Przejdź do treści

Systemowa mapa drogowa podniesie poziom cyberodporności polskich firm i administracji

Fot. free-images.com

Trwają prace nad nowelizacją Ustawy o Krajowym Systemie Cyberbezpieczeństwa. Akt wprowadzi do polskiego prawodawstwa założenia dyrektywy NIS2.

Jak zwracają uwagę eksperci firmy Stormshield, wytwórcy rozwiązań z obszaru bezpieczeństwa IT, zaletą projektu jest jego szeroki zakres, który pozwala w oparciu o proponowane przepisy systemowo budować krajową cyberodporność. Jednocześnie pojawiają się obawy, że skala projektu, w odniesieniu do liczby podmiotów które zostaną nim objęte, może negatywnie wpłynąć na ich konkurencyjność.

Plusy projektu nowelizacji – systemowa mapa drogowa do cyberbezpieczeństwa

W opinii Pawła Śmigielskiego, country managera Stormshield w Polsce, zaletą projektu nowelizacji jest ujęte w nim systemowe podejście do kwestii cyberbezpieczeństwa. Świadczy o tym opisanie w dokumencie m.in. obowiązków odnoszących się do analizy ryzyka, wprowadzania środków technicznych, operacyjnych i organizacyjnych proporcjonalnych do zagrożeń, czy uwzględnienie wątku bezpieczeństwa łańcucha dostaw. Szczególnie ten ostatni aspekt pozostaje naszą bolączką, gdyż zainteresowanie nim, to jeden z głównych trendów w środowisku przestępców, którzy wykorzystując go jako nić, chcą niczym do kłębka dostać się do zasobów organizacji docelowej. Na problem zwracają uwagę m.in. specjaliści zajmujący się bezpieczeństwem IT w Jednostkach Samorządu Terytorialnego (JST), wskazując na „niewystarczającą świadomość po stronie organizacji, które tworzą ich łańcuch dostaw”. Jednak zjawisko dotyczy nie tylko sektora samorządowego.

– Ustawodawca reaguje na zagrożenia, proponując wdrożenie systemów, które będą realnie chronić przed cyberzagrożeniami bezpośrednio i pośrednio tych, którzy wykonują usługi na rzecz społeczeństwa. Przedłożona nowelizacja kładzie nacisk, by podejście do zagadnień cyberbezpieczeństwa było systemowe. Projekt w mojej ocenie można traktować jako dokładną mapę drogową. Konsekwentne wdrażanie ujętych w nim rozwiązań, adaptujących do polskiego prawodawstwa obowiązki wynikające z NIS2, pozwoli realnie zwiększyć poziom bezpieczeństwa i odporności na rosnące zagrożenia – mówi Paweł Śmigielski.

25 proc. wszystkich podmiotów objętych NIS2 z Polski

Wśród mankamentów założeń nowelizacji ustawy, eksperci Stormshield zwracają uwagę na skalę. Pierwotna ustawa o KSC objęła obowiązkami ok. 400 podmiotów, podczas gdy obecna wg. szacunków wprowadza je aż dla około 38 tysięcy. Tyle przedsiębiorstw i instytucji publicznych zostanie zakwalifikowane jako podmioty kluczowe lub ważne. Obecny projekt jest pod tym względem bardziej rygorystyczny, także w porównaniu do dyrektywy NIS2. Zgodnie z aktualną wersją noweli podmioty z aż 14 sektorów gospodarki zostaną ujęte jako podmioty kluczowe, wobec 11, o których mowa w dyrektywie NIS2.

– Nasza nowelizacja jest pod tym względem szersza i bardziej rygorystyczna. Wyrażane są przy tym obawy, że te nadmierne regulacje mogą pogorszyć konkurencyjność przedsiębiorstw – mówi Paweł Śmigielski. W całej UE, jak się szacuje, dyrektywą zostanie objętych ok. 150-160 tys. podmiotów. W Niemczech będzie to ok. 35 tys., a we Francji ok. 15 tys.

Implementacja dyrektywy i nowej KSC będzie szczególnym wyzwaniem właśnie dla polskiej gospodark

– Zatem wskazana w ocenach skutków regulacji liczba polskich podmiotów stanowić może około 25 proc. wszystkich objętych regulacjami w całej Europie. Oceniając to przez pryzmat wielkości gospodarek porównywanych krajów nie ma co ukrywać, że implementacja dyrektywy i nowej KSC będzie szczególnym wyzwaniem właśnie dla polskiej gospodarki – tłumaczy Śmigielski.

– Warto dodać, że objęte dodatkowymi wymaganiami podmioty kluczowe i ważne będą chciały je narzucić również firmom i podmiotom, z którymi same na co dzień współpracują. Zatem ostateczna liczba podmiotów, na których działanie, choć nie bezpośrednio, wpłynie nowelizacją będzie znacznie większa od szacowanej – mówi Piotr Zielaskiewicz, senior product manager Stormshield w firmie Dagma Bezpieczeństwo IT.

Implementacja NIS 2 – nie chodzi o compliance

– Incydenty były, są i będą. Dyrektywa NIS2, i w ślad za nią nowelizacja polskiego prawa, kładzie duży nacisk na to, by przygotowywać plany ciągłości działania i budować kompetencje w zakresie cyberodporności. To pomoże w kryzysowej sytuacji przywrócić normalne funkcjonowanie organizacji. Wychodzimy naprzeciw realnym, choć nie zawsze uświadomionym potrzebom.

Pamiętajmy też, że w całej sprawie nie chodzi o zgodność z przepisami w myśl zasad compliance, a o rzeczywiste wzmocnienie bezpieczeństwa w interesie nas wszystkich – podsumowuje Zielaskiewicz.
Udostępnij: