Biznes zbuduje cyfrową tarczę. Ale czy jest na to gotowy?

Ustawa o Krajowym Systemie Cyberbezpieczeństwa będzie firmy sporo kosztować. Ale to niejedyny problem. Wielu przedsiębiorców nie zdaje sobie bowiem nawet sprawy z czekających ich obowiązków.

Publikacja: 09.10.2024 05:03

Ustawa o Krajowym Systemie Cyberbezpieczeństwa będzie firmy sporo kosztować

Foto: Adobe Stock

Michał Duszczyk

Przedstawiony przez Ministerstwo Cyfryzacji znowelizowany projekt ustawy o Krajowym Systemie Cyberbezpieczeństwa (KSC) ma w założeniu złagodzić nieco skutki wdrożenia unijnej dyrektywy NIS 2. Wcześniejszy projekt polskich przepisów wprowadzających te regulacje uznano za jeden z najbardziej restrykcyjnych w Europie. Resort cyfryzacji twierdzi, że w nowym mocno wsłuchał się w postulaty zebrane z rynku w czasie konsultacji. Efekt? Jak przekonują w MC: „bardziej przejrzyste zasady nadzoru nad podmiotami kluczowymi i ważnymi, w tym bankami, firmami telekomunikacyjnymi i sektorem energetycznym”. Tyle że ustawa dotknie też mniejsze podmioty, a część z nich albo nie jest gotowa na nowe przepisy, albo nie jest ich nawet świadoma.

Foto: rp.pl

Co blokuje inwestycje w cyberbezpieczeństwo?

– Wiele firm jest zaskoczonych zmianami lub wciąż nie zdaje sobie sprawy z tych regulacji i nie jest do nich kompletnie przygotowanych – potwierdza Mateusz Pycia, prezes GlobKurier, brokera usług logistycznych. – To efekt tego, iż komunikacyjnie temat nowych przepisów został zawalony – wskazuje.

Pycia jest zwolennikiem zmian, jakie idą w ślad za dyrektywą NIS 2. – Choć jesteśmy spółką z sektora MŚP, to – działając w obszarze transportu – zakwalifikowani będziemy do grupy kluczowych podmiotów. W praktyce oznacza to, że czekają nas audyty infrastruktury, szkolenia pracowników i konieczność zgłaszania incydentów. Obowiązków będzie dużo, ale i zagrożenia cybernetyczne w dzisiejszym świecie są ogromne. Zaletą ustawy o KSC będzie to, że wiele tematów ona uporządkuje – podkreśla.

Jak zaznacza, przedsiębiorcy muszą zdać sobie sprawę z cyfrowych ryzyk, ale i obowiązków, jakie na nich spoczną. – Prawo budowlane zawiera pewne normy bezpieczeństwa i nikogo to nie dziwi. Podobnie musi być w obszarze usług cyfrowych, gdzie dziś jest wolna amerykanka. Ustandaryzowanie tego tematu jest bardzo ważne dla całej gospodarki – dodaje.

Czytaj więcej

Biznes

Cybernetyczna wojna nęka firmy i instytucje

Jesteśmy na pierwszej linii frontu – mówią eksperci o rosyjskich atakach hakerskich. Od stycznia br. ich liczba wzrosła o 60 proc., a w ciągu sześciu miesięcy aż o 130 proc. – dowiedziała się „Rzeczpospolita”.

Problem w tym, że – jak pokazują badania firmy Veeam – biznes trafia na wiele barier hamujących wdrażanie wymogów NIS 2. Co piąta firma mówi o przeszkodzie w postaci długu technologicznego. 23 proc. ankietowanych przedstawicieli działów IT żali się na brak zrozumienia kierownictwa w tym względzie. Ale rafą są też pieniądze potrzebne na dostosowanie do tych regulacji. Na niewystarczający budżet na takie inwestycje wskazuje co piąty ankietowany. Co więcej, aż 40 proc. respondentów przyznało, iż od czasu ogłoszenia politycznego porozumienia w sprawie NIS 2 w styczniu 2023 r., budżet IT ich firm niestety się zmniejszył.

