KPRM o NIS 2: będziemy aktywnie koordynować i wspierać wdrażanie dyrektywy

Z Łukaszem Wojewodą, dyrektorem Departamentu Cyberbezpieczeństwa Kancelarii Prezesa Rady Ministrów, rozmawiamy o diagnozie gotowości firm do wdrożenia dyrektywy NIS 2; wsparciu ze strony administracji; korzyściach i sposobach komunikacji transformacji podejścia do cyberbezpieczeństwa.

Co jest najważniejszą zmianą z perspektywy krajowej, państwowej, którą wprowadza dyrektywa NIS 2 i jak jesteśmy na nią przygotowani?

NIS 2 jest dyrektywą horyzontalną. Założeniem jest, aby objęła tymi samymi wymaganiami wszystkie kraje Unii Europejskiej. Będzie to wyzwanie dla administracji publicznej i dla firm. Pod parasolem dyrektywy znajdzie się znacznie więcej podmiotów. Dotychczasowe sektory zostały rozbudowane o nowe rodzaje podmiotów – przykładowo w sektorze infrastruktury cyfrowej zostaną ujęci operatorzy chmury obliczeniowej a także operatorzy telekomunikacyjni, którzy dotąd pozostawali na uboczu unijnej legislacji CyberSec. Mamy kilka nowych sektorów kluczowych, by wymienić choćby sektor ścieków czy dostawców usług zarządzanych. Dodano kilka nowych sektorów istotnych – usługi kurierskie, pocztowe, co szczególnie ważne, bo wiele ataków socjotechnicznych jest kierowanych na ten sektor.

Warto też zauważyć, że operatorzy usług chmurowych oraz administracja publiczna zostały dodane do zakresu dyrektywy przy naszych staraniach. To nie jest tak, że jesteśmy tylko odbiorcą dyrektywy. Zgłaszaliśmy swój punkt widzenia i potrzeby. Cieszę się więc, że znalazły one ostatecznie odzwierciedlenie w dyrektywie. Administracja publiczna znalazła się w gronie sektorów kluczowych i to w takim wydaniu, gdzie objęcie NIS2 będzie pomocą, a nie kolejnym obciążeniem.

Na czym polega uwzględnienie polskich postulatów w NIS 2?

Administracja obejmuje samorządy i instytucje centralne. One współpracują, są współzależności, ale pozostają autonomiczne w dużej mierze. Natomiast NIS2 zakłada, że podlegać będą tym samym wymogom. Upraszczając, administracja stanie się sektorem ze wspólnym standardem.

Nie jedyni to postulowaliśmy. Ale sygnalizowaliśmy te zapisy jako potrzebne do podnoszenia ogólnego poziomu cyberbezpieczeństwa. Zapis harmonizuje się z naszą narodową strategią cyberbezpieczeństwa. Dowodzi to, że nie jesteśmy zdani wyłącznie na propozycje innych państw.

Włączenie administracji samorządowej i centralnej jest pewną gwarancją, że rozwój CyberSec będzie się dokonywał spójnie. Na ile był to dotąd problem?

Mamy wiele sygnałów z konferencji, że np. zmiany, które chcieliby wprowadzać decydenci cyberbezpieczeństwa w samorządach znajdują zrozumienie, ale muszą przechodzić dość żmudną ścieżkę akceptacji. Nie zawsze też z powodzeniem te postulaty są realizowane, choćby zgoda na dodatkowe finansowanie.

Łatwiej to uzyskać, kiedy przesłanką dodatkową jest wprost sformułowane „prawnie oczekiwane”. Administracja publiczna jest ważnym elementem funkcjonowania państwa i także potrzebuje jasno sformułowanego zestawu wymagań. Można powiedzieć, że przecież mamy np. standardy Krajowych Ram Interoperacyjności (KRI), tylko że dążymy do tego, aby wszystkie rzeczy związane z cyberbezpieczeństwem płynęły z jednego aktu.

Dlatego jeśli mamy ustawę o krajowym systemie cyberbezpieczeństwa, to implementacja NIS 2 odbędzie się poprzez kolejną nowelizację tej ustawy.

Czeka nas zatem nowela noweli ustawy o KSC?

Mamy już rozpoczęty proces i wypatrujemy jego końca. Cofnięcie nowelizacji do ponownego zaprojektowania, uwzględniając NIS 2, nie byłoby dobrym rozwiązaniem. Znaczna część wymagań zawartych w NIS 2 znajduje się już w nowej wersji KSC. Są w naturalny sposób częścią strategii rozwoju cyberbezpieczeństwa realizowanych przez podmioty na rynku czy w administracji. Dzięki temu możemy mówić o ewolucji, a nie rewolucji. Wdrożenie NIS 2 z punktu widzenia podmiotów i instytucji nie powinno być wielkim zrywem, ale etapem zaplanowanego continuum.

Nowela jako instrument prawny ma jednak ograniczoną pojemność. Dlatego pragniemy uchwalenia obecnej nowelizacji, a w kolejnym kroku NIS 2. Bezpośrednio po jej uchwaleniu, rozpocznie się nowy proces legislacyjny, który wprowadzi pozostałe, nieuwzględnione elementy oraz zmiany wynikające z NIS 2.

Należy więc w latach 2023 – 2024 spodziewać się legislacyjnego miniserialu o cyberbezpieczeństwie.

Mamy wyznaczony termin wprowadzenia dyrektywy NIS2 do systemu prawnego. Jest to koniec 2024 rok. To iteracyjne podejście, o którym mówię, jest z punktu widzenia prawnej logistyki najszybszym i najpewniejszym sposobem sprostania temu kalendarzowi.

Robimy co możemy, ale nadal jest kilka elementów, które wymagają wyjaśnienia. Dlatego nie wyszliśmy z nowelizacją KSC poza poziom Stałego Komitetu Rady Ministrów. Z punktu widzenia Departamentu Cyberbezpieczeństwa KPRM, dążymy do zakończenia tematu obecnej noweli i następnie rozpoczęcia procesu nowelizacji związanego z NIS 2. Robimy to także z myślą o wdrożeniu wymogów przez firmy w Polsce.

Poziom unijny – a więc kształt dyrektywy NIS 2 – utwierdza nas w przekonaniu, że planując zmiany w KSC szliśmy właściwą drogą. Przykład stanowią testy bezpieczeństwa czy dodanie przedsiębiorców komunikacji elektronicznej do KSC.Odpowiednie zapisy znajdują się i w obecnej noweli, i w NIS 2.

Na ile wyzwaniem jest czas. Nie pytam o wyznaczony termin, ale pragmatyczną potrzebę polskiej gospodarki, polskiego państwa. Jak pilnie potrzebujemy tego podniesienia poziomu bezpieczeństwa jaki zapowiada NIS 2?

Jest kilka kluczowych terminów w kalendarzu implementacji NIS2. Pierwszy to 21 miesięcy od przyjęcia dyrektywy. Termin ten upływa 17 października 2024 roku. Wydawałoby się dużo czasu, ale doświadczenia z obecną nowelą każą uznawać to za termin niedługi. Oczywiście im szybciej to zrobimy, tym lepiej. Z naszego punktu widzenia każda chwila ma znaczenie dla jakości i bezpieczeństwa.

Czy uda się zatem implementować NIS 2 szybciej?

Ciężko powiedzieć, bo legislacja to gra zespołowa. Możemy przyjąć, że ze swojej strony jak najszybciej przełożymy zapisy dyrektywy na projekt prawa do procedowania. Ale musimy uwzględnić obecną nowelizację KSC, której ostateczny kształt będzie pewny dopiero w momencie uchwalenia ustawy.

Drugi istotny element to rok wyborczy. Będziemy jesienią mieli nowy rząd. Pewne procesy legislacyjne będą musiały ruszyć od nowa. Patrząc zatem realnie październik 2024 roku to termin do osiągnięcia i zarazem najbardziej prawdopodobny.

Jak przedstawia się w tym kontekście kwestia gotowości polskich firm do wdrożenia NIS 2?

