Nowelizacja KSC utrudni działanie atakującym. Jasny sygnał dla firm

• Nowe przepisy opierają się na analizie ryzyka i wymagają odpowiedniej oceny zagrożeń.
• Nowelizacja wpisuje się w szerszy system regulacji wzmacniających bezpieczeństwo państwa.
• Wokół regulacji krąży wiele nieścisłości, dlatego warto opierać się na oficjalnych założeniach.

W środę 11 lutego br. w Centrum Prasowym PAP odbyła się debata poświęcona skutkom nowelizacji ustawy o krajowym systemie cyberbezpieczeństwa. Przedstawiciele administracji, prokuratury, biznesu i doradcy prawni zgodnie podkreślili, że nowe przepisy znacząco zmienią sposób zarządzania bezpieczeństwem w firmach i instytucjach publicznych.

Konferencję zorganizowały Związek Cyfrowa Polska oraz kancelaria Andersen Tax & Legal. Punktem wyjścia była nowelizacja ustawy o KSC, która - jak wskazano - była procedowana wyjątkowo długo ze względu na szerokie konsultacje społeczne i liczne uwagi ze strony rynku.

W spotkaniu wzięli udział:

• Marcin Wysocki, Zastępca Dyrektora Departamentu Cyberbezpieczeństwa Ministerstwa Cyfryzacji,
• prokurator Agnieszka Gryszczyńska, Dyrektor Departamentu ds. Cyberprzestępczości i Informatyzacji w Prokuraturze Krajowej,
• Michał Kanownik, Prezes Związku Cyfrowa Polska,
• Mikołaj Śniatała z kancelarii Andersen Tax & Legal.

Dwie kategorie podmiotów i podejście oparte na ryzyku

Jednym z kluczowych założeń nowelizacji jest podział na podmioty kluczowe i ważne.

Jak wyjaśnił Mikołaj Śniatała, nowe przepisy nadają istotną rolę analizie ryzyka. Nie wprowadzają sztywnych, zero-jedynkowych rozwiązań, lecz wymagają od przedsiębiorców samodzielnej oceny zagrożeń i dostosowania środków bezpieczeństwa do realnego poziomu ryzyka. 

W praktyce oznacza to konieczność wdrożenia systemu zarządzania bezpieczeństwem informacji i regularnego przeglądu zabezpieczeń.

Śniatała zwracał uwagę, że cyberbezpieczeństwo nie może być traktowane wyłącznie jako domena działu IT. Zarządzanie ryzykiem i odpornością organizacji powinno być elementem strategii całej firmy, włącznie z kadrą zarządzającą. Pomocne mają być sprawdzone standardy, takie jak ISO 27001.

Dostawca wysokiego ryzyka

Szczególną uwagę uczestnicy debaty poświęcili instytucji dostawcy wysokiego ryzyka.

Mikołaj Śniatała wskazał, że uznanie za takiego dostawcę może skutkować zakazem wprowadzania nowych produktów na rynek oraz obowiązkiem wycofania określonego sprzętu w ciągu 4 lub 7 lat.

Marcin Wysocki z Ministerstwa Cyfryzacji podkreślił z kolei, że nie ma automatyzmu w uznawaniu podmiotu za dostawcę wysokiego ryzyka tylko dlatego, że taki status nadano mu w innym państwie. Takie decyzje będą jednak brane pod uwagę w analizie.

Michał Kanownik zaznaczył natomiast, że w kontekście uznawania za dostawcę wysokiego ryzyka mowa nie o całych markach, lecz o konkretnych produktach lub usługach, które mogą zagrażać bezpieczeństwu państwa.

Jeśli zagrożenie jest realne, wycofanie sprzętu jest uzasadnione, a 4-letni okres na wymianę należy uznać za relatywnie długi, biorąc pod uwagę cykl życia technologii.

UKSC w szerszym ekosystemie bezpieczeństwa

Prokurator Agnieszka Gryszczyńska wskazała, że ustawa o KSC stanowi element szerszego ekosystemu regulacyjnego, łączącego instrumenty administracyjnoprawne z karnoprawnymi.

Zwróciła uwagę, że Polska jest już ponad rok po terminie implementacji dyrektywy NIS2, a proces legislacyjny trwa zbyt długo.

Podkreśliła, że każda regulacja podnosząca poziom cyberbezpieczeństwa automatycznie utrudnia działanie sprawcom. Atakujący najczęściej wybierają najsłabiej chronione podmioty, a wciąż wiele organizacji, zarówno prywatnych, jak i publicznych, nie przeprowadza wystarczającej analizy ryzyka.

Dane o rosnącej liczbie incydentów rejestrowanych przez CERT NASK pokazują, że zagrożenie jest realne i narastające. Długi okres przejściowy powinien zostać wykorzystany na rzeczywiste dostosowanie się do nowych wymogów.

Działania trzeba zacząć już dziś

W trakcie debaty wybrzmiał wspólny wniosek: przedsiębiorcy nie powinni odkładać działań do momentu formalnego wejścia ustawy w życie. 

Michał Kanownik zwracał uwagę na znaczenie cyfrowej higieny i rzetelnej informacji. Wokół nowelizacji narosło wiele półprawd i nieścisłości, dlatego, jego zdaniem, przedsiębiorcy powinni opierać się na oficjalnych założeniach ustawy, a nie na niezweryfikowanych opiniach z internetu.

Nowelizacja ustawy o KSC oznacza dla firm nie tylko nowe obowiązki, lecz także konieczność zmiany podejścia. Cyberbezpieczeństwo przestaje być tematem technicznym. Staje się jednym z kluczowych elementów zarządzania ryzykiem i odpowiedzialności zarządów.