Dziś wchodzi w życie nowa ustawa o cyberbezpieczeństwie oparta o unijną dyrektywę NIS (Network and Information Systems Directive). Jest ona skierowana do przedsiębiorców, a jej wdrożenie zapewnić ma ochronę danych m.in. przed atakami hackerów. Nowe przepisy nakładają jednak na firmy określone wymogi, których realizacja może wymusić inwestycje w cyberbezpieczeństwo. Mowa tu przede wszystkim o takich podmiotach, które zostaną sklasyfikowane, jako operatorzy usług kluczowych lub dostawcy usług cyfrowych.
Czy nowa ustawa o cyberbezpieczeństwie spełni oczekiwania i jak należy ją oceniać komentuje Joanna Świątkowska, ekspert Instytutu Kościuszki , dyrektor programowa konferencji CYBERSEC
Dr Joanna Świątkowska, Dyrektor Programowy Europejskiego Forum Cyberbezpieczeństwa – CYBERSEC, ekspert Instytutu Kościuszki:
Przede wszystkim przepisy ustawy mają szansę przyczynić się do wzmocnienia niezakłóconego funkcjonowania usług, z których obywatele korzystają każdego dnia. Operatorzy usług kluczowych wyznaczani w takich sektorach jak m.in. transport, ochrona zdrowia, bankowość, będą zobligowani do implementowania szeregu działań nakierowanych na zwiększenie poziomu cyberbezpieczeństwa. Co więcej, ich działania będą kontrolowane, a w wypadku niewłaściwego postepowania będą mogły być nałożone na nich sankcje. Ustawa nakazuje więc wyższe starania o bezpieczeństwo i daje instrumenty bardziej skutecznego ich egzekwowania, wdrażania działań naprawczych. Jeśli zatem wymagania te będą solidnie wdrażane, to każdy obywatel powinien poczuć się bezpieczniej – jest większa szansa, że usługi, na których polegają w życiu codziennym będą im dostarczane wtedy, kiedy będą oni tego potrzebowali.
Dodatkowo, poziom bezpieczeństwa obywateli zwiększy się także pośrednio. Operatorzy usług kluczowych, na mocy ustawy będą zobowiązani do niezwłocznego zgłaszania naruszeń cyberbezpieczeństwa. Wiadomo, że skuteczna walka z cyberzagrożeniami wymaga szybkiego dzielenia się informacjami o incydentach, zagrożeniach, doświadczeniach. Niestety podmioty z wielu powodów nie są chętne, aby tymi informacjami się dzielić. Bez tej współpracy wszyscy jesteśmy bardziej bezbronni. Wymóg zgłaszania incydentów sprawia, że organy, które są odpowiedzialne za reagowanie na incydenty komputerowe, przygotowanie rekomendacji, informowanie społeczeństwa, dostaną informacje i będą lepiej wypełniać swoje zadania. To w sposób pośredni przyczyni się do zwiększenia bezpieczeństwa nas wszystkich.
Robert Siudak, ekspert Instytutu Kościuszki:
Kluczowym zadaniem krajowego systemu cyberbezpieczeństwa jest włączenie aspektów ochrony sieci i systemów informatycznych do sfery zarządzania państwem. W tym celu system obejmuje swoim zasięgiem 20 instytucji oraz grup podmiotów, zarówno z sektora publicznego jak i prywatnego. Przede wszystkim wyróżnia on dwa kluczowe dla jego funkcjonowania zbiory: operatorów usług kluczowych oraz dostawców usług cyfrowych. Pierwszy z nich dotyczy usług, bez których zaburzone byłoby sprawne funkcjonowanie współczesnych gospodarek i społeczeństw, a więc m.in. dostępu do wody pitnej, elektryczności, ale też usług finansowych czy zdrowotnych. Druga grupa obejmuje przedsiębiorców oferujących wyszukiwarki internetowe, usługi chmurowe czy internetowe platformy handlowe. To właśnie niezakłócone i ciągłe świadczenie tych dwóch rodzajów usług przy pomocy infrastruktury teleinformatycznej, jest tym, co chronić ma w głównej mierze krajowy system cyberbezpieczeństwa. W tym celu nakłada on określone obowiązki zarówno na operatorów usług kluczowych jak i dostawców usług cyfrowych. Ci z nich, którzy nie będą ich wypełniać mogą otrzymać kary pieniężne, w ekstremalnych przypadkach nawet do 1 000 000 zł. Warto jednak także dodać, że ustawa nie tylko nakłada obowiązki, ale także tworzy system wsparcia dla omawianych grup, m.in. poprzez wyznaczenie na poziomie krajowym trzech głównych zespołów reagowania na incydenty bezpieczeństwa komputerowego, które w określonych wypadkach będą wspomagać obsługę wyzwań związanych z atakami lub awariami w cyberprzestrzeni.
Ustawa o krajowym systemie cyberbezpieczeństwa jest implementacją dyrektywy Unii Europejskiej dotyczącej bezpieczeństwa sieci i systemów informatycznych, tzw. dyrektywy NIS. Zarówno na poziomie europejskim jak i polskim działania w zakresie zwiększania cyberbezpieczeństwa są koniecznością. Należy pamiętać, że zakłócenia wywoływane cyberatakami oznaczają wymierne straty finansowe. Globalnie szacuje się je nawet na 1% produktu światowego brutto.