Prawo jako filar europejskiej cyberobrony

Dyskusja podczas panelu „Czego wymaga UE, czyli regulacje fundamentem naszego bezpieczeństwa” w ramach Cyber24Day pokazała, że cyberochrona zaczyna się nie od technologii, lecz od prawa i jego realnego egzekwowania.

Dr hab. Dariusz Szostek (Uniwersytet Śląski) przypomniał, że dziś nie mówimy już o hipotetycznym zagrożeniu, ale o pełnoskalowej wojnie cyfrowej. Ilość i charakter ataków, szczególnie z kierunku Rosji i Białorusi, wskazują, że cyberoperacje nie tylko się nasilają, lecz także stają się bardziej złożone i sprzężone z dezinformacją.

Krytyczne były zwłaszcza dni 9-10 września, które mogą stanowić cezurę: moment, w którym nawet sceptycy muszą uznać, że cyberkonflikt przestał być metaforą. W tym kontekście każda zwłoka w dostosowywaniu przepisów do realiów oznacza rosnącą podatność państwa i biznesu.

Prawo nie nadąża, ale bez prawa nie ma bezpieczeństwa

Proces legislacyjny w UE jest powolny, sformalizowany i nierzadko spóźniony wobec rzeczywistości technologicznej. Ale to właśnie akty prawne takie jak NIS 2 czy DSA tworzą fundament operacyjnego bezpieczeństwa w świecie, gdzie granice między pokojem a konfliktem coraz bardziej się zacierają.

Paweł Jurek (DAGMA IT Security) zwrócił uwagę, że Polska podeszła ambitnie do wdrożenia NIS 2, rozszerzając nawet zakres unijnej dyrektywy, ale brak nowelizacji ustawy o krajowym systemie cyberbezpieczeństwa powoduje, że część firm wstrzymuje się z działaniami. To dowód, że sektor prywatny potrzebuje precyzyjnych, krajowych wytycznych, a nie tylko ogólnych haseł z Brukseli.

Z kolei Michał Kanownik (Związek Cyfrowa Polska) wskazał na paradoks: prawo europejskie często jest przestarzałe już w chwili implementacji. To systemowa słabość, którą trzeba diagnozować, ale bez uciekania w eurosceptycyzm, bo alternatywą dla wspólnych regulacji jest chaos norm i rozwiązań ad hoc.

Standardy jako broń defensywna

Michał Boni (Fundacja Digital) przypomniał, że regulacje to nie „biurokracja dla biurokracji”, lecz próba stworzenia jednolitych standardów bezpieczeństwa. Brak standaryzacji oznacza bowiem realne osłabienie zdolności obronnych i zwiększenie ryzyka chaotycznej, nieskoordynowanej reakcji na ataki.

Problem widać zwłaszcza w sektorze prywatnym - wiele firm wciąż nie wie, jak interpretować przepisy i jakie praktyki wdrażać. To prowadzi do fragmentaryzacji i obniża odporność systemową.

Cyberbezpieczeństwo a oszczędności

„W zapewnianiu cyberbezpieczeństwa nie ma miejsca na szukanie oszczędności” – przypomniał Michał Kanownik. To zdanie, które dobrze podsumowuje konsensus ekspertów.

Michał Kibil (DGTL Kibil Piecuch i Wspólnicy) dodał, że odpowiedzialność firm nie kończy się na literalnym przestrzeganiu prawa. Nawet jeśli dany podmiot formalnie nie jest jeszcze objęty nowymi regulacjami, powinien już teraz wdrażać praktyki zgodne z nadchodzącymi standardami, jeśli nie dla zgodności z przepisami, to dla własnego bezpieczeństwa operacyjnego.

Polska: potencjalny lider, ale czas działa na niekorzyść

Choć wyzwań nie brakuje, eksperci patrzą także z optymizmem. Michał Kanownik zauważył, że Polska ma szansę stać się ważnym graczem w obszarze cyberbezpieczeństwa, zarówno jako dostawca technologii, jak i usług doradczych. Warunkiem jest jednak przyspieszenie wdrażania regulacji i wypracowanie spójnego modelu współpracy państwa z biznesem.

Z dyskusji wyłania się jasny obraz: bez legislacyjnych fundamentów nie ma skutecznej cyberobrony. Regulacje są potrzebne, aby uporządkować praktyki, zbudować jednolite standardy i wymusić odporność systemową.

Technologie, procedury i zespoły reagowania są niezbędne, ale to prawo, jasno zdefiniowane, aktualne i egzekwowane, staje się pierwszą linią obrony.