Polska branża nowych technologii, reprezentowana przez Związek Cyfrowa Polska, z zadowoleniem przyjęła decyzję rządu o przyjęciu projektu nowelizacji ustawy o Krajowym Systemie Cyberbezpieczeństwa (KSC) i skierowaniu ich do prac w polskim parlamencie. Eksperci podkreślają, że jest to długo oczekiwany krok, który otwiera nowy etap budowy odporności cyfrowej polskiego państwa.
Przyjęte we wtorek (21 października) przez Radę Ministrów rozwiązania wprowadzają mechanizmy zwiększające bezpieczeństwo infrastruktury krytycznej, instytucji publicznych i całego sektora prywatnego, jednocześnie dostosowując krajowe przepisy do europejskich standardów określonych w dyrektywie NIS2.
W ocenie prezesa Związku Cyfrowa Polska Michała Kanownika to istotny krok w przybliżeniu Polski do europejskich standardów bezpieczeństwa cyfrowego. – Nowelizacja ustawy o KSC to inwestycja w bezpieczeństwo narodowe, a zarazem w zaufanie do cyfrowego państwa. Cieszymy się, że po wielu latach prac rząd wreszcie przyjął ten projekt. Teraz kluczowe jest szybkie rozpoczęcie prac, by przepisy mogły jak najszybciej praktycznie wejść w życie – podkreśla Michał Kanownik. Ekspert przypomina, że jego organizacja od lat apelowała o pilne procedowanie nowelizacji KSC, wskazując, że każde dalsze opóźnienie zwiększa ryzyko poważnych incydentów w systemach teleinformatycznych administracji publicznej, energetyki, transportu czy finansów.
Silniejsze instytucje i nowoczesne standardy cyberbezpieczeństwa
Nowelizacja ustawy wprowadza rozwiązania wzmacniające kompetencje instytucji odpowiedzialnych za ochronę cyberprzestrzeni, a także mechanizmy poprawiające współpracę pomiędzy administracją publiczną, sektorem prywatnym i środowiskiem naukowym. Porządkuje też krajowy system reagowania na incydenty, wprowadza obowiązek prowadzenia analiz ryzyka adekwatnych do specyfiki działalności oraz zwiększa odpowiedzialność operatorów usług kluczowych i dostawców usług cyfrowych.
Jednym z filarów przyjętych rozwiązań jest również możliwość wycofywania z użytku sprzętu lub oprogramowania uznanego za potencjalnie niebezpieczne dla bezpieczeństwa państwa – od tzw. Dostawców Wysokiego Ryzyka. Jak wyjaśnia Michał Kanownik w tym zapisie nie chodzi o interes którejkolwiek firmy.
– Mówimy tu o kwestii bezpieczeństwa narodowego. Warto podkreślić, że decyzja o uznaniu firmy za dostawcę wysokiego ryzyka nie będzie podejmowana arbitralnie. Został przyjęty precyzyjny, wieloetapowy proces, który gwarantuje transparentność i obiektywność oceny – zauważa Michał Kanownik. Jego zdaniem wymiana sprzętu na bezpieczniejszy nie powinno generować dodatkowych kosztów dla przedsiębiorstw czy instytucji. Na realizację tego procesu przewidziano 7 lat (a w przypadku przedsiębiorców telekomunikacyjnych pełniących funkcje krytyczne – 4 lat), czyli tyle ile standardowo trwa cykl wymiany sprzętu.
Polska bliżej europejskich standardów bezpieczeństwa
Jak zauważa ekspert Cyfrowej Polski, przyjęcie przez rząd nowelizacji Krajowego Systemu Cyberbezpieczeństwa, to również istotny krok w kierunku pełnej implementacji unijnej dyrektywy NIS2. Nowe przepisy wprowadzają kompleksowe podejście do ochrony zasobów cyfrowych i wzmacniają nadzór nad operatorami usług kluczowych. – Przyjęcie tego projektu to sygnał, że Polska konsekwentnie buduje system cyberodporności, który obejmuje zarówno sektor publiczny, jak i prywatny, a także środowisko naukowe – zaznacza Michał Kanownik.
Ekspert podkreśla jednak, że jednorazowa nowelizacja KSC nie sprawi, że Polska będzie cyfrowo bezpieczna na lata. Wraz z rozwojem technologii zmieniają się bowiem zagrożenia i tylko dostosowywanie się do nich na bieżąco może zagwarantować względny cyfrowy spokój naszemu państwu.
– Odpowiedzialność za cyberbezpieczeństwo leży po stronie państwa, ale także biznesu i obywateli. Wspólnie musimy budować kulturę bezpieczeństwa cyfrowego. Przyjęcie nowelizacji to krok w dobrym kierunku, ale przed nami jeszcze dużo pracy – przekonuje Michał Kanownik.
I dodaje, że Związek Cyfrowa Polska od początku aktywnie wspierał proces nowelizacji ustawy o KSC, uczestnicząc w konsultacjach i promując dialog między administracją a biznesem. Także teraz organizacja deklaruje gotowość dalszej współpracy przy wdrażaniu nowych przepisów, szczególnie w obszarze edukacji, podnoszenia kompetencji cyberbezpieczeństwa oraz wspierania przedsiębiorstw w procesie dostosowania się do aktualnych regulacji.