Z tego artykułu się dowiesz:

  • Jakie modyfikacje i ograniczenia finansowe zostały wprowadzone w nowelizacji ustawy o Krajowym Systemie Cyberbezpieczeństwa?
  • W jaki sposób zmniejszenie planowanych wydatków może wpłynąć na zdolność państwa do reagowania na zagrożenia cybernetyczne?

Nowelizacja ustawy o KSC jest spóźniona (Bruksela zobowiązała państwa członkowskie do uchwalenia krajowych regulacji do 17 października ub. r.), a wygląda na to, że wprowadzenie przepisów wdrażających unijną dyrektywę NIS2 jeszcze potrwa. Choć jeszcze kilkanaście dni temu wydawało się, że projekt ruszy z procesem legislacyjnym z kopyta, bo półtora tygodnia temu ostatecznie przyjęła go Rada Ministrów, teraz znów urzędnicy zaczęli go zmieniać. Właśnie pojawiła się kolejna „ostateczna wersja” KSC. I to mocno uszczuplona. Rząd chce na cyberbezpieczeństwie mocno przyoszczędzić.

„Poważny sygnał ostrzegawczy”

Choć projekt był już gotowy i miał wyjść z rządu do parlamentu, by jeszcze przed końcem roku zostać uchwalonym, niespodziewanie został cofnięty. Rządowe Centrum Legislacji opublikowało „nowy” projekt noweli. Ministerstwo Cyfryzacji wskazało, że korekcie miały ulec zasady finansowania nowych obowiązków, jakie na jednostki centralne nakłada znowelizowana KSC. „Faktycznie, wieloletni budżet uległ znaczącej redukcji” – zaalarmował jako pierwszy branżowy serwis Telko.in.

Kluczowy jest w tym kontekście załącznik nr 4 do oceny skutków regulacji, zawierający 10-letni plan wydatków związanych z realizacją zadań KSC. Jak wskazuje Telko.in, projekt przygotowany na październikowe posiedzenie Rady Ministrów zawierał sumę wydatków przekraczającą 4 mld zł, a wedle nowej wersji załącznika jest to już niespełna 3 mld zł.

Czytaj więcej:

Biznes nie jest gotowy na cyfrową ochronę „po nowemu"
Raporty ekonomiczne Biznes nie jest gotowy na cyfrową ochronę „po nowemu"

Pro

„Średnio planowane wydatki spadły o 30 proc. W przypadku działu Informatyzacja redukcja wyniosła 15 proc.” – wylicza serwis. I dodaje, że np. koszt zadania „Podnoszenie zdolności instytucji zapewniających cyberbezpieczeństwo” został zmniejszony z 506 mln do 318 mln zł, a zadania „Wynagrodzenie dla pracowników nadzorujących sektor administracji publicznej” został uszczuplony z 84 do 21 mln zł.

Cięć jest więcej. Ograniczono np. budżet Urzędu Komunikacji Elektronicznej (z 250 mln zł na 105 mln zł), wydatki na zakup sprzętu i oprogramowania dla Połączonego Centrum Operacyjnego Cyberbezpieczeństwa, czy dotacje na Fundusz Cyberbezpieczeństwa (te miały w przyszłym roku wzrosnąć do 0,5 mld zł, a zwiększone zostaną do ok. 350 mln zł). Szczególnie alarmujące są oszczędności w utrzymywaniu CSIRT-ów, a więc Zespołów Reagowania na Incydenty Bezpieczeństwa Komputerowego (spadek z 84 do 21 mln zł). Eksperci nie kryją zaskoczenia. Wojciech Głażewski, dyrektor Check Point Software Technologies w Polsce, mówi wprost: to poważny sygnał ostrzegawczy.

– Cięcia budżetu na KSC mogą znacząco osłabić zdolność państwa do reagowania na cyberzagrożenia. Utrzymanie i rozwój systemów komunikacji oraz infrastruktury CSIRT to nie są „koszty administracyjne”, lecz inwestycja w bezpieczeństwo narodowe – komentuje.

Administracja może stracić specjalistów

Według Głażewskiego w dobie nasilających się ataków hybrydowych, dezinformacji i sabotażu cyfrowego oszczędzanie na cyberbezpieczeństwie może szybko okazać się „najdroższą decyzją”.

– Jeśli rząd rzeczywiście planuje takie ograniczenia, warto zapytać, kto zyska na słabszej ochronie polskiej cyberprzestrzeni? – zastanawia się nasz rozmówca.

Czytaj więcej

Wicepremier, minister cyfryzacji Krzysztof Gawkowski podczas konferencji prasowej „Nowy wymiar bezpi
Media
Znalazły się pieniądze na „Lex Huawei”. Rząd przyjął projekt. Teraz Sejm

Paweł Śmigielski, menedżer Stormshield w Polsce, zaznacza, że zmniejszenie planowanych wydatków na bezpieczeństwo cyfrowe państwa, jest istotne. Jego uwagę zwracają zwłaszcza zmiany co do puli środków na wynagrodzenia dla pracowników nadzorujących sektor administracji publicznej, segment komunikacji elektronicznej i funkcjonowanie CSIRT-ów.

– W obliczu bieżących zagrożeń, a ostatnie dni stały pod znakiem prawdziwego wysypu incydentów cyberbezpieczeństwa, wydaje się, że ten krok może sprawić, iż najlepsi specjaliści, których potrzebujemy, nie będą mieli motywacji, by przejść z sektora prywatnego, który płaci zdecydowanie lepiej – podkreśla. – Z drugiej strony musimy pamiętać, że to nie wielkość środków, a sposób ich rozdysponowania i wdrożenie odpowiednich rozwiązań mają fundamentalne znaczenie. Zakup, choćby najdroższej technologii czy urządzeń sam w sobie nie jest gwarancją bezpieczeństwa – kontynuuje Śmigielski.

Piotr Zielaskiewicz, menadżer w Dagma Bezpieczeństwo IT, szuka pozytywów w całej sytuacji. Ma nadzieję, że zmiany w KSC mają związek z urealnieniem wydatków, w kontekście dostępnych zewnętrznych źródeł finansowania (np. środków unijnych). Zwraca też uwagę, iż dobrze się stało, że wydatki planowane na NASK-PIB pozostały bez zmian. – Choć skala redukcji w obszarach cyberbezpieczeństwa czy funkcjonowania CSIRT-ów jest sygnałem niepokojącym – dodaje.

Resortom brakuje na KSC?

Skąd te cięcia? Już wcześniej pojawiało się wiele wątpliwości wobec przyjętego przez rząd pod koniec października br. projektu KSC. Chodziło właśnie o pieniądze.

Czytaj więcej

Debatę, nad którą patronat objęła „Rzeczpospolita”, zorganizowały Fundacja Horyzonty i PTG. Spotkani
Biznes
Cyberbezpieczeństwo – regulacje niezbędne, ale w granicach rozsądku

Ministerstwo Finansów nie ukrywało, że widzi kłopot w „braku środków na sfinansowanie wydatków” wynikających z noweli KSC. Również w innych resortach, m.in. odpowiedzialnych za zdrowie, infrastrukturę, czy energię, wskazywano, że nie ma w budżetach funduszy na nowe etaty i zadania nadzorcze, które nałoży na nie ustawa. A projekt zakłada m.in. budowę 10 nowych Sektorowych Zespołów Reagowania, m.in. dla transportu, żywności, czy zdrowia. Koszt roczny jednego CSIRT-u szacowano na przeszło 8 mln zł. Wydatki na wyposażenie stanowiska pracy dla jednego nowego pracownika (np. w organie nadzoru) wyliczono na ponad 11 tys. zł. Analitycy twierdzą, że w tym wszystkim widać pewną niespójność, bo państwo nakłada obowiązki na tysiące firm, ale samo nie zabezpieczyło środków na stworzenie i utrzymanie aparatu, który ma ten system nadzorować i wspierać. Tymczasem wydatki podmiotów, które obejmie KSC, nie będą błahe. Obciążenie pojedynczego podmiotu w sektorze zdrowia (np. koszt dostosowania dużego szpitala do wymogów KSC) może przekroczyć nawet 4 mln zł, a w sektorze odpadów (wedle analiz Ogólnopolskiej Federacji Przedsiębiorców) sięgnąć blisko 1 mln zł (koszty obejmują m.in. wymianę serwerów, oprogramowania, nowe licencje). Do kieszeni sięgać będą też firmy z innych branż. Koszt wymiany sprzętu od dostawcy, który mógłby zostać uznany za dostawcę „wysokiego ryzyka”, szacuje się na kilkaset tysięcy złotych w perspektywie pięciu lat.