Wszystko wskazuje na to, że obecnie obserwujemy finał prac nad nowelizacją ustawy o krajowym systemie cyberbezpieczeństwa. Oczywiście potrzebny jest jeszcze podpis prezydenta, by wszystko domknąć. Brak pewności co do dalszych losów przepisów powstrzymuje niektórych przedsiębiorców przed podejmowaniem działania, a niesłusznie. Już teraz mogą przygotować się, a nawet wdrożyć odpowiednie kroki dla podniesienie cyberbezpieczeństwa.
– Cieszę się, że Sejm uchwalił nowelizację ustawy o KSC, a za jej przyjęciem zagłosowało ponad 400 posłów. Mocno liczę, że prezydent bez zwłoki podpisze ustawę, a tym samym będziemy wiedzieli na czym stoimy – skomentował Paweł Śmigielski, menadżer Stormshield.
Podpis prezydenta zwieńczy wieloletni proces nowelizacji jednego z najbardziej kluczowych w kontekście bezpieczeństwa aktów prawnych w Polsce. Przedłużające się prace to niepewność dotycząca przepisów i wymagań w obszarze zabezpieczenia systemów informatycznych. Wielu przedsiębiorców blokuje to przed podejmowaniem konkretnych kroków w tym kierunku.
– Niemal codziennie jesteśmy świadkami incydentów, które mają wpływ na funkcjonowanie państwa i społeczeństwa. Wszelkie niedociągnięcia w systemie bezpieczeństwa mogą spowodować poważne skutki. Ich koszty mogą okazać się wyższe niż wydatki niezbędne na prawidłowe zabezpieczenie. W sytuacji niepewności co do ostatecznego brzmienia przepisów nie dziwi postawa części podmiotów, szczególnie publicznych, które wstrzymują się z działaniem – zauważył Paweł Śmigielski.
Po podpisie prezydenta konieczne będą natychmiastowe działania
Podpis prezydenta pod ustawą i jej opublikowanie w Dzienniku Ustaw to będzie dla wahających się przedsiębiorców wyraźny sygnał do działania. Podmioty kluczowe i ważne będą miały dwanaście miesięcy na pełne dostosowanie się do nowych przepisów.
Podmiotów tych jest kilkanaście tysięcy i dotyczą branż takich jak:
– energetyka;
– ochrona zdrowia;
– producenci i dystrybutorzy leków;
– producenci i dostawcy żywności;
– producenci i dostawcy chemikaliów;
– transport;
– sektor motoryzacyjny;
– infrastruktury cyfrowej – także dostawców usług chmurowych;
– dostawców usług zarządzanych ICT;
– administracji publicznej – również zarządzającej infrastrukturą krytyczną.
Jeśli jednak prezydent ustawy nie podpisze, to będzie to najgorsza możliwość. Dalsze zawieszenie konkretnych rozwiązań prawnych i blokowanie działań przedsiębiorców i innych podmiotów dla zwiększenia bezpieczeństwa to zagrożenie dla całego kraju.
– Niestety, oznaczałoby to to będzie upolitycznienie kwestii bezpieczeństwa w sytuacji, gdy doświadczamy kolejnej fali ataków wymierzonych w elementy infrastruktury państwa i gospodarki. To, że udało się powstrzymać grudniowy cyberatak na sektor energetyczny zawdzięczamy dobremu przygotowaniu na takie sytuacje. A przecież ustawa ma być impulsem, który skłoni podmioty do podnoszenia poziomu zabezpieczeń, co jest w interesie społeczeństwa – wyjaśnia menadżer Stormshield.
Pięć zadań dla przedsiębiorców na teraz
Paweł Śmigielski zauważa, że podmioty, które mają zostać objęte obowiązkami wynikającymi z nowelizacji, powinny wykorzystać bieżący czas na analizę stanu swojego przygotowania do spełnienia wymagań NIS2.
– Pamiętajmy, że ustawodawca przewiduje okres 12 miesięcy na uzyskanie zgodności z wymogami. Dlatego im szybciej zacznie się działać, tym sprawniej przebiegnie ten proces po uchwaleniu nowelizacji ustawy – podkreślił menadżer Stormshield.
Podobną opinię wyraziła również Anna Szura z itB Legal, która zachęcała do podjęcia działań przed domknięcie procesu legislacyjnego KSC:
Dlatego przedsiębiorcy powinni przygotować się już teraz. Przede wszystkim mogą wykonać pięć zadań:
1. organizacja działu cyberbezpieczeństwa – w warstwach wewnętrznych firmy lub sięgnięcie po outsourcing;
2. wyznaczenie osoby lub osób odpowiedzialnych za utrzymywanie kontaktu z podmiotami KSC;
3. inwentaryzacja sprzętu, oprogramowania, usług i procesów;
4. oszacowanie ryzyka wystąpienie incydentów;
5. opracowanie zasad zarządzania incydentami.
Wdrożenie tych kroków to podstawy do bezpiecznego zarządzania informacjami zanim jeszcze znowelizowana ustawa wjedzie w życie. Wtedy przedsiębiorstwo będzie wstępnie do niej przygotowane, a kolejne miesiące będzie można przeznaczyć na dopracowanie procesów w organizacji i zakup niezbędnych usług oraz rozwiązań. Dzieląc spełnianie wymogów wdrożenia na etapy, łatwiej będzie sobie z nimi poradzić. Ponadto dbanie o bezpieczeństwo firmy leży w internesie przedsiębiorcy niezależnie od obowiązujących w tym zakresie wymogów prawnych.
Źródło: materiały prasowe
Czytaj także:
