Najnowsza, piąta już, wersja projektu nowelizacji ustawy o krajowym systemie cyberbezpieczeństwa stanowi, zdaniem ekspertów kompromis między podnoszeniem poziomu cyberbezpieczeństwa a realiami, w jakich funkcjonują jednostki samorządu terytorialnego i inne podmioty publiczne.
Powstają kolejne wersje projektu nowelizacji ustawy o KSC. Przedstawialiśmy niedawno stanowisko Związku Telewizji Kablowych w tej sprawie. Tym razem oddajemy głos ekspertom cyberbezpieczeństwa, którzy analizują kluczowe zmiany w najnowszej wersji projektu ustawy.
Kluczowe i ważne
– Wprowadzenie kategorii „podmiotów ważnych”, obejmujących m.in. samorządowe jednostki budżetowe, zakłady budżetowe oraz instytucje kultury, jest odpowiedzią na obawy związane z nadmiernym obciążeniem tych instytucji obowiązkami cyberbezpieczeństwa na poziomie infrastruktury krytycznej – mówi Aleksander Kostuch, inżynier Stormshield.– To pragmatyczne podejście, ponieważ samorządy i podmioty publiczne działające na poziomie lokalnym często nie dysponują zasobami technicznymi i finansowymi, które pozwalałyby na pełne wdrożenie skomplikowanych procedur zarządzania ryzykiem, wymaganych w myśl założeń dyrektywy NIS2 od kluczowych operatorów usług. Wprowadzając rozróżnienie większy nacisk położono na jednostki faktycznie mające strategiczne znaczenie dla bezpieczeństwa państwa, co wydaje się słusznym kierunkiem.
Przypomnijmy, że wcześniej wszystkie podmioty publiczne były traktowane jako kluczowe. Ta zmiana, znajdująca się w artykule 5 projektu, szczególnie w odniesieniu do jednostek samorządu terytorialnego, jest znacząca i znacznie zmniejsza obciążenia administracji.
– Jednym z głównych problemów, z jakimi borykają się nie tylko polskie firmy są niewystarczające zasoby ludzkie – zauważa Piotr Zielaskiewicz, menadżer DAGMA Bezpieczeństwo IT. – Szczególnie w instytucjach publicznych zdarza się, że jeden czy dwóch informatyków odpowiada za cyberbezpieczeństwo całej organizacji, wdrażanie skomplikowanych systemów, a dodatkowo wsparcie np. dla tych spółek prawa handlowego, które wykonują zadania o charakterze publicznym. Z tego względu obniżenie wymagań, do poziomu który nie narusza bezpieczeństwa, jest wskazane. Zwiększa to szanse na skuteczną implementację obowiązków, które nawet w złagodzonej wersji podniosą bezpieczeństwo samorządów i mieszkańców.
Zgodnie ze zmianą w artykule 8 ustęp 3 projektu podmioty ważne-publiczne nie będą zobowiązane do stosowania środków zarządzania ryzykiem na poziomie określonym w art. 8 ust. 1. Zamiast tego wdrożą uproszczony system zarządzania bezpieczeństwem informacji, opisany w nowym załączniku nr 4.
– To rozwiązanie wydaje się kompromisowe, ponieważ uwzględnia ograniczenia organizacyjne i kadrowe JST. Wdrożenie rygorystycznych systemów zarządzania ryzykiem w jednostkach samorządowych mogłoby być nieproporcjonalnie kosztowne w stosunku do realnego zagrożenia. Miejmy nadzieję, że uproszczony system rzeczywiście zapewni podstawowy poziom ochrony i nie będzie tworzył luki bezpieczeństwa w infrastrukturze samorządowej – komentuje Aleksander Kostuch:
Nowelizacja przewiduje, że podmioty ważne-publiczne będą miały uproszczone obowiązki w zakresie zgłaszania incydentów. Mowa tu o zmianie w w art. 12c. JST odciążane są w ten sposób z nadmiernych formalnych wymagań, co pozwala im skupić się na najistotniejszych zagrożeniach. Zdaniem ekspertów wprowadzone zmiany w praktyce mogą oznaczać, że mniejsze podmioty będą zobowiązane do raportowania jedynie tych naruszeń, które realnie wpływają na ich funkcjonowanie.
Współdziałanie i nadzór
Zmianie, a raczej doprecyzowaniu, uległy również zasady dotyczące współdziałanie podmiotów publicznych w zakresie cyberbezpieczeństwa (art. 16c i następne).
– To pozytywna zmiana, zwłaszcza w kontekście zarządzania incydentami i reagowania na zagrożenia – ocenia Aleksander Kostuch. – Włączenie odniesień do przepisów o samorządzie gminnym, powiatowym i wojewódzkim pozwala na lepsze dostosowanie przepisów do realiów funkcjonowania samorządów. Jest to szczególnie istotne w kontekście skoordynowanego reagowania na cyberzagrożenia, gdzie często lokalne jednostki administracyjne są pierwszą linią obrony.
Przedstawiona wersja nowelizacji zmienia także zasady stosowania środków nadzoru. Zmianie w tym zakresie uległy przepisy art. 53 ust. 9 i Art. 53e. Organ właściwy ds. cyberbezpieczeństwa otrzymał większą autonomię w wydawaniu decyzji, takich jak wstrzymanie koncesji czy pozwolenia na prowadzenie działalności. Wcześniej decyzje te wymagały zaangażowania sądu lub innych organów, co mogło wydłużać reakcję na potencjalne zagrożenia.
– Z jednej strony, intencją ustawodawcy jest najpewniej chęć usprawnienia procesu podejmowania decyzji w sytuacjach kryzysowych. Z drugiej, wzbudza to obawy dotyczące potencjalnej arbitralności takich decyzji. Kluczowe będzie zapewnienie mechanizmów kontrolnych, aby uniknąć nadużyć i błędnych decyzji, które mogłyby wpłynąć na funkcjonowanie samorządów i innych podmiotów ważnych – zaznacza ekspert.
Jednocześnie wprowadzono ograniczenie stosowania środków nadzoru wskazane w art. 53e. Mogą być stosowane do 14 dni od doręczenia decyzji o ich zastosowaniu. Wydaje się, że skutecznie zapobiegnie to nadmiernemu obciążaniu podmiotów publicznych długoterminowymi ograniczeniami.
Obniżenie kar
Przedstwicieli małych i średnich operatorów telekomunikacyjnych z pewnością zainteresuje też wprowadzone zmniejszenie maksymalnego wymiaru kary finansowej dla kierowników podmiotów kluczowych i ważnych
z 600 proc. do 300 proc. wynagrodzenia (art. 73a).
– To jeden z najbardziej, moim zdaniem nośnych aspektów tej konkretnej nowelizacji, co wydaje się mieć na celu dostosowanie sankcji do realnych możliwości finansowych i zapewnienia proporcjonalności kar w stosunku do naruszeń – podkreśla Aleksander Kostuch. – Wcześniejsze regulacje mogły powodować sytuacje, w których strach przed wysokimi sankcjami paraliżował angażowanie się w cyberbezpieczeństwo i jego konsekwencje. Osłabiał motywację do działań ws. wdrażania środków bezpieczeństwa i traktowania cyberzagrożeń priorytetowo. Jest to dostosowanie do realnych możliwości nie obciążając nadmiernie osób zarządzających tymi podmiotami. Wysokość kar jednak będzie zależała od szeregu kryteriów, w tym rodzaju i skali naruszenia, czasu jego trwania, możliwości finansowych podmiotu oraz poziomu współpracy z organami nadzoru.
– Zmniejszenie maksymalnego wymiaru kary finansowej dla kierowników podmiotów kluczowych lub ważnych jest mocnym złagodzeniem przepisów – potwierdza Piotr Zielaskiewicz. – Jednak obniżenie poziomu finansowej odpowiedzialności może skutkować jej częstszym zasądzaniem. Przy takim założeniu rozwiązanie powinno pozostać skutecznym motywatorem do podejmowania działań wynikających z przepisów ustawy.
Czytaj także:
MPK w Krakowie sparaliżowane atakiem – ISPortal
Czy płacić hakerom? – ISPortal
Warsztaty w ministerstwie z udziałem przedstawicieli MiŚOT-ów – ISPortal
