Nowelizacja Ustawy o Krajowym Systemie Cyberbezpieczeństwa przechodzi istotne zmiany, a eksperci z branży uważnie śledzą rozwój wydarzeń, starając się ocenić, jak nowe regulacje wpłyną na funkcjonowanie przedsiębiorstw i instytucji. Paweł Śmigielski ze Stormshield, analizuje najnowsze poprawki, które zostały zaprezentowane w październiku, wskazując na znaczenie tych działań dla poprawy stanu cyberbezpieczeństwa w Polsce.

Obecnie coraz bardziej widoczna staje się różnica pomiędzy rosnącymi wyzwaniami związanymi z cyberzagrożeniami a stopniem przygotowania firm oraz instytucji do zapewnienia odpowiedniej ochrony swoich systemów. Z perspektywy legislacyjnej, Ministerstwo Cyfryzacji dąży do unowocześnienia przepisów, by lepiej dostosować się do zmieniającej się sytuacji geopolitycznej i coraz bardziej złożonego środowiska zagrożeń.

– Ministerstwo Cyfryzacji chce zadbać o podniesienie poziomu cyberbezpieczeństwa w naszym kraju, mając świadomość w jakim miejscu układanki geopolitycznej aktualnie się znajdujemy – twierdzi Paweł Śmigielski, country manager Stormshield w Polsce. – Zmiany ogłoszone 7 października nie są rewolucyjne względem pierwotnego projektu i w związku z tym szacowana liczba podmiotów objętych nowelizacją wciąż pozostaje duża, jak wynika z informacji Ministerstwa oscylując wokół ok. 38 tysięcy przedsiębiorstw i instytucji. Warto przy tym zwrócić uwagę, że znacząca ich część, około 28 tys., to podmioty administracji publicznej (rządowej i samorządowej). Projekt nowelizacji ustawy o Krajowym Systemie Cyberbezpieczeństwa pozostaje swoistą mapą drogową w obszarze cyberbezpieczeństwa.

Dokument szczegółowo opisuje obowiązki związane z analizą ryzyka, wprowadzaniem odpowiednich środków technicznych i operacyjnych oraz zarządzaniem łańcuchem dostaw. Ten ostatni punkt jest kluczowy, ponieważ ataki na łańcuchy dostaw stają się coraz bardziej powszechną metodą działania cyberprzestępców, którzy wykorzystują te słabości do infiltracji zasobów kluczowych organizacji.

 

Główne zmiany w nowelizacji ustawy:

  1. Zmniejszenie liczby sektorów kluczowych – Jedną z bardziej znaczących zmian w porównaniu z pierwotnym projektem z wiosny jest redukcja liczby sektorów uznawanych za kluczowe. Teraz uwzględniono sektory takie jak produkcja, chemikalia i żywność jako istotne, co może wpłynąć na ich regulacje i wymagania w zakresie cyberbezpieczeństwa.
  2. Zmiany w kryteriach wielkości firm – Nowe przepisy złagodzą wymagania wobec mikro i małych przedsiębiorstw. Na przykład, firmy zatrudniające mniej niż 10 pracowników oraz jednoosobowe działalności gospodarcze, które oferują specjalistyczne usługi, takie jak audyty systemów IT, nie będą już uznawane za kluczowe podmioty dostarczające zarządzane usługi cyberbezpieczeństwa.
  3. Złagodzenie wymogów dla grup kapitałowych – Firmy, które są częścią grup kapitałowych, będą oceniane pod kątem powiązań swoich systemów IT z systemami grupy. Jeśli takie powiązania nie istnieją, nie będą podlegać obowiązkom wdrożenia określonych środków bezpieczeństwa.
  4. Rezygnacja z obligatoryjnych norm – W trakcie konsultacji pojawiły się głosy interpretujące zapisy projektu dotyczące norm ISO/IEC 27001 oraz PN-EN ISO/IEC 22301 jako obligatoryjne. Ministerstwo wycofało się z tego wymogu, podkreślając, że certyfikacja nie będzie obowiązkowa.
  5. Zmiana w zakresie przepisów dotyczących znajomości prawa – Usunięto także wymóg znajomości przepisów prawa z zakresu cyberbezpieczeństwa przez personel kluczowych podmiotów. Zamiast tego, wprowadzono konieczność znajomości wewnętrznych regulacji danego podmiotu, co powinno ułatwić realizację wymagań.

Przedstawiciele Ministerstwa wielokrotnie zaznaczali, że firmy będą musiały wdrażać odpowiednie środki techniczne i organizacyjne w zależności od oszacowanego ryzyka oraz skali działalności. Innymi słowy, mniejsze podmioty nie będą musiały wdrażać tak kosztownych i zaawansowanych rozwiązań jak większe przedsiębiorstwa.

– Wyjaśnienie tej kwestii jest istotne, bo brak jednoznaczności mógł powodować niepewność. W mojej opinii zupełnie nie uzasadnionym jest, gdy mniejsze podmioty (co do liczby pracowników) porównują się do dużych, w kontekście wdrażania technologii bezpieczeństwa. W ich przypadku, ze względu na skalę działalności, najczęściej wygląda to przecież zupełnie inaczej. Powinny się one skupić na analizie ryzyka związanej z własnymi zasobami i wdrażać rozwiązania adekwatne do zidentyfikowanych obszarów wymagających zabezpieczenia – komentuje Paweł Śmigielski.

Nowelizacja ustawy niesie ze sobą pewne wyzwania, zwłaszcza dla firm, które do tej pory nie były świadome nowych obowiązków. W wielu przypadkach przedsiębiorcy wciąż nie wiedzą, czy zmiany dotyczą ich bezpośrednio, co wskazuje na niedostateczną świadomość w tym zakresie.

 

– Podczas naszych spotkań z przedsiębiorcami z różnych branż wciąż pojawiają się nawet pytania czy kierowany przez nich podmiot w ogóle będzie objęty ustawą. To pokazuje, że niestety pod względem upowszechniania wiedzy wciąż jest wiele pracy do wykonania – dodaje przedstawiciel europejskiego producenta technologii bezpieczeństwa IT.

Choć wejście w życie ustawy wydaje się nieuniknione, wiele firm, zwłaszcza tych działających w sektorze publicznym, obawia się, że opóźnienia w procedowaniu ustawy mogą utrudnić planowanie budżetów na wdrożenie nowych technologii zabezpieczających. Wdrożenie odpowiednich rozwiązań, takich jak firewalle, systemy SIEM czy utworzenie SOC, wymaga bowiem zarówno środków finansowych, jak i odpowiednio przeszkolonego personelu.

Ważne jest, by mądrze zaplanować przyszłoroczne wydatki, szczególnie gdy wciąż nie wiemy, jakie dokładnie obowiązki zostaną nałożone. Rola branży cyberbezpieczeństwa polega teraz na udzielaniu odpowiedniego wsparcia i doradztwa, a wierzę, że zdołamy sprostać temu wyzwaniu – podsumowuje Paweł Śmigielski.

Nowelizacja ustawy o Krajowym Systemie Cyberbezpieczeństwa, mimo iż wciąż podlega modyfikacjom, stanowi istotny krok w kierunku poprawy bezpieczeństwa cyfrowego w Polsce. Kolejne zmiany, które wejdą w życie, będą miały bezpośredni wpływ na funkcjonowanie wielu firm i instytucji, dlatego ważne jest, by już teraz przygotować się na nadchodzące wyzwania.

źródło: informacja prasowa