W firmie GlobKurier cały proces dostosowania się do wymogów NIS 2 rozpisano na kilkanaście miesięcy. Będzie to ją kosztowało 4,6 mln zł (to ok. 7 proc. rocznych przychodów). – Musimy dostosować infrastrukturę i zwiększyć poziomy bezpieczeństwa. Duże wydatki, ale konieczne i to niezależnie od tego, czy te przepisy weszłyby w życie, czy nie. 100 proc. sprzedaży prowadzimy przez stronę internetową. Odporność na cyberzagrożenia decyduje o ciągłości naszego biznesu – komentuje Mateusz Pycia.

Co zmieni ustawa o KSC?

Szymon Frysztacki, cybersecurity manager w firmie Synthos, uważa, że regulacje NIS 2 są niezbędne i należy wdrożyć je jak najszybciej. – Wciąż analizujemy znowelizowaną wersję projektu przedstawioną przez Ministerstwo Cyfryzacji. Z pewnością kluczowy jest fakt, że kilka sektorów, w tym sektor chemiczny, na powrót przypisano do sektora „ważnego”, a nie „krytycznego”, jak było w poprzedniej wersji. To oznacza potencjalnie nieco łagodniejsze podejście – mówi Frysztacki.

Czytaj więcej

Biznes

Polskie firmy są bombardowane przez hakerów. Tak źle jeszcze nie było

Trzy na cztery firmy doświadczyły już cyberataku. Tylko w sektorze handlu detalicznego straty z tego tytułu sięgają niemal 90 mld zł. Eksperci są pesymistami. Przewidują, że jeszcze w tym roku liczba hakerskich ciosów na nasz kraj skoczy o 25 proc.

Jego zdaniem z przygotowaniami do spełnienia wymogów przyszłej ustawy wiąże się jednak sporo wyzwań. – Zapisy ustawy same w sobie są bardzo skomplikowane, a bardzo trudno o jasny, ujednolicony tekst projektu o KSC czy akty wykonawcze. Po drugie, wciąż wydłużają się prace nad projektem. Cieszymy się, że mamy możliwość konsultacji tych przepisów np. w ramach Konfederacji Lewiatan czy organizacjach jak CISO Poland i jednocześnie mamy nadzieję, że ustawa zacznie jak najszybciej obowiązywać. Pierwotnie miało nastąpić to w październiku br., ale już wiadomo, że to nierealne. Liczymy teraz na I kwartał przyszłego roku. Opóźnienie we wdrażaniu rozwiązań, które mają wzmocnić odporność biznesów na cyberzagrożenia, powinno być jak najmniejsze – przekonuje przedstawiciel Synthosu.

Jak tłumaczy, przemysł to system naczyń połączonych i najsłabsze ogniwo może zaważyć na bezpieczeństwie. Stąd często hakerzy celują w kontrahentów dużych firm, gdyż to tam są często owe „słabsze ogniwa”. – Bezpieczeństwo łańcucha dostaw jest skomplikowanym zagadnieniem, więc przepisy regulujące tę tematykę są niezbędne. Niepokoi nas fakt, że nie ma aktów wykonawczych do KSC, bo bez nich nie jesteśmy w stanie pewnych rzeczy ocenić i właściwie się przygotować – wyjaśnia Szymon Frysztacki.

Czytaj więcej

Wicepremier, minister cyfryzacji Krzysztof Gawkowski

Biznes

Minister Krzysztof Gawkowski: Polska jest celem wojny cybernetycznej

Polska jest celem wojny cybernetycznej. Codziennie dochodzi do ataków na infrastrukturę krytyczną na wielu różnych polach - transport, zdrowie, administracja elektrownie, wodociągi - powiedział wicepremier, minister cyfryzacji Krzysztof Gawkowski w TVP Info.

Według niego ustawa o KSC z pewnością dla mniejszych podmiotów będzie wyzwaniem. – Obowiązki takie jak np. monitoring 24/7 i obowiązek zgłaszania incydentów krytycznych wymusza wydatki. Chodzi o stworzenie zespołów ds. bezpieczeństwa czy outsourcing pewnych usług, a także konieczność audytowania organizacji – wylicza. – W większych firmach są jednak działy IT i SOC. Gorzej jest np. w szpitalach, gdzie takie struktury nie są zbyt rozbudowane – kontynuuje. Najważniejsze, żeby robić to mądrze i w oparciu o analizę ryzyka.

Jak zaznacza, wdrożenie regulacji wymusi pewne ruchy i pomoże przeciwdziałać cyberzagrożeniom. – Dziś nikt się nie zastanawia, czy potrzebujemy chronić fizycznie biurowce, magazyny czy hale produkcyjne. W kwestii cyberbezpieczeństwa mentalnie nie nadążamy za zmianami. A efekt takiego ataku może być gorszy niż fizycznego. Hakerzy są w stanie poprzez atak na infrastrukturę krytyczną odłączyć prąd u odbiorców indywidualnych czy szpitali, zaatakować wszechobecne urządzenia IoT – wylicza nasz rozmówca.

Synthos cyberbezpieczeństwo KSC NIS2 ITI

Biznes

Podcast „Twój Biznes”: Chiny mogą skorzystać na ograniczeniach eksportu chipów

Jest piątek, 24 stycznia – na codzienny podcast „Rzeczpospolitej” o gospodarce „Twój Biznes” zaprasza Bartłomiej Kawałek. Dziś przyjrzymy się konsekwencjom ograniczeń USA na eksport półprzewodników i temu, kto może na nich zyskać. Omówimy także rosnący eksport na Ukrainę, zapowiedzi Donalda Trumpa dotyczące podatków, zwrot Włoch w stronę energii atomowej oraz problem wysokich kosztów ogrzewania w Europie.

Materiał Promocyjny

Suzuki Vitara i Suzuki Swift ponownie w gronie liderów rankingu niezawodności

Brytyjski magazyn „What Car?” opublikował kolejną odsłonę swojego rankingu „Reliability Survey”, w którym 30 tysięcy właścicieli przekazało swoje opinie na temat aut. Jak wypadło Suzuki? Niezawodnie!

Michał Siwek, product owner odpowiedzialny za dekarbonizację i bioróżnorodność, BNP Paribas Bank Pol

Materiał Partnera

Przejście na rolnictwo regeneratywne to nie rewolucja

Wdrażając rolnictwo regeneratywne, jesteśmy w stanie zredukować nawet ok. 40 proc. emisji pochodzących obecnie z systemu żywieniowego w Unii Europejskie do 2050 r. – mówi Michał Siwek z BNP Paribas Bank Polska.

Koncern chce rozwijać się organicznie w Europie Środkowo-Wschodniej – w Polsce, Czechach, na Węgrzec

MAteriał Partnera

Integracja, transformacja, digitalizacja – przyszłość segmentu detalicznego Orlenu

Orlen w wyniku przejęć przeprowadzonych na przestrzeni ostatnich lat znacząco poszerzył portfolio oferowanych usług i produktów. Nowa strategia spółki uwzględnia wszystkie segmenty, w których działa grupa, proponując nową ofertę dla klientów.

Marek Balawejder - członek zarządu Orlen ds. sprzedaży detalicznej

Materiał Partnera

Oferujemy naszym klientom całą paletę produktów i usług

Materiał Promocyjny

Warta oferuje spersonalizowaną terapię onkologiczną

Klienci Warty mają możliwość leczenia nowotworów przy użyciu najnowocześniejszych metod na świecie. Ubezpieczenie Leczenie za granicą Plus może pokryć związane z tym koszty nawet do 2 mln euro.

Biznes

Potężna awaria ChatGPT. Internauci na całym świecie zgłaszają problemy

Użytkownicy z Polski, jak i innych krajów zgłaszają w czwartek problemy z popularnym chatbotem opracowanym przez OpenAI. Awaria ChatGPT rozpoczęła się po godzinie 12:00 czasu polskiego.

Materiał Promocyjny

Najlepszy program księgowy dla biura rachunkowego

Dobry program księgowy to podstawa funkcjonowania biura rachunkowego. Jego podstawowym zadaniem jej ułatwienie i przyspieszenie pracy księgowych. Dzięki temu, że program wykonuje podstawowe, powtarzalne zadania, profesjonaliści mogą się skupić na bardziej skomplikowanych zadaniach, lub zaoferować swoje usługi większej liczbie klientów.

Aleksandra Bańkowska, partnerka PwC Legal

Prawo dla profesjonalistów

Jakie trendy regulacyjne w 2025 roku

Jakie zmiany w przepisach prawnych będą miały największy wpływ na biznes i organizację w 2025 r.?

Biznes

Podcast „Twój Biznes”: Polska na celowniku rosyjskich hakerów

Jest wtorek, 21 stycznia – na codzienny podcast „Rzeczpospolitej” o gospodarce „Twój Biznes” zaprasza Bartłomiej Kawałek. Dziś porozmawiamy o nasilających się atakach rosyjskich hakerów na Polskę, kryzysie w branży transportowej, pierwszych decyzjach gospodarczych Donalda Trumpa oraz wzroście importu rosyjskiego LNG przez Europę.

Wybory prezydenckie w Polsce mogą paść ofiarą hakerów i dezinformacji

Rosja zakłóci wybory prezydenckie w Polsce? Ma nową broń

Hakerzy powiązani z Kremlem szykują się do uderzenia nad Wisłą. Atak ma zaburzyć majowe wybory prezydenckie w naszym kraju – ostrzegli właśnie eksperci Check Point, izraelskiej firmy specjalizującej się w cyberbezpieczeństwie.

Prawo dla Ciebie

Prof. Leszczyński: Będą ataki dezinformacji z Rosji przed wyborami. Na co uważać?

Przed wyborami dojdzie do prób zmasowanych ataków dezinformacyjnych Rosji. Nie jesteśmy na to odpowiednio przygotowani. To, co wydarzyło się w Rumunii, może powtórzyć się w Polsce i trzeba zrobić wszystko, żeby do tego nie dopuścić – mówi prof. Adam Leszczyński z komisji ds. rosyjskich wpływów.

Finanse

Nowe wymogi dla sektora finansowego. 17 stycznia kluczową datą

Obowiązki wynikające wprost z rozporządzenia DORA będą obowiązywać, tylko nie wiadomo, czy będą egzekwowane. KNF wskazuje, że podmioty objęte rozporządzeniem mają być gotowe do stosowania DORA na 17 stycznia – mówi Natalia Kotłowska-Wochna, radca prawny z Kochański & Partners.

Jest potwierdzenie potężnego ataku hakerskiego na polską firmę. Czy dane są bezpieczne?

Firma Eurocert, oferująca między innymi podpisy kwalifikowane przyznała, że kilka dni temu została zaatakowana i doszło do wycieku danych.

Administracja państwowa

Z cyberbezpieczeństwem jest trochę jak z RODO. Dużo straszenia

Kwestie związane z cyberbezpieczeństwem to już nie tylko problem techniczny, lecz w dużej mierze poważne ryzyko biznesowe – mówi Paweł Śmigielski, ekspert ds. cyberbezpieczeństwa.

Opinie i komentarze

Stanisław Dąbek: Mity i błędne przekonania

Nowelizacja ustawy o krajowym systemie cyberbezpieczeństwa to tarcza przed cyberatakami czy niebezpieczne narzędzie wykluczenia? Gdzie leży granica między mitem a faktem?