Kolejna nowelizacja ustawy KSC zmniejsza wymogi dla podmiotów publicznych

Przedstawiona 7 lutego 2025 roku, piąta już nowelizacja projektu ustawy o Krajowym Systemie Cyberbezpieczeństwa jest ewidentnym kompromisem pomiędzy ambitnym celem podniesienia poziomu cyberbezpieczeństwa a realiami w jakich funkcjonują jednostki samorządu terytorialnego (JST) i inne podmioty publiczne – komentują eksperci Stormshield i DAGMA Bezpieczeństwo IT.

Podział podmiotów publicznych na kluczowe i ważne (Art. 5)

Podział podmiotów publicznych na kluczowe i ważne (wcześniej wszystkie podmioty publiczne były traktowane jako kluczowe) to znacząca zmiana, szczególnie w odniesieniu do JST.

Wprowadzenie kategorii „podmiotów ważnych”, obejmujących m.in. samorządowe jednostki budżetowe, zakłady budżetowe oraz instytucje kultury, jest odpowiedzią na obawy związane z nadmiernym obciążeniem tych instytucji obowiązkami cyberbezpieczeństwa na poziomie infrastruktury krytycznej, twierdzą eksperci. 

“To pragmatyczne podejście, ponieważ samorządy i podmioty publiczne działające na poziomie lokalnym często nie dysponują zasobami technicznymi i finansowymi, które pozwalałyby na pełne wdrożenie skomplikowanych procedur zarządzania ryzykiem, wymaganych w myśl założeń dyrektywy NIS2 od kluczowych operatorów usług. Wprowadzając rozróżnienie większy nacisk położono na jednostki faktycznie mające strategiczne znaczenie dla bezpieczeństwa państwa, co wydaje się słusznym kierunkiem” – uważa Aleksander Kostuch, inżynier Stormshield.

“Jednym z głównych problemów, z jakimi borykają się nie tylko polskie firmy są niewystarczające zasoby ludzkie. Szczególnie w instytucjach publicznych zdarza się, że jeden czy dwóch informatyków odpowiada za cyberbezpieczeństwo całej organizacji, wdrażanie skomplikowanych systemów, a  dodatkowo wsparcie np. dla tych spółek prawa handlowego, które wykonują zadania o charakterze publicznym. Z tego względu obniżenie wymagań, do poziomu który nie narusza bezpieczeństwa, jest wskazane. Zwiększa to szanse na skuteczną implementację obowiązków, które nawet w złagodzonej wersji podniosą bezpieczeństwo samorządów i mieszkańców” – dodaje Piotr Zielaskiewicz, menadżer DAGMA Bezpieczeństwo IT.

Uproszczony system zarządzania bezpieczeństwem informacji (Art. 8 ust. 3)

Podmioty ważne-publiczne nie będą zobowiązane do stosowania środków zarządzania ryzykiem na poziomie określonym w Art. 8 ust. 1. Zamiast tego wdrożą uproszczony system zarządzania bezpieczeństwem informacji, opisany w nowym załączniku nr 4.

“To rozwiązanie wydaje się kompromisowe, ponieważ uwzględnia ograniczenia organizacyjne i kadrowe JST. Wdrożenie rygorystycznych systemów zarządzania ryzykiem w jednostkach samorządowych mogłoby być nieproporcjonalnie kosztowne w stosunku do realnego zagrożenia. Miejmy nadzieję, że uproszczony system rzeczywiście zapewni podstawowy poziom ochrony i nie będzie tworzył luki bezpieczeństwa w infrastrukturze samorządowej” – komentuje Aleksander Kostuch.

Obowiązki zgłaszania incydentów dla podmiotów ważnych (Art. 12c)

Nowelizacja przewiduje, że podmioty ważne-publiczne będą miały uproszczone obowiązki w zakresie zgłaszania incydentów.

“To również zmiana na dobre, gdyż JST odciążane są z nadmiernych formalnych wymagań, co pozwala im skupić się na najistotniejszych zagrożeniach. Wprowadzone zmiany w praktyce mogą oznaczać, że mniejsze podmioty będą zobowiązane do raportowania jedynie tych naruszeń, które realnie wpływają na ich funkcjonowanie” – twierdzi Aleksander Kostuch.