Nowelizacja przyniesie poszerzenie listy sektorów i podmiotów objętych NIS 2. Ta wiedza już jest. Konsultacje z firmami objętymi NIS 2 po nowelizacji będą bardzo potrzebne. Otwartość administracji publicznej w tej komunikacji będzie bardzo istotna. Jest ona niezbędna, tak jak niezbędny jest proces konsultacji, a częściowo edukacji podmiotów i sektorów.

Ten konsultacje mają także charakter w pewnym sensie negocjacji, bo chcemy uwzględnić opinie, obserwacje, ale i postulaty, potrzeby dotyczące wdrażania. Firmy nie działają w próżni, wdrożenie NIS 2 nie odbywa się bez kontekstu ich sytuacji biznesowej, rynkowej. Jesteśmy otwarci na uzyskanie kompromisu pozwalającego stworzyć zapisy, które będą żywe i działające.

Jaki feedback, w jakich obszarach Departament chciałby uzyskać? Co chce zdiagnozować i jeśli chodzi o świadomość, i jeśli chodzi o propozycje, sugestie?

Najbardziej interesuje nas ocena, na podstawie tego co zapisane jest w dyrektywie, jakim wyzwaniem będzie adaptacja. Bardzo wartościowe będzie oszacowania niezbędnego nakładu pracy, kosztu. To będzie potrzebne sektorowo, ale też indywidualnie.

Oczywiście im większe przedsiębiorstwo, tym poziom cyberbezpieczeństwa wyższy – tyle mówią dane GUS. Są pewne działy gospodarki, gdzie – bez względu na wielkość – podmiot będzie podlegał przepisom wynikającym z dyrektywy. To stwarza trudność w oszacowaniu, a co za tym idzie w określeniu jakimi środkami moglibyśmy wesprzeć tę transformację cyberbezpieczeństwa.

Jakimi środkami wsparcia może dysponować administracja centralna, w szczególności odpowiedzialny za implementację Departament Cyberbezpieczeństwa?

Dane z GUS, dane z programów jak np. Cyfrowa Gmina, posiadających komponent bezpieczeństwa – nadal to wycinek, a ponadto deklaratywna wiedza. Doświadczenie uczy, że to niekoniecznie wprost oddaje rzeczywistość. Ostatnio w bardzo roboczych kontaktach usłyszałem, że ankiety tego typu to w przypadku cyberbezpieczeństwa 30-40% rzeczywistego stanu potrzeb czy dojrzałości. Ta relacja dotyczy szczególnie faktycznego poziomu w firmach bez styku z rynkiem ICT.

Zapisy w NIS 2 to bardziej przełożenie doświadczenia i dobrych praktyk na horyzontalny wymiar. Upowszechnienie bezpieczeństwa, na poziomie który jest już stosowany i nie jest czymś nadmiernie złożonym, trudnym. Zawiera przy tym premię dla konsekwentnych, działających nie od wczoraj w zakresie cyberbezpieczeństwa firm. Podmiot zakwalifikowany przez dyrektywę powinien już dzisiaj indywidualnie szacować nakłady na tę zmianę.

Niestety to będzie wymagało bardzo indywidualnej oceny. Trudno więc mówić o uniwersalnych narzędziach, jakimi moglibyśmy wspierać tę transformację.

Może jednak pomysły dotyczące ogólnej analizy wysiłku kapitałowego, organizacyjnego, kompetencyjnego byłyby potrzebne? O ile Departament Cyberbezpieczeństwa KPRM chciałby być przewodnikiem w tej transformacji… Dopytuję, ponieważ NIS 2 jawi się jako świetny pretekst do ucywilizowania kwestii cyberbezpieczeństwa, podsunięcia nie tyle trwałych standardów, ile dynamicznych ram postępowania, procesu stałej optymalizacji architektury, sposobu postępowania w obszarze cyberbezpieczeństwa. To rodzaj długofalowej inwestycji w bezpieczną gospodarkę cyfrową. Kto miałby wziąć odpowiedzialność za poprowadzenie tej zmiany?

