Rząd opublikował ostateczną wersję projektu nowelizacji ustawy o krajowym systemie cyberbezpieczeństwa (KSC). Dokument, uwzględniający poprawki Rady Ministrów z 21 października, został zamieszczony przez Rządowe Centrum Legislacyjne. Najistotniejszą zmianą jest ograniczenie planowanych wydatków – budżet 10-letniego planu realizacji ustawy zmniejszono z 4 do 3 mld zł.
W ramach cięć obniżono m.in. środki na podnoszenie zdolności instytucji zapewniających cyberbezpieczeństwo (z 506 mln do 318 mln zł) oraz wynagrodzenia pracowników nadzorujących sektor administracji publicznej (z 84 mln do 21 mln zł).
Mniej pieniędzy otrzyma także Urząd Komunikacji Elektronicznej (spadek z 250 mln do 105 mln zł) oraz Połączone Centrum Operacyjne Cyberbezpieczeństwa. Dotacja na Fundusz Cyberbezpieczeństwa w przyszłym roku wzrośnie nie do 500, lecz jedynie do ok. 350 mln zł. Szczególnie alarmujące są cięcia dotyczące utrzymania zespołów CSIRT – z 84 mln do 21 mln zł.
Eksperci Stormshield i DAGMA Bezpieczeństwo IT oceniają decyzję jako niepokojącą w kontekście rosnącej liczby cyberzagrożeń.
„Moje największe zdziwienie budzi fakt, że ustalenia specjalistów, którzy przez ostatnie miesiące pracowali nad zagadnieniem skali realnego wpływu finansowego ustawy KSC na budżet państwa w perspektywie 10-letniej, zostały nagle tak istotnie skorygowane” – komentuje Piotr Zielaskiewicz, menadżer rozwiązań Stormshield w DAGMA Bezpieczeństwo IT. „Odnosząc się do poszczególnych pozycji pozytywnie oceniam pozostawienie bez zmian wydatków planowanych na NASK-PIB, jednak skala redukcji środków przeznaczonych na cyberbezpieczeństwo czy funkcjonowania CSIRT-ów jest sygnałem niepokojącym” – dodaje.
„Zastrzegając, że nie znam okoliczności podjęcia decyzji, to dość istotne zmniejszenie planowanych wydatków na obszary tak ważne jak bezpieczeństwo cyfrowe państwa – bo przecież tego dotyczy przygotowywana ustawa – nie jest dobrą wiadomością. Moją uwagę zwraca zwłaszcza ograniczenie puli środków na wynagrodzenia dla pracowników nadzorujących sektor administracji publicznej, segment komunikacji elektronicznej i funkcjonowanie CSIRTów” – mówi Paweł Śmigielski, menadżer Stormshield w Polsce.
W jego opinii ten krok może sprawić iż najlepsi specjaliści, których potrzebujemy, aby skutecznie odpierać zdecydowaną większość ataków wymierzonych w Polskę, nie będą mieli motywacji by przejść z sektora prywatnego, który płaci zdecydowanie lepiej.
Z drugiej strony, zdaniem ekspertów, mniejsze fundusze nie muszą jednak oznaczać spadku skuteczności, jeśli środki zostaną właściwie rozdysponowane i wsparte finansowaniem zewnętrznym, np. unijnym. Ważniejsze od samej skali budżetu jest efektywne wdrażanie i konfiguracja rozwiązań cyberbezpieczeństwa.
„Przepisy ustawy obejmą również tysiące podmiotów prywatnych, których opisane zmiany budżetowe nie będą dotyczyć. Dla nich istotne jest, że w końcu pojawił się ostateczny kształt przepisów. Jakkolwiek można się spodziewać zmian na etapie prac parlamentarnych, to jesteśmy o krok bliżej do celu, którym jest przyjęcie tej ważnej ustawy i wyznaczenie jasnych zasad, według których mają one współtworzyć bezpieczeństwo całego systemu” – podsumowuje Paweł Śmigielski.
