Biznes zbuduje cyfrowa tarcze. Ale czy jest na to gotowy

Przedstawiony przez Ministerstwo Cyfryzacji znowelizowany projekt ustawy o Krajowym Systemie Cyberbezpieczeństwa (KSC) ma w założeniu złagodzić nieco skutki wdrożenia unijnej dyrektywy NIS 2. Wcześniejszy projekt polskich przepisów wprowadzających te regulacje uznano za jeden z najbardziej restrykcyjnych w Europie. Resort cyfryzacji twierdzi, że w nowym mocno wsłuchał się w postulaty zebrane z rynku w czasie konsultacji. Efekt? Jak przekonują w MC: „bardziej przejrzyste zasady nadzoru nad podmiotami kluczowymi i ważnymi, w tym bankami, firmami telekomunikacyjnymi i sektorem energetycznym”. Tyle że ustawa dotknie też mniejsze podmioty, a część z nich albo nie jest gotowa na nowe przepisy, albo nie jest ich nawet świadoma. rp.pl Co blokuje inwestycje w cyberbezpieczeństwo? – Wiele firm jest zaskoczonych zmianami lub wciąż nie zdaje sobie sprawy z tych regulacji i nie jest do nich kompletnie przygotowanych – potwierdza Mateusz Pycia, prezes GlobKurier, brokera usług logistycznych. – To efekt tego, iż komunikacyjnie temat nowych przepisów został zawalony – wskazuje. Pycia jest zwolennikiem zmian, jakie idą w ślad za dyrektywą NIS 2. – Choć jesteśmy spółką z sektora MŚP, to – działając w obszarze transportu – zakwalifikowani będziemy do grupy kluczowych podmiotów. W praktyce oznacza to, że czekają nas audyty infrastruktury, szkolenia pracowników i konieczność zgłaszania incydentów. Obowiązków będzie dużo, ale i zagrożenia cybernetyczne w dzisiejszym świecie są ogromne. Zaletą ustawy o KSC będzie to, że wiele tematów ona uporządkuje – podkreśla. Jak zaznacza, przedsiębiorcy muszą zdać sobie sprawę z cyfrowych ryzyk, ale i obowiązków, jakie na nich spoczną. – Prawo budowlane zawiera pewne normy bezpieczeństwa i nikogo to nie dziwi. Podobnie musi być w obszarze usług cyfrowych, gdzie dziś jest wolna amerykanka. Ustandaryzowanie tego tematu jest bardzo ważne dla całej gospodarki – dodaje. Czytaj więcej Jesteśmy na pierwszej linii frontu – mówią eksperci o rosyjskich atakach hakerskich. Od stycznia br. ich liczba wzrosła o 60 proc., a w ciągu sześciu miesięcy aż o 130 proc. – dowiedziała się „Rzeczpospolita”. Problem w tym, że – jak pokazują badania firmy Veeam – biznes trafia na wiele barier hamujących wdrażanie wymogów NIS 2. Co piąta firma mówi o przeszkodzie w postaci długu technologicznego. 23 proc. ankietowanych przedstawicieli działów IT żali się na brak zrozumienia kierownictwa w tym względzie. Ale rafą są też pieniądze potrzebne na dostosowanie do tych regulacji. Na niewystarczający budżet na takie inwestycje wskazuje co piąty ankietowany. Co więcej, aż 40 proc. respondentów przyznało, iż od czasu ogłoszenia politycznego porozumienia w sprawie NIS 2 w styczniu 2023 r., budżet IT ich firm niestety się zmniejszył. W firmie GlobKurier cały proces dostosowania się do wymogów NIS 2 rozpisano na kilkanaście miesięcy. Będzie to ją kosztowało 4,6 mln zł (to ok. 7 proc. rocznych przychodów). – Musimy dostosować infrastrukturę i zwiększyć poziomy bezpieczeństwa. Duże wydatki, ale konieczne i to niezależnie od tego, czy te przepisy weszłyby w życie, czy nie. 100 proc. sprzedaży prowadzimy przez stronę internetową. Odporność na cyberzagrożenia decyduje o ciągłości naszego biznesu – komentuje Mateusz Pycia. Co zmieni ustawa o KSC? Szymon Frysztacki, cybersecurity manager w firmie Synthos, uważa, że regulacje NIS 2 są niezbędne i należy wdrożyć je jak najszybciej. – Wciąż analizujemy znowelizowaną wersję projektu przedstawioną przez Ministerstwo Cyfryzacji. Z pewnością kluczowy jest fakt, że kilka sektorów, w tym sektor chemiczny, na powrót przypisano do sektora „ważnego”, a nie „krytycznego”, jak było w poprzedniej wersji. To oznacza potencjalnie nieco łagodniejsze podejście – mówi Frysztacki. Czytaj więcej Trzy na cztery firmy doświadczyły już cyberataku. Tylko w sektorze handlu detalicznego straty z tego tytułu sięgają niemal 90 mld zł. Eksperci są pesymistami. Przewidują, że jeszcze w tym roku liczba hakerskich ciosów na nasz kraj skoczy o 25 proc. Jego zdaniem z przygotowaniami do spełnienia wymogów przyszłej ustawy wiąże się jednak sporo wyzwań. – Zapisy ustawy same w sobie są bardzo skomplikowane, a bardzo trudno o jasny, ujednolicony tekst projektu o KSC czy akty wykonawcze. Po drugie, wciąż wydłużają się prace nad projektem. Cieszymy się, że mamy możliwość konsultacji tych przepisów np. w ramach Konfederacji Lewiatan czy organizacjach jak CISO Poland i jednocześnie mamy nadzieję, że ustawa zacznie jak najszybciej obowiązywać. Pierwotnie miało nastąpić to w październiku br., ale już wiadomo, że to nierealne. Liczymy teraz na I kwartał przyszłego roku. Opóźnienie we wdrażaniu rozwiązań, które mają wzmocnić odporność biznesów na cyberzagrożenia, powinno być jak najmniejsze – przekonuje przedstawiciel Synthosu. Jak tłumaczy, przemysł to system naczyń połączonych i najsłabsze ogniwo może zaważyć na bezpieczeństwie. Stąd często hakerzy celują w kontrahentów dużych firm, gdyż to tam są często owe „słabsze ogniwa”. – Bezpieczeństwo łańcucha dostaw jest skomplikowanym zagadnieniem, więc przepisy regulujące tę tematykę są niezbędne. Niepokoi nas fakt, że nie ma aktów wykonawczych do KSC, bo bez nich nie jesteśmy w stanie pewnych rzeczy ocenić i właściwie się przygotować – wyjaśnia Szymon Frysztacki. Czytaj więcej Polska jest celem wojny cybernetycznej. Codziennie dochodzi do ataków na infrastrukturę krytyczną na wielu różnych polach - transport, zdrowie, administracja elektrownie, wodociągi - powiedział wicepremier, minister cyfryzacji Krzysztof Gawkowski w TVP Info. Według niego ustawa o KSC z pewnością dla mniejszych podmiotów będzie wyzwaniem. – Obowiązki takie jak np. monitoring 24/7 i obowiązek zgłaszania incydentów krytycznych wymusza wydatki. Chodzi o stworzenie zespołów ds. bezpieczeństwa czy outsourcing pewnych usług, a także konieczność audytowania organizacji – wylicza. – W większych firmach są jednak działy IT i SOC. Gorzej jest np. w szpitalach, gdzie takie struktury nie są zbyt rozbudowane – kontynuuje. Najważniejsze, żeby robić to mądrze i w oparciu o analizę ryzyka. Jak zaznacza, wdrożenie regulacji wymusi pewne ruchy i pomoże przeciwdziałać cyberzagrożeniom. – Dziś nikt się nie zastanawia, czy potrzebujemy chronić fizycznie biurowce, magazyny czy hale produkcyjne. W kwestii cyberbezpieczeństwa mentalnie nie nadążamy za zmianami. A efekt takiego ataku może być gorszy niż fizycznego. Hakerzy są w stanie poprzez atak na infrastrukturę krytyczną odłączyć prąd u odbiorców indywidualnych czy szpitali, zaatakować wszechobecne urządzenia IoT – wylicza nasz rozmówca.