Współdziałanie podmiotów publicznych w zakresie cyberbezpieczeństwa (Art. 16c i następne)

Doprecyzowanie zasad współpracy pomiędzy JST a innymi podmiotami publicznymi, to zmiana, którą eksperci oceniają pozytywnie, zwłaszcza w kontekście zarządzania incydentami i reagowania na zagrożenia. Jak wskazują, włączenie odniesień do przepisów o samorządzie gminnym, powiatowym i wojewódzkim pozwala na lepsze dostosowanie przepisów do realiów funkcjonowania samorządów. Jest to szczególnie istotne w kontekście skoordynowanego reagowania na cyberzagrożenia, gdzie często lokalne jednostki administracyjne są pierwszą linią obrony.

Zmiany w środkach nadzoru (Art. 53 ust. 9 i Art. 53e)

Przedstawiona wersja nowelizacji zmienia zasady stosowania środków nadzoru, dając organowi właściwemu ds. cyberbezpieczeństwa większą autonomię w wydawaniu decyzji, takich jak wstrzymanie koncesji czy pozwolenia na prowadzenie działalności. Wcześniej decyzje te wymagały zaangażowania sądu lub innych organów, co mogło wydłużać reakcję na potencjalne zagrożenia.

“Z jednej strony, intencją ustawodawcy jest najpewniej chęć usprawnienia procesu podejmowania decyzji w sytuacjach kryzysowych. Z drugiej, wzbudza to obawy dotyczące potencjalnej arbitralności takich decyzji. Kluczowe będzie zapewnienie mechanizmów kontrolnych, aby uniknąć nadużyć i błędnych decyzji, które mogłyby wpłynąć na funkcjonowanie samorządów i innych podmiotów ważnych” – mówi Aleksander Kostuch.

Czas obowiązywania środków nadzoru (Art. 53e)

Ograniczenie stosowania środków nadzoru do 14 dni od doręczenia decyzji o ich zastosowaniu, to według ekspertów rozsądny krok, który ma zapobiec nadmiernemu obciążaniu podmiotów publicznych długoterminowymi ograniczeniami. Jednocześnie jednak możliwość wydawania kolejnych decyzji na kolejne 14-dniowe okresy, aż do usunięcia uchybień, budzi pewne obawy. JST, które często mają ograniczone zasoby i kadrę do wdrażania zaawansowanych rozwiązań cyberbezpieczeństwa, mogą bowiem znaleźć się w sytuacji, w której kolejne decyzje nadzoru będą skutkować długotrwałymi problemami operacyjnymi, podkreślają specjaliści.

Obniżenie maksymalnych kar finansowych (Art. 73a)

Zmniejszenie maksymalnego wymiaru kary finansowej dla kierowników podmiotów kluczowych i ważnych,
z 600 do 300% wynagrodzenia.

“To jeden z najbardziej, moim zdaniem nośnych aspektów tej konkretnej nowelizacji, co wydaje się mieć na celu dostosowanie sankcji do realnych możliwości finansowych i zapewnienia proporcjonalności kar w stosunku do naruszeń. Wcześniejsze regulacje mogły powodować sytuacje, w których strach przed wysokimi sankcjami paraliżował angażowanie się w cyberbezpieczeństwo i jego konsekwencje. Osłabiał motywację do działań ws. wdrażania środków bezpieczeństwa i traktowania cyberzagrożeń priorytetowo. Jest to dostosowanie do realnych możliwości nie obciążając nadmiernie osób zarządzających tymi podmiotami. Wysokość kar będzie jednak zależała od szeregu kryteriów, w tym rodzaju i skali naruszenia, czasu jego trwania, możliwości finansowych podmiotu oraz poziomu współpracy z organami nadzoru” – tłumaczy Aleksander Kostuch.

“Zmniejszenie maksymalnego wymiaru kary finansowej dla kierowników podmiotów kluczowych lub ważnych jest mocnym złagodzeniem przepisów. Jednak wbrew pozorom, obniżenie poziomu finansowej odpowiedzialności może skutkować jej częstszym zasądzaniem. Przy takim założeniu rozwiązanie powinno pozostać skutecznym motywatorem do podejmowania działań wynikających z przepisów Ustawy” – podsumowuje Piotr Zielaskiewicz.