Ustawa o KSC zyskała na realizmie po przedstawionej 7 lutego 2025 roku nowelizacji jej projektu – komentują eksperci Stormshield i DAGMA Bezpieczeństwo IT.
„Najnowsze zmiany w projekcie nowelizacji ustawy o Krajowym Systemie Cyberbezpieczeństwa są ewidentnym kompromisem pomiędzy ambitnym celem podniesienia poziomu cyberbezpieczeństwa a realiami, w jakich funkcjonują jednostki samorządu terytorialnego (JST) i inne podmioty publiczne” komentuje Aleksander Kostuch, inżynier Stormshield.
„To już piąta wersja projektu nowelizacji ustawy. W mojej ocenie zmniejszenie wymagań względem podmiotów publicznych, w tym samorządowych, nie wpłynie znacząco na cyberbezpieczeństwo tych instytucji, a zmiana ta wynika z dopasowania rozwiązań do polskich realiów” dodaje Piotr Zielaskiewicz, menadżer DAGMA Bezpieczeństwo IT.
Podział podmiotów publicznych na kluczowe i ważne (Art. 5)
Podział podmiotów publicznych na kluczowe i ważne (wcześniej wszystkie podmioty publiczne były traktowane jako kluczowe) to znacząca zmiana, szczególnie w odniesieniu do JST.
Aleksander Kostuch: Wprowadzenie kategorii „podmiotów ważnych”, obejmujących m.in. samorządowe jednostki budżetowe, zakłady budżetowe oraz instytucje kultury, jest odpowiedzią na obawy związane z nadmiernym obciążeniem tych instytucji obowiązkami cyberbezpieczeństwa na poziomie infrastruktury krytycznej. To pragmatyczne podejście, ponieważ samorządy i podmioty publiczne działające na poziomie lokalnym często nie dysponują zasobami technicznymi i finansowymi, które pozwalałyby na pełne wdrożenie skomplikowanych procedur zarządzania ryzykiem, wymaganych w myśl założeń dyrektywy NIS2 od kluczowych operatorów usług. Wprowadzając rozróżnienie większy nacisk położono na jednostki faktycznie mające strategiczne znaczenie dla bezpieczeństwa państwa, co wydaje się słusznym kierunkiem.
Piotr Zielaskiewicz: Jednym z głównych problemów, z jakimi borykają się nie tylko polskie firmy są niewystarczające zasoby ludzkie. Szczególnie w instytucjach publicznych zdarza się, że jeden czy dwóch informatyków odpowiada za cyberbezpieczeństwo całej organizacji, wdrażanie skomplikowanych systemów, a dodatkowo wsparcie np. dla tych spółek prawa handlowego, które wykonują zadania o charakterze publicznym. Z tego względu obniżenie wymagań, do poziomu który nie narusza bezpieczeństwa, jest wskazane. Zwiększa to szanse na skuteczną implementację obowiązków, które nawet w złagodzonej wersji podniosą bezpieczeństwo samorządów i mieszkańców.
Uproszczony system zarządzania bezpieczeństwem informacji (Art. 8 ust. 3)
Podmioty ważne-publiczne nie będą zobowiązane do stosowania środków zarządzania ryzykiem na poziomie określonym w Art. 8 ust. 1. Zamiast tego wdrożą uproszczony system zarządzania bezpieczeństwem informacji, opisany w nowym załączniku nr 4.
Aleksander Kostuch: To rozwiązanie wydaje się kompromisowe, ponieważ uwzględnia ograniczenia organizacyjne i kadrowe JST. Wdrożenie rygorystycznych systemów zarządzania ryzykiem w jednostkach samorządowych mogłoby być nieproporcjonalnie kosztowne w stosunku do realnego zagrożenia. Miejmy nadzieję, że uproszczony system rzeczywiście zapewni podstawowy poziom ochrony i nie będzie tworzył luki bezpieczeństwa w infrastrukturze samorządowej.
Obowiązki zgłaszania incydentów dla podmiotów ważnych (Art. 12c)
Nowelizacja przewiduje, że podmioty ważne-publiczne będą miały uproszczone obowiązki w zakresie zgłaszania incydentów.
Aleksander Kostuch: To również zmiana na dobre, gdyż JST odciążane są z nadmiernych formalnych wymagań, co pozwala im skupić się na najistotniejszych zagrożeniach. Wprowadzone zmiany w praktyce mogą oznaczać, że mniejsze podmioty będą zobowiązane do raportowania jedynie tych naruszeń, które realnie wpływają na ich funkcjonowanie.
Współdziałanie podmiotów publicznych w zakresie cyberbezpieczeństwa (Art. 16c i następne)
Doprecyzowanie zasad współpracy pomiędzy JST a innymi podmiotami publicznymi
Aleksander Kostuch: To zmiana, którą oceniam pozytywnie, zwłaszcza w kontekście zarządzania incydentami i reagowania na zagrożenia. Włączenie odniesień do przepisów o samorządzie gminnym, powiatowym i wojewódzkim pozwala na lepsze dostosowanie przepisów do realiów funkcjonowania samorządów. Jest to szczególnie istotne w kontekście skoordynowanego reagowania na cyberzagrożenia, gdzie często lokalne jednostki administracyjne są pierwszą linią obrony.
Zmiany w środkach nadzoru (Art. 53 ust. 9 i Art. 53e)
Przedstawiona wersja nowelizacji zmienia zasady stosowania środków nadzoru, dając organowi właściwemu ds. cyberbezpieczeństwa większą autonomię w wydawaniu decyzji, takich jak wstrzymanie koncesji czy pozwolenia na prowadzenie działalności. Wcześniej decyzje te wymagały zaangażowania sądu lub innych organów, co mogło wydłużać reakcję na potencjalne zagrożenia.
Aleksander Kostuch: Z jednej strony, intencją ustawodawcy jest najpewniej chęć usprawnienia procesu podejmowania decyzji w sytuacjach kryzysowych. Z drugiej, wzbudza to obawy dotyczące potencjalnej arbitralności takich decyzji. Kluczowe będzie zapewnienie mechanizmów kontrolnych, aby uniknąć nadużyć i błędnych decyzji, które mogłyby wpłynąć na funkcjonowanie samorządów i innych podmiotów ważnych.
Czas obowiązywania środków nadzoru (Art. 53e)
Ograniczenie stosowania środków nadzoru do 14 dni od doręczenia decyzji o ich zastosowaniu.
Aleksander Kostuch: To rozsądny krok, który ma zapobiec nadmiernemu obciążaniu podmiotów publicznych długoterminowymi ograniczeniami. Jednocześnie możliwość wydawania kolejnych decyzji na kolejne 14-dniowe okresy, aż do usunięcia uchybień, budzi pewne obawy. JST, które często mają ograniczone zasoby i kadrę do wdrażania zaawansowanych rozwiązań cyberbezpieczeństwa, mogą znaleźć się w sytuacji, w której kolejne decyzje nadzoru będą skutkować długotrwałymi problemami operacyjnymi.
Obniżenie maksymalnych kar finansowych (Art. 73a)
Zmniejszenie maksymalnego wymiaru kary finansowej dla kierowników podmiotów kluczowych i ważnych,
z 600 proc. do 300 proc. wynagrodzenia.
Aleksander Kostuch: To jeden z najbardziej, moim zdaniem nośnych aspektów tej konkretnej nowelizacji, co wydaje się mieć na celu dostosowanie sankcji do realnych możliwości finansowych i zapewnienia proporcjonalności kar w stosunku do naruszeń. Wcześniejsze regulacje mogły powodować sytuacje, w których strach przed wysokimi sankcjami paraliżował angażowanie się w cyberbezpieczeństwo i jego konsekwencje. Osłabiał motywację do działań ws. wdrażania środków bezpieczeństwa i traktowania cyberzagrożeń priorytetowo. Jest to dostosowanie do realnych możliwości nie obciążając nadmiernie osób zarządzających tymi podmiotami. Wysokość kar jednak będzie zależała od szeregu kryteriów, w tym rodzaju i skali naruszenia, czasu jego trwania, możliwości finansowych podmiotu oraz poziomu współpracy z organami nadzoru.
Piotr Zielaskiewicz, menadżer DAGMA Bezpieczeństwo IT: Zmniejszenie maksymalnego wymiaru kary finansowej dla kierowników podmiotów kluczowych lub ważnych jest mocnym złagodzeniem przepisów. Jednak wbrew pozorom, obniżenie poziomu finansowej odpowiedzialności może skutkować jej częstszym zasądzaniem. Przy takim założeniu rozwiązanie powinno pozostać skutecznym motywatorem do podejmowania działań wynikających z przepisów Ustawy.
