Ogrom nowych obowiązków dla przedsiębiorców, wielka władza w rękach ministra cyfryzacji oraz bałagan w procedurach. Tak na dziś zapowiada się ustawa o krajowym systemie cyberbezpieczeństwa, którą Sejm ma uchwalić na najbliższym posiedzeniu, a wejdzie w życie jeszcze w wakacje
Wysokie koszty i nowe obowiązki nie tylko dla firm
O unijnym rozporządzeniu o ochronie danych osobowych (czyli RODO), które weszło w życie 25 maja br. – słyszeli niemal wszyscy przedsiębiorcy. O dyrektywie NIS (czyli dyrektywie Parlamentu Europejskiego i Rady nr 2016/1148 z 6 lipca 2016 r. w sprawie środków na rzecz wysokiego wspólnego poziomu bezpieczeństwa sieci i systemów informatycznych na terytorium Unii) – niewielu. A unijni decydenci chcieli, aby w praktyce oba unijne akty prawne wzajemnie się uzupełniały. I by skuteczność rozwiązań z jednego aktu prawnego opierała się na efektywnym funkcjonowaniu drugiego. Bo oba akt prawne są powiązane. Pierwszy dotyczy ochrony danych osobowych. Drugi zaś obejmuje kwestie technicznej ochrony przed atakami hakerów i innymi incydentami zagrażającymi bezpieczeństwu sieci (patrz ramka 1).
Ramka 1
Dyrektywa NIS, czyli co?
W największym uproszczeniu: dyrektywa NIS zobowiązuje wszystkie państwa członkowskie UE do zagwarantowania na szczeblu krajowym minimalnego poziomu cyberbezpieczeństwa, m.in. przez ustanowienie organów właściwych do spraw cyberbezpieczeństwa, powołanie zespołów reagowania na incydenty komputerowe (tzw. CSIRT, ang. Computer Security Incident Response Team) oraz przyjęcie krajowych strategii w zakresie cyberbezpieczeństwa.
Prace nad dyrektywą rozpoczęły się pięć lat temu. Komisja Europejska 14 lutego 2013 r. przedstawiła wraz z wysokim przedstawicielem unii do spraw zagranicznych i polityki bezpieczeństwa komunikat w sprawie europejskiej strategii bezpieczeństwa cybernetycznego: „Otwarta, bezpieczna i chroniona cyberprzestrzeń”. Do strategii dołączono wniosek legislacyjny w sprawie dyrektywy dotyczącej cyberbezpieczeństwa. Ostatecznie dyrektywa Parlamentu Europejskiego i Rady (UE) nr 2016/1148 w sprawie środków na rzecz wysokiego wspólnego poziomu bezpieczeństwa sieci i systemów informatycznych na terytorium Unii została przyjęta 6 lipca 2016 r. (Dz.Urz. UE z 2016 r. L 194, s. 1). Jest powszechnie nazywana dyrektywą NIS (ang. Network and Information Systems Directive).
Gdzie kucharek sześć…
Termin implementacji dyrektywy NIS do krajowych porządków prawnych minął 9 maja 2018 r. Polska go nie dotrzymała. Projekt rodzimej ustawy o krajowym systemie cyberbezpieczeństwa od samego początku powstawał bowiem w bólach i atmosferze konