Nowelizacja KSC przyjęta przez rząd. Polska jest bliżej europejskich standardów cyberbezpieczeństwa
Polska branża nowych technologii, reprezentowana przez Związek Cyfrowa Polska, z zadowoleniem przyjęła decyzję rządu o przyjęciu projektu nowelizacji ustawy o Krajowym Systemie Cyberbezpieczeństwa (KSC) i skierowaniu ich do prac w polskim parlamencie. Eksperci podkreślają, że jest to długo oczekiwany krok, który otwiera nowy etap budowy odporności cyfrowej polskiego państwa. Przyjęte we wtorek (21 października) przez Radę Ministrów rozwiązania wprowadzają mechanizmy zwiększające bezpieczeństwo infrastruktury krytycznej, instytucji publicznych i całego sektora prywatnego, jednocześnie dostosowując krajowe przepisy do europejskich standardów określonych w dyrektywie NIS2. W ocenie prezesa Związku Cyfrowa Polska Michała Kanownika to istotny krok w przybliżeniu Polski do europejskich standardów bezpieczeństwa cyfrowego. – Nowelizacja ustawy o KSC to inwestycja w bezpieczeństwo narodowe, a zarazem w zaufanie do cyfrowego państwa. Cieszymy się, że po wielu latach prac rząd wreszcie przyjął ten projekt. Teraz kluczowe jest szybkie rozpoczęcie prac, by przepisy mogły jak najszybciej praktycznie wejść w życie – podkreśla Michał Kanownik. Ekspert przypomina, że jego organizacja od lat apelowała o pilne procedowanie nowelizacji KSC, wskazując, że każde dalsze opóźnienie zwiększa ryzyko poważnych incydentów w systemach teleinformatycznych administracji publicznej, energetyki, transportu czy finansów. Silniejsze instytucje i nowoczesne standardy cyberbezpieczeństwa Nowelizacja ustawy wprowadza rozwiązania wzmacniające kompetencje instytucji odpowiedzialnych za ochronę cyberprzestrzeni, a także mechanizmy poprawiające współpracę pomiędzy administracją publiczną, sektorem prywatnym i środowiskiem naukowym. Porządkuje też krajowy system reagowania na incydenty, wprowadza obowiązek prowadzenia analiz ryzyka adekwatnych do specyfiki działalności oraz zwiększa odpowiedzialność operatorów usług kluczowych i dostawców usług cyfrowych. Jednym z filarów przyjętych rozwiązań jest również możliwość wycofywania z użytku sprzętu lub oprogramowania uznanego za potencjalnie niebezpieczne dla bezpieczeństwa państwa – od tzw. Dostawców Wysokiego Ryzyka. Jak wyjaśnia Michał Kanownik w tym zapisie nie chodzi o interes którejkolwiek firmy. – Mówimy tu o kwestii bezpieczeństwa narodowego. Warto podkreślić, że decyzja o uznaniu firmy za dostawcę wysokiego ryzyka nie będzie podejmowana arbitralnie. Został przyjęty precyzyjny, wieloetapowy proces, który gwarantuje transparentność i obiektywność oceny – zauważa Michał Kanownik. Jego zdaniem wymiana sprzętu na bezpieczniejszy nie powinno generować dodatkowych kosztów dla przedsiębiorstw czy instytucji. Na realizację tego procesu przewidziano 7 lat (a w przypadku przedsiębiorców telekomunikacyjnych pełniących funkcje krytyczne – 4 lat), czyli tyle ile standardowo trwa cykl wymiany sprzętu.