Z cyberbezpieczeństwem jest trochę jak z RODO. Dużo straszenia

Inwestycje w cyberbezpieczeństwo można porównać do zakupu polis ubezpieczeniowych. Sama nowelizacja ustawy o KSC dobrze uwypukla to, że kwestie związane z cyberbezpieczeństwem to już nie tylko problem techniczny, lecz w dużej mierze poważne ryzyko biznesowe – mówi Paweł Śmigielski, ekspert ds. cyberbezpieczeństwa.

Publikacja: 14.01.2025 07:39

Paweł Śmigielski

Foto: materiały prasowe

Szymon Cydzik

Kogo obejmie ustawa o Krajowym Systemie Cyberbezpieczeństwa w myśl najnowszej wersji projektu nowelizacji?

Podmioty administracji państwowej i firmy działające w 17 sektorach wymienionych w ustawie o KSC, podzielonych na 10 kluczowych i 7 ważnych. W przypadku podmiotów kluczowych mówimy przede wszystkim o dużych przedsiębiorstwach, czyli zatrudniających ponad 250 osób i mających ponad 50 mln euro obrotu, które działają m.in. np. w energetyce, transporcie czy bankowości. Jednak w przypadku przedsiębiorców komunikacji elektronicznej podmiotem kluczowym staną się już ci co najmniej średniej wielkości. Do podmiotów kluczowych nie zostaną zakwalifikowane mikroprzedsiębiorstwa, z pewnym zastrzeżeniem. Niezależnie od wielkości (czyli mogą to być nawet mikro i małe), podmiotami kluczowymi będą m.in. dostawcy usług DNS (czyli tłumaczących adresy IP stron internetowych na adresy słowne, którymi się posługujemy) oraz rejestratorzy domen krajowych. Takie podejście nie dziwi, bo z punktu widzenia cyberbezpieczeństwa i plagi fałszywych domen, udających np. strony banków, ta kwestia ma zasadnicze znaczenie. W tym aspekcie jest to właściwie jeden do jednego odwzorowanie wymogów dyrektywy NIS2, którą wdraża nowelizacja.

Czytaj więcej

Opinie Prawne

Tomasz Siemiątkowski: Szkodliwa nadregulacja w sprawie cyberbezpieczeństwa

W kwestii cyberbezpieczeństwa jesteśmy świadkami próby legitymizacji kontrowersyjnych instytucji prawnych rzekomymi wymogami unijnymi. To przykład tzw. goldplatingu – mówi prof. Tomasz Siemiątkowski, adwokat.

Skoro ustawa nie obejmie mikroprzedsiębiorstw, w tym jednoosobowych działalności gospodarczych, czy nie grozi nam obchodzenie wymogów NIS2 przez outsoursowanie usług związanych z cyberbezpieczeństwem na tego przysłowiowego informatyka na samozatrudnieniu?

Jedną z kluczowych zmian w obecnej wersji nowelizacji ustawy jest właśnie to, że mikroprzedsiębiorcy, którzy są dostawcami usług w zakresie cyberbezpieczeństwa, nie będą traktowani jako podmioty kluczowe. Ale to nie zmienia faktu, że przedsiębiorstwa będące podmiotami kluczowymi albo ważnymi, które chcą zawrzeć umowę z tego typu dostawcą usług, i tak muszą spełnić obowiązki wynikające z ustawy. Zatem nie ma mowy o obchodzeniu wymogów. Zarząd takiego podmiotu musi podjąć decyzję, czy kompetencje i referencje danej firmy są na tyle wiarygodne, że można jej zaufać i podpisać z nią umowę. Pamiętajmy, że to sama firma i jej zarząd odpowiadają za spełnienie wymogów ustawy. Niezależnie, czy powierzą usługę mikroprzedsiębiorcy zewnętrznemu, czy większemu podmiotowi. A ewentualne, niemałe przecież kary i tak będą dotyczyć wprost podmiotu kluczowego czy ważnego. Później będzie można ewentualnie wytoczyć takiemu dostawcy proces, gdyby doszło do naruszenia obowiązków wynikających z ustawy, leżących w jego gestii.

