Duże zmiany w cyberbezpieczeństwie. Mają zwiększyć odporność firm i instytucji publicznych

– Obszar cyberochrony dotychczas nie był przedmiotem daleko idących regulacji. W ostatnim czasie pojawiły się jednak przepisy zarówno na poziomie Unii Europejskiej, jak i krajowym, które, mam nadzieję, już niedługo będą tworzyły ekosystem – mówi agencji Newseria dr hab. inż. Agnieszka Gryszczyńska, dyrektor Departamentu ds. Cyberprzestępczości i Informatyzacji w Prokuraturze Krajowej.

Jak podkreśla, na poziomie unijnym są to m.in. dyrektywa ws. systemów sieciowych i informacyjnych NIS2, ale również rozporządzenie ws. operacyjnej odporności cyfrowej (DORA) oraz rozporządzenie ws. odporności na cyberzagrożenia (CRA).

– Natomiast w zakresie przepisów krajowych mamy ustawę o zwalczaniu nadużyć w komunikacji elektronicznej, regulacje zawarte w Kodeksie karnym czy w końcu w ustawie o świadczeniu usług drogą elektroniczną – wymienia dr hab. inż. Agnieszka Gryszczyńska. – Jeżeli chcemy, po pierwsze, nakładać pewne obowiązki na podmioty związane z podnoszeniem cyberbezpieczeństwa, następnie je egzekwować oraz karać zarówno administracyjnie, jak i karnoprawnie sprawców naruszeń, wymaga to przyjęcia określonych przepisów.

Wdrożenie dyrektywy NIS2 i nowe kategorie podmiotów

W czwartek 19 lutego prezydent podpisał nowelizację ustawy o KSC, która ma wdrożyć do polskiego prawa unijną dyrektywę NIS2. Zmiany obejmują m.in. zastąpienie dotychczasowego podziału na operatorów usług kluczowych i dostawców usług cyfrowych nową kategorią podmiotów kluczowych i podmiotów ważnych. Wprowadzono definicję podmiotów kluczowych, czyli tych, których działanie ma istotne znaczenie dla funkcjonowania państwa i gospodarki, oraz podmiotów ważnych, które mimo mniejszej skali działania nadal muszą spełniać obowiązki w zakresie cyberbezpieczeństwa, w tym zgłaszać incydenty i stosować podstawowe procedury ochrony systemów informacyjnych. Ustawa zakłada także wzmocnienie systemu reagowania na incydenty oraz doprecyzowanie ról organów odpowiedzialnych za cyberbezpieczeństwo.

Katalog podmiotów krajowego systemu cyberbezpieczeństwa zostanie rozszerzony o nowe sektory gospodarki, co ma zwiększyć bezpieczeństwo cyfrowe w szczególnie wrażliwych obszarach. Powstaną nowe zespoły CSIRT (zespoły reagowania na incydenty bezpieczeństwa komputerowego), które będą wspierać obsługę incydentów w określonych sektorach gospodarki.

– Zagrożenia związane z implementacją dyrektywy w głównej mierze dotyczą czasu. Chcielibyśmy, żeby to stało się jak najszybciej. Ustawa, która obecnie została wypracowana, w pełni realizuje założenia dyrektywy, dostosowując ją do lokalnych warunków – mówi Mikołaj Śniatała, adwokat z Kancelarii Andersen Tax & Legal. – Jest ona wyrazem konsensusu wszystkich środowisk, które były zaangażowane w jej pisanie, i odpowiada podnoszeniu cyberbezpieczeństwa.

Dostawca wysokiego ryzyka (DWR) i bezpieczeństwo inwestycyjne

O podpisanie ustawy o KSC apelowały do prezydenta m.in. organizacje reprezentujące firmy działające w sektorach kluczowych. Jak podkreśliły w swoim apelu, ta regulacja powinna być postrzegana nie tylko jako element systemu bezpieczeństwa narodowego, lecz także jako kluczowy instrument polityki gospodarczej państwa. Skuteczne narzędzia eliminowania cyberzagrożeń są niezbędne, aby gospodarka mogła działać w sposób ciągły.

Jedną z istotnych zmian jest postępowanie w sprawie uznawania dostawców wysokiego ryzyka (DWR). Ta procedura ma pozwolić wyeliminować niebezpieczny sprzęt i usługi z kluczowych systemów państwa. Decyzje w tym obszarze będzie podejmował minister cyfryzacji przy współudziale Kolegium do spraw Cyberbezpieczeństwa. Podmioty istotne dla funkcjonowania państwa nie będą mogły wprowadzać do systemów produktów od dostawcy wysokiego ryzyka, a jeśli takie posiadają – będą obowiązane do ich wycofania w ciągu siedmiu lat.

Obowiązki dla 10 tysięcy podmiotów w Polsce

– Jeżeli chodzi o trudność we wdrażaniu postanowień ustawy, należałoby spojrzeć na to z perspektywy gotowości organizacji. Organizacja powinna rozumieć, czym ona jest, gdzie ma podatności i w jakich miejscach potrzebuje wsparcia. Ustawa nie nakazuje konkretnych rozwiązań, ale jedynie uwrażliwia na to, że trzeba się zająć tematem, dokonać analizy ryzyka – tłumaczy Mikołaj Śniatała.

To istotna zmiana dla dużego grona firm i instytucji. O ile dotychczas regulacją objętych było około 400 operatorów usług kluczowych, o tyle nowelizacja może objąć ponad 10 tys. podmiotów działających w kluczowych i ważnych sektorach gospodarki. Przedsiębiorca powinien dokonać samozbadania i wskazać, w jaki sposób zabezpieczyć swoje bezpieczeństwo. Podmioty objęte regulacjami będą zobowiązane do wdrożenia systemu zarządzania bezpieczeństwem informacji, identyfikacji zagrożeń oraz szkolenia pracowników.

Wątpliwości prezydenta i kontrola Trybunału Konstytucyjnego

Prezydent, podpisując ustawę, jednocześnie podjął decyzję o skierowaniu jej do kontroli następczej przez Trybunał Konstytucyjny. Wątpliwości budzi m.in. objęcie ustawą aż 18 branż gospodarki, co nie wynika bezpośrednio z przepisów europejskich, ale jest inicjatywą rządu.

Zastrzeżenia dotyczą również zasad uznawania podmiotów za dostawców wysokiego ryzyka oraz tzw. poleceń zabezpieczających. Przepisy te mogą ingerować w samodzielność przedsiębiorców poprzez nakładanie obowiązku wymiany sprzętu bez odszkodowania. Według Kancelarii RP, restrykcyjny system kar administracyjnych może mieć charakter samodzielnych środków karnych, co wymaga weryfikacji pod kątem zgodności z Konstytucją RP.