Ustawa KSC. Ekspert: 6 miesięcy na dostosowanie się nie wystarczy, jeśli wcześniej nie zacznie się działać

Trwają pracę nad nową wersją ustawy o krajowym systemie cyberbezpieczeństwa. Ustawodawca przewiduje 6-miesięczny okres na uzyskanie zgodności z wymogami przyszłego prawa. Ekspert wskazuje mapę drogową określającą działania, jakie można podjąć już teraz, by móc spełnić przyszłe obowiązki.

Choć termin implementacji minął 17 października 2024 roku to proces legislacyjny, nowelizacji ustawy KSC, wprowadzający założenia dyrektywy do krajowego systemu prawnego, wciąż nie został zakończony. Tysiące podmiotów – firm prywatnych, jednostek administracji publicznej, przedsiębiorstw użyteczności publicznej i wielu podmiotów, które zarządzają infrastrukturą krytyczną – od ponad roku funkcjonuje w sferze niepewności interpretacyjnej co do ostatecznego brzmienia przepisów.

Pojawienie się projektu ustawy o zmianie ustawy o krajowym systemie cyberbezpieczeństwa na agendzie Rady Ministrów oznacza, że robimy krok w stronę wyczekiwanego od miesięcy momentu zakończenia procesu legislacyjnego. To z pewnością dobra wiadomość, dla każdego z podmiotów który stoi wobec konieczności wdrożenia rozwiązań wynikających z implementacji dyrektywy NIS2, lecz brak ostatecznej treści ustawy powstrzymuje go przed podjęciem działań

Paweł Śmigielski,

menadżer Stormshield w Polsce

Czekać czy działać? Ekspert nie ma wątpliwości – działać!

Sytuacja dotyczy podmiotów z kilkunastu sektorów naszej gospodarki, dla których trwający proces legislacyjny jest pewnym bodźcem do podjęcia działań podnoszących poziom cyberbezpieczeństwa. Jednak niepewność w pewnych obszarach skutecznie przed nimi powstrzymuje.

W sytuacji, gdy muszą one mądrze gospodarować ograniczonymi zespołami specjalistów i środkami finansowymi, powstaje pytanie: czekać na finalny kształt przepisów czy przygotowywać organizację do spełnienia wymogów dyrektywy NIS 2, nie mając pewności jak ostatecznie będzie wyglądać uchwalona ustawa. Może się przecież okazać, że pewne działania ostatecznie nie będą obligatoryjne. Każdy z tych aspektów jest dla tych podmiotów realnym wyzwaniem

Paweł Śmigielski,

menadżer Stormshield w Polsce

W opinii eksperta organizacje, które mają zostać objęte obowiązkami wynikającymi z nowelizacji, powinny wykorzystać bieżący czas na analizę stanu swojego przygotowania do spełnienia wymagań NIS2 oraz stopniowo rozpocząć działania dostosowujące.

Pamiętajmy, że ustawodawca przewiduje okres jedynie 6 miesięcy na uzyskanie zgodności z wymogami. Dlatego im szybciej zacznie się działać, tym sprawniej przebiegnie ten proces po uchwaleniu nowelizacji ustawy

Paweł Śmigielski,

menadżer Stormshield w Polsce

Pięć kroków, które przedsiębiorstwa i instytucje mogą zrobić już teraz.

1. Organizacja działu cyberbezpieczeństwa. Należy podjąć decyzję, czy powołujemy dział wewnętrzy, bądź skorzystamy ze wsparcia zewnętrznego dostawcy.
2. Wyznaczenie osoby/osób odpowiedzialnych za utrzymywanie kontaktu z podmiotami Krajowego Systemu Cyberbezpieczeństwa (m.in. z Ministerstwem Cyfryzacji oraz CSIRT-ami).
3. Inwentaryzacja sprzętu i oprogramowania. Niezależnie od tego, czy zostaniemy objęci wymogami znowelizowanej ustawy regularna inwentaryzacja pozostaje dobrą praktyką, będąc jednym z fundamentów bezpieczeństwa.
4. Szacowanie ryzyka wystąpienia incydentów. Korzystając ze wsparcia specjalistów można wykonać kolejny istotny krok, czyli określić, które obszary wynikające ze specyfiki działalności naszej organizacji wymagają wdrożenia dodatkowych rozwiązań, procedur i szkoleń, aby zapobiegać i ograniczać ewentualny wpływ incydentów. Pozwoli to również oszacować koszty i ustalić priorytety przyszłych zakupów i wdrożeń sprzętu czy technologii.
5. Zarządzanie incydentami. Mowa zarówno o wykrywaniu incydentów, jak i zgłaszaniu ich do odpowiednich podmiotów. W tej procedurze kluczową rolę odgrywać będą osoby wskazane do kontaktu z KSC oraz odpowiedzialne za działanie aż do momentu usunięcia skutków incydentu.

Powyższe działania, możliwe do wykonania niezależnie od niepewności interpretacyjnej co do ostatecznego brzmienia Ustawy KSC, pozwolą stworzyć solidne fundamenty systemu zarządzania bezpieczeństwem informacji. A to jeden z kluczowych wymogów nowelizowanej ustawy.

Wciąż jest dobry moment na stworzenie planu określającego w jaki sposób nasza organizacja będzie działać, aby spełnić obowiązki wynikające ze znowelizowanej ustawy o KSC. Gdy akt zacznie obowiązywać będziemy mogli zrobić wszystko sprawniej i bardziej racjonalnie kosztowo

Paweł Śmigielski,

menadżer Stormshield w Polsce

Oczekiwanie na nową ustawę

Mocno liczę, że prace nad ustawą uda się szybko zakończyć, a prezydent bez zwłoki ją podpisze. Ta sprawa jest zbyt ważna i nie można jej traktować w kategoriach politycznych. Niemal codziennie jesteśmy świadkami incydentów, które mają wpływ na funkcjonowanie państwa i społeczeństwa. Wszelkie niedociągnięcia w systemie bezpieczeństwa mogą spowodować poważne skutki. Ich koszt może okazać się wyższy niż wydatki niezbędne na prawidłowe zabezpieczenie. Brak decyzji oznacza dalszą niepewność i rosnące ryzyko

Paweł Śmigielski,

menadżer Stormshield w Polsce

Paweł Śmigielski, Stormshield – ekspert w dziedzinie cyberbezpieczeństwa z 20-letnią praktyką w dziedzinie wdrażania rozwiązań bezpieczeństwa IT i doradztwa w tym obszarze. Realizował projekty dla podmiotów m.in. z branży produkcyjnej, wodociągowej, finansowej, sądownictwa i jednostek samorządu terytorialnego.