Eksperci o projekcie nowelizacji ustawy o krajowym systemie cyberbezpieczeństwa

Przeczytaj także: Czy NIS2 to potrzebne regulacje czy biurokracja?

Aleksander Kostuch, inżynier Stormshield, wytwórcy rozwiązań z obszaru bezpieczeństwa IT:

Projekt nowelizacji ustawy o krajowym systemie cyberbezpieczeństwa (KSC) wyraźnie określa cele jakimi jest dostosowanie polskiego prawa do wymogów dyrektywy NIS2, wprowadza przy tym szereg istotnych zmian mających na celu wzmocnienie krajowych mechanizmów cyberbezpieczeństwa. Rozszerza m.in. zakres podmiotów, wprowadza bardziej rygorystyczne wymogi dotyczące zarządzania ryzykiem i zgłaszania incydentów cybernetycznych czy końcowego raportowania. Przykładowo zmiana pierwotnej wersji "operator usługi kluczowej" na "podmiot kluczowy lub ważny" podkreśla szerszy zakres podmiotów, odpowiedzialności i rozliczalności w zarządzaniu ryzykiem cybernetycznym. To pozytywny krok.

Z inżynierskiego punktu widzenia podobają mi się precyzyjne obowiązki określonego zachowania technicznego, w tym instrukcje dotyczące nakazów, np. wobec podmiotów dotkniętych incydentem cybernetycznym dotyczący identyfikacji źródła ataku i czasowego ograniczenie ruchu sieciowego z adresów IP lub adresów URL, wchodzącego do infrastruktury. W praktyce te uprawnienia są kluczowe dla skutecznej i efektywnej reakcji na incydent. Do tej pory pojawiały się wątpliwości co do prawnych podstaw takich działań, które mogły potencjalnie naruszać prawa innych podmiotów. Jednak detekcja źródła ataku często jest niezbędna do jego zatrzymania i przywrócenia normalnej operacyjności systemów. Dlatego niezbędne stało się ustanowienia wyraźnych, jednoznacznych regulacji w tych kwestiach, a proponowane rozwiązania w moim przekonaniu pomogą zlikwidować nieścisłości.

Pomimo, że ustawa jest dość obszerna i adresuje wiele aspektów, to 6 miesięczny okres dostosowawczy dla podmiotów kluczowych i ważnych może ujawnić wiele niezaadresowanych szczegółowych wątpliwości. Wobec tego wydaje się zasadnym, nałożenie wobec osób kierujących tymi podmiotami obowiązku by raz do roku przejść szkolenie z zakresu cyberbezpieczeństwa i posiadać aktualną wiedzę merytoryczną potrzebną do podejmowania decyzji. Wprowadzona zostanie weryfikacja personelu m.in. co do przestępstwa przeciwko ochronie informacji, przed przydzieleniem zadań z zakresu cyberbezpieczeństwa, co jest zgodne z normą techniczną, np. normę ISO 27001.

Kolejnym aspektem mającym pomóc w implementacji właściwych rozwiązań zabezpieczeń jest obowiązek dla podmiotów kluczowych i ważnych przeprowadzenie raz na 2 lata audytu bezpieczeństwa systemu informacyjnego przez osoby, które są bezstronne w podmiocie przez co najmniej rok przed rozpoczęciem audytu.

Dostosowanie się do nowych przepisów nie tylko zwiększy skuteczność działań w obszarze cyberbezpieczeństwa, lecz także przyczyni się do bezpieczniejszego prowadzenia działalności i zminimalizowania ryzyka niepożądanych zdarzeń. Rząd podkreśla, że choć koszty adaptacji mogą być wyzwaniem dla niektórych podmiotów, długofalowe korzyści, w postaci zwiększonej ochrony danych i systemów, znacznie przewyższą początkowe nakłady. W opinii mojej i wielu innych specjalistów, dodatkowe nakłady finansowe na cyberbezpieczeństwo są uzasadnione i kluczowe dla ochrony infrastruktury krytycznej i danych obywateli. Zapewnienie zgodności z nowymi przepisami to nie tylko kwestia prawna, a strategiczne działania na rzecz stabilności i rozwoju naszej gospodarki.

Paweł Śmigielski, country manager Stormshield w Polsce:

Opublikowanie projektu ustawy o zmianie ustawy o krajowym systemie cyberbezpieczeństwa oraz niektórych innych ustaw wraz z załącznikami to niewątpliwie ważny krok, którego wyczekiwała branża cyberbezpieczeństwa w Polsce. Specjaliści z pewnością nie będą mieli czasu na nudę w trakcie nadchodzącej majówki. Po pierwszej lekturze dokumentów zwróciłem uwagę na kilka elementów, które za sprawą przedłożonego projektu mają szansę po raz pierwszy pojawiać się w systemie prawnym lub takich, których wprowadzenie ma istotne znaczenie dla całego ekosystemu bezpieczeństwa cyfrowego.

1. Pozytywnie należy ocenić założenie tworzenie nowych sektorowych Zespołów Reagowania na Incydenty Bezpieczeństwa Komputerowego tzw. CSIRTów. Aktualnie funkcjonowały jedynie dwa: CSIRT KNF i Centrum e-zdrowie, co nie odpowiadało rzeczywistym potrzebom wynikającym ze skali zagrożeń. Powstanie nowych CSIRTów pozwoli na usprawnienie zarządzania incydentami w danym sektorze, szybsze reagowanie i wymianę wiedzy istotnej z punktu widzenia specyfiki samego sektora.

W tym kontekście istotne jest również ujęcie w projekcie ustawy kwestii odpowiedniego poziomu finansowania działalności organów właściwych ds. cyberbezpieczeństwa. Jest mowa o ponad 370 nowych etatach w podziale na ponad 20 sektorów. Zakłada się systematyczny wzrost finansowania w kolejnych 10 latach a koszty wynagrodzeń szacuje się w oparciu o średnie wynagrodzenia w sektorze prywatnym, a także – co jest niezwykle ważne – bazując na średnich wynagrodzeniach w sektorze IT. Wobec faktu, że w tym ostatnim poziom wynagrodzeń jest wyższy, to takie podejście zwiększa szanse w rywalizacji o pozyskanie specjalistów. Ich niedobór jest naszą bolączką.

2. Nowym aspektem będą postępowania o wydanie decyzji o dostawcach wysokiego ryzyka. Postępowaniami mogą zostać objęci dostawcy produktów, usług i procesów ICT wykorzystywanych przez podmioty kluczowe lub podmioty ważne. Dostawcą może być producent, importer oraz dystrybutor. Jeśli podmiot taki otrzyma decyzję, że jest dostawcą wysokiego ryzyka, będzie to oznaczać dla podmiotów krajowego systemu cyberbezpieczeństwa konieczność wycofania z użytkowania produktów, usług i procesów objętych decyzją w ciągu 7 lat.

3. Dyrektywa NIS2 określiła maksymalny poziom kar dla podmiotu, który nie wykonuje obowiązków z niej wynikających. Natomiast przedstawiony projekt określa ich minimalny poziom na poziomie 20 000 zł w przypadku podmiotów kluczowych oraz 15 000 zł w przypadku podmiotów ważnych.

4. Kolejnym nowym obszarem jest Krajowy Plan Reagowania na Incydenty i Sytuacje Kryzysowe, opisujący cele i sposoby zarządzania incydentami oraz zarządzania kryzysowego w cyberbezpieczeństwie. Jego przyjęcie pozwoli, jak wierzę, na uporządkowanie tej niezwykle istotnej materii z poziomu strategicznego.

5. Zwraca również moją uwagę propozycja powołania Połączonego Centrum Operacyjne Cyberbezpieczeństwa (PCOC), mającego być organem pomocniczym przy koordynacji działań i realizowania polityki rządu w zakresie zapewnienia cyberbezpieczeństwa.

6. Zespoły CSIRT MON, CSIRT NASK i CSIRT GOV będą mogły przeprowadzać badania urządzeń i produktów ICT. W czasie badań, będą mogły zażądać od dostawcy dokumentacji i nie będą związane postanowieniami umów licencyjnych.

W ten sposób ustawodawca po raz pierwszy chce zagwarantować sobie możliwość przeprowadzenia badań na swoich warunkach, nie będąc ograniczonym umowami licencyjnymi producentów. W projekcie ustawy jest mowa m.in. o odtwarzaniu kodu źródłowego oprogramowania i przełamywaniu zabezpieczeń producenta przed badaniem.

Piotr Zielaskiewicz, menadżer produktu w Dagma Bezpieczeństwo IT:

Ustawa z 2018 roku o krajowym systemie cyberbezpieczeństwa stanowiła ważny krok w kierunku zabezpieczenia przestrzeni cyfrowej Polski, jednak rozwój technologiczny sprawia, że pojawiają się nowe wyzwania w tej dziedzinie. Pamiętajmy, że w obliczu stale rosnącej liczby cyberataków oraz ich zaawansowania, inwestycja w cyberbezpieczeństwo jest inwestycją w przyszłość firmy. Szkody wynikające z cyberataków, takie jak zaszyfrowanie danych czy utrudnienie świadczenia usług publicznych, często niosą ze sobą poważne konsekwencje. Wprowadzenie dyrektywy NIS2 jest odpowiedzią na rosnące potrzeby związane z cyfrowym bezpieczeństwem. Aby efektywnie wdrożyć dyrektywę i tym samym znacząco wzmacniać naszą odporność, niezbędna jest nowelizacja prawodawstwa, której musimy dokonać do 17 października 2024 roku. Proponowane rozwiązania dają nadzieję na wprowadzenie szeregu istotnych zmian, czego efektem będzie wzmocnienie krajowych mechanizmów cyberbezpieczeństwa.