W ostatnich dniach sierpnia w serwisie Rządowego Centrum Legislacyjnego opublikowano kolejną wersję projektu ustawy o Krajowym Systemie Cyberbezpieczeństwa. Dokument liczy obecnie 180 stron i zawiera szereg doprecyzowanych zapisów dotyczących m.in. procedur nadzoru, zasad zgłaszania incydentów oraz klasyfikacji podmiotów publicznych. Komentarz eksperta Stormshield Aleksandra Kostucha do ustawy Krajowym Systemie Cyberbezpieczeństwa.
Przedłużająca się implementacja założeń dyrektywy NIS2 do polskiego prawodawstwa była jednym z głównych tematów minionego KSC Forum w Wiśle, gdzie temat ten wzbudził duże zainteresowanie.
Najistotniejsze zmiany to bardziej szczegółowe określenie obowiązków i środków nadzorczych wobec różnych kategorii podmiotów. Po raz pierwszy wyraźnie rozróżniono jednostki publiczne na „kluczowe” i „ważne”, co przekłada się m.in. na odmienne wymagania w zakresie wdrożenia Systemu Zarządzania Bezpieczeństwem Informacji (SZBI). W praktyce oznacza to konieczność reorganizacji dotychczasowych polityk bezpieczeństwa IT i OT w wielu organizacjach – mówi Aleksander Kostuch, inżynier Stormshield w Polsce.
Nowelizacja była szeroko komentowana także podczas Forum KSC. Przedstawiciele Ministerstwa Cyfryzacji podkreślali, że projekt ma zapewnić wysoki poziom bezpieczeństwa, przy jednoczesnym ograniczeniu nadmiernych obciążeń administracyjnych dla mniejszych podmiotów.
Resort przyjął racjonalne podejście – ciężar wymagań został przesunięty na instytucje o kluczowym znaczeniu dla państwa, podczas gdy mniejsze organizacje mają uproszczone obowiązki. To słuszny kierunek. Trzeba jednak pamiętać, że dla podmiotów kluczowych oznacza to konieczność wdrożenia nowych procedur, w tym raportowania incydentów poważnych w ciągu 72 godzin przez system S46. To realna zmiana, która wymaga sprawnego przygotowania zespołów i procesów – ocenia ekspert.
Projekt zakłada, że po jednomiesięcznym vacatio legis podmioty kluczowe i ważne będą miały jedynie sześć miesięcy na pełne dostosowanie się do nowych przepisów. W praktyce oznacza to konieczność rozpoczęcia przygotowań jeszcze przed formalnym przyjęciem ustawy.
Pół roku to bardzo krótki okres na dostosowanie się do wymogów, szczególnie gdy mówimy o konieczności wykonania audytu, inwentaryzacji sprzętu i oprogramowania, wdrożenia mechanizmów zarządzania podatnościami czy wyznaczenia osób do kontaktu z Krajowym Systemem Cyberbezpieczeństwa. Organizacje, które rozpoczną działania dopiero po uchwaleniu ustawy, ryzykują chaosem organizacyjnym i dodatkowymi kosztami. Dlatego już teraz warto rozpocząć proces przygotowania od analizy ryzyka, przez aktualizację polityk bezpieczeństwa, po szkolenia pracowników – podsumowuje Aleksander Kostuch.
Proces legislacyjny jest obecnie na etapie Stałego Komitetu Rady Ministrów. Jeśli prace będą toczyć się zgodnie z harmonogramem, nowelizacja mogłaby wejść w życie jeszcze w tym roku.