Oczywiście nie satysfakcjonuje nas sam fakt przeprowadzenia procesu legislacyjnego. Obecna ustawa jest w odpowiedzialności mojego Departamentu jako akt, za który merytorycznie odpowiadamy. Ciężko byłoby mi się odciąć od NIS 2 w wymiarze praktycznym. Naturalną komórką, od której każdy będzie oczekiwał odpowiedzi na pytania nie tylko „co” ale i „jak” wdrożyć będzie właśnie Departament Cyberbezpieczeństwa KPRM.

Doświadczenia z obecnie obowiązującej ustawy, pierwszej implementacji NIS zostały przeanalizowane. Przy okazji obecnej nowelizacji KSC zbieraliśmy je także w toku spotkań roboczych z firmami, przedstawiając propozycje i pytając, jak wpłynąć mogą na ich biznes. Przypada nam także rola koordynująca na poziomie krajowym w przypadku NIS 2 i nie chcemy się od niej uchylać. Jest pewna różnica semantyczna pomiędzy koordynatorem a przewodnikiem, ale zakładamy aktywność. W pewnej mierze będzie to wynikało z efektów naszego procesu konsultacji, negocjacji, o którym wspominałem. Jeśli wyniknie potrzeba sformułowania np. jakiś ogólnych, gotowych playbooków, najbardziej popularnych scenariuszy wdrożenia NIS 2 – to mamy kompetencje i zasoby, aby je wytworzyć i upowszechniać.

Mamy taki pomysł, tylko nie będziemy go realizować bez jasno zdiagnozowanego zapotrzebowania. Nie wykluczamy, że ono właśnie się zwerbalizuje w procesie negocjacji i konsultacji z sektorami. Baza wiedzy zawiera już takie elementy, być może powstanie w jej ramach kontener poświęcony praktycznym aspektom wdrażania NIS 2. Na pewno nie będziemy koordynatorem, który rozdziela pracę, wydaje komunikaty dla prasy i czeka aż wszystko samo się wydarzy.

Być może także doświadczenie modelu aktywności przy wprowadzaniu RODO byłby cenny. To doświadczenie sprzed kilku lat, ale mocno związane z komunikacją. Czy dziś taki starter-pack komunikacyjny dla NIS 2 także mógłby powstać? Jak np. Departament komunikowałby NIS 2 przez pryzmat wartości, korzyści biznesowych z wdrożenia?

Bardzo ogólnie, poprzez podniesienie cyberbezpieczeństwa w podmiotach dzięki „wycięciu” całych klas podatności i zagrożeń w obszarze cyberbezpieczeństwa, które dzisiaj są jeszcze powszechne. To będzie jak melioracja największych bagien cyberbezpieczeństwa.

Oczywisty argument, czy może prosta zachęta do aktywności: NIS 2 daje bezwzględny argument w dyskusji z gremiami decydującymi o inwestycjach w firmie. To już nie jest zabawa, nawet jeśli nie każdy musi zrozumieć zagrożenia, to bardzo łatwo zrozumie wagę sankcji jakie wynikają z niedostosowania do NIS2.

CSO i CIO powinni być zadowoleni z tej sytuacji, ale muszą uruchomić temat i starać się dobrze go ukierunkować. W przytoczonym przypadku RODO zbyt wiele było ponad miarowych działań, wydatków, podjętych środków. Wymienione osoby mogą zaprojektować to inteligentnie, skutecznie, efektywnie kosztowo.

Trudniejsze, ale wcale nie bez szans jest wprowadzenie na firmowe forum argumentu utraconych korzyści z tytułu niemożności realizacji pewnych procesów, produktów cyfrowych bez zapewnienia bezpieczeństwa. Standardy NIS 2 pozwolą wejść do ligi firm dostarczających cyfrowe usługi i produkty na pełnoprawnych warunkach – bezpiecznie, przy zminimalizowanym ryzyku.

