Ustawa o krajowym systemie cyberbezpieczeństwa (KSC) wciąż budzi ogromne emocje, ale również obawy. Przedsiębiorcy nie są pewni, co ich czeka. Chociaż mają świadomość, że cyberbezpieczeństwo jest ważnym elementem funkcjonowania w obecnej rzeczywistości, to nie są przekonani, że będą w stanie sprostać wprowadzanym regulacjom. Czy narzucane na nich obowiązki nie przerosną możliwości? Ministerstwo Cyfryzacji stara się te wątpliwości wyjaśniać i rozwiewać obawy. Czy skutecznie?
Czym jest KSC?
Krajowy system cyberbezpieczeństwa (KSC) to zbiór przepisów oraz mechanizmów, które mają wspólny cel. To ochrona instytucji publicznych, przedsiębiorstw i obywateli przed zagrożeniami cyfrowymi. Obecnie nie da się ukryć, że żyjemy w świecie w dużej mierze cyfrowym. Dlatego bezpieczeństwo systemów teleinformatycznych jest kluczowe dla funkcjonowania państwa i gospodarki.
Nowelizacja ustawy KSC dostosowuje polskie regulacje do wymogów unijnej dyrektywy NIS-2. Jednak jej przygotowanie i wprowadzenie nie jest proste, bo rodzi wiele pytań i wątpliwości. Starał się na nie odpowiedzieć Marcin Wysocki, zastępca dyrektora Departamentu Cyberbezpieczeństwa w Ministerstwie Cyfryzacji w jednym z odcinków Podcastu Cyfrowego. To sposób ministerstwa na rozwianie obaw. Tylko czy to wystarczy?
Przedsiębiorcy maja wątpliwości wobec KSC
Wielu przedsiębiorców ma obawy o nowe obciążenia, jakie zostaną na nich nałożone po wdrożeniu KSC. Już teraz operatorzy telekomunikacyjni uważają, że nakłada się na nich zbyt wiele i wciąż muszą dostosowywać swoja działalność do nowych wytycznych, ustaw, regulacji. Kolejne ustawy to kolejne konieczne działania.
I chociaż ministerstwo cyfryzacji chce uspokoić przedsiębiorców, to nie zaprzecza, że KSC to nakładane na firmy obowiązki związane z cyberbezpieczeństwem. Wynika to z dyrektywy NIS-2, do których polskie regulacje ma właśnie dostosować KSC.
– Kluczowe sektory, takie jak energetyka, transport czy finanse, muszą wdrożyć określone środki ochrony i raportować incydenty cybernetyczne, aby system cyberbezpieczeństwa był szczelny – mówi Marcin Wysocki, zastępca dyrektora Departamentu Cyberbezpieczeństwa w Ministerstwie Cyfryzacji.
Procedowanie ustawy trwa bardzo długo, co rodzi pytania
Od momentu, w którym pojawiła się informacja o nowelizacji ustawy o KSC minęło sporo czasu. To jeden z zarzutów, które pojawiają się przy dyskusjach o ustawie.
Ktoś mógłby zapytać: Co znaczy długo? W końcu to ustawa, musi być dobrze przygotowana.
– Proces legislacyjny jest złożony – ustawa obejmuje sto kilkadziesiąt stron przepisów i wymaga uzgodnień między ministerstwami, instytucjami unijnymi i przedstawicielami biznesu – tłumaczy Marcin Wysocki.
Ale operatorzy telekomunikacyjni, których ona dotycz, chcieliby wiedzieć w końcu, na czym stoją. O KSC rozmawialiśmy szeroko już na Zjeździe MiŚOT w Janowie Podlaskim. Było to w pierwszej połowie 2022 roku.
– Biorąc pod uwagę całą historię tych wszystkich poprawek do ustawy o zmianie ustawy o KSC, ciężko nie oprzeć się wrażeniu, że nasz rząd buduje narzędzie do wewnętrznych rozgrywek rynkowych promujących duże firmy telekomunikacyjne oraz usiłuje tylnymi drzwiami wprowadzić cenzurę pod dowództwem politycznym w świat internetu – mówił wtedy Marcin Zemła, członek Rady Bezpieczeństwa Biznesowego i pełnomocnik ds. bezpieczeństwa Grupy MiŚOT.
