niestety, wydłużenie się prac na projektem będzie miało konsekwencje

Konsekwencja jaką widzimy po stronie rządowej pokazuje, że wejście w życie ustawy jest tylko kwestią czasu. Pytanie brzmi od kiedy firmę lub instytucję obejmą obowiązki np. w zakresie audytu czy szkoleń, pokłosiem których będzie także instalacja odpowiednich technologii wzmacniających bezpieczeństwo, jak nowoczesne firewalle czy system SIEM lub stworzenie SOC (czyli centrum monitorowania, wykrywania i reagowania na zagrożenia cybernetyczne). To wymaga zasobów – ludzi i środków. Niestety wydłużenie procedowania ustawy może utrudnić części podmiotów uwzględnienie wydatków na ten cel w swoich budżetach. Szczególnie w przypadku administracji publicznej czy samorządów, które funkcjonują w oparciu o uchwalane corocznie plany finansowe a elastyczność co do ich modyfikowania jest ograniczona.

Ważne jest zatem by mądrze planować wydatki na przyszły rok, w sytuacji gdy nie ma pewności co do tego jak ostatecznie obowiązki te będą wyglądać. Z pewnością nie będzie to najprostszym zadaniem, a rolą branży cyberbezpieczeństwa jest obecnie mądre doradztwo. Wierzę, że staniemy na wysokości zadania

Paweł Śmigielski
country manager Stormshield w Polsce
informacja stormshield #utm
Piotr Zielaskiewicz

Piotr Zielaskiewicz
senior product manager STORMSHIELD

Masz pytania?
Skontaktuj się ze mną:
zielaskiewicz.p@dagma.pl
32 259 11 38

Podobne wpisy:

arrow_forward_ios
28 października 2024
Stormshield wprowadza nowy firewall SNi10 ‑ do ochrony sieci przemysłowych
informacja stormshield #utm
23 października 2024
Cyber X Challenges, wyzwanie 11: Wykrywanie malware i zarządzanie aktualizacjami
informacja #malware stormshield #utm
15 października 2024
Stormshield wprowadza nowy firewall z serii SN‑XS‑170
informacja stormshield #utm
07 października 2024
Nowy rok szkolny i akademicki. Postaw na cyberbezpieczeństwo i perspektywiczną zawodową przyszłość
informacja stormshield #utm
01 października 2024
Rola szkoleń w cyberbezpieczeństwie - Podcast Cyber, Cyber…
informacja stormshield #utm
10 czerwca 2024
NIS2 - końcowe odliczanie. 4 miesiące na wdrożenie założeń nowej dyrektywy regulującej kwestię cyberbezpieczeństwa
informacja #nis2 stormshield #utm
arrow_forward_ios