Trwają prace nad nowelizacją Ustawy o Krajowym Systemie Cyberbezpieczeństwa. Akt wprowadzi do polskiego prawodawstwa założenia dyrektywy NIS2.
Jak zwracają uwagę eksperci firmy Stormshield, wytwórcy rozwiązań z obszaru bezpieczeństwa IT, zaletą projektu jest jego szeroki zakres, który pozwala w oparciu o proponowane przepisy systemowo budować krajową cyberodporność. Jednocześnie pojawiają się obawy, że skala projektu, w odniesieniu do liczby podmiotów które zostaną nim objęte, może negatywnie wpłynąć na ich konkurencyjność.
W opinii Pawła Śmigielskiego, country managera Stormshield w Polsce, zaletą projektu nowelizacji jest ujęte w nim systemowe podejście do kwestii cyberbezpieczeństwa. Świadczy o tym opisanie w dokumencie m.in. obowiązków odnoszących się do analizy ryzyka, wprowadzania środków technicznych, operacyjnych i organizacyjnych proporcjonalnych do zagrożeń, czy uwzględnienie wątku bezpieczeństwa łańcucha dostaw. Szczególnie ten ostatni aspekt pozostaje naszą bolączką, gdyż zainteresowanie nim, to jeden z głównych trendów w środowisku przestępców, którzy wykorzystując go jako nić, chcą niczym do kłębka dostać się do zasobów organizacji docelowej. Na problem zwracają uwagę m.in. specjaliści zajmujący się bezpieczeństwem IT w Jednostkach Samorządu Terytorialnego (JST), wskazując na „niewystarczającą świadomość po stronie firm, które tworzą ich łańcuch dostaw”. Jednak zjawisko dotyczy nie tylko sektora samorządowego.
– Ustawodawca reaguje na zagrożenia, proponując wdrożenie systemów, które będą realnie chronić przed cyberzagrożeniami bezpośrednio i pośrednio tych, którzy wykonują usługi na rzecz społeczeństwa. Przedłożona nowelizacja kładzie nacisk, by podejście do zagadnień cyberbezpieczeństwa było systemowe. Projekt w mojej ocenie można traktować jako dokładną mapę drogową. Konsekwentne wdrażanie ujętych w nim rozwiązań, adaptujących do polskiego prawodawstwa obowiązki wynikające z NIS2, pozwoli realnie zwiększyć poziom bezpieczeństwa i odporności na rosnące zagrożenia
– mówi Paweł Śmigielski.
Wśród mankamentów założeń nowelizacji ustawy, eksperci Stormshield zwracają uwagę na skalę. Pierwotna ustawa o KSC objęła obowiązkami ok. 400 podmiotów, podczas gdy obecna wg szacunków wprowadza je aż dla ok. 38 tysięcy. Tyle przedsiębiorstw i instytucji publicznych zostanie zakwalifikowane jako podmioty kluczowe lub ważne. Obecny projekt jest pod tym względem bardziej rygorystyczny, także w porównaniu do dyrektywy NIS2. Zgodnie z aktualną wersją noweli podmioty z aż 14 sektorów gospodarki zostaną ujęte jako podmioty kluczowe, wobec 11, o których mowa w dyrektywie NIS2.
W całej UE, jak się szacuje, dyrektywą zostanie objętych ok. 150-160 tys. podmiotów. W Niemczech będzie to ok. 35 tys., a we Francji ok. 15 tys.
– Zatem wskazana w ocenach skutków regulacji liczba polskich podmiotów stanowić może około 25 proc. wszystkich objętych regulacjami w całej Europie. (…)nie ma co ukrywać, że implementacja dyrektywy i nowej KSC będzie szczególnym wyzwaniem właśnie dla polskiej gospodarki – uważa Śmigielski.
