Ręczne sterowanie firmami? Ustawa o KSC budzi kontrowersje

• Nowelizacja ustawy o KSC nakłada na kluczowe firmy (m.in. energetyczne, bankowe, e-commerce) nowe obowiązki cyberbezpieczeństwa, w tym zarządzanie ryzykiem i zgłaszanie incydentów.
• Projekt ustawy budzi kontrowersje, zwłaszcza zapis o „dostawcy wysokiego ryzyka” (DWR), który pozwala ministrowi wykluczyć sprzęt, co prezes KIKE nazywa „komunistyczną praktyką” i szacuje na miliardowe koszty.
• Firmy muszą wdrożyć system zarządzania bezpieczeństwem, wyznaczyć osobę kontaktową i przeprowadzać audyty, a za niezastosowanie się grożą kary do 200 000 zł.
• Eksperci ostrzegają, że obecna forma ustawy jest „niebezpieczna dla bezpieczeństwa cyfrowego Polaków”, a odpowiedzialność za ewentualne pogorszenie sytuacji spada wyłącznie na przedsiębiorców

Kogo dotyczy ustawa o Krajowym Systemie Cyberbezpieczeństwa?

Głównym celem ustawy jest stworzenie ram prawnych, które mają wzmocnić odporność polskiej gospodarki i administracji na cyberzagrożenia. Regulacje nie dotyczą jednak wszystkich. Przepisy precyzyjnie określają grupy podmiotów, które muszą wdrożyć nowe zasady. Ustawa o Krajowym Systemie Cyberbezpieczeństwa obejmuje szerokie grono podmiotów, od sektora energetycznego i bankowego, po dostawców usług cyfrowych, takich jak platformy e-commerce i chmury obliczeniowe.

Do kluczowych grup zobowiązanych do stosowania ustawy należą:

• Operatorzy usług kluczowych – to firmy mające krytyczne znaczenie dla funkcjonowania państwa i gospodarki, działające m.in. w sektorach energetyki, transportu, bankowości, finansów, a także ochrony zdrowia.
• Dostawcy usług cyfrowych – kategoria ta obejmuje internetowe platformy handlowe, usługi przetwarzania w chmurze oraz wyszukiwarki internetowe.

Podmioty publiczne – czyli jednostki sektora finansów publicznych.

Jednak nowelizacja, która trafiła do Sejmu, budzi ogromne kontrowersje w branży. W rozmowie z portalem CyberDefence24 Karol Skupień, Prezes Zarządu Krajowej Izby Komunikacji Ethernetowej (KIKE), ocenia projekt bardzo krytycznie. „Uważam, że należy wprowadzić zmiany do nowelizacji, ponieważ w obecnej formie ustawa jest niebezpieczna dla bezpieczeństwa cyfrowego Polaków; pogarsza sytuację w wielu aspektach” – stwierdził ekspert.

Jakie są kluczowe obowiązki dla firm i jak zarządzać ryzykiem?

Ustawa nakłada na firmy konkretne zadania, które można podzielić na dwa główne obszary:

• proaktywne zarządzanie bezpieczeństwem oraz
• reaktywne zarządzanie incydentami.

Podstawowym wymogiem jest wdrożenie adekwatnego systemu zarządzania ryzykiem i odpowiednich środków technicznych oraz organizacyjnych. Największe emocje budzi jednak wprowadzana instytucja „dostawcy wysokiego ryzyka” (DWR). Mechanizm ten daje ministrowi prawo do wykluczenia sprzętu danego producenta z polskiego rynku.

Zdaniem Karola Skupnia to niebezpieczny i szkodliwy zapis. Według prezesa KIKE, jednym z głównych problemów jest przyznanie urzędnikom prawa do ręcznego decydowania o tym, na jakim sprzęcie mają pracować prywatne firmy, co określił mianem „komunistycznej praktyki”. 

Jak podkreśla w wywiadzie dla CyberDefence24, rząd powinien skupić się na wymogach jakościowych i standaryzacji, a nie na wskazywaniu konkretnych dostawców.

„Wydamy miliardy złotych na zastąpienie jednych rozwiązań drugimi, a Rosjanie nadal będą nas atakować, bo jedno z drugim nie ma nic wspólnego” – argumentuje, wskazując, że argumentacja rządu łącząca ataki hakerskie z pochodzeniem sprzętu jest manipulacją.

Mimo kontrowersji, formalne wymogi pozostają jasne. Jednym z najważniejszych nałożonych na przedsiębiorców obowiązków jest zgłaszanie poważnych incydentów do właściwego zespołu CSIRT (Computer Security Incident Response Team) w ciągu 24 godzin od ich wykrycia. Firmy muszą także wyznaczyć osobę kontaktową do współpracy z podmiotami KSC oraz regularnie przeprowadzać audyty bezpieczeństwa.

Nadzór, kontrola i kary, czyli co grozi za błędy?

Wdrożenie Krajowego Systemu Cyberbezpieczeństwa nie jest jedynie rekomendacją – za przestrzeganie przepisów odpowiadają organy właściwe, takie jak ministrowie poszczególnych resortów. Mają one prawo do przeprowadzania kontroli u operatorów usług kluczowych i dostawców usług cyfrowych. Kontrolerzy mogą żądać dostępu do dokumentacji, systemów informatycznych oraz wyjaśnień dotyczących wdrożonych zabezpieczeń.

W przypadku stwierdzenia nieprawidłowości organ kontrolujący może wydać zalecenia pokontrolne. Eksperci z KIKE zwracają jednak uwagę na brak symetrii. „Tymczasem procedura DWR jest tak skonstruowana, że minister może nakazać nam wymianę sprzętu, ale jeśli w konsekwencji sytuacja się pogorszy, nie odpowie za błędy tej decyzji” – alarmuje Karol Skupień na łamach CyberDefence24. Cała odpowiedzialność pozostaje po stronie przedsiębiorcy, który dodatkowo może zostać ukarany finansowo.

Za naruszenie przepisów, w tym niezastosowanie się do zaleceń pokontrolnych, ustawa przewiduje kary pieniężne w wysokości do 200 000 zł. Nowe przepisy stanowią implementację unijnej dyrektywy NIS i są odpowiedzią na rosnącą skalę cyberzagrożeń. Dla przedsiębiorców oznaczają one konieczność potraktowania cyberbezpieczeństwa jako strategicznego priorytetu, a nie jedynie problemu działu IT.