A na jakiej podstawie kwalifikowane będą podmioty ważne? Na ile polski ustawodawca miał tu swobodę ich określenia, a na ile wynika to z dyrektywy?

Wiele organizacji branżowych i firm w trakcie konsultacji zwracało uwagę, że w polskim projekcie ustawy mamy do czynienia z „nadregulacją” względem dyrektywy NIS2 – 14 sektorów kluczowych versus 11 w dyrektywie unijnej. I w nowym projekcie ustawy minister cyfryzacji zdecydował się na określenie wprost, że 10 sektorów będzie uznanych za kluczowe, zaś 7 uznanych za ważne. W samej dyrektywie łącznie wskazanych jest 18 sektorów, jednak u nas banki i instytucje finansowe zostały zaliczone do jednej kategorii. W najnowszej wersji projektu ujęto zatem tyle samo sektorów objętych regulacjami, jak w dyrektywie.

Do podmiotów ważnych zaliczone będą średnie przedsiębiorstwa, o ile działają w którymś z 17 sektorów wskazanych w ustawie. W przypadku przedsiębiorstw działających w 7 sektorach ważnych za tego rodzaju podmioty uznane zostaną zarówno duże, jak i średnie firmy. Chodzi tu m.in. o produkcję (a także dystrybucję) chemikaliów, żywności czy elektroniki. Ponownie, w przypadku przedsiębiorstw komunikacji elektronicznej także mikro lub małe firmy są klasyfikowane jako podmioty ważne.

Czytaj więcej:

ABC Firmy

Cyberbezpieczeństwo. Prawniczka: nadregulacja uderzy w biznes

Pro

Jakie dokładnie obowiązki nałoży na wszystkie te podmioty ustawa o KSC i dyrektywa NIS2? Bo dużo jest straszenia, że będzie to wielka rewolucja.

Trochę przypomina to sytuację sprzed kilku lat, gdy wprowadzano RODO, co wzbudziło niepewność wśród przedsiębiorców i instytucji. Wprowadzane regulacje będą się wiązały z nowymi obowiązkami, które obejmą znacznie większą liczbę podmiotów, bo szacunki mówią, że o ile dotychczas mieliśmy do czynienia z około 400 operatorami usług kluczowych, to po nowelizacji będzie to prawie 40 tys. podmiotów, a więc wzrost stukrotny. Moim zdaniem należy jednak podchodzić do całej sprawy z rozsądkiem, bo nie wszystkie wprowadzane ustawą obowiązki będą stanowić zupełne novum.

Pierwszym i bazowym krokiem dla każdego podmiotu kluczowego czy ważnego będzie dokonanie zgłoszenia do wykazu tych podmiotów, prowadzonego przez ministra cyfryzacji. Polska do 17 kwietnia 2025 r. musi przedstawić Komisji Europejskiej wykaz podmiotów kluczowych i ważnych, które do tego dnia zostaną zidentyfikowane w naszym kraju. Przedsiębiorstwa będą miały na zgłoszenie się trzy miesiące od wejścia w życie ustawy. Mamy więc dobry moment, żeby dokonać samoidentyfikacji, spróbować określić, czy będzie się takim podmiotem.

Czytaj więcej:

Biznes

Jakie obowiązki dostawców usług cyfrowych

Pro

Jak można to zrobić przed wejściem w życie ustawy?

W internecie można znaleźć narzędzia umożliwiające przeprowadzenie analizy, czy dana firma będzie objęta ustawą. Najczęściej opiera się to na prostych pytaniach o liczbę pracowników w przedsiębiorstwie, jego dochody oraz wybór sektora działalności. Rzecz jasna, to dość ogólna ocena. Wsparciem z pewnością służyć mogą firmy doradcze czy kancelarie prawne, a także organizacje branżowe i izby handlowe, do których należymy.

Jakie są inne obowiązki przewidziane w dyrektywie i ustawie?