Od tego czasu wielu operatorów – szczególnie tych małych i średnich, dla których wprowadzanie zmian wymaganych przez NIS2 czy KSC to widmo ogromnych wydatków, które mogą pogrążyć ich firmy – nadal nie wie, jaki czeka ich los. Żyją i prowadzą swoje firmy na beczce prochu i zastanawiają się, czy finalnie wprowadzone przepisy podpalą lont, czy jednak nie…
Czy KSC to cenzura internetu i nadmierna kontrola działań?
Pojawiają się również obawy, że zestaw przepisów wprowadzonych poprzez KSC doprowadzi do możliwości cenzurowania internetu, a może nawet do konieczności takiego podejścia.
– Mechanizmy obrony przed cyberatakami, np. polecenie zabezpieczające, są stosowane od lat w praktyce IT i nie mają nic wspólnego z cenzurą. To narzędzie pozwalające operatorom blokować ruch pochodzący z podejrzanych źródeł w celu ochrony systemów przed atakami DDoS – zapewnia zastępca dyrektora Departamentu Cyberbezpieczeństwa w Ministerstwie Cyfryzacji.
Ale bez wiedzy na podstawie jakich przepisów i z jakimi wytycznymi, wiele osób wciąż nie jest przekonanych, że konieczność ingerencji nie przekroczy tej wymaganej do skuteczności podjętych działań.
Pojawia się też wątek wprowadzenia tzw. Toolbox 5G. Jest tak nazywany dokument, który będzie podstawą do skoordynowanych, wspólnych działań w krajach Unii Europejskiej nakierowanych na bezpieczeństwo sieci piątej generacji.
– Wdrożenie unijnego zestawu narzędzi ochrony krytycznych zasobów jest obowiązkowe. Polska należy do nielicznych państw UE, które jeszcze go nie implementowały, co może negatywnie wpłynąć na bezpieczeństwo danych obywateli i konkurencyjność polskich firm – wyjaśnia Wysocki.
Wielu przedsiębiorców jest też zdania, że to oni samodzielnie powinni mieć prawo oceny ryzyka współpracy z konkretnymi dostawcami IT i na tej podstawie dokonywać oceny, czy współpraca jest bezpieczna czy nie. Tak dla nich, jak i dla całego systemu cybernetycznego.
– Przedsiębiorstwa nie mają dostępu do wszystkich informacji wywiadowczych i nie mogą samodzielnie ocenić zagrożeń związanych np. z cyberprzestępczością lub szpiegostwem. Zapewnienie bezpieczeństwa państwa jako całości, nas wszystkich, jest zadaniem administracji, które musi mieć do tego odpowiednie narzędzia – uważa jednak Marcin Wysocki.
Dochodzimy w ten sposób do sedna obaw o to, że operatorzy telekomunikacyjni po wprowadzeniu ograniczeń na sprzęt i systemy będą zmuszeni do wydatkowania ogromnych z ich perspektywy pieniędzy na dokonanie koniecznych zmian w tym zakresie. Wielu z nich stosuje sprzęty, które mogą znaleźć się na liście sprzętów zakazanych (tutaj pojawia się chociażby temat Huawei i innych producentów z Chin – jeśli trafią na taką listę dla znacznej części operatorów może to oznaczać koniec możliwości funkcjonowania).
Operatorzy mogą stanąć przed wyborem: wymienić cały sprzęt ponosząc koszty, które zagrożą ich stabilizacji finansowej lub płacić kary za brak podjęcia tych działań.
Czy będą kary dla firm za brak dostosowania się do NIS-2 i KSC?
Na razie te obawy są odkładane w czasie jak samo wprowadzenie przepisów. Zgodnie z przepisami prawa unijnego, kary mogą być nakładane dopiero po pełnym wdrożeniu ustawy. Im bliżej to wdrożenia, tym obawy o system przewidzianych kar większe.
Podsumowanie
Ustawa o krajowym systemie cyberbezpieczeństwa nadal jest na etapie prac legislacyjnych. Wciąż trwają prace nad kompromisem między bezpieczeństwem państwa a interesami przedsiębiorców. Operatorzy telekomunikacyjni trwają zaś w zawieszeniu i niepewności.
Czytaj także:
