Z cyberbezpieczeństwem jest trochę jak z RODO. Dużo straszenia

Kogo obejmie ustawa o Krajowym Systemie Cyberbezpieczeństwa w myśl najnowszej wersji projektu nowelizacji?

Podmioty administracji państwowej i firmy działające w 17 sektorach wymienionych w ustawie o KSC, podzielonych na 10 kluczowych i 7 ważnych. W przypadku podmiotów kluczowych mówimy przede wszystkim o dużych przedsiębiorstwach, czyli zatrudniających ponad 250 osób i mających ponad 50 mln euro obrotu, które działają m.in. np. w energetyce, transporcie czy bankowości. Jednak w przypadku przedsiębiorców komunikacji elektronicznej podmiotem kluczowym staną się już ci co najmniej średniej wielkości. Do podmiotów kluczowych nie zostaną zakwalifikowane mikroprzedsiębiorstwa, z pewnym zastrzeżeniem. Niezależnie od wielkości (czyli mogą to być nawet mikro i małe), podmiotami kluczowymi będą m.in. dostawcy usług DNS (czyli tłumaczących adresy IP stron internetowych na adresy słowne, którymi się posługujemy) oraz rejestratorzy domen krajowych. Takie podejście nie dziwi, bo z punktu widzenia cyberbezpieczeństwa i plagi fałszywych domen, udających np. strony banków, ta kwestia ma zasadnicze znaczenie. W tym aspekcie jest to właściwie jeden do jednego odwzorowanie wymogów dyrektywy NIS2, którą wdraża nowelizacja.

Czytaj więcej

Opinie Prawne

Tomasz Siemiątkowski: Szkodliwa nadregulacja w sprawie cyberbezpieczeństwa

W kwestii cyberbezpieczeństwa jesteśmy świadkami próby legitymizacji kontrowersyjnych instytucji...

Skoro ustawa nie obejmie mikroprzedsiębiorstw, w tym jednoosobowych działalności gospodarczych, czy nie grozi nam obchodzenie wymogów NIS2 przez outsoursowanie usług związanych z cyberbezpieczeństwem na tego przysłowiowego informatyka na samozatrudnieniu?

Jedną z kluczowych zmian w obecnej wersji nowelizacji ustawy jest właśnie to, że mikroprzedsiębiorcy, którzy są dostawcami usług w zakresie cyberbezpieczeństwa, nie będą traktowani jako podmioty kluczowe. Ale to nie zmienia faktu, że przedsiębiorstwa będące podmiotami kluczowymi albo ważnymi, które chcą zawrzeć umowę z tego typu dostawcą usług, i tak muszą spełnić obowiązki wynikające z ustawy. Zatem nie ma mowy o obchodzeniu wymogów. Zarząd takiego podmiotu musi podjąć decyzję, czy kompetencje i referencje danej firmy są na tyle wiarygodne, że można jej zaufać i podpisać z nią umowę. Pamiętajmy, że to sama firma i jej zarząd odpowiadają za spełnienie wymogów ustawy. Niezależnie, czy powierzą usługę mikroprzedsiębiorcy zewnętrznemu, czy większemu podmiotowi. A ewentualne, niemałe przecież kary i tak będą dotyczyć wprost podmiotu kluczowego czy ważnego. Później będzie można ewentualnie wytoczyć takiemu dostawcy proces, gdyby doszło do naruszenia obowiązków wynikających z ustawy, leżących w jego gestii.

A na jakiej podstawie kwalifikowane będą podmioty ważne? Na ile polski ustawodawca miał tu swobodę ich określenia, a na ile wynika to z dyrektywy?

Wiele organizacji branżowych i firm w trakcie konsultacji zwracało uwagę, że w polskim projekcie ustawy mamy do czynienia z „nadregulacją” względem dyrektywy NIS2 – 14 sektorów kluczowych versus 11 w dyrektywie unijnej. I w nowym projekcie ustawy minister cyfryzacji zdecydował się na określenie wprost, że 10 sektorów będzie uznanych za kluczowe, zaś 7 uznanych za ważne. W samej dyrektywie łącznie wskazanych jest 18 sektorów, jednak u nas banki i instytucje finansowe zostały zaliczone do jednej kategorii. W najnowszej wersji projektu ujęto zatem tyle samo sektorów objętych regulacjami, jak w dyrektywie.

Do podmiotów ważnych zaliczone będą średnie przedsiębiorstwa, o ile działają w którymś z 17 sektorów wskazanych w ustawie. W przypadku przedsiębiorstw działających w 7 sektorach ważnych za tego rodzaju podmioty uznane zostaną zarówno duże, jak i średnie firmy. Chodzi tu m.in. o produkcję (a także dystrybucję) chemikaliów, żywności czy elektroniki. Ponownie, w przypadku przedsiębiorstw komunikacji elektronicznej także mikro lub małe firmy są klasyfikowane jako podmioty ważne.

Czytaj więcej:

ABC Firmy

Cyberbezpieczeństwo. Prawniczka: nadregulacja uderzy w biznes

Rozumiem wagę kwestii cyberbezpieczeń...

Pro

Jakie dokładnie obowiązki nałoży na wszystkie te podmioty ustawa o KSC i dyrektywa NIS2? Bo dużo jest straszenia, że będzie to wielka rewolucja.

Trochę przypomina to sytuację sprzed kilku lat, gdy wprowadzano RODO, co wzbudziło niepewność wśród przedsiębiorców i instytucji. Wprowadzane regulacje będą się wiązały z nowymi obowiązkami, które obejmą znacznie większą liczbę podmiotów, bo szacunki mówią, że o ile dotychczas mieliśmy do czynienia z około 400 operatorami usług kluczowych, to po nowelizacji będzie to prawie 40 tys. podmiotów, a więc wzrost stukrotny. Moim zdaniem należy jednak podchodzić do całej sprawy z rozsądkiem, bo nie wszystkie wprowadzane ustawą obowiązki będą stanowić zupełne novum.

Pierwszym i bazowym krokiem dla każdego podmiotu kluczowego czy ważnego będzie dokonanie zgłoszenia do wykazu tych podmiotów, prowadzonego przez ministra cyfryzacji. Polska do 17 kwietnia 2025 r. musi przedstawić Komisji Europejskiej wykaz podmiotów kluczowych i ważnych, które do tego dnia zostaną zidentyfikowane w naszym kraju. Przedsiębiorstwa będą miały na zgłoszenie się trzy miesiące od wejścia w życie ustawy. Mamy więc dobry moment, żeby dokonać samoidentyfikacji, spróbować określić, czy będzie się takim podmiotem.

Czytaj więcej:

Biznes

Jakie obowiązki dostawców usług cyfrowych

Cyberbezpieczeństwo systemów IT dotyk...

Pro

Jak można to zrobić przed wejściem w życie ustawy?

W internecie można znaleźć narzędzia umożliwiające przeprowadzenie analizy, czy dana firma będzie objęta ustawą. Najczęściej opiera się to na prostych pytaniach o liczbę pracowników w przedsiębiorstwie, jego dochody oraz wybór sektora działalności. Rzecz jasna, to dość ogólna ocena. Wsparciem z pewnością służyć mogą firmy doradcze czy kancelarie prawne, a także organizacje branżowe i izby handlowe, do których należymy.

Jakie są inne obowiązki przewidziane w dyrektywie i ustawie?

Kolejnym istotnym krokiem jest decyzja, czy sami powołamy wewnętrzny dział cyberbezpieczeństwa, czy skorzystamy ze wsparcia zewnętrznego dostawcy. Niezależnie, którą z opcji wybierzemy, będzie to wiązać się z wydatkami. Pojawiają się liczne głosy, że chęć sprostania wymogom ustawy będzie się wiązała z bardzo wysokimi kosztami. Jednak niekoniecznie musi tak być, zależy to od wielu czynników – jest sporo organizacji, które już dziś są uznawane za podmioty kluczowe i posiadają systemy zarządzania bezpieczeństwem informacji. Inne wprowadziły je z własnej inicjatywy, chociażby z punktu widzenia ograniczenia ryzyk biznesowych związanych z cyberatakami lub z przyczyn wizerunkowych i chęci zwiększenia zaufania do firmy.

Czy wydatki na spełnienie wymogów z dyrektywy należy traktować tylko jak koszty, czy jednak jako inwestycję, która się zwróci, bo zwiększy cyberbezpieczeństwo? Dane pokazują, że w tym aspekcie polskie firmy, łagodnie mówiąc, nie są w czołówce.

Moim zdaniem to inwestycja, która będzie procentowała w przyszłości, co mogę powiedzieć w oparciu o blisko 20 lat działalności w obszarze cyberbezpieczeństwa. W branży przyjęło się, że pieniądze przeznaczone na ten cel można porównać do zakupu polis ubezpieczeniowych. Czyli są wykorzystywane na coś, czego nie widzimy, co ciężko pokazać zarządowi czy osobom na stanowiskach kierowniczych. A zasadność ich wydatkowania nie powinna budzić wątpliwości. Dobrze byłoby, abyśmy nie musieli przekonywać się o tym, dopiero gdy dojdzie do jakiegoś incydentu, wycieku czy cyberataku.

Czytaj więcej

Opinie i komentarze

Prof. Marek Chmaj: Fatalny projekt nowelizacji ustawy o KSC

Wnikliwa analiza poszczególnych projektowanych zmian prowadzi do wniosku, że resort cyfryzacji pr...

Pojawienie się nowej ustawy jest dobrym momentem, by zwiększyć wydatki na ten cel. Niestety, opóźnienie polskiej implementacji dyrektywy sprawia, że przedsiębiorstwa czekają z inwestycjami na zakończenie tego procesu. Sama nowelizacja ustawy o KSC dobrze uwypukla też fakt, że kwestie związane z cyberbezpieczeństwem to już nie tylko problem techniczny, lecz w dużej mierze także poważne ryzyko biznesowe. Z konsekwencjami takimi, jak choćby fizyczne wstrzymanie działalności, co dotykało nawet globalnych graczy motoryzacyjnych, o utracie reputacji nie wspominając. Również w polskich realiach mieliśmy, całkiem niedawno, głośne przypadki wycieków danych z platformy zakupowej czy medycznej. Incydenty te pokazują, że kwestie cyberbezpieczeństwa i cyberodporności powinny stanowić istotny aspekt dla kadry zarządzającej – nie można ich traktować po macoszemu. Tym bardziej że w myśl nowych przepisów odpowiedzialność spadnie właśnie na zarząd. Wprowadzenie w nowelizacji ustawy o KSC kar bezpośrednio dla osób zarządzających daną organizacją uważam za dobry krok, który będzie stymulatorem działań podnoszących bezpieczeństwo firm i ich klientów.

Nowelizacja ta zobowiązuje wskazane podmioty także do przeprowadzenia analizy ryzyka. Co ma ona obejmować?

Samo sprawdzenie, jakie mamy zasoby sprzętowe czy oprogramowanie zainstalowane w naszej firmie, to już jest bardzo dobra baza do wykonania analizy ryzyka. Może się bowiem okazać, że pewne wciąż funkcjonujące rozwiązania są z perspektywy bezpieczeństwa przestarzałe. Podczas takiej inwentaryzacji można też znaleźć rozwiązania, które z jakiegoś powodu nigdy nie zostały wdrożone, a mogą okazać się teraz przydatne. Niestety, wciąż wiele przedsiębiorstw takiej analizy nie wykonywało, choć wcale nie wiąże się ona z wysokimi kosztami. Ważne jest też, czy w firmie mamy specjalistę do spraw cyberbezpieczeństwa. Jeśli tak, to wykorzystując jego wiedzę, możemy dokonać kolejnego kroku, czyli szacowania ryzyka i na tej podstawie określić, które obszary np. wymagają wdrożenia nowych albo lepszych rozwiązań, bądź też procedur lub szkoleń

Czytaj więcej

Biznes

Nadchodzą sądne dni. Polski biznes kontra hakerzy i boty

Firmy w Polsce muszą dostosować się do wyzwań związanych z cyberbezpieczeństwem i sztuczną inteli...

Dużo emocji budzi też kwestia dostawców usług wysokiego ryzyka. Tu też jest sporo straszenia, bo minister może tak zakwalifikować jakąś firmę i wtedy ten, kto korzysta z jej usług, a sam jest podmiotem ważnym lub kluczowym, musi wymienić sprzęt czy oprogramowanie. Tylko że ma na to siedem lat, więc pytanie, czy to tak naprawdę jest poważna groźba? Bo przecież co jakiś czas ten sprzęt i tak należy wymieniać.

W przypadku podmiotów kluczowych i ważnych rzeczywiście wprowadzono wymóg siedmiu lat na wymianę sprzętu czy oprogramowania, dostarczonych przez firmę uznaną za dostawcę wysokiego ryzyka. W przypadku przedsiębiorców telekomunikacyjnych ten okres ma wynosić cztery lata. W związku z tym pojawiało się sporo wątpliwości oraz krytycznych komentarzy, głównie ze strony organizacji branżowych skupiających firmy telekomunikacyjne, że to rozwiązanie jest pewnego rodzaju dyskryminacją tych firm względem innych podmiotów kluczowych.

W tym przypadku Ministerstwo Cyfryzacji jest dość zdeterminowane. Wynika to, jak wyjaśniono, „ze szczególnego znaczenia sieci telekomunikacyjnych dla funkcjonowania społeczeństwa informacyjnego”. Resort wskazuje, że w tym przypadku niebezpieczny sprzęt i oprogramowanie są wykorzystywane do świadczenia usług np. dostępu do internetu, od których zależy sprawne funkcjonowanie innych sektorów, a w konsekwencji kraju. Ryzyko w tym obszarze automatycznie obejmuje sektory o strategicznym znaczeniu, jak np. energetyka lub ochrona zdrowia. Uznanie za dostawcę wysokiego ryzyka oznacza, że korzystanie z jego produktów lub usług może zagrażać bezpieczeństwu narodowemu. Mówimy więc tutaj o naprawdę dużym kalibrze potencjalnych zagrożeń.

Stormshield jest dostawcą między innymi rozwiązań typu firewall. Średni cykl życia urządzeń tego typu wynosi osiem–dziesięć lat, niezależnie od tego, kto jest ich producentem. To oczywiście pokłosie szybko zmieniających się technologii i wprowadzania nowych, bardziej wydajnych komponentów sprzętowych. Z drugiej strony również cyberprzestępcy wykorzystują coraz bardziej zaawansowane i wymyślne metody ataku. W takich realiach nie wyobrażam sobie, aby ktokolwiek, będąc odpowiedzialnym dostawcą, chciał chronić polskie przedsiębiorstwa firewallem zakupionym, powiedzmy, 15 lat temu. Wymiana sprzętu jest czymś naturalnym i zasadnym, szczególnie że funkcjonowanie naprawdę wiekowego sprzętu często nie jest wspierane przez samych producentów. Podobnie jak w przypadku systemów operacyjnych telefonów.

Czy projekt przewiduje jeszcze jakieś dodatkowe obowiązki dla podmiotów ważnych i kluczowych?

Jednym z najważniejszych obowiązków nakładanych przez ustawę jest wdrożenie systemu zarządzania bezpieczeństwem informacji. Przedsiębiorstwo, które zostało uznane za podmiot kluczowy lub ważny, musi wyznaczyć osobę bądź osoby odpowiedzialne za utrzymywanie kontaktu z podmiotami Krajowego Systemu Cyberbezpieczeństwa (m.in. z Ministerstwem Cyfryzacji). W przypadku mniejszych przedsiębiorstw wystarczy jedna osoba, natomiast ogólna zasada zakłada, że powinny być dwie lub więcej. Jest też mowa o tym, że firma powinna stosować środki zapobiegające i ograniczające ewentualny wpływ incydentu. Takimi środkami mogą być: urządzenie firewall, oprogramowanie antywirusowe czy oprogramowanie do szyfrowania. I ostatni wymóg, który wprost wynika z ustawy, to zarządzanie incydentami. Mówimy zarówno o wykrywaniu incydentów, zgłaszaniu ich – tu rolę odegrają osoby wskazane do kontaktu z KSC, oraz późniejszym postępowaniu aż do momentu usunięcia skutków incydentu. Powinniśmy się starać, by do nich nie dochodziło, ale wbrew pozorom incydentów nie należy się bać, mogą przydarzyć się w każdej firmie.

Z tego, co słyszałem, nie ma zabezpieczeń stuprocentowo skutecznych, więc ważniejsze jest właśnie zarządzanie incydentami, bo prędzej czy później do nich dojdzie.

Dokładnie tak. Skala zagrożenia jest duża i pytanie brzmi „kiedy”, a nie „czy” dojdzie do incydentu, przykładowo związanego z rozwiązaniami, z których korzysta przedsiębiorstwo.  Wówczas istotne jest to, w jaki sposób dostawca reaguje i jak szybko „łata” swój system. Dobrze zatem, że ustawodawca wprost wskazuje na konieczność zarządzania incydentami, bo wymusza to przygotowanie procedur związanych nie tylko z zapobieganiem, ale także wykrywaniem, zgłaszaniem i usuwaniem ich skutków.