Kolejnym istotnym krokiem jest decyzja, czy sami powołamy wewnętrzny dział cyberbezpieczeństwa, czy skorzystamy ze wsparcia zewnętrznego dostawcy. Niezależnie, którą z opcji wybierzemy, będzie to wiązać się z wydatkami. Pojawiają się liczne głosy, że chęć sprostania wymogom ustawy będzie się wiązała z bardzo wysokimi kosztami. Jednak niekoniecznie musi tak być, zależy to od wielu czynników – jest sporo organizacji, które już dziś są uznawane za podmioty kluczowe i posiadają systemy zarządzania bezpieczeństwem informacji. Inne wprowadziły je z własnej inicjatywy, chociażby z punktu widzenia ograniczenia ryzyk biznesowych związanych z cyberatakami lub z przyczyn wizerunkowych i chęci zwiększenia zaufania do firmy.

Czy wydatki na spełnienie wymogów z dyrektywy należy traktować tylko jak koszty, czy jednak jako inwestycję, która się zwróci, bo zwiększy cyberbezpieczeństwo? Dane pokazują, że w tym aspekcie polskie firmy, łagodnie mówiąc, nie są w czołówce.

Moim zdaniem to inwestycja, która będzie procentowała w przyszłości, co mogę powiedzieć w oparciu o blisko 20 lat działalności w obszarze cyberbezpieczeństwa. W branży przyjęło się, że pieniądze przeznaczone na ten cel można porównać do zakupu polis ubezpieczeniowych. Czyli są wykorzystywane na coś, czego nie widzimy, co ciężko pokazać zarządowi czy osobom na stanowiskach kierowniczych. A zasadność ich wydatkowania nie powinna budzić wątpliwości. Dobrze byłoby, abyśmy nie musieli przekonywać się o tym, dopiero gdy dojdzie do jakiegoś incydentu, wycieku czy cyberataku.

Czytaj więcej

Opinie i komentarze

Prof. Marek Chmaj: Fatalny projekt nowelizacji ustawy o KSC

Wnikliwa analiza poszczególnych projektowanych zmian prowadzi do wniosku, że resort cyfryzacji próbuje zapewnić sobie prawny instrument do dowolnej, czyli uznaniowej eliminacji z rynku podmiotów, które jemu nie przypadną do gustu – pisze prof. dr hab. Marek Chmaj, prawnik, politolog, specjalista w dziedzinie prawa konstytucyjnego i administracyjnego.

Pojawienie się nowej ustawy jest dobrym momentem, by zwiększyć wydatki na ten cel. Niestety, opóźnienie polskiej implementacji dyrektywy sprawia, że przedsiębiorstwa czekają z inwestycjami na zakończenie tego procesu. Sama nowelizacja ustawy o KSC dobrze uwypukla też fakt, że kwestie związane z cyberbezpieczeństwem to już nie tylko problem techniczny, lecz w dużej mierze także poważne ryzyko biznesowe. Z konsekwencjami takimi, jak choćby fizyczne wstrzymanie działalności, co dotykało nawet globalnych graczy motoryzacyjnych, o utracie reputacji nie wspominając. Również w polskich realiach mieliśmy, całkiem niedawno, głośne przypadki wycieków danych z platformy zakupowej czy medycznej. Incydenty te pokazują, że kwestie cyberbezpieczeństwa i cyberodporności powinny stanowić istotny aspekt dla kadry zarządzającej – nie można ich traktować po macoszemu. Tym bardziej że w myśl nowych przepisów odpowiedzialność spadnie właśnie na zarząd. Wprowadzenie w nowelizacji ustawy o KSC kar bezpośrednio dla osób zarządzających daną organizacją uważam za dobry krok, który będzie stymulatorem działań podnoszących bezpieczeństwo firm i ich klientów.

Nowelizacja ta zobowiązuje wskazane podmioty także do przeprowadzenia analizy ryzyka. Co ma ona obejmować?

Samo sprawdzenie, jakie mamy zasoby sprzętowe czy oprogramowanie zainstalowane w naszej firmie, to już jest bardzo dobra baza do wykonania analizy ryzyka. Może się bowiem okazać, że pewne wciąż funkcjonujące rozwiązania są z perspektywy bezpieczeństwa przestarzałe. Podczas takiej inwentaryzacji można też znaleźć rozwiązania, które z jakiegoś powodu nigdy nie zostały wdrożone, a mogą okazać się teraz przydatne. Niestety, wciąż wiele przedsiębiorstw takiej analizy nie wykonywało, choć wcale nie wiąże się ona z wysokimi kosztami. Ważne jest też, czy w firmie mamy specjalistę do spraw cyberbezpieczeństwa. Jeśli tak, to wykorzystując jego wiedzę, możemy dokonać kolejnego kroku, czyli szacowania ryzyka i na tej podstawie określić, które obszary np. wymagają wdrożenia nowych albo lepszych rozwiązań, bądź też procedur lub szkoleń

