Trwają prace nad nowelizacją Ustawy o Krajowym Systemie Cyberbezpieczeństwa. Akt wprowadzi do polskiego prawodawstwa założenia dyrektywy NIS2. Jak zwracają uwagę eksperci Stormshield, zaletą projektu jest jego szeroki zakres, który pozwala w oparciu o proponowane przepisy systemowo budować krajową cyberodporność. Jednocześnie pojawiają się obawy, że skala projektu, w odniesieniu do liczby podmiotów które zostaną nim objęte, może negatywnie wpłynąć na ich konkurencyjność.
Plusy projektu nowelizacji – systemowa mapa drogowa do cyberbezpieczeństwa
W opinii Pawła Śmigielskiego, country managera Stormshield w Polsce, zaletą projektu nowelizacji jest ujęte w nim systemowe podejście do kwestii cyberbezpieczeństwa. Świadczy o tym opisanie w dokumencie m.in. obowiązków odnoszących się do analizy ryzyka, wprowadzania środków technicznych, operacyjnych i organizacyjnych proporcjonalnych do zagrożeń, czy uwzględnienie wątku bezpieczeństwa łańcucha dostaw. Szczególnie ten ostatni aspekt pozostaje naszą bolączką, gdyż zainteresowanie nim, to jeden z głównych trendów w środowisku przestępców, którzy wykorzystując go jako nić, chcą niczym do kłębka dostać się do zasobów organizacji docelowej. Na problem zwracają uwagę m.in. specjaliści zajmujący się bezpieczeństwem IT w Jednostkach Samorządu Terytorialnego (JST), wskazując na „niewystarczającą świadomość po stronie organizacji, które tworzą ich łańcuch dostaw”. Jednak zjawisko dotyczy nie tylko sektora samorządowego.
– Ustawodawca reaguje na zagrożenia, proponując wdrożenie systemów, które będą realnie chronić przed cyberzagrożeniami bezpośrednio i pośrednio tych, którzy wykonują usługi na rzecz społeczeństwa. Przedłożona nowelizacja kładzie nacisk, by podejście do zagadnień cyberbezpieczeństwa było systemowe. Projekt w mojej ocenie można traktować jako dokładną mapę drogową. Konsekwentne wdrażanie ujętych w nim rozwiązań, adaptujących do polskiego prawodawstwa obowiązki wynikające z NIS2, pozwoli realnie zwiększyć poziom bezpieczeństwa i odporności na rosnące zagrożenia – mówi Paweł Śmigielski.
25 proc. wszystkich podmiotów objętych NIS2 z Polski
Wśród mankamentów założeń nowelizacji ustawy, eksperci Stormshield zwracają uwagę na skalę. Pierwotna ustawa o KSC objęła obowiązkami ok. 400 podmiotów, podczas gdy obecna wg. szacunków wprowadza je aż dla około 38 tysięcy. Tyle przedsiębiorstw i instytucji publicznych zostanie zakwalifikowane jako podmioty kluczowe lub ważne. Obecny projekt jest pod tym względem bardziej rygorystyczny, także w porównaniu do dyrektywy NIS2. Zgodnie z aktualną wersją noweli podmioty z aż 14 sektorów gospodarki zostaną ujęte jako podmioty kluczowe, wobec 11, o których mowa w dyrektywie NIS2.
– Nasza nowelizacja jest pod tym względem szersza i bardziej rygorystyczna. Wyrażane są przy tym obawy, że te nadmierne regulacje mogą pogorszyć konkurencyjność przedsiębiorstw – mówi Paweł Śmigielski.
W całej UE, jak się szacuje, dyrektywą zostanie objętych ok. 150-160 tys. podmiotów. W Niemczech będzie to ok. 35 tys., a we Francji ok. 15 tys.
– Zatem wskazana w ocenach skutków regulacji liczba polskich podmiotów stanowić może około 25 proc. wszystkich objętych regulacjami w całej Europie. Oceniając to przez pryzmat wielkości gospodarek porównywanych krajów nie ma co ukrywać, że implementacja dyrektywy i nowej KSC będzie szczególnym wyzwaniem właśnie dla polskiej gospodarki – tłumaczy Śmigielski.
– Warto dodać, że objęte dodatkowymi wymaganiami podmioty kluczowe i ważne będą chciały je narzucić również firmom i podmiotom, z którymi same na co dzień współpracują. Zatem ostateczna liczba podmiotów, na których działanie, choć nie bezpośrednio, wpłynie nowelizacją będzie znacznie większa od szacowanej – mówi Piotr Zielaskiewicz, senior product manager Stormshield w DAGMA Bezpieczeństwo IT.
Implementacja NIS 2 – nie chodzi o compliance – Incydenty były, są i będą. Dyrektywa NIS2, i w ślad za nią nowelizacja polskiego prawa, kładzie duży nacisk na to, by przygotowywać plany ciągłości działania i budować kompetencje w zakresie cyberodporności. To pomoże w kryzysowej sytuacji przywrócić normalne funkcjonowanie organizacji. Wychodzimy naprzeciw realnym, choć nie zawsze uświadomionym potrzebom. Pamiętajmy też, że w całej sprawie nie chodzi o zgodność z przepisami w myśl zasad compliance, a o rzeczywiste wzmocnienie bezpieczeństwa w interesie nas wszystkich – podsumowuje ekspert Stormshield, wytwórcy rozwiązań z obszaru bezpieczeństwa IT.