Nowelizacja ustawy o KSC. Nie brakuje wyzwań

Dyrektywa NIS 2 (ang. Network and Information Systems Directive 2) to akt prawny, który ma na celu wzmocnienie cyberbezpieczeństwa w Unii Europejskiej. Jest to zaktualizowana wersja pierwotnej dyrektywy NIS z 2016 roku. 

Celem najnowszej wersji regulacji jest dostosowanie przepisów do zmieniającego się krajobrazu cyberzagrożeń oraz zwiększenie odporności systemów informatycznych w kluczowych sektorach gospodarki. Wymaga od podmiotów wdrożenia bardziej rygorystycznych środków zarządzania ryzykiem oraz zgłaszania incydentów bezpieczeństwa. Zakłada także rozszerzenie zakresu podmiotów objętych regulacją. 

Kolejna wersja nowelizacji Ustawy o KSC

Dotychczas obowiązująca wersja ustawy o Krajowym Systemie Cyberbezpieczeństwa bazuje przede wszystkim na dyrektywie NIS z 2016 roku. Jak już wspomnieliśmy, w 2022 roku przyjęto NIS 2, która wymaga nowelizacji ustawy o KSC w Polsce. 

Aktualnie trwają prace nad ostatecznym kształtem tych krajowych przepisów. O to jakie zmiany zostały zaproponowane w najnowszej propozycji nowelizacji ustawy, zapytaliśmy Piotra Zielaskiewicza z DAGMA Bezpieczeństwo IT. 

To już piąta wersja projektu nowelizacji ustawy, który wprowadza pewne zmiany, w porównaniu do wcześniejszych propozycji. Jedną z istotniejszych jest z pewnością ta dotycząca podmiotów publicznych. Dotychczas wszystkie zaliczane były do kategorii podmiotów kluczowych, a w tej chwili zostały one podzielone i część z nich przesunięto do kategorii podmiotów ważnych. To największa nowość. W myśl nowej wersji projektu podmiotami ważnymi będą podmioty publiczne, inne niż kluczowe, które są: samorządową jednostką budżetową, samorządowym zakładem budżetowym, samorządową instytucją kultury oraz przede wszystkim spółką prawa handlowego wykonującą zadania o charakterze użyteczności publicznej.
Piotr Zielaskiewicz, DAGMA

Jak zauważył ekspert: „Dodatkowo złagodzono wymogi dla podmiotów publicznych z kategorii ważnych, które będą wdrażały uproszczony system zarządzania bezpieczeństwem informacji, a także będą miały uproszczone obowiązki dotyczące zgłaszania incydentów”.

Zmienić ma się także maksymalny wymiar kary.

Wartym podkreślenia jest zmniejszenie (dwukrotne) maksymalnego wymiaru kary finansowej dla kierowników podmiotów kluczowych lub ważnych, co jest mocnym złagodzeniem przepisów w stosunku do wcześniej przedstawianych rozwiązań. Wbrew pozorom obniżenie kar może skutkować ich częstszym zasądzaniem. Podsumowując, w mojej ocenie zmniejszenie tych wymagań nie wpłynie znacząco na cyberbezpieczeństwo instytucji, których dotyczy, a zmiana ta wynika z dopasowania rozwiązań do polskich realiów.
Piotr Zielaskiewicz, DAGMA

Dyrektywa NIS 2 a rozporządzenie DORA

Unia Europejska przyjęła też szczególne regulacje dotyczące cyberbezpieczeństwa dla sektora finansowego w postaci rozporządzenia DORA (Digital Operational Resilience Act).

Przepisy wymagają od instytucji finansowych wdrożenia solidnych ram zarządzania ryzykiem ICT (technologii informacyjno-komunikacyjnych) oraz zapewnienia ciągłości działania w przypadku incydentów.

Rozporządzenie dotyczy szerokiego zakresu podmiotów z sektora finansowego, w tym m.in.: banków, firm ubezpieczeniowych, instytucji płatniczych, funduszy inwestycyjnych czy dostawców usług technologicznych (tzw. ICT third-party providers), którzy świadczą usługi dla sektora finansowego.

Dlaczego dla sektora finansowego przyjęto specjalne regulacje, wyjaśnia ekspert DAGMY. 

DORA na pewno w wielu punktach jest zbieżna z NIS 2. Te regulacje zostały wprowadzone jako rozporządzenie, a nie dyrektywa, aby każda instytucja finansowa czy ubezpieczeniowa w Unii Europejskiej musiała wdrożyć te standardy w konkretnym dniu, w konkretnej dacie. DORA obowiązuje od stycznia 2025. Sektor finansowy jest jednym z najbardziej kluczowych z perspektywy wymiany handlowej pomiędzy wszystkimi krajami Unii Europejskiej, dlatego powinien być wzorem do naśladowania dla wszystkich pozostałych. W tym kontekście wprowadzone zmiany zupełnie nie dziwią.
Piotr Zielaskiewicz, DAGMA

Brakuje specjalistów w obszarze cyberbezpieczeństwa

Rosnąca liczba cyberataków, w tym ataków phishingowych, ransomware czy DDoS rodzi coraz większe wyzwania dla polskich firm. Ekspert wskazuje, że jednym z głównych problemów, z jakimi borykają się polskie przedsięborstwa są niewystarczające zasoby ludzkie.

Szczególnie w instytucjach publicznych bardzo często zdarza się, że jeden czy dwóch informatyków odpowiada za cyberbezpieczeństwo całej organizacji oraz wdrażanie wielu skomplikowanych systemów, które w danym urzędzie funkcjonują. W najbliższym czasie pojawi się konieczność wdrożenia Elektronicznego Zarządzania Dokumentacją, a dodatkowo także założeń NIS 2. Bardzo często okazuje się, że ten informatyk z urzędu również będzie pewnie pierwszym wsparciem właśnie np. dla tych spółek prawa handlowego, które wykonują zadania o charakterze publicznym.
Piotr Zielaskiewicz, DAGMA

Serwis CyberDefence24.pl otrzymał tytuł #DigitalEUAmbassador (Ambasadora polityki cyfrowej UE). Jeśli są sprawy, które Was nurtują; pytania, na które nie znacie odpowiedzi; tematy, o których trzeba napisać – zapraszamy do kontaktu. Piszcie do nas na:[email protected].