Czytaj więcej

Biznes

Nadchodzą sądne dni. Polski biznes kontra hakerzy i boty

Firmy w Polsce muszą dostosować się do wyzwań związanych z cyberbezpieczeństwem i sztuczną inteligencją. Właśnie nadchodzą sądne dni – resort cyfryzacji przedstawi projekt ustawy o systemach AI, w życie wchodzą też przepisy dyrektywy NIS 2.

Dużo emocji budzi też kwestia dostawców usług wysokiego ryzyka. Tu też jest sporo straszenia, bo minister może tak zakwalifikować jakąś firmę i wtedy ten, kto korzysta z jej usług, a sam jest podmiotem ważnym lub kluczowym, musi wymienić sprzęt czy oprogramowanie. Tylko że ma na to siedem lat, więc pytanie, czy to tak naprawdę jest poważna groźba? Bo przecież co jakiś czas ten sprzęt i tak należy wymieniać.

W przypadku podmiotów kluczowych i ważnych rzeczywiście wprowadzono wymóg siedmiu lat na wymianę sprzętu czy oprogramowania, dostarczonych przez firmę uznaną za dostawcę wysokiego ryzyka. W przypadku przedsiębiorców telekomunikacyjnych ten okres ma wynosić cztery lata. W związku z tym pojawiało się sporo wątpliwości oraz krytycznych komentarzy, głównie ze strony organizacji branżowych skupiających firmy telekomunikacyjne, że to rozwiązanie jest pewnego rodzaju dyskryminacją tych firm względem innych podmiotów kluczowych.

W tym przypadku Ministerstwo Cyfryzacji jest dość zdeterminowane. Wynika to, jak wyjaśniono, „ze szczególnego znaczenia sieci telekomunikacyjnych dla funkcjonowania społeczeństwa informacyjnego”. Resort wskazuje, że w tym przypadku niebezpieczny sprzęt i oprogramowanie są wykorzystywane do świadczenia usług np. dostępu do internetu, od których zależy sprawne funkcjonowanie innych sektorów, a w konsekwencji kraju. Ryzyko w tym obszarze automatycznie obejmuje sektory o strategicznym znaczeniu, jak np. energetyka lub ochrona zdrowia. Uznanie za dostawcę wysokiego ryzyka oznacza, że korzystanie z jego produktów lub usług może zagrażać bezpieczeństwu narodowemu. Mówimy więc tutaj o naprawdę dużym kalibrze potencjalnych zagrożeń.

Stormshield jest dostawcą między innymi rozwiązań typu firewall. Średni cykl życia urządzeń tego typu wynosi osiem–dziesięć lat, niezależnie od tego, kto jest ich producentem. To oczywiście pokłosie szybko zmieniających się technologii i wprowadzania nowych, bardziej wydajnych komponentów sprzętowych. Z drugiej strony również cyberprzestępcy wykorzystują coraz bardziej zaawansowane i wymyślne metody ataku. W takich realiach nie wyobrażam sobie, aby ktokolwiek, będąc odpowiedzialnym dostawcą, chciał chronić polskie przedsiębiorstwa firewallem zakupionym, powiedzmy, 15 lat temu. Wymiana sprzętu jest czymś naturalnym i zasadnym, szczególnie że funkcjonowanie naprawdę wiekowego sprzętu często nie jest wspierane przez samych producentów. Podobnie jak w przypadku systemów operacyjnych telefonów.

Czy projekt przewiduje jeszcze jakieś dodatkowe obowiązki dla podmiotów ważnych i kluczowych?

Jednym z najważniejszych obowiązków nakładanych przez ustawę jest wdrożenie systemu zarządzania bezpieczeństwem informacji. Przedsiębiorstwo, które zostało uznane za podmiot kluczowy lub ważny, musi wyznaczyć osobę bądź osoby odpowiedzialne za utrzymywanie kontaktu z podmiotami Krajowego Systemu Cyberbezpieczeństwa (m.in. z Ministerstwem Cyfryzacji). W przypadku mniejszych przedsiębiorstw wystarczy jedna osoba, natomiast ogólna zasada zakłada, że powinny być dwie lub więcej. Jest też mowa o tym, że firma powinna stosować środki zapobiegające i ograniczające ewentualny wpływ incydentu. Takimi środkami mogą być: urządzenie firewall, oprogramowanie antywirusowe czy oprogramowanie do szyfrowania. I ostatni wymóg, który wprost wynika z ustawy, to zarządzanie incydentami. Mówimy zarówno o wykrywaniu incydentów, zgłaszaniu ich – tu rolę odegrają osoby wskazane do kontaktu z KSC, oraz późniejszym postępowaniu aż do momentu usunięcia skutków incydentu. Powinniśmy się starać, by do nich nie dochodziło, ale wbrew pozorom incydentów nie należy się bać, mogą przydarzyć się w każdej firmie.

Z tego, co słyszałem, nie ma zabezpieczeń stuprocentowo skutecznych, więc ważniejsze jest właśnie zarządzanie incydentami, bo prędzej czy później do nich dojdzie.

Dokładnie tak. Skala zagrożenia jest duża i pytanie brzmi „kiedy”, a nie „czy” dojdzie do incydentu, przykładowo związanego z rozwiązaniami, z których korzysta przedsiębiorstwo. Wówczas istotne jest to, w jaki sposób dostawca reaguje i jak szybko „łata” swój system. Dobrze zatem, że ustawodawca wprost wskazuje na konieczność zarządzania incydentami, bo wymusza to przygotowanie procedur związanych nie tylko z zapobieganiem, ale także wykrywaniem, zgłaszaniem i usuwaniem ich skutków.

Konsekwentny plan działań mający na celu spełnienie obowiązków znowelizowanej ustawy o KSC pozwoli realnie zwiększyć poziom bezpieczeństwa i odporności na rosnące zagrożenia w cyberprzestrzeni. Warto przygotowywać plany ciągłości działania i budować kompetencje w zakresie cyberodporności. To pomoże w kryzysowej sytuacji przywrócić normalne funkcjonowanie naszej organizacji.

Paweł Śmigielski jest menedżerem na Polskę w firmie Stormshield, która należy do koncernu Airbus Group i jest europejskim dostawcą rozwiązań z dziedziny cyberbezpieczeństwa

cyberbezpieczeństwo

Kogo obejmie ustawa o Krajowym Systemie Cyberbezpieczeństwa w myśl najnowszej wersji projektu nowelizacji?

Pozostało jeszcze 92% artykułu

2 / 3

artykułów

Czytaj dalej. Subskrybuj

Prawo w Polsce

Sprawa dotacji dla PiS. Czy PKW wybrnie z impasu?

Niewykluczone, że w najbliższy czwartek Państwowa Komisja Wyborcza wróci do sprawy dotacji dla PiS. Jakie są możliwe scenariusze postępowania?

Materiał Promocyjny

130 lat Škody – atrakcyjne upusty i dni otwarte 13–18 stycznia

Podatki

Ważny wyrok ws. prawa do ulgi przy darowiźnie od najbliższej rodziny

Darowizna pieniężna przekazywane na rachunek służący spłacie obciążającego obdarowanego kredytu bankowego, spełnia warunek udokumentowania i korzysta z pełnego zwolnienia dla zerowej grupy podatkowej czyli najbliższej rodziny.

Niższe opłaty za abonament RTV tylko do 25 stycznia. Jak skorzystać z obniżki?

Konsumenci

Obniżka opłat za abonament RTV na 2025 rok. Trzeba zdążyć przed tym terminem

Poczta Polska informuje o obniżce opłat za abonament RTV, z której można skorzystać do 25 stycznia. Mogą na nią liczyć osoby, które zapłacą abonament za cały rok z góry. Zaoszczędzić można również płacąc za okres dłuższy niż miesiąc.

Nieruchomości

Dom zostawiony rodzinie w kraju nie przechodzi na własność. Sąd Najwyższy o zasiedzeniu

Rodzinna opieka nad nieruchomością na czas przejściowy, choć bardzo się przedłużający, nie prowadzi do jej zasiedzenia.

Materiał Promocyjny

Berlingo Van od 69 900 zł netto - postaw na profesjonalizm w każdym szczególe!

Od 1 stycznia 2025 r. obowiązują nowe zasady dotyczące wydawania zezwoleń na amatorski połów ryb

W sądzie i w urzędzie

Duże zmiany dla wędkarzy od 1 stycznia. Ile trzeba zapłacić w 2025 na łowiskach Wód Polskich?

Od nowego roku wędkarzy czeka sporo zmian dotyczących dostępu do polskich łowisk oraz opłat za wydanie zezwoleń na amatorski połów ryb. Wszystko z powodu zamknięcia programu „Nasze Łowiska”. Jakie zasady obowiązują obecnie?

Materiał Promocyjny

Lexus ES. Teraz z korzyścią do 20%. Odkryj doskonały rocznik w doskonałej cenie.

Opinie i komentarze

Stanisław Dąbek: Mity i błędne przekonania

Nowelizacja ustawy o krajowym systemie cyberbezpieczeństwa to tarcza przed cyberatakami czy niebezpieczne narzędzie wykluczenia? Gdzie leży granica między mitem a faktem?

Katarzyna Berbeć, dyrektor ds. strategii i rozwoju w ICsec SA

Bezpieczeństwo

Zarządy pod presją – nowe wyzwania w cyberbezpieczeństwie na drodze do NIS2

Cyberzagrożenia przekształciły się z marginalnego ryzyka w poważne wyzwanie dla zarządów przedsiębiorstw. Na całym świecie powstają regulacje, które nakładają na firmy nowe obowiązki w zakresie cyberbezpieczeństwa.

ABC Firmy

Co czeka przedsiębiorców w 2025 r. Nie tylko deregulacja

Bieżący rok będzie stał pod znakiem deregulacji, nowelizacji ustawy o krajowym systemie cyberbezpieczeństwa oraz zmian w prawie spółek. Z punktu widzenia biznesu najważniejsze jest jednak stabilne prawo.

Prawo w Polsce

Nowe technologie w ryzach prawnych. Czy w 2025 r. zmierzymy się z przepisami na miarę RODO?

W 2024 r. weszło w życie kilka kluczowych aktów z prawa nowych technologii: przede wszystkim rozporządzenie o usługach cyfrowych, dyrektywa NIS2 oraz o AI Act. Rok 2025 to czas przygotowywań do ich stosowania oraz wdrażania do prawa krajowego.

Raporty ekonomiczne

Nadchodzą ciężkie czasy w sieci. Eksperci wieszczą potężne zagrożenia

Rok 2024 pod względem skali niebezpieczeństw cybernetycznych był rekordowy, ale aktywność hakerów będzie tylko rosła. Wydatki firm w Polsce na cyfrową ochronę skoczyły do 2,7 mld zł, mimo to tylko co piąty polski internauta wie, jak radzić sobie w razie ataku.

Biznes

Bezpieczeństwo w wirtualnej Europie, czyli nowe obowiązki wprowadzone dyrektywą NIS2

Nowe przepisy ustawy o krajowym systemie cyberbezpieczeństwa prawdopodobnie zaczną obowiązywać w 2025 r. Oznacza to, że polskie firmy powinny jak najszybciej podjąć działania dostosowawcze.

Polityka

Raport Centrum Adama Smitha. „Planowane przepisy podważają zaufanie do Sejmu"

Przez wadliwe prawodawstwo Polska nasze państwo może stracić dostęp do najbardziej konkurencyjnych technologii, a stan bezpieczeństwa cyfrowego ulegnie pogorszeniu – ostrzegał podczas konferencji prasowej prezydent Centrum im. Adama Smitha Andrzej Sadowski.

Dane osobowe

Sztuczna inteligencja pomoże oszustom? Będzie więcej wyłudzeń

Przez pierwsze trzy kwartały udaremniono 9,7 tys. wyłudzeń, czyli tyle, ile przez cały rok 2023. A najgorsze przed nami z uwagi na rozwój sztucznej inteligencji – ostrzegają śledczy i eksperci.