CyberbezpieczeństwoRynekPolecane tematy
Czy nowelizacja KSC realnie wzmocni cyberbezpieczeństwo Polski?
Prezydent Karol Nawrocki podpisał nowelizację ustawy o krajowym systemie cyberbezpieczeństwa, wdrażającą unijną dyrektywę NIS2. Choć nowe przepisy mają zwiększyć odporność państwa na cyberzagrożenia, budzą także kontrowersje – zwłaszcza w kontekście instytucji dostawcy wysokiego ryzyka.
Po sześciu latach prac legislacyjnych nowelizacja ustawy o krajowym systemie cyberbezpieczeństwa została ostatecznie podpisana przez Prezydenta i skierowana do kontroli następczej przez Trybunał Konstytucyjny. Regulacja implementuje unijną dyrektywę NIS2 i – według rządu – ma kluczowe znaczenie dla bezpieczeństwa państwa, gospodarki oraz obywateli.
„Nowelizacja ustawy o krajowym systemie cyberbezpieczeństwa realnie wzmocni ochronę obywateli przed cyberzagrożeniami. Celem jest zabezpieczenie systemów i najważniejszych usług, z których korzystamy każdego dnia: ochrony zdrowia, transportu czy dostaw wody. Dziś od silnych cyfrowych zabezpieczeń zależy bezpieczeństwo Polski i wszystkich jej mieszkańców” – powiedział wicepremier i minister cyfryzacji Krzysztof Gawkowski.
Systemowe wzmocnienie i rozszerzenie obowiązków sektorowych
Nowe przepisy wprowadzają szereg zmian systemowych. Przewidziano m.in. powołanie sektorowych zespołów CSIRT, rozszerzenie katalogu podmiotów objętych systemem oraz możliwość identyfikacji dostawców wysokiego ryzyka. Wzmocnione zostanie również finansowanie instytucji takich jak NASK. Na etapie prac parlamentarnych dodano także przepisy zwiększające rolę prezydenta w systemie cyberbezpieczeństwa.
Zakres regulacji obejmuje nowe sektory gospodarki – obok bankowości czy energetyki także m.in. usługi pocztowe, gospodarkę wodno-ściekową czy produkcję żywności. Podmioty uznane za kluczowe i ważne będą zobowiązane do wdrożenia zaawansowanych środków technicznych i organizacyjnych oraz raportowania incydentów w ujednoliconym systemie.
Istotnym elementem zmian jest centralizacja i przyspieszenie reagowania na cyberzagrożenia. Nowe procedury zgłaszania incydentów oraz rozwój wyspecjalizowanych zespołów CSIRT mają zwiększyć skuteczność operacyjną państwa, ograniczyć ryzyko zakłóceń w usługach krytycznych i poprawić ochronę danych. Administracja zyska także szersze kompetencje – w tym możliwość wydawania poleceń zabezpieczających w sytuacjach kryzysowych oraz prowadzenia audytów.
- Organy odpowiedzialne za cyberbezpieczeństwo w poszczególnych sektorach będą mogły szybciej ostrzegać przed zagrożeniami, sprawdzać, czy kluczowe podmioty wypełniają obowiązki, i zlecać audyty bezpieczeństwa.
- Minister Cyfryzacji będzie mógł wydawać polecenia zabezpieczające w trakcie incydentu krytycznego, żeby ograniczyć jego skutki.
- Pełnomocnik Rządu do Spraw Cyberbezpieczeństwa będzie mógł wydawać rekomendacje, zbierać informacje i zlecać badania potrzebne do lepszej ochrony systemów.
- Zespoły CSIRT poziomu krajowego zyskają dodatkowe kompetencje, aby wspierać większą liczbę podmiotów kluczowych i ważnych w reagowaniu na incydenty.
- Ustawa ureguluje także działanie Połączonego Centrum Operacyjnego Cyberbezpieczeństwa – stanie się ono centralnym punktem wymiany informacji o cyberzagrożeniach, incydentach i podatnościach.
Równolegle ustawodawca przewidział działania edukacyjne, które mają podnieść świadomość społeczną w zakresie cyberbezpieczeństwa i ograniczyć podatność użytkowników na zagrożenia.
„Lex Huawei” i granice regulacji cyberbezpieczeństwa
Nowelizacja budzi jednak istotne kontrowersje. Zwolennicy podkreślają jej znaczenie w kontekście rosnącej liczby cyberataków i napiętej sytuacji geopolitycznej. Krytycy wskazują natomiast na ryzyko nadregulacji oraz rozszerzenie przepisów ponad wymagania unijne – szczególnie w obszarze dostawców wysokiego ryzyka, znanym z regulacji dotyczących 5G.
To właśnie ten mechanizm jest najbardziej sporny. Przepisy – określane niekiedy jako „Lex Huawei” – umożliwiają wykluczenie z rynku dostawców technologii uznanych za zagrożenie dla bezpieczeństwa. Kluczowe podmioty będą zobowiązane do rezygnacji z ich rozwiązań, a w przypadku już wdrożonych systemów – do ich wymiany w ciągu siedmiu lat. Decyzje administracyjne w tym zakresie będzie można zaskarżyć do sądu.
Zastrzeżenia zgłosił także Prezydent Karol Nawrocki, wskazując na ingerencję w swobodę działalności gospodarczej, brak mechanizmów kompensacyjnych oraz restrykcyjny charakter kar i procedur decyzyjnych.
W efekcie nowe przepisy stanowią jednocześnie krok w stronę wzmocnienia odporności cyfrowej państwa i punkt wyjścia do dalszej debaty o granicach regulacji rynku technologicznego.
KOMENTARZ EKSPERTA
Podpisanie przez Prezydenta nowelizacji ustawy o Krajowym Systemie Cyberbezpieczeństwa (KSC) to istotny moment dla całego rynku. Niezależnie od skierowania części przepisów do Trybunału Konstytucyjnego, kierunek zmian jest jednoznaczny – Polska wchodzi w etap systemowego dostosowania do wymogów dyrektywy NIS2, a organizacje powinny potraktować to jako realny impuls do uporządkowania obszaru bezpieczeństwa.
Z perspektywy EXEA kluczowe jest to, że nowe regulacje rozszerzają katalog podmiotów objętych obowiązkami oraz wzmacniają odpowiedzialność zarządów za poziom ochrony systemów i danych. To oznacza, że cyberbezpieczeństwo przestaje być wyłącznie domeną działu IT, a staje się elementem ładu organizacyjnego i zarządzania ryzykiem na równi z finansami czy zgodnością prawną.
Widzimy w praktyce, że wiele organizacji, szczególnie z sektora MŚP, deklaruje świadomość zagrożeń, ale nadal funkcjonuje w oparciu o niepełne procedury, rozproszone środowiska IT i niewystarczająco testowane mechanizmy kopii zapasowych.
Nowe przepisy nie tyle tworzą zagrożenie w postaci sankcji, ile porządkują oczekiwania wobec firm w zakresie ciągłości działania, zarządzania incydentami, nadzoru nad dostawcami czy bezpieczeństwa łańcucha dostaw.
Istotne jest również to, że ustawodawca przewidział okresy przejściowe na dostosowanie się do nowych wymogów. To czas, który warto wykorzystać strategicznie – na audyt obecnego stanu bezpieczeństwa, identyfikację luk, uporządkowanie odpowiedzialności oraz wdrożenie rozwiązań takich jak centralne systemy backupu, monitoring środowisk w modelu SOC czy segmentacja infrastruktury.
Z naszej perspektywy największym ryzykiem jest odkładanie decyzji inwestycyjnych do momentu pełnej jasności prawnej. NIS2, niezależnie od ostatecznego kształtu krajowych przepisów, wprowadza w całej Unii Europejskiej podwyższony standard odporności cyfrowej. Firmy, które potraktują ten moment jako szansę na wzmocnienie fundamentów technologicznych i organizacyjnych, zyskają przewagę konkurencyjną oraz większą odporność operacyjną.
Cyberbezpieczeństwo nie jest projektem jednorazowym ani odpowiedzią na konkretną ustawę. To proces wymagający stałego doskonalenia, testowania i aktualizacji. Nowelizacja KSC jest wyraźnym sygnałem, że oczekiwania wobec rynku rosną, i że bezpieczeństwo infrastruktury cyfrowej staje się jednym z filarów stabilności całej gospodarki.
Łukasz Ozimek – Dyrektor operacyjny w Exea Data Center
