Termin implementacji przepisów wynikających z dyrektywy NIS 2 – 17 października 2024 r. – niedawno minął. Dokument ten zmienia standardy w zakresie cyberbezpieczeństwa dla przedsiębiorstw działających na terenie UE.
Jolanta Malak, dyrektorka Fortinet w Polsce
Zobowiązuje on firmy do zabezpieczania łańcuchów dostaw oraz rozszerza ich obowiązki w zakresie analizy ryzyka i reagowania na cyfrowe incydenty. Nie wszystkie państwa członkowskie były jednak w stanie sprostać postawionemu przez Komisję Europejską terminowi wprowadzenia reguł dyrektywy do lokalnego ustawodawstwa. Wśród nich są Hiszpania, Portugalia oraz Polska.
Nowelizacja ustawy o Krajowym Systemie Cyberbezpieczeństwa (KSC) przeszła przez proces konsultacji społecznych, w trakcie których zgłoszono 1567 uwag. Jak zaznacza minister cyfryzacji Krzysztof Gawkowski, w najnowszej wersji ustawy uwzględniono aż 70 proc. zaproponowanych poprawek.
W ustawie o KSC znalazło się kilka odważnych propozycji zaostrzenia przepisów w zakresie cyfrowej ochrony. Akt zakłada m.in. przeprowadzanie w firmach szczegółowych audytów bezpieczeństwa systemów informatycznych. Równocześnie jednak wiele przedsiębiorstw nie zdaje sobie sprawy, że będą je obowiązywały nowe przepisy. Jak wykazało przeprowadzone na zlecenie Fortinet badanie, ponad połowa firm w Polsce, których będzie to dotyczyć, nie wie, że będzie podlegać pod NIS 2, a w efekcie również pod nowelizację KSC.
Kłopotliwa konieczność
Jedną z najszerzej omawianych kwestii w czasie konsultacji społecznych był obowiązek przeprowadzania audytów przez przedsiębiorstwa objęte KSC. Miałoby się to odbywać co dwa lata, na koszt danej firmy, która następnie zdawałaby sprawozdanie właściwemu organowi kontrolnemu. W czasie konsultacji społecznych przedsiębiorcy usiłowali doprowadzić do ograniczenia zakresu audytów bezpieczeństwa. Ostatecznie zmianom uległy jednak tylko powiązane z nimi ramy czasowe. Ustawa o KSC w obecnej postaci nakłada na firmy obowiązek przeprowadzania audytów raz na trzy lata. Zmienił się także termin wykonania pierwszej tego typu kontroli bezpieczeństwa. Początkowo miało to mieć miejsce 12 miesięcy po uchwaleniu ustawy, ale wersja po konsultacjach społecznych wydłuża ten termin do dwóch lat. Przyjęcie tych modyfikacji nie oznacza jednak zakończenia dyskusji wokół audytów bezpieczeństwa.
W projekcie ustawy od początku zaznaczano, że przeprowadzaniem audytu musi zająć się podmiot zewnętrzny. Wciąż jednak brakuje ostatecznego doprecyzowania, kto dokładnie mógłby to zrobić. Czy wystarczy zaangażowanie firmy audytorskiej? Czy raport każdej z nich będzie uznany za ważny? Być może taki usługodawca musi spełniać określone kryteria lub zdobyć konkretny certyfikat? Nie dysponujemy jeszcze odpowiedziami na te pytania.
Tylko koszty? NIS 2 i KSC oczami firm
Problemem w kontekście NIS 2 oraz KSC pozostaje też brak świadomości firm co do ich precyzyjnych zapisów oraz ogólnej zmiany status quo.
Wiele przedsiębiorstw nie jest świadomych ogromu swojej roli w procesie ochrony łańcucha dostaw. To więcej niż tylko kwestia braku wiedzy na temat konkretnych przepisów. Nie zdają sobie sprawy, jak rozległe mogą być konsekwencje ewentualnego incydentu naruszenia bezpieczeństwa po ich stronie. W związku z tym nie podejmują żadnych konkretnych działań na rzecz zwiększenia poziomu ochrony swojego cyfrowego środowiska i przygotowania się na NIS 2.
Nowelizacja ustawy o KSC, podobnie jak unijna dyrektywa, przewiduje sytuację, w której podmiot nie spełnia postawionych w niej warunków. Na takie przedsiębiorstwo nałożone mogą zostać wysokie kary finansowe. Warto nadmienić, że nawet te firmy, które wiedzą o nadchodzących zmianach w przepisach, nie są w pełni świadome konsekwencji wynikających z braku zgodności z nimi. Jak pokazało badanie Fortinet, blisko 30 proc. przedsiębiorstw nie wie, jakie kary grożą im z tytułu nieprzystosowania się do NIS 2.
W polskim projekcie ustawy – w fazie sprzed konsultacji społecznych – przyjęto grzywny w wysokości zaproponowanej w dyrektywie NIS 2. Według tych zapisów podmiot niespełniający unijnych standardów cyberbezpieczeństwa zostałby dotknięty karą w wysokości nawet 10 mln euro lub kwoty odpowiadającej 2 proc. jego światowych obrotów. Projekt ustawy o KSC z października 2024 r. przewiduje zmiany w tej kwestii. W jego myśl wysokość kary pieniężnej ma być zależna od szeregu kryteriów, w tym rodzaju i skali przypadku naruszenia bezpieczeństwa, czasu jego trwania, a także możliwości finansowych podmiotu oraz poziomu jego współpracy z organami nadzoru.
Uwzględnienie możliwości finansowych karanego przedsiębiorstwa to dobry krok. Nie eliminuje jednak ryzyka sytuacji, w której firma zostaje objęta grzywną, nie rozumiejąc, dlaczego tak się stało. Dlatego należy przede wszystkim edukować przedsiębiorstwa, a dopiero później karać. Obecnie podmioty podlegające pod NIS 2, jeśli wiedzą o tej dyrektywie, utożsamiają ją przede wszystkim z kosztami związanymi z koniecznością inwestycji w nowe narzędzia i usługi oraz, oczywiście, karami. Tymczasem nowe przepisy zapewniają im także korzyści. Firmy zyskają w czasie rzeczywistym informacje o incydentach występujących w ich branży, i to w skali unijnej. W znacznym stopniu wpłynie to na poziom ich bezpieczeństwa oraz ograniczy ryzyko cyberataków, których konsekwencje bywają niezwykle kosztowne. Ponadto w Polsce spodziewamy się otrzymać duże fundusze na rozwój systemów cyfrowego bezpieczeństwa. Firmy muszą się o tym dowiedzieć. Dlatego konieczne jest rozpoczęcie dynamicznej kampanii informacyjnej.
Ostateczna postać nowelizacji ustawy o KSC wciąż może się zmienić. Ministerstwo Cyfryzacji przewiduje jednak, że do końca 2024 r. projekt zostanie przyjęty przez Radę Ministrów, a następnie skierowany do parlamentu. Przyjęcie ustawy ma nastąpić w 2025 r.