TECHNOLOGIA · CYBERBEZPIECZEŃSTWO · BIZNES

Ustawa o krajowym systemie cyberbezpieczeństwa a cyberodporność polskich firm i administracji

Trwają prace nad nowelizacją ustawy o krajowym systemie cyberbezpieczeństwa, która – jak już wiemy – obejmie także małych i średnich operatorów telekomunikacyjnych. Eksperci Stormshield zauważają, że zaletą projektu jest jego szeroki zakres, który pozwala w oparciu o proponowane przepisy systemowo budować krajową cyberodporność. Jednocześnie pojawiają się obawy, że skala projektu, w odniesieniu do liczby podmiotów które zostaną nim objęte, może negatywnie wpłynąć na ich konkurencyjność. 

W opinii Pawła Śmigielskiego, country managera Stormshield w Polsce, zaletą projektu nowelizacji jest ujęte w nim systemowe podejście do kwestii cyberbezpieczeństwa. Świadczy o tym opisanie w dokumencie m.in. obowiązków odnoszących się do analizy ryzyka, wprowadzania środków technicznych, operacyjnych i organizacyjnych proporcjonalnych do zagrożeń, czy uwzględnienie wątku bezpieczeństwa łańcucha dostaw. Zainteresowanie tym ostatnim elementem jest jednym z głównych trendów w środowisku cyberprzestępców, którzy wykorzystując go jako ścieżkę, którą mogą dostać się do zasobów organizacji docelowej. Na problem zwracają uwagę m.in. specjaliści zajmujący się cyberbezpieczeństwem w jednostkach samorządu terytorialnego, wskazując na niewystarczającą świadomość po stronie organizacji, które tworzą ich łańcuch dostaw

– Ustawodawca reaguje na zagrożenia, proponując wdrożenie systemów, które będą realnie chronić przed cyberzagrożeniami bezpośrednio i pośrednio tych, którzy wykonują usługi na rzecz społeczeństwa. Przedłożona nowelizacja kładzie nacisk, by podejście do zagadnień cyberbezpieczeństwa było systemowe. Projekt w mojej ocenie można traktować jako dokładną mapę drogową. Konsekwentne wdrażanie ujętych w nim rozwiązań, adaptujących do polskiego prawodawstwa obowiązki wynikające z NIS2, pozwoli realnie zwiększyć poziom bezpieczeństwa i odporności na rosnące zagrożenia – mówi Paweł Śmigielski. 

Za duży zakres KSC?

Wśród mankamentów założeń nowelizacji ustawy, ekspert Stormshield zwraca uwagę na skalę. Pierwotna ustawa o KSC objęła obowiązkami ok. 400 podmiotów, podczas gdy obecna wg. szacunków wprowadza je aż dla około 38 tysięcy. Tyle przedsiębiorstw i instytucji publicznych zostanie zakwalifikowane jako podmioty kluczowe lub ważne. Obecny projekt jest pod tym względem bardziej rygorystyczny, także w porównaniu do dyrektywy NIS2. Zgodnie z aktualną wersją noweli podmioty z aż 14 sektorów gospodarki zostaną ujęte jako podmioty kluczowe, wobec 11, o których mowa w dyrektywie NIS2. 

– Nasza nowelizacja jest pod tym względem szersza i bardziej rygorystyczna. Wyrażane są przy tym obawy, że te nadmierne regulacje mogą pogorszyć konkurencyjność przedsiębiorstw – mówi Paweł Śmigielski. 

W całej UE, jak się szacuje, dyrektywą zostanie objętych ok. 150-160 tys. podmiotów. W Niemczech będzie to ok. 35 tys., a we Francji ok. 15 tys. 

– Wskazana w ocenach skutków regulacji liczba polskich podmiotów stanowić może około 25 proc. wszystkich objętych regulacjami w całej Europie. Oceniając to przez pryzmat wielkości gospodarek porównywanych krajów nie ma co ukrywać, że implementacja dyrektywy i nowej KSC będzie szczególnym wyzwaniem właśnie dla polskiej gospodarki – tłumaczy Śmigielski. 

Efekt domina

– Warto dodać, że objęte dodatkowymi wymaganiami podmioty kluczowe i ważne będą chciały je narzucić również firmom i podmiotom, z którymi same na co dzień współpracują. Zatem ostateczna liczba podmiotów, na których działanie, choć nie bezpośrednio, wpłynie nowelizacją będzie znacznie większa od szacowanej – mówi Piotr Zielaskiewicz, senior product manager Stormshield w DAGMA Bezpieczeństwo IT.

Co więcej, najnowszy projekt ustawy o krajowym systemie cyberbezpieczeństwa przewiduje też konkretne kary dla pomiotów, które nie zrealizują obowiązków z niej wynikających i nie wdrożą odpowiednich procedur.

Warto tez podkreślić, że szeroki zakres regulacji to nie jedyne zagrożenia dla krajowego rynku ze strony ustawy. Wielokrotnie już pisaliśmy o tym jak ustawa o KSC może zmienić branżę telekomunikacyjną w Polsce.

W oczekiwaniu na ostateczną wersję ustawy warto pamiętać, że pełnego wdrożenia przepisów ustawy nie da się dokonać w kilka dni ani tygodni, a małym i średnim operatorom telekomunikacyjnym pomaga w tym zakresie Projekt MdS.

Marek Nowak
Marek Nowak
Redaktor naczelny ISPortal, wcześniej związany między innymi z miesięcznikiem Mobile Internet. Artykuły dotyczące nowych technologii publikował także w portalu Trojmiasto.pl. Po godzinach tworzy opowiadania science-fiction, które ukazały się w kilku już pismach literackich (Nowa Fantastyka, Epea, QFant).

przeczytaj najnowszy numer isporfessional

Najnowsze