W świecie cyfrowym bezpieczeństwo systemów teleinformatycznych jest kluczowe dla funkcjonowania państwa i gospodarki. Krajowy System Cyberbezpieczeństwa (KSC) to zbiór przepisów i mechanizmów, które mają na celu ochronę instytucji publicznych, przedsiębiorstw i obywateli przed zagrożeniami cyfrowymi. Nowelizacja ustawy KSC dostosowuje polskie regulacje do wymogów unijnej dyrektywy NIS-2, ale jednocześnie rodzi wiele pytań i wątpliwości. 

W najnowszym odcinku Podcastu Cyfrowego, gościem jest Marcin Wysocki, zastępca dyrektora Departamentu Cyberbezpieczeństwa w Ministerstwie Cyfryzacji. Rozmawialiśmy o mitach i odpowiadaliśmy na pytania przedsiębiorców.

Czy KSC oznacza nowe obciążenia dla przedsiębiorców?

Ustawa nakłada na firmy obowiązki związane z cyberbezpieczeństwem, ale wynikają one bezpośrednio z dyrektywy NIS-2. Kluczowe sektory, takie jak energetyka, transport czy finanse, muszą wdrożyć określone środki ochrony i raportować incydenty cybernetyczne, aby system cyberbezpieczeństwa był szczelny.

Dlaczego procedowanie ustawy trwa tak długo? 

To jeden z najczęściej podnoszonych zarzutów. Jak tłumaczy Marcin Wysocki, proces legislacyjny jest złożony – ustawa obejmuje sto kilkadziesiąt stron przepisów i wymaga uzgodnień między ministerstwami, instytucjami unijnymi i przedstawicielami biznesu. 

Czy Polska musi wdrożyć tzw. Toolbox 5G? 

Tak, wdrożenie unijnego zestawu narzędzi ochrony krytycznych zasobów jest obowiązkowe. Polska należy do nielicznych państw UE, które jeszcze go nie implementowały, co może negatywnie wpłynąć na bezpieczeństwo danych obywateli i konkurencyjność polskich firm. 

Czy ustawa KSC pozwoli na cenzurę internetu? 

Nie. Jak podkreśla ekspert, mechanizmy obrony przed cyberatakami, np. polecenie zabezpieczające, są stosowane od lat w praktyce IT i nie mają nic wspólnego z cenzurą. To narzędzie pozwalające operatorom blokować ruch pochodzący z podejrzanych źródeł w celu ochrony systemów przed atakami DDoS. 

Czy ustawa pozwala państwu na zbyt dużą ingerencję w działalność firm? 

Niektóre firmy uważają, że to przedsiębiorcy powinni samodzielnie oceniać ryzyko współpracy z dostawcami IT. Jednak, jak tłumaczy Marcin Wysocki, przedsiębiorstwa nie mają dostępu do wszystkich informacji wywiadowczych i nie mogą samodzielnie ocenić zagrożeń związanych np. z cyberprzestępczością lub szpiegostwem. Zapewnienie bezpieczeństwa państwa jako całości, nas wszystkich, jest zadaniem administracji, które musi mieć do tego odpowiednie narzędzia 

Czy będą kary dla firm za brak dostosowania się do NIS-2? 

Nie. Zgodnie z przepisami prawa unijnego, kary mogą być nakładane dopiero po pełnym wdrożeniu ustawy. 

Ustawa o Krajowym Systemie Cyberbezpieczeństwa nadal jest na etapie prac legislacyjnych. Jak podkreśla Marcin Wysocki, celem jest wypracowanie kompromisu między bezpieczeństwem państwa a interesami przedsiębiorców. W Ministerstwie Cyfryzacji trwają konsultacje z ekspertami i przedstawicielami rynku, aby zapewnić sprawiedliwe i skuteczne rozwiązania. 

Pełna rozmowa dostępna na kanale YouTube Ministerstwa Cyfryzacji i innych platformach streamingowych:

Spotify: https://open.spotify.com/episode/4suywO4bAkB60GXMgFoqYw?si=b4f0c8ebbe1e409a

Apple Podcasts: https://podcasts.apple.com/us/podcast/krajowy-system-cyberbezpiecze%C5%84stwa-rozwiewamy-w%C4%85tpliwo%C5%9Bci/id1778645232?i=1000699177141

Soundcloud: https://on.soundcloud.com/zi8fTSJjUF8hwvYP8