Ustawa o krajowym systemie cyberbezpieczeństwa wprowadza nowe obowiązki dla firm, które mają kluczowe znaczenie dla funkcjonowania państwa i utrzymania krytycznej działalności społecznej lub gospodarczej, świadcząc tzw. usługi kluczowe. Wśród operatorów takich usług znajdą się banki, firmy z sektora energetycznego i zdrowotnego, przewoźnicy, dostawcy oraz dystrybutorzy wody pitnej, a także podmioty świadczące usługi płatnicze czy tworzące infrastrukturę cyfrową. Nowy akt prawny stanowi implementację tzw. dyrektywy NIS (Network and Information Systems Directive). Jednym z celów przepisów jest przyczynienie się do budowy Jednolitego Rynku Cyfrowego na poziomie UE.
Nowa ustawa jest odpowiedzią na coraz większe uzależnienie gospodarki i społeczeństwa od dostępu do informacji oraz systemów informatycznych. Fundamentem poprawnego funkcjonowania przedsiębiorstw z sektora komunikacji, usług finansowych, handlu czy transportu jest często ich informatyzacja. Cyberbezpieczeństwo natomiast jest rozumiane jako zapewnienie odporności systemów informacyjnych na działania naruszające poufność, integralność, dostępność i autentyczność przetwarzanych danych lub usług z nimi związanych.
Wprowadzane regulacje mają zapewnić stworzenie jednolitego modelu bezpieczeństwa, w tym skutecznego i spójnego systemu reagowania na ataki oraz zagrożenia cybernetyczne, a także ujednolicić praktyki organów na poziomie UE.
Ustawa przewiduje obowiązki dla podmiotów o kluczowym znaczeniu dla bezpieczeństwa cyberprzestrzeni w Polsce, jak również dla administracji publicznej, celem stworzenia krajowego systemu organów odpowiedzialnych za cyberbezpieczeństwo i reagowanie na incydenty. Nowe przepisy stanowią próbę uporządkowania administracyjnych ram bezpieczeństwa cybernetycznego i przypisania kompetencji do konkretnych organów. W tym celu stworzony został wielopoziomowy system zarządzania kwestiami bezpieczeństwa.
Praktyczne wdrożenie zapisów ustawy może być czasochłonne i kosztowne dla firm, które zostaną zakwalifikowane jako tzw. operatorzy usług kluczowych i nie chodzi tu wcale o nowe rozwiązania, które narzuca ustawa. Definiuje ona bowiem podstawowe środki bezpieczeństwa zgodne z najlepszymi praktykami w tym zakresie. Wiele firm nie miało jednak dotychczas nie tylko motywacji do wdrażania tych środków, ale również świadomości zagrożenia cybernetycznego, uznając, że skoro do tej pory nic się nie wydarzyło, to są bezpieczne. Najprawdopodobniej nowa lista operatorów usług kluczowych, funkcjonująca w ustawie o zarządzaniu kryzysowym jako lista podmiotów stanowiących infrastrukturę krytyczną – zostanie powiększona. Istnieje szansa, że znajdą się na niej firmy, które dotychczas nie klasyfikowały się do żadnej regulacji lub z uwagi na profil biznesowy musiały spełnić tylko minimalne wymagania (np. RODO). Przykładowo: dystrybutor leków lub firma świadcząca usługi logistyczno-transportowe, którzy dotychczas realizowali politykę cyberbezpieczeństwa tylko według własnego uznania i własnej oceny ryzyka, będą zobowiązani do stworzenia struktury do zarządzania ryzykiem. Co więcej, na podstawie procesu szacowania ryzyka firmy będą musiały wdrożyć lub dostosować środki bezpieczeństwa i udokumentować wszystkie prowadzone działania. Nie chodzi tylko o najczęściej stosowane już środki prewencyjne, jak antywirus. Kluczowe jest stworzenie całego systemu, który zapewnia ciągłą identyfikację zagrożeń dla firmy, przede wszystkim zapewnienie środków do wykrywania cyberataków na poziomie infrastruktury sieciowej oraz aplikacji. Organizacje muszą być praktycznie odpowiednio przygotowane na wypadek cyberataku. Istotne jest, by móc ograniczyć jego skutki oraz zapewnić ciągłość działania swoich usług. Dodatkowo firmy mają obowiązek informowania odpowiednich podmiotów o incydentach, współdzielenia się informacją na ich temat oraz współpracy z nimi. Aby zrealizować te cele, przy niewielkich nakładach kosztów, a jednocześnie utrzymać ryzyko na akceptowalnym poziomie, należy mieć strategię działania oraz rozumieć swój profil ryzyka. Zarządy organizacji powinny posiadać odpowiednie informacje, aby móc podejmować decyzje w tym zakresie.
