Niepewność interpretacyjna co do Ustawy o Krajowym Systemie Cyberbezpieczeństwa spędza sen z powiek administracji publicznej

Konferencja CyberGov 2025 pokazała, że regulacje prawne to jedno, lecz realia ich wdrożeń pozostają zupełnie odrębną kwestią. Eksperci wskazują na aspekty, które budzą największy niepokój przedstawicieli administracji publicznej podkreślając, że potrzebne są jasne wytyczne, realistyczne podejście do obowiązków oraz wsparcie - technologiczne i prawno-organizacyjne.

Jak pokazują przykłady udanych ataków na ten sektor podniesienie poziomu bezpieczeństwa jest konieczne.

Sektor publiczny intensywnie szuka odpowiedzi na najważniejsze pytania związane z nowelizacją ustawy o Krajowym Systemie Cyberbezpieczeństwa

Aleksander Kostuch

inżynier Stormshield

Silny bodziec mobilizacyjny, który wzbudza również wiele napięć

W dyskusjach kuluarowych podczas CyberGov jednym z najczęściej podnoszonych wątków była niepewność interpretacyjna. Wielu uczestników wciąż nie jest przekonanych czy ich instytucje w ogóle zostaną uznane za operatorów usług kluczowych lub ważnych

Piotr Zielaskiewicz

menadżer ds. rozwiązań Stormshield w Dagma Bezpieczeństwo IT

Jeśli progiem kwalifikującym jest próg 50 etatów, to ze strony przedstawicieli administracji pojawia się pytanie czy liczony będzie każdy pełen etat, czy również pracownicy wykonujący obowiązki w niepełnym wymiarze. Brak jednoznacznych interpretacji, budzi niepokój szczególnie w mniejszych gminach

Aleksander Kostuch

inżynier Stormshield

Eksperci wskazują, że dla administracji publicznej realnym wyzwaniem w kontekście realizacji ujętych w projekcie ustawy działań (np. tworzenia Security Operations Center czy wdrażania systemów SIEM) pozostaje brak zasobów ludzkich oraz budżetów.

W takiej sytuacji łatwo zrozumieć, że choć pojawia się presja by podjąć działania podnoszące poziom bezpieczeństwa, to wspomniana niepewność może skutecznie przed nimi powstrzymywać. W sytuacji, gdy dana jednostka musi wykorzystywać ograniczone zasoby, wdrażanie rozwiązań które mogłyby być ocenione jako zbyt wygórowane, nie zostanie ocenione racjonalnie

Aleksander Kostuch

inżynier Stormshield

Jego zdaniem, w tym kontekście nie powinno też dziwić, że wrażliwym tematem jest kwestia odpowiedzialności finansowej osób na stanowiskach kierowniczych

Przedstawiciele administracji zainteresowani praktycznymi przykładami i z obawami

Dowodem na duże zainteresowanie wdrażaniem rozwiązań podnoszących bezpieczeństwo jest m.in. frekwencja podczas warsztatów towarzyszących konferencji, gdzie prezentowane były praktyczne aspekty ochrony sieci IT i systemów przemysłowych OT zgodnie z wymaganiami NIS2, w oparciu o implementację firewalli w infrastrukturze krytycznej

Uczestnicy byli bardzo zaangażowani w dyskusję, co pokazuje że niezwykle odpowiedzialnie podchodzą do wyzwania, jakim jest zapewnienie bezpieczeństwa danych i systemów, z których korzystają

Aleksander Kostuch

inżynier Stormshield

Wskazuje przy tym, że w dyskusji przewijało się pytanie, czy nałożenie na instytucje publiczne obowiązków wykraczających poza wymagania wskazane w dyrektywie NIS2 jest niezbędne. Wśród obaw jakie wyrażają przedstawiciele administracji istotną jest ta dotycząca kosztów.

Brakuje jasnych wyliczeń w tym obszarze. Obciążenie dla JST i mniejszych podmiotów może być znaczne, więc brak ostatecznej wersji projektu sprawia, że część z nich zwleka z wydatkowaniem środków na działania

Aleksander Kostuch

inżynier Stormshield

Kolejna obawa dotyczy systemu S46, z którego korzystanie wg. projektu ustawy będzie obligatoryjne. To zaprojektowany przez Ministerstwo Cyfryzacji centralny system teleinformatyczny, który ma służyć wymianie informacji w ramach Krajowego Systemu Cyberbezpieczeństwa. Pierwotnie miało go wdrożyć 46 krytycznych przedsiębiorstw, jednak zgodnie z aktualnymi założeniami obejmie wszystkie podmioty kluczowe i ważne.

System ma obsługiwać zgłoszenia incydentów, a także wspierać wymianę informacji między CSIRT-ami sektorowymi, krajowym CSIRT NASK, ABW i MON, gromadzić dane o stanie zabezpieczeń i spełnianiu wymagań ustawowych przez podmioty objęte KSC oraz umożliwiać raportowanie i audyt zgodności z przepisami ustawy i aktów wykonawczych (m.in. analiza ryzyka, polityki bezpieczeństwa).

Część instytucji, które zaczęły jego implementację, ostatecznie się z tego wycofało, czekając na bardziej stabilną wersję systemu

Aleksander Kostuch

inżynier Stormshield

Administracja publiczna narażona na wrogie działania

Jak komentował niedawno minister Krzysztof Gawkowski „dziś największym zagrożeniem są ataki na niewielkie ośrodki - lokalny wodociąg, szpital - tam relatywnie łatwiej się dostać i wywołać wielkie szkody.”

W Polsce, w ciągu ostatnich kilkunastu miesięcy, ofiarami skutecznych ataków stały się Starostwo Powiatowe w Świebodzinie, MGOPS w Sędziszowie Małopolskim czy Powiatowy Urząd Pracy w Policach. Incydenty nie ominęły również naszych sąsiadów. W Czechach w efekcie ataku ransomware zaszyfrowano dane miasta Borohrádek. W Niemczech ransomware dotknął berliński szpital Dominikus-Reinickendorf, jednak najgłośniejszy incydent miał miejsce na Słowacji, gdzie sparaliżowany został system ewidencji nieruchomości.

Każdy taki przypadek oznacza realne szkody. W przypadku szpitala niezbędne może być wstrzymanie pracy, co oczywiście rodzi konsekwencje dla chorych. Kradzież danych nie wiążę się z takim zagrożeniem, jednak jeśli trafią one w niepowołane ręce, to mogą zostać wykorzystane przeciwko nam. Administracja publiczna posiada z pewnością jeden z największych zasobów cennych informacji, dlatego podnoszenie bezpieczeństwa tej sfery jest niezwykle istotne. Temu służy tak wyczekiwana nowelizacja ustawy o Krajowym Systemie Cyberbezpieczeństwa

Aleksander Kostuch

inżynier Stormshield