Nowe prawo spędza sen z powiek przedsiębiorcom. „Niech sprawdzą korzyści”
17 października minął termin wdrożenia do polskiego porządku prawnego przepisów wynikających z dyrektywy unijnej NIS 2, która zmienia standardy w zakresie cyberbezpieczeństwa dla przedsiębiorstw działających na terenie UE. Niestety Hiszpania, Portugalia i Polska nie były w stanie sprostać postawionemu przez Komisję Europejską terminowi.
Nowelizacja ustawy o Krajowym Systemie Cyberbezpieczeństwa (KSC) przeszła przez proces konsultacji społecznych, w których trakcie zgłoszono 1567 uwag. Jak zaznacza minister cyfryzacji Krzysztof Gawkowski, w najnowszej wersji ustawy uwzględniono aż 70 proc. zaproponowanych poprawek.
Jak wykazało przeprowadzone na zlecenie Fortinet badanie, ponad połowa firm w Polsce, których będzie to dotyczyć, nie wie, że będzie podlegać pod NIS 2, a w efekcie również pod nowelizację KSC.
W ustawie o KSC znalazło się kilka odważnych propozycji zaostrzenia przepisów w zakresie cyfrowej ochrony. Akt zakłada m.in. przeprowadzanie w firmach szczegółowych audytów bezpieczeństwa systemów informatycznych. Równocześnie jednak wiele przedsiębiorstw nie zdaje sobie sprawy, że będą je obowiązywały nowe przepisy - informuje Fortinet.
Najczęściej omawiane kwestie podczas konsultacji społecznych
Fortinet wskazuje, że jedną z najszerzej omawianych kwestii w czasie konsultacji społecznych był obowiązek przeprowadzania audytów przez przedsiębiorstwa objęte KSC. Miałoby się to odbywać co dwa lata, na koszt danej firmy, która następnie zdawałaby sprawozdanie właściwemu organowi kontrolnemu. W czasie konsultacji społecznych przedsiębiorcy usiłowali doprowadzić do ograniczenia zakresu audytów bezpieczeństwa.
Ostatecznie zmianom uległy jednak tylko powiązane z nimi ramy czasowe. Ustawa o KSC w obecnej postaci nakłada na firmy obowiązek przeprowadzania audytów raz na trzy lata. Zmienił się także termin wykonania pierwszej tego typu kontroli bezpieczeństwa. Początkowo miało to mieć miejsce 12 mies. po uchwaleniu ustawy, ale wersja po konsultacjach społecznych wydłuża ten termin do dwóch lat. Przyjęcie tych modyfikacji nie oznacza jednak zakończenia dyskusji wokół audytów bezpieczeństwa.
W projekcie ustawy od początku zaznaczano, że przeprowadzaniem audytu musi zająć się podmiot zewnętrzny. Wciąż jednak brakuje ostatecznego doprecyzowania, kto dokładnie mógłby to zrobić. Czy wystarczy zaangażowanie firmy audytorskiej? Czy raport każdej z nich będzie uznany za ważny? Być może taki usługodawca musi spełniać określone kryteria lub zdobyć konkretny certyfikat? Nie dysponujemy jeszcze odpowiedziami na te pytania – zauważa Jolanta Malak, dyrektorka Fortinet w Polsce.
Więcej wiadomości za zakresu prawa można przeczytać poniżej:
NIS 2 i KSC oczami firm
Eksperci tłumaczą, że problemem w kontekście NIS 2 oraz KSC pozostaje brak świadomości firm co do ich precyzyjnych zapisów, oraz ogólnej zmiany status quo.
Wiele przedsiębiorstw nie jest świadomych ogromu swojej roli w procesie ochrony łańcucha dostaw. To więcej niż tylko kwestia braku wiedzy na temat konkretnych przepisów. Nie zdają sobie sprawy, jak rozległe mogą być konsekwencje ewentualnego incydentu naruszenia bezpieczeństwa po ich stronie. W związku z tym nie podejmują żadnych konkretnych działań na rzecz zwiększenia poziomu ochrony swojego cyfrowego środowiska i przygotowania się na NIS 2 – mówi Jolanta Malak.
I dodaje, że nowelizacja ustawy o KSC, podobnie jak unijna dyrektywa, przewiduje sytuację, w której podmiot nie spełnia postawionych w niej warunków. Na takie przedsiębiorstwo nałożone mogą zostać wysokie kary finansowe.
Nawet te firmy, które wiedzą o nadchodzących zmianach w przepisach, nie są w pełni świadome konsekwencji wynikających z braku zgodności z nimi. Jak ukazało badanie Fortinet, blisko 30 proc. przedsiębiorstw nie wie, jakie kary grożą im z tytułu nieprzystosowania się do NIS 2 - nadmienia Jolanta Malak.
W polskim projekcie ustawy w fazie sprzed konsultacji społecznych przyjęto grzywny w wysokości zaproponowanej w dyrektywie NIS 2. Według tych zapisów podmiot niespełniający unijnych standardów cyberbezpieczeństwa zostałby dotknięty karą w wysokości nawet 10 mln euro lub kwoty odpowiadającej 2 proc. jego światowych obrotów.
Projekt ustawy o KSC z października 2024 r. przewiduje zmiany
Wysokość kary pieniężnej ma być zależna od szeregu kryteriów, w tym rodzaju i skali przypadku naruszenia bezpieczeństwa, czasu jego trwania, ale także możliwości finansowych podmiotu oraz poziomu jego współpracy z organami nadzoru.
Uwzględnienie możliwości finansowych karanego przedsiębiorstwa to dobry krok. Nie eliminuje jednak ryzyka sytuacji, w której firma zostaje objęta grzywną, nie rozumiejąc, dlaczego tak się stało. Dlatego należy przede wszystkim edukować przedsiębiorstwa, a dopiero później karać - komentuje Jolanta Malak.
W jej ocenie obecnie podmioty podlegające pod NIS 2, jeśli wiedzą o tej dyrektywie, utożsamiają ją przede wszystkim z kosztami związanymi z koniecznością inwestycji w nowe narzędzia i usługi oraz oczywiście z karami. Tymczasem nowe przepisy zapewniają im także korzyści.
Firmy zyskają w czasie rzeczywistym informacje o incydentach występujących w ich branży, i to w skali unijnej. W znacznym stopniu wpłynie to na poziom ich bezpieczeństwa oraz ograniczy ryzyko cyberataków, których konsekwencje bywają niezwykle kosztowne. Ponadto, w Polsce spodziewamy się otrzymać duże fundusze na rozwój systemów cyfrowego bezpieczeństwa – podsumowuje Jolanta Malak.
Twierdzi ona, że firmy muszą się o tym dowiedzieć. Dlatego konieczne jest rozpoczęcie dynamicznej kampanii informacyjnej.
Ostateczna postać nowelizacji ustawy o KSC wciąż może się zmienić. Ministerstwo Cyfryzacji przewiduje jednak, że do końca 2024 r. projekt zostanie przyjęty przez Radę Ministrów, a następnie skierowany do parlamentu. Przyjęcie ustawy ma nastąpić w 2025 r.
