KSC nie ma, biznes protestuje, a termin wdrożenia dyrektywy to 18 października

Businessinsider.com.pl przypomina, że 18 października, zacznie być stosowana dyrektywa w sprawie środków na rzecz wysokiego wspólnego poziomu cyberbezpieczeństwa na terytorium Unii.

Do tego dnia każde państwo Unii, w tym Polska, powinno przygotować własne przepisy, przekładające unijne zasady do krajowych przepisów.

Co do zasady dyrektywa i krajowe ustawy mają zwiększyć poziom cyberbezpieczeństwa w porównaniu do NIS, czyli pierwszej dyrektywy, co w obecnej sytuacji wojny za naszą wschodnią granicą jest niezbędne i oczywiste.

Polska wciąż jest jednak na etapie projektu, za który odpowiada Ministerstwo Cyfryzacji.

Obecnie wszyscy z niepokojem czekają na opublikowanie wersji projektu, co miało nastąpić po wakacjach.

Choć zbliża się termin wejścia w życie dyrektywy, to projektu brak, choć resort zapewnia, że na przełomie września i października trafi do odpowiednich komitetów.

Chodzi o nowelizację ustawy o krajowym systemie cyberbezpieczeństwa. Te przepisy są znane stąd, że zmuszą określone firmy do wycofanie ze swoich systemów produktów dostawcy wysokiego ryzyka z krajów trzecich. Problem w tym, że jak zauważają autorzy uwag do projektu, zmiany proponowane przez MC są zbyt restrykcyjne, kosztowne i mogą prowadzić do odwrotnych skutków niż zamierzone.

Opinie przesłało ponad sto różnych podmiotów, od prywatnych, po publiczne.

Tak wysokie zaangażowanie w proces legislacyjny nie dziwi. Szacuje się bowiem, że zmiany mogą dotknąć niemal 40 tys. podmiotów — tłumaczy Karolina Idziak z Grant Thornton.

Obecnie w krajowym systemie bezpieczeństwa (KSC) mamy do czynienia z operatorami usług kluczowych (OUK), którzy są wyznaczani na podstawie decyzji administracyjnej z siedmiu sektorów: energetyka, transport, bankowość, finanse, ochrona zdrowia, zaopatrzenie w wodę pitną i jej dystrybucja oraz infrastruktura cyfrowa Na liście OUK figuruje 397 podmiotów, w tym dużych kopalń, zakładów energetycznych, szpitali ze Szpitalnym Oddziałem Ratunkowym. One muszą szczególnie przygotować się na cyberataki, mają więc więcej kosztownych obowiązków itp.

Dyrektywa wprowadza dwie nowe kategorie podmiotów: kluczowe i ważne, ale co ważniejsze obejmuje znacznie więcej sektorów. Do obecnych ośmiu kluczowych dochodzą sektory: telekomunikacyjny, administracja publiczna. Podmioty ważne będą z sektora dostawców usług cyfrowych i sześciu nowych: usługi pocztowe i kurierskie; gospodarowanie odpadami; produkcja, wytwarzanie i dystrybucja chemikaliów; produkcja, przetwarzanie i dystrybucja żywności; produkcja, badania naukowe.

W sumie dyrektywa NIS2 obejmie w Polsce blisko 40 tys. firm, w tym dużych i średnich. To oznacza, że więcej przedsiębiorstw będzie musiało spełniać wymogi dyrektywy, niezależnie od ich dotychczasowego doświadczenia w obszarze cyberbezpieczeństwa. — Upraszczając, obejmie ona tysiące firm w Polsce, które muszą mieć czas na przygotowanie się do nowych wymagań — podkreśla Jolanta Malak, dyrektor Fortinet w Polsce.

Ponadto do wykazu podmiotów minister będzie mógł wpisać dany podmiot z urzędu, a wówczas niezależnie od wielkości, firma będzie miała bardzo mało czasu na dostosowanie się do wymogów ustawy.

To będzie rewolucja — mówił Krzysztof Gawkowski, wicepremier i minister cyfryzacji, kierując projekt do konsultacji. Z opinii nadesłanych przez ponad sto podmiotów wynika jednak, że ta rewolucja może "pożreć własne dzieci".

Pełna treść artykułu jest na stronie Businessinsider.com.pl