Czytaj także: Od czego zacząć przygotowania do wdrożenia dyrektywy NIS2 w firmie?

Plusy projektu nowelizacji – systemowa mapa drogowa do cyberbezpieczeństwa

Zaletą projektu nowelizacji jest ujęte w nim systemowe podejście do kwestii cyberbezpieczeństwa. Świadczy o tym opisanie w dokumencie m.in. obowiązków odnoszących się do analizy ryzyka, wprowadzania środków technicznych, operacyjnych i organizacyjnych proporcjonalnych do zagrożeń, czy uwzględnienie wątku bezpieczeństwa łańcucha dostaw.

• Szczególnie ten ostatni aspekt pozostaje bolączką, gdyż zainteresowanie nim, to jeden z głównych trendów w środowisku przestępców, którzy wykorzystując go jako nić, chcą niczym do kłębka dostać się do zasobów organizacji docelowej.

• Na problem zwracają uwagę m.in. specjaliści zajmujący się bezpieczeństwem IT w Jednostkach Samorządu Terytorialnego (JST), wskazując na „niewystarczającą świadomość po stronie organizacji, które tworzą ich łańcuch dostaw”. Jednak zjawisko dotyczy nie tylko sektora samorządowego.

Ustawodawca reaguje na zagrożenia, proponując wdrożenie systemów, które będą realnie chronić przed cyberzagrożeniami bezpośrednio i pośrednio tych, którzy wykonują usługi na rzecz społeczeństwa. Przedłożona nowelizacja kładzie nacisk, by podejście do zagadnień cyberbezpieczeństwa było systemowe.

Projekt można traktować jako dokładną mapę drogową. Konsekwentne wdrażanie ujętych w nim rozwiązań, adaptujących do polskiego prawodawstwa obowiązki wynikające z NIS2, pozwoli realnie zwiększyć poziom bezpieczeństwa i odporności na rosnące zagrożenia.

25 proc. wszystkich podmiotów objętych NIS2 z Polski

Wśród mankamentów założeń nowelizacji ustawy jest skala.

• Pierwotna ustawa o KSC objęła obowiązkami ok. 400 podmiotów, podczas gdy obecna wg. szacunków wprowadza je aż dla około 38 tysięcy. Tyle przedsiębiorstw i instytucji publicznych zostanie zakwalifikowane jako podmioty kluczowe lub ważne.

• Obecny projekt jest pod tym względem bardziej rygorystyczny, także w porównaniu do dyrektywy NIS2. Zgodnie z aktualną wersją noweli podmioty z aż 14 sektorów gospodarki zostaną ujęte jako podmioty kluczowe, wobec 11, o których mowa w dyrektywie NIS2.

Nasza nowelizacja jest szersza i bardziej rygorystyczna.

• Wyrażane są obawy, że te nadmierne regulacje mogą pogorszyć konkurencyjność przedsiębiorstw.

W całej Unii Europejskiej dyrektywą NIS2 zostanie objętych około 150–160 tysięcy podmiotów, z czego aż 25% to podmioty z Polski. W Niemczech będzie to około 35 tysięcy, a we Francji 15 tysięcy.

• Implementacja dyrektywy i nowej KSC będzie więc szczególnym wyzwaniem dla polskiej gospodarki.

Wpływ KSC na sektor prywatny i publiczny

Objęte dodatkowymi wymaganiami podmioty kluczowe i ważne będą chciały narzucić te same standardy firmom, z którymi współpracują. Ostateczna liczba podmiotów, na które wpłynie nowelizacja, będzie więc znacznie większa niż szacowana - zauważa Piotr Zielaskiewicz, senior product manager Stormshield w DAGMA Bezpieczeństwo IT.

Implementacja NIS2 - nie chodzi tylko o zgodność z przepisami

Incydenty były, są i będą. Dyrektywa NIS2 oraz nowelizacja polskiego prawa kładą duży nacisk na przygotowywanie planów ciągłości działania i budowanie kompetencji w zakresie cyberodporności. To pomoże w kryzysowej sytuacji przywrócić normalne funkcjonowanie organizacji. Wychodzimy naprzeciw realnym, choć nie zawsze uświadomionym potrzebom.

Pamiętajmy też, że w całej sprawie nie chodzi o zgodność z przepisami w myśl zasad compliance, a o rzeczywiste wzmocnienie bezpieczeństwa w interesie nas wszystkich.

Nowelizacja ustawy o KSC to krok w stronę zwiększenia cyberodporności Polski, jednak jej wdrożenie wymagać będzie sporych nakładów i zaangażowania zarówno ze strony sektora publicznego, jak i prywatnego.

Paweł Śmigielski, country manager Stormshield w Polsce

Foto: DCStudio, Freepik