Zagrożenia w sieci rozwijają się w równie zawrotnym tempie co pozostałe technologie. Teraz, w obliczu niestabilnej sytuacji geopolitycznej – prawdopodobnie jeszcze szybciej. Nadążyć za nimi muszą zmiany legislacyjne, które pozwolą ustanowić minimalny poziom ochrony i chociaż w podstawowym zakresie zadbać o bezpieczeństwo strategiczne, dobro odbiorców i ciągłość usług. Wraz z europejską dyrektywą NIS2 powstał projekt nowelizacji ustawy o KSC (Ustawy o Krajowym Systemie Cyberbezpieczeństwa). Co nas czeka?
24 kwietnia Ministerstwo Cyfryzacji przedstawiło projekt nowelizacji ustawy o Krajowym Systemie Cyberbezpieczeństwa. Złożenie projektu to dopiero pierwszy krok. Aby nowelizacja weszła w życie, musi przejść pełną drogę legislacyjną:
Obowiązująca obecnie, wprowadzona w 2018 roku ustawa to przede wszystkim szeroka strategia dla polskiego cyberbezpieczeństwa, zakres zadań i obowiązków podmiotów określonych w dokumencie jako kluczowe i sposób sprawowania nad nimi kontroli. Chociaż w perspektywie technologii 6 lat to przepaść, to ramowe zapisy pozwoliły na jej skuteczne funkcjonowanie przez długi czas. Do najważniejszych zapisów należało utworzenie CSRIT, czyli zespołów reagujących na incydenty na poziomie krajowym. Zobowiązywała wszystkie objęte ustawą podmioty do wprowadzenia i przestrzegania procedur bezpieczeństwa oraz zawierała opis systemu ostrzegania czy szczegółowe instrukcje na wypadek incydentów. Na tej podstawie dokonywano oceny i przyznawano certyfikaty.
Najpierw pandemia, następnie wojna w Ukrainie, coraz bardziej skomplikowane stosunki między państwami oraz upowszechnianie się AI sprawiły jednak, że skończył się jej termin przydatności.
W obliczu nowych zagrożeń i w związku z wejściem w życie dyrektywy NIS2, Polska jest zobowiązana dostosować Ustawę o KSC do nowych, bardziej wyśrubowanych wymogów.
Projekt nowelizacji ustawy o KSC opiera się w dużej części o nową dyrektywę unijną NIS2, która wprowadza istotne zmiany w podejściu do bezpieczeństwa informatycznego państwa.
Najważniejsza z perspektywy krajowej zmiana dotyczy znacznego rozszerzenia podmiotów objętych ustawą. Do tej pory obejmowała jedynie dostawców usług zaufania, podmioty lecznicze oraz dostawców usług telekomunikacyjnych.
Teraz wejdą w nią również firmy i instytucje zatrudniające powyżej 50 osób, prowadzące działalność związaną z:
Ponieważ na tę chwilę niemożliwe jest przeprowadzenie spisu wszystkich takich podmiotów, powstanie system samoidentyfikacji, a firmy z wymienionych sektorów będą miały obowiązek się w nim zarejestrować.
Konieczność niezwłocznego zgłaszania incydentów to jedna z najbardziej zaostrzonych zmian w ustawie. Szczegółowo reguluje czas, w jakim podmioty powinny zgłosić ich wystąpienie do odpowiedniego CSRIT. Dla podmiotów kluczowych będzie to doba, jednak przedsiębiorcy z sektora telekomunikacji będą mieli na to jedynie 12 godzin od momentu wykrycia zdarzenia. Do zgłaszania incydentów muszą wdrożyć i zastosować system S46.
Pojawi się również lista dostawców, których urządzenia lub oprogramowanie posiadają luki umożliwiające penetrację zabezpieczeń lub nie mają odpowiednich certyfikacji. Objęte ustawą podmioty będą miały 7 lat na wycofanie ich z użytku i zastąpienie innymi.
To nie jedyna zmiana dotycząca dostawców. Konieczne będzie wprowadzenie ich dywersyfikacji w taki sposób, by możliwe było ciągłe prowadzenie działalności. Zarówno pod względem geograficznym, jak i ilościowym.
Na sam koniec ustawa rozszerzy kompetencje Ministra Cyfryzacji, który będzie mógł podejmować decyzje generalne dotyczące danego sektora i wskazujące na konieczność podjęcia konkretnych działań w celu poprawy bezpieczeństwa.
Wiele dużych i średnich prywatnych oraz publicznych jednostek będzie zobowiązanych do wdrożenia nowych wytycznych, dostosowania swojej infrastruktury i przeprowadzaniem co dwa lata regularnych audytów bezpieczeństwa.
Oznacza to przede wszystkim duże koszty infrastruktury, ale generuje też problemy kompetencyjne. Wiele firm nie posiada w swoich szeregach osób o odpowiednich umiejętnościach, by powierzyć im to zadanie. Konieczne będzie utworzenie dodatkowych etatów lub zdanie się na wsparcie zewnętrzne.
[…]choć niektórzy zdają sobie to lekceważyć, cyberbezpieczeństwo jest absolutnym priorytetem dla funkcjonowania państwa. Dziś cyberzagrożenia coraz częściej dotyczą np. infrastruktury krytycznej – w swoim liście wspomina Michał Kanownik, Prezes Zarządu Związku Polska Cyfrowa.
Jako specjaliści w obszarze usług sieciowych podzielamy to zdanie i rozumiemy, że choć zmiany oznaczają ogromne wyzwanie, są one konieczne, by zapewnić bezpieczeństwo strategiczne państwa, obywateli, ale też dla codziennego komfortu i dostępu do podstawowych usług. To nasz wspólny cel, który wymaga kolektywnego zaangażowania.
Do projektowania i wdrażania infrastruktury sieciowej nalezy podejść holistycznie i wziąć pod uwagę nie tylko jej wydajność, niezawodność, zgodność z potrzebami, ale przede wszystkim – bezpieczeństwo. Możemy spojrzeć na zagrożenia badając zarówno podatność urządzeń, przygotowane procedury, ale też analizując najsłabsze ogniwo całego systemu – jego użytkowników.
Liczne partnerstwa pomagają nam dobrać taki sprzęt, który nie tylko dobrze spełni swoją rolę, ale również będzie optymalny cenowo.
Jeśli chcesz dowiedzieć się więcej o audycie bezpieczeństwa lub infrastrukturze dla swojej firmy – skontaktuj się z naszymi konsultantami.