Przypomnienie działających na wyobraźnię przykładów złamania zabezpieczeń to zawsze był wdzięczny sposób do poruszenia sumień i serc decydentów. Szczególnie dobrze przemawiają przykłady ransomware. Ich ofiary biznes może znać już bezpośrednio, a na pewno słyszał o tym z drugiej ręki.

Wdrożenie NIS 2 w obszarze chociażby właściwych standardów i praktyk kopii zapasowych to zagrożenie niweluje. Mamy dobry timing, aby „strasząc” zarząd wizją ransomware CSO i CIO pokazywał od razu dobre i usankcjonowane zapisami NIS 2 rozwiązanie. Coraz więcej zarządów przyjmuje kryterium ciągłości działania i odporności biznesu za swoją odpowiedzialność, także usankcjonowaną prawnie.

Siła przebicia CSO i CIO zdecydowanie wzrasta. NIS zrobił w 2016 r. w tej mierze dużo, ale zabrakło mu elementu sankcji finansowej. RODO od początku było komunikowane w połączeniu czy przez pryzmat możliwych kar. Było to zresztą demonizowane, bo widzimy dziś przecież, że firmy nie upadają masowo przez te kary, ale w owym czasie spełniło swoją rolę. NIS 2 także ma ten wyraźnie sformułowany element kar i zasad ich stosowania. Kary będą miały odstraszający charakter.

Więc o ile NIS wchodził w cieniu RODO, to NIS 2 zdecydowanie wchodzi w pełnym słońcu. Skoro nie zadziałała siła argumentów, musi zadziałać argument siły. Najwyraźniej do takich wniosków doszli legislatorzy unijni. Osobiście wolałbym jednak, aby do NIS 2 udało nam się przekonywać zdroworozsądkowo, poprzez edukowanie i pokazywanie korzyści.

Widać więc, że NIS 2 przyniesie wielkie wyzwania komunikacyjne.

Wiele zależeć będzie od właściwego, wspólnego słownika pojęć. Jeśli dobrze i jednakowo będziemy te kwestie rozumieć, łatwiej uzyskamy kompromis. Druga kwestia to transparentność, która niejedno ma imię: dwustronnie administracja – rynek, także w odniesieniu do klientów. Para tych założeń musi znaleźć zastosowanie przy wdrażaniu NIS 2.

Zapytam na koniec o wątek korzyści, które niesie uzyskanie wspólnego, europejskiego mianownika współpracy. Jak wygląda gotowość do współpracy w szerszym kontekście nowej organizacji międzynarodowej – European Cyber Crisis Liason Organisation Network EU CYCLONE. Jej obowiązek nakłada NIS 2? Czemu ta współpraca ma służyć?

EU CYCLONE już funkcjonuje. To przykład, że NIS 2 jako dokument nie tyle tworzy i mnoży nowe byty, ale sankcjonuje, nadaje charakter horyzontalny istniejącym inicjatywom. Obecnie z ramienia Polski do EU CYCLONE delegowanych jest 5 osób – 3 osoby na poziomie operacyjnym i 2 na poziomie zarządczym, mam zaszczyt być jedną z nich.

EU CYCLONE łączy poziom techniczny, sieć CSIRT’s Network z poziomem politycznym, decyzyjnym. Ulepszanie dokonuje się cały czas. Te struktury biorą stały udział w ćwiczeniach, jak Cyber Europe, ukierunkowanych na sektor zdrowia. To pozwoliło sprawdzić, jak standardowe struktury operacyjne powinny na poziomie europejskim wyglądać.

Grupa EU CYCLONE – wymieniająca informacje techniczne o incydentach na poziomie ośrodków CSIRT – musi też wpływać na działanie polityczne, reakcję na zdarzenia. Grupa uczestniczy w spotkaniach Komisji, ENISY, wszystkich gremiów związanych z polityką bezpieczeństwa. Uczestniczyła też w pracach nad NIS 2. A NIS 2 namaściło CYCLONE na strukturę operacyjną. Efekt to nadanie jej rzeczywistej sprawczości, zdolności skalowania i szybkość działania w odniesieniu do zagrożeń.