Z początkiem kwietnia weszła w życie nowelizacja ustawy o krajowym systemie cyberbezpieczeństwa. Będzie to także jeden z ważnych tematów 11 Zjazdu MiŚOT. Eksperci z firmy SayF, sponsorzy Dobrej kawki, którą można będzie poczęstować się w Zakopanem oraz drugiej nagrody konkursu TeleOdpowiedzialny 2025, szykują się na ciekawe rozmowy. Pierwszą – także przy kawie – odbyliśmy już na drugim krańcu Polski – w Gdańsku.
O wejściu w życie nowelizacji ustawy o KSC pisaliśmy wielokrotnie. Prowadziliście na ten temat prelekcje i webinary, odpowiadaliście na pytania operatorów. Czy coś zmieniło się w ostatnich tygodniach?
Dariusz Fudala: Pojawia się zdecydowanie więcej zapytań. Część z nich spoza branży telekomunikacyjnej. Przedsiębiorcy mają swoje obawy, potrzebują konkretnej pomocy i wsparcia.
Andrzej Fudala: Na naszym ostatnim webinarze pojawiły się osoby, które już coś wiedziały o nowelizacji, ale poza tym… Wciąż spotykamy zbyt wielu przedsiębiorców, którzy są zaskoczeni ile pracy jest w związku z tym do wykonania. Audyt i dostosowanie dokumentacji to oczywiście początek, ale zmienia się tu cała filozofia działania firmy i reagowania na incydenty. Wśród przedsiębiorców wciąż dominuje podejście, że dopóki nic się nie dzieje nie muszę nic robić, a jak będą pytać, to wykonamy co trzeba.
AUdyt i dostosowanie dokumentacji to początek, ale zmienia się filozofia działania firmy i reagowania na incydenty
Według zapowiedzi płynących ze strony administracji przez dwa lata nikt nie będzie o to pytał. Czy nie oznacza to jeszcze dla MiŚOT-ów dwóch lat spokoju?
Andrzej Fudala: Rzeczywiście, ja także słyszałem, że kontrole zaczną się dopiero po takim czasie. Warto jednak zwrócić uwagę, że ustawa przewiduje dwa konkretne terminy. Do 3. kwietnia 2027 r. operatorzy muszą wdrożyć obowiązki wynikające z nowych przepisów, a do 3. kwietnia 2028 podmity kluczowe zobowiązane są do realizacji pierwszego audytu wykonanego przez zewnętrznych, certyfikowanych audytorów. W praktyce przez pierwszy rok urząd nie będzie miał co sprawdzać, a po dwóch latach rozliczy przedsiębiorców ze wszystkiego, co nie zostało wcześniej wykonane. Żadnego z obowiązków, w tym także zgłoszeń incydentów, nie będzie można wykonać wstecz. Nikt nie będzie przedsiębiorcom o niczym przypominał indywidualnie, aż w końcu nadejdzie odpowiedni moment do sprawdzenia, czy wszystko – przez kilka lat wstecz – było wykonywane prawidłowo.
ile kosztuje wdrożenie nowelizacji ustawy o KSC?
Dariusz Fudala: Stawki nie są tajemnicą i wynikają wprost z zaleceń organizacji zrzeszających audytorów. Przedstawiliśmy je także wcześniej na zjazdach MiŚOT. Rzetelny audyt małej firmy trwa około pięciu dni roboczych, a stawka godzinowa audytora waha się między 200 a 400 złotych. Mamy też zalecenia dotyczące tego ile czasu powinniśmy spędzić w samej siedzibie przedsiębiorstwa. Otrzymujemy więc w przybliżeniu sumę 12 tys. złotych. Podobny czas pracy możemy przyjąć dla sporządzenia dokumentacji i wdrożenia polityki bezpieczeństwa. Daje to więc łączną sumę około 36 tys. złotych. Popyt na te usługi będzie rósł, więc można się spodziewać, że stawki nie zmaleją.
To naturalne prawo rynku, ale wśród audytorów można chyba też spodziewać się konkurencji, prawda?
Dariusz Fudala: Pewnie tak, ale też specjalizacji. Podczas kursów, które przechodziliśmy, wielu przyszłych audytorów – w tym także i my – miało już swój wyraźnie określony profil branżowy. Gdy rozmawialiśmy z nimi o pewnych szczegółach (na przykład o retencji danych telekomunikacyjnych) widzieli w tym niemałe wyzwanie. My także nie raz zdziwiliśmy się słysząc o problemach związanych z cyberbezpieczeństwem innych branż.
Andrzej Fudala: Od lat jesteśmy związani z telekomunikacją. W naszej ofercie znajduje się systematyczne prowadzenie kontroli wykonywania obowiązków przez przedsiębiorstwa. Jesteśmy więc na bieżąco ze wszystkimi problemami i przepisami. Taka specjalizacja ma sens i pozwala wręcz reagować z pewnym wyprzedzeniem.
Niemniej sumy rzędu 30-40 tys. złotych wciąż nie są małe dla małych operatorów telekomunikacyjnych. Czy nie da się wprowadzić nowelizacji KSC samodzielnie we własnej firmie?
Dariusz Fudala: Zdajemy sobie z sprawę z tego, że jednorazowe koszty nie są małe i opracowujemy w związku z tym szczegóły kompleksowej oferty obejmującej realizację wszystkich wymagań znowelizowanej ustawy o KSC dla przedsiębiorców telekomunikacyjnych. Będzie ona miała formę miesięcznego quazi-abonamentu. Przedstawimy ją na najbliższym Zjeździe MiŚOT w Zakopanem. Warunki organizacyjne i techniczne funkcjonowania firmy oraz procedury w niej funkcjonujące najlepiej zna zaś jej właściciel. nie mamy co do tego wątpliwości. Nawet jeśli korzysta z usług firm takiej, jak nasza, musi być przygotowany merytorycznie. Jesteśmy gotowi pomóc wszędzie tam, gdzie napotyka ograniczenia.
Przedstawiciele administracji, w tym samo ministerstwo w opublikowanym niedawno poradniku, przestrzega przed kupowaniem dokumentacji zgodnej z NIS2. Dlaczego?
Andrzej Fudala: Ponieważ nie zapewniają one realnego cyberbezpieczeństwa. Organizacja, czyli każdy podmiot kluczowy lub ważny, musi dopasować adekwatne środki techniczne i organizacyjne ograniczające ryzyko, a także stosować w praktyce procedury zarządzania incydentami. Kupiona dokumentacja tego nie załatwi. Istotna jest też ciągłość dokumentacji dotyczącej bezpieczeństwa i zarządzania incydentami. Nie stworzymy wszystkiego w dzień przed kontrolą, tłumacząc, że to nowa wersja, a poprzednią zniszczyliśmy. Odpowiednie dokumenty powinniśmy przechowywać przez dwa lata, a zniszczenie odbywa się według ściśle określonej procedury.
Nie stworzymy wszystkiego w dzień przed kontrolą
Cyberbezpieczeństwo to szeroki zestaw zagadnień. Czy możliwe jest przekazanie poszczególnych obowiązków z tego zakresu różnym firmom zewnętrznym?
Dariusz Fudala: Tak, ale wydaje się też, że kompleksowe podejście ułatwi przeprowadzenie audytu. Przedsiębiorcy też zwykle pytają o całość.
Andrzej Fudala: Strategia przedsiębiorstwa w zakresie cyberbezpieczeństwa powinna być spójna i lepiej jeśli wszystkie dokumenty wyjdą spod jednej ręki. Ponadto nasze umowy z przedsiębiorcami wiążą się często z przejęciem odpowiedzialności, więc lepiej unikać sytuacji, gdy za część problemów firma jej nie ponosi.
Mówiliście o zwiększonym zainteresowaniu usługami, a tymczasem – przynajmniej z zewnątrz – wygląda na to, że prowadzicie firmę SayF właściwie we dwóch i wciąż macie miejsce w kalendarzu miejsce na audyty. Może więc nie ma się co spieszyć z rezerwacją terminu?
Andrzej Fudala: Jesteśmy w stanie obsłużyć ograniczoną liczbę podmiotów, ale część obowiązków możemy przekazać naszym pracownikom. Poszerzyliśmy ostatnio nasz zespół o dwie osoby, w planie mamy także zatrudnienie kolejnych do opieki nad klientami.
Dariusz Fudala: Jeśli chodzi o audyty, kalendarz rzeczywiście nie jest nieskończony, ale jak wynika z naszych wcześniejszej odpowiedzi, możemy przeprowadzić nawet kilka w miesiącu. Po wzmocnieniu zespołu jesteśmy też gotowi rozmawiać z operatorami o rozsądnych terminach.
Przy Dobrej kawce na zjeździe MiŚOT w Zakopanem?
Andrzej Fudala: Taka forma sprawdza się najlepiej.
Czytaj także:
