Nowelizacja ustawy o KSC - Systemowa mapa drogowa do podniesienia poziomu cyberodporności polskich firm i administracji

Nowelizacja ustawy o Krajowym Systemie Cyberbezpieczeństwa - komentarze ekspertów

Trwają prace nad nowelizacją Ustawy o Krajowym Systemie Cyberbezpieczeństwa. Akt wprowadzi do polskiego prawodawstwa założenia dyrektywy NIS2. Jak zwracają uwagę eksperci Stormshield, zaletą projektu jest jego szeroki zakres, który pozwala w oparciu o proponowane przepisy systemowo budować krajową cyberodporność. Jednocześnie pojawiają się obawy, że skala projektu, w odniesieniu do liczby podmiotów które zostaną nim objęte, może negatywnie wpłynąć na ich konkurencyjność.

Plusy projektu nowelizacji - systemowa mapa drogowa do cyberbezpieczeństwa

W opinii Pawła Śmigielskiego, country managera Stormshield w Polsce, zaletą projektu nowelizacji jest ujęte w nim systemowe podejście do kwestii cyberbezpieczeństwa. Świadczy o tym opisanie w dokumencie m.in. obowiązków odnoszących się do analizy ryzyka, wprowadzania środków technicznych, operacyjnych i organizacyjnych proporcjonalnych do zagrożeń, czy uwzględnienie wątku bezpieczeństwa łańcucha dostaw. Szczególnie ten ostatni aspekt pozostaje naszą bolączką, gdyż zainteresowanie nim, to jeden z głównych trendów w środowisku przestępców, którzy wykorzystując go jako nić, chcą niczym do kłębka, dostać się do zasobów organizacji docelowej. Na problem zwracają uwagę m.in. specjaliści zajmujący się bezpieczeństwem IT w Jednostkach Samorządu Terytorialnego (JST), wskazując na „niewystarczającą świadomość po stronie organizacji, które tworzą ich łańcuch dostaw”. Jednak zjawisko dotyczy nie tylko sektora samorządowego.

Ustawodawca reaguje na zagrożenia, proponując wdrożenie systemów, które będą realnie chronić przed cyberzagrożeniami bezpośrednio i pośrednio tych, którzy wykonują usługi na rzecz społeczeństwa. Przedłożona nowelizacja kładzie nacisk, by podejście do zagadnień cyberbezpieczeństwa było systemowe. Projekt w mojej ocenie można traktować jako dokładną mapę drogową. Konsekwentne wdrażanie ujętych w nim rozwiązań, adaptujących do polskiego prawodawstwa obowiązki wynikające z NIS2, pozwoli realnie zwiększyć poziom bezpieczeństwa i odporności na rosnące zagrożenia

Paweł Śmigielski,

country manager Stormshield w Polsce

25 proc. wszystkich podmiotów objętych NIS2 z Polski

Wśród mankamentów założeń nowelizacji ustawy, eksperci Stormshield zwracają uwagę na skalę. Pierwotna ustawa o KSC objęła obowiązkami ok. 400 podmiotów, podczas gdy obecna wg. szacunków wprowadza je aż dla około 38 tysięcy. Tyle przedsiębiorstw i instytucji publicznych zostanie zakwalifikowane jako podmioty kluczowe lub ważne. Obecny projekt jest pod tym względem bardziej rygorystyczny, także w porównaniu do dyrektywy NIS2. Zgodnie z aktualną wersją noweli podmioty z aż 14 sektorów gospodarki zostaną ujęte jako podmioty kluczowe, wobec 11, o których mowa w dyrektywie NIS2.

Nasza nowelizacja jest pod tym względem szersza i bardziej rygorystyczna. Wyrażane są przy tym obawy, że te nadmierne regulacje mogą pogorszyć konkurencyjność przedsiębiorstw

Paweł Śmigielski,

country manager Stormshield w Polsce

W całej UE, jak się szacuje, dyrektywą zostanie objętych ok. 150-160 tys. podmiotów. W Niemczech będzie to ok. 35 tys., a we Francji ok. 15 tys.

Zatem wskazana w ocenach skutków regulacji liczba polskich podmiotów stanowić może około 25 proc. wszystkich objętych regulacjami w całej Europie. Oceniając to przez pryzmat wielkości gospodarek porównywanych krajów nie ma co ukrywać, że implementacja dyrektywy i nowej KSC będzie szczególnym wyzwaniem właśnie dla polskiej gospodarki

Paweł Śmigielski,

country manager Stormshield w Polsce

Warto dodać, że objęte dodatkowymi wymaganiami podmioty kluczowe i ważne będą chciały je narzucić również firmom i podmiotom, z którymi same na co dzień współpracują. Zatem ostateczna liczba podmiotów, na których działanie, choć nie bezpośrednio, wpłynie nowelizacją będzie znacznie większa od szacowanej.

Implementacja NIS 2 - nie chodzi o compliance

Incydenty były, są i będą. Dyrektywa NIS2, i w ślad za nią nowelizacja polskiego prawa, kładzie duży nacisk na to, by przygotowywać plany ciągłości działania i budować kompetencje w zakresie cyberodporności. To pomoże w kryzysowej sytuacji przywrócić normalne funkcjonowanie organizacji. Wychodzimy naprzeciw realnym, choć nie zawsze uświadomionym potrzebom. Pamiętajmy też, że w całej sprawie nie chodzi o zgodność z przepisami w myśl zasad compliance, a o rzeczywiste wzmocnienie bezpieczeństwa w interesie nas wszystkich

Paweł Śmigielski,

country manager Stormshield w Polsce