W ostatnich dniach sierpnia w serwisie Rządowego Centrum Legislacyjnego opublikowano kolejną wersję projektu ustawy o krajowym systemie cyberbezpieczeństwa. Dokument liczy obecnie 180 stron i zawiera szereg doprecyzowanych zapisów dotyczących m.in. procedur nadzoru, zasad zgłaszania incydentów oraz klasyfikacji podmiotów publicznych.
Przedłużająca się implementacja założeń dyrektywy NIS2 do polskiego prawodawstwa była jednym z głównych tematów minionego KSC Forum w Wiśle, gdzie temat ten wzbudził duże zainteresowanie.
– Najistotniejsze zmiany to bardziej szczegółowe określenie obowiązków i środków nadzorczych wobec różnych kategorii podmiotów. Po raz pierwszy wyraźnie rozróżniono jednostki publiczne na „kluczowe” i „ważne”, co przekłada się m.in. na odmienne wymagania w zakresie wdrożenia Systemu Zarządzania Bezpieczeństwem Informacji (SZBI). W praktyce oznacza to konieczność reorganizacji dotychczasowych polityk bezpieczeństwa IT i OT w wielu organizacjach – mówi Aleksander Kostuch, inżynier Stormshield w Polsce.
Nowelizacja była szeroko komentowana także podczas Forum KSC. Przedstawiciele Ministerstwa Cyfryzacji podkreślali, że projekt ma zapewnić wysoki poziom bezpieczeństwa, przy jednoczesnym ograniczeniu nadmiernych obciążeń administracyjnych dla mniejszych podmiotów.
– Resort przyjął racjonalne podejście – ciężar wymagań został przesunięty na instytucje o kluczowym znaczeniu dla państwa, podczas gdy mniejsze organizacje mają uproszczone obowiązki. To słuszny kierunek. Trzeba jednak pamiętać, że dla podmiotów kluczowych oznacza to konieczność wdrożenia nowych procedur, w tym raportowania incydentów poważnych w ciągu 72 godzin przez system S46. To realna zmiana, która wymaga sprawnego przygotowania zespołów i procesów – ocenia ekspert.
Projekt zakłada, że po jednomiesięcznym vacatio legis podmioty kluczowe i ważne będą miały jedynie sześć miesięcy na pełne dostosowanie się do nowych przepisów. W praktyce oznacza to konieczność rozpoczęcia przygotowań jeszcze przed formalnym przyjęciem ustawy.
– Pół roku to bardzo krótki okres na dostosowanie się do wymogów, szczególnie gdy mówimy o konieczności wykonania audytu, inwentaryzacji sprzętu i oprogramowania, wdrożenia mechanizmów zarządzania podatnościami czy wyznaczenia osób do kontaktu z Krajowym Systemem Cyberbezpieczeństwa. Organizacje, które rozpoczną działania dopiero po uchwaleniu ustawy, ryzykują chaosem organizacyjnym i dodatkowymi kosztami. Dlatego już teraz warto rozpocząć proces przygotowania od analizy ryzyka, przez aktualizację polityk bezpieczeństwa, po szkolenia pracowników – podsumowuje Aleksander Kostuch.
Proces legislacyjny jest obecnie na etapie Stałego Komitetu Rady Ministrów. Jeśli prace będą toczyć się zgodnie z harmonogramem, nowelizacja mogłaby wejść w życie jeszcze w tym roku.
Źródło: informacja prasowa
Czytaj także:
