Nowelizacja ustawy o KSC dostosowuje polskie regulacje do wymogów unijnej dyrektywy NIS 2, ale jednocześnie rodzi wątpliwości – nie ukrywa Ministerstwo Cyfryzacji. Rozwianiu wątpliwości został poświęcony specjalny podcast
Mówi się o tym, że przepisy są wymierzone w konkretne podmioty i że ustawa jest skierowana przeciwko dostawcom spoza NATO. Ten mit jest nieprawdziwy – wyjaśnia Marcin Wysocki
„Podcast cyfrowy” to nowy projekt Ministerstwa Cyfryzacji, który wystartował pod koniec 2024 r. W odcinku „Krajowy system cyberbezpieczeństwa: rozwiewamy wątpliwości przedsiębiorców” wystąpił Marcin Wysocki, wicedyrektor departamentu cyberbezpieczeństwa w Ministerstwie Cyfryzacji, odpowiadający za prawodawstwo w tym zakresie.
Geneza regulacji
Dyrektywa NIS 2 ustanawia jednolite ramy prawne w celu utrzymania cyberbezpieczeństwa w 18 sektorach krytycznych w całej Unii Europejskiej. Jak zdefiniował to przedstawiciel ministerstwa, jest odpowiedzią na luki w dotychczasowych regulacjach. Wiele sektorów nie było wystarczająco mocno zobligowanych do wdrażania zaawansowanych zabezpieczeń, a incydenty często nie były raportowane.
– W rezultacie mieliśmy sytuację, w której przedsiębiorstwa uczyły się na własnych błędach, a nie na systemowym podejściu do zagrożeń – wskazał Marcin Wysocki. Nowe regulacje mają kluczowe znaczenie zwłaszcza dla dużych firm oraz instytucji infrastruktury krytycznej. Oznaczają nie tylko wdrożenie odpowiednich środków technicznych i organizacyjnych, lecz także stałe monitorowanie poziomu cyberbezpieczeństwa oraz raportowanie incydentów.
– Wokół nowelizacji narosło wiele mitów, tymczasem finalny kształt nowego prawa będzie wynikiem kompromisu i rozwiąże wiele krytycznych z perspektywy państwa problemów – zapewniał Marcin Wysocki.
Jak wyliczył, nowe przepisy obejmują szeroką grupę podmiotów, w tym: operatorów infrastruktury krytycznej (energetyka, transport, zdrowie, bankowość), administrację publiczną, firmy z branży IT i dostawców usług cyfrowych, a także organizacje świadczące usługi w zakresie bezpieczeństwa danych.
Ekspert Ministerstwa Cyfryzacji podkreślił również, że nowe przepisy wymagają od firm proaktywnego podejścia do cyberbezpieczeństwa. Firmy muszą przygotować szczegółowe strategie reagowania na ataki, a także stosować zaawansowane technologie ochrony, takie jak: szyfrowanie danych, systemy wykrywania intruzów oraz sztuczna inteligencja analizująca podejrzane aktywności.
Chodzi o inwestycje, nie o koszty
Dyrektywa NIS2 zawiera liczne obowiązki, włącza do systemu cyberbezpieczeństwa nowe kategorie podmiotów i całe sektory. W parze z tym idą sankcje.
– Mając na względzie to, jak również doświadczenia kolegów i koleżanek z innych krajów unijnych, należy się spodziewać, że nowelizacja wdrażająca dyrektywę NIS 2 nie spotka się z powszechnym entuzjazmem, ponieważ cyberbezpieczeństwo jest niestety nadal źle postrzegane we władzach wielu organizacji. Często, w szczególności w prywatnym biznesie, kwestia ta jest uważana przede wszystkim za koszt, nie zaś dalekosiężną inwestycję – mówił Marcin Wysocki.
Nie jest tajemnicą, że ten temat wywołuje wiele napięć – zwłaszcza po stronie przedsiębiorców. Przedstawiciel ministerstwa wiele mówił w podcaście o dialogu i poszukiwaniu kompromisu, ale takiego, który pozwoliłby jednak osiągnąć wszystkie skutki i zrealizować potrzeby zapisane w NIS 2.
– Natomiast minusem tego podejścia jest to, że procesowanie projektów jest wolniejsze, bo nie polega na tym, że projektodawca powie: „Dziękuję, otrzymałem uwagi, niczego nie uwzględniam i proszę procesować moją ustawę dalej”. Tak nie jest, kompromis jest szczególnie dla nas istotny i tak naprawdę te uzgodnienia często powodują, że powstają kolejne wersje projektu, a harmonogram wdrożenia ustawy jest coraz dłuższy – wskazywał.
Termin wdrożenia NIS 2 do krajowego porządku prawnego upłynął 18 października 2024 r.
Nie ma drugiego dna
– Dziś wypowiedzi ekspertów, a często też artykuły w prasie wskazują najczarniejsze scenariusze, sugerując wykładnię prawa nacechowaną złymi intencjami albo niekompetencją organów. Chodzi o stawianie tezy, że skoro o czymś decyduje minister cyfryzacji, to tak naprawdę decydują o tym politycy, a oni nie cieszą się dużą estymą zawodową w społeczeństwie. Urzędnicy są niewiele wyżej od nich. Pomija się przy tym np. odpowiedzialność skarbu państwa za decyzje organów administracji, czyli to, że na podstawie kodeksu cywilnego można uzyskać odszkodowanie – mówił przedstawiciel Ministerstwa Cyfryzacji.
Dodał, że niektóre scenariusze sugerują domniemanie, iż żaden z instrumentów prawnych wprowadzanych w życie przez państwo nie ma na celu np. zapewnienia cyberbezpieczeństwa, tylko inne, ukryte cele. Nawet wprowadzenie cenzury czy ograniczenie prowadzenia działalności gospodarczej.
Czy zatem regulacje oznaczają nadmierną kontrolę ze strony państwa? Czy firmy zostaną sparaliżowane nowymi przepisami? Marcin Wysocki stwierdził, że celem NIS 2 nie jest ograniczanie działalności gospodarczej, lecz zapewnienie większej odporności na zagrożenia cyfrowe.
– Nie chodzi tylko o kary finansowe. W grę wchodzą: reputacja, możliwość dalszego funkcjonowania na rynku, a nawet odpowiedzialność osobista menedżerów – tłumaczył.
Przedstawiciel ministerstwa podkreślił, że firmy muszą zmienić podejście do cyberbezpieczeństwa, a administracja publiczna powinna je aktywnie wspierać w tym procesie.
– Nie ma odwrotu. Świat cyfrowy jest naszą rzeczywistością i musimy się nauczyć w nim funkcjonować bezpiecznie – mówił Marcin Wysocki.
Zwrócił on uwagę, że w wielu przypadkach najsłabszym ogniwem są pracownicy organizacji, którzy nieświadomie mogą paść ofiarą ataków socjotechnicznych. Dlatego NIS 2 kładzie duży nacisk na szkolenia i podnoszenie kompetencji w zakresie cyberbezpieczeństwa. Dzisiejsze ataki są dziełem nie tylko indywidualnych hakerów, lecz często są powiązane z działaniami państw, które wykorzystują je jako element nacisku politycznego.
Co z dostawcami wysokiego ryzyka
Czy ustawa pozwala państwu na zbyt dużą ingerencję w działalność firm?
Czy może to przedsiębiorcy powinni samodzielnie oceniać ryzyko płynące ze współpracy z dostawcami IT? Jak mówi Marcin Wysocki, przedsiębiorstwa nie mają dostępu do wszystkich informacji wywiadowczych i nie mogą samodzielnie ocenić zagrożeń związanych np. z cyberprzestępczością lub szpiegostwem. Zapewnienie bezpieczeństwa państwa jest zadaniem administracji, która musi mieć do tego odpowiednie narzędzia.
– Pojawiło się sporo mitów związanych z instytucją dostawcy wysokiego ryzyka. Jak jest definiowana? Czy rozwiewa wszelkie wątpliwości? Pojęcie dostawcy wysokiego ryzyka doczekało się wielu przepisów w nowelizacji ustawy o KSC – podkreślał przedstawiciel ministerstwa. – Dostawca wysokiego ryzyka może powodować zagrożenie dla podstawowego interesu bezpieczeństwa państwa. Takie podejście powstało w transparentnej, wieloetapowej procedurze, w ramach której przeanalizowano wiele przesłanek technicznych i pozatechnicznych, strategicznych. Dokonali tego eksperci, m.in. zatrudnieni w resortach – wyliczał Marcin Wysocki, podkreślając, iż podmiot, którego dotyczy postępowanie, może partycypować w procedurze i zabierać głos.
Cała procedura jest złożona.
– I taka powinna być ze względu na cel, który ma realizować, i ewentualnie skutki, które za sobą niesie. Mówi się o tym, że przepisy są wymierzone w konkretne podmioty i że ustawa jest skierowana przeciwko dostawcom spoza NATO. (…) Ten mit jest nieprawdziwy, jest osadzony na tym, że w procedurze są przesłanki, które odnoszą się do naszych sojuszy – stwierdził Marcin Wysocki.
KR
Partnerzy
