Trwają prace nad nowelizacją ustawy o krajowym systemie cyberbezpieczeństwa, która – jak już wiemy – obejmie także małych i średnich operatorów telekomunikacyjnych. Eksperci Stormshield zauważają, że zaletą projektu jest jego szeroki zakres, który pozwala w oparciu o proponowane przepisy systemowo budować krajową cyberodporność. Jednocześnie pojawiają się obawy, że skala projektu, w odniesieniu do liczby podmiotów które zostaną nim objęte, może negatywnie wpłynąć na ich konkurencyjność.
W opinii Pawła Śmigielskiego, country managera Stormshield w Polsce, zaletą projektu nowelizacji jest ujęte w nim systemowe podejście do kwestii cyberbezpieczeństwa. Świadczy o tym opisanie w dokumencie m.in. obowiązków odnoszących się do analizy ryzyka, wprowadzania środków technicznych, operacyjnych i organizacyjnych proporcjonalnych do zagrożeń, czy uwzględnienie wątku bezpieczeństwa łańcucha dostaw. Zainteresowanie tym ostatnim elementem jest jednym z głównych trendów w środowisku cyberprzestępców, którzy wykorzystując go jako ścieżkę, którą mogą dostać się do zasobów organizacji docelowej. Na problem zwracają uwagę m.in. specjaliści zajmujący się cyberbezpieczeństwem w jednostkach samorządu terytorialnego, wskazując na niewystarczającą świadomość po stronie organizacji, które tworzą ich łańcuch dostaw.
– Ustawodawca reaguje na zagrożenia, proponując wdrożenie systemów, które będą realnie chronić przed cyberzagrożeniami bezpośrednio i pośrednio tych, którzy wykonują usługi na rzecz społeczeństwa. Przedłożona nowelizacja kładzie nacisk, by podejście do zagadnień cyberbezpieczeństwa było systemowe. Projekt w mojej ocenie można traktować jako dokładną mapę drogową. Konsekwentne wdrażanie ujętych w nim rozwiązań, adaptujących do polskiego prawodawstwa obowiązki wynikające z NIS2, pozwoli realnie zwiększyć poziom bezpieczeństwa i odporności na rosnące zagrożenia – mówi Paweł Śmigielski.
Za duży zakres KSC?
Wśród mankamentów założeń nowelizacji ustawy, ekspert Stormshield zwraca uwagę na skalę. Pierwotna ustawa o KSC objęła obowiązkami ok. 400 podmiotów, podczas gdy obecna wg. szacunków wprowadza je aż dla około 38 tysięcy. Tyle przedsiębiorstw i instytucji publicznych zostanie zakwalifikowane jako podmioty kluczowe lub ważne. Obecny projekt jest pod tym względem bardziej rygorystyczny, także w porównaniu do dyrektywy NIS2. Zgodnie z aktualną wersją noweli podmioty z aż 14 sektorów gospodarki zostaną ujęte jako podmioty kluczowe, wobec 11, o których mowa w dyrektywie NIS2.
– Nasza nowelizacja jest pod tym względem szersza i bardziej rygorystyczna. Wyrażane są przy tym obawy, że te nadmierne regulacje mogą pogorszyć konkurencyjność przedsiębiorstw – mówi Paweł Śmigielski.
W całej UE, jak się szacuje, dyrektywą zostanie objętych ok. 150-160 tys. podmiotów. W Niemczech będzie to ok. 35 tys., a we Francji ok. 15 tys.
– Wskazana w ocenach skutków regulacji liczba polskich podmiotów stanowić może około 25 proc. wszystkich objętych regulacjami w całej Europie. Oceniając to przez pryzmat wielkości gospodarek porównywanych krajów nie ma co ukrywać, że implementacja dyrektywy i nowej KSC będzie szczególnym wyzwaniem właśnie dla polskiej gospodarki – tłumaczy Śmigielski.
Efekt domina
– Warto dodać, że objęte dodatkowymi wymaganiami podmioty kluczowe i ważne będą chciały je narzucić również firmom i podmiotom, z którymi same na co dzień współpracują. Zatem ostateczna liczba podmiotów, na których działanie, choć nie bezpośrednio, wpłynie nowelizacją będzie znacznie większa od szacowanej – mówi Piotr Zielaskiewicz, senior product manager Stormshield w DAGMA Bezpieczeństwo IT.
Co więcej, najnowszy projekt ustawy o krajowym systemie cyberbezpieczeństwa przewiduje też konkretne kary dla pomiotów, które nie zrealizują obowiązków z niej wynikających i nie wdrożą odpowiednich procedur.
Warto tez podkreślić, że szeroki zakres regulacji to nie jedyne zagrożenia dla krajowego rynku ze strony ustawy. Wielokrotnie już pisaliśmy o tym jak ustawa o KSC może zmienić branżę telekomunikacyjną w Polsce.
W oczekiwaniu na ostateczną wersję ustawy warto pamiętać, że pełnego wdrożenia przepisów ustawy nie da się dokonać w kilka dni ani tygodni, a małym i średnim operatorom telekomunikacyjnym pomaga w tym zakresie Projekt MdS.
