Termin implementacji przepisów wynikających z dyrektywy NIS 2 minął 17 października 2024 r. Dokument ten, zmieniający standardy w zakresie cyberbezpieczeństwa dla przedsiębiorstw działających na terenie UE, zobowiązuje je do zabezpieczania łańcuchów dostaw oraz rozszerza ich obowiązki w zakresie analizy ryzyka i reagowania na cyfrowe incydenty.
Wśród państw członkowskich, które nie były w stanie sprostać postawionemu przez Komisję Europejską terminowi wprowadzenia reguł dyrektywy do lokalnego ustawodawstwa, jest Polska. Jak wykazało przeprowadzone na zlecenie Fortinet badanie, ponad połowa firm w Polsce, których będzie to dotyczyć, nie wie, że będzie podlegać pod NIS 2, a w efekcie również pod nowelizację KSC.
Z kolei z badań Asseco Cloud wynika, że 21 proc. przedsiębiorstw nie jest gotowych na ich spełnienie wymagań w zakresie cyberbezpieczeństwa, a 65 proc. jest w trakcie przygotowań.
Nowelizacja ustawy o Krajowym Systemie Cyberbezpieczeństwa (KSC) przeszła przez proces konsultacji społecznych, w trakcie których zgłoszono 1567 uwag. Jak zaznacza minister cyfryzacji Krzysztof Gawkowski, w najnowszej wersji ustawy uwzględniono aż 70 proc. zaproponowanych poprawek.
W ustawie o KSC znalazło się kilka propozycji zaostrzenia przepisów w zakresie cyfrowej ochrony, w tym m.in. przeprowadzanie w firmach szczegółowych audytów bezpieczeństwa systemów informatycznych. Jedną z najszerzej omawianych kwestii w czasie konsultacji społecznych był właśnie obowiązek przeprowadzania audytów przez przedsiębiorstwa objęte KSC. Miałoby się to odbywać co dwa lata, na koszt danej firmy, która następnie zdawałaby sprawozdanie właściwemu organowi kontrolnemu. W czasie konsultacji społecznych przedsiębiorcy usiłowali doprowadzić do ograniczenia zakresu audytów bezpieczeństwa. Ostatecznie zmianom uległy jednak tylko powiązane z nimi ramy czasowe. Ustawa o KSC w obecnej postaci nakłada na firmy obowiązek przeprowadzania audytów raz na trzy lata.
Zmienił się także termin wykonania pierwszej tego typu kontroli bezpieczeństwa. Początkowo miało to mieć miejsce 12 miesięcy po uchwaleniu ustawy, ale wersja po konsultacjach społecznych wydłuża ten termin do dwóch lat. Przyjęcie tych modyfikacji nie oznacza jednak zakończenia dyskusji wokół audytów bezpieczeństwa.
– W projekcie ustawy od początku zaznaczano, że przeprowadzaniem audytu musi zająć się podmiot zewnętrzny. Wciąż jednak brakuje ostatecznego doprecyzowania, kto dokładnie mógłby to zrobić. Czy wystarczy zaangażowanie firmy audytorskiej? Czy raport każdej z nich będzie uznany za ważny? Być może taki usługodawca musi spełniać określone kryteria lub zdobyć konkretny certyfikat? Nie dysponujemy jeszcze odpowiedziami na te pytania – zauważa Jolanta Malak, dyrektorka Fortinet w Polsce.
Problemem w kontekście NIS 2 oraz KSC pozostaje też brak świadomości firm co do ich precyzyjnych zapisów oraz ogólnej zmiany status quo, pokazało badanie Fortinet.
Nowelizacja ustawy o KSC, podobnie jak unijna dyrektywa, przewiduje sytuację, w której podmiot nie spełnia postawionych w niej warunków. Na takie przedsiębiorstwo nałożone mogą zostać wysokie kary finansowe. Jak ukazało również badanie Fortinet, blisko 30 proc. przedsiębiorstw nie wie, jakie kary grożą im z tytułu nieprzystosowania się do NIS 2.
W polskim projekcie ustawy – w fazie sprzed konsultacji społecznych – przyjęto grzywny w wysokości zaproponowanej w dyrektywie NIS 2. Według tych zapisów podmiot niespełniający unijnych standardów cyberbezpieczeństwa zostałby dotknięty karą w wysokości nawet 10 mln euro lub kwoty odpowiadającej 2 proc. jego światowych obrotów. Projekt ustawy o KSC z października 2024 r. przewiduje zmiany w tej kwestii. W jego myśl, wysokość kary pieniężnej ma być zależna od szeregu kryteriów, w tym rodzaju i skali przypadku naruszenia bezpieczeństwa, czasu jego trwania, ale także możliwości finansowych podmiotu oraz poziomu jego współpracy z organami nadzoru.
– W Polsce spodziewamy się otrzymać duże fundusze na rozwój systemów cyfrowego bezpieczeństwa. Firmy muszą się o tym dowiedzieć. Dlatego konieczne jest rozpoczęcie dynamicznej kampanii informacyjnej – uważa Jolanta Malak.
Ostateczna postać nowelizacji ustawy o KSC wciąż może się zmienić. Ministerstwo Cyfryzacji przewiduje, że do końca 2024 r. projekt zostanie przyjęty przez Radę Ministrów, a następnie skierowany do parlamentu. Przyjęcie ustawy ma nastąpić w 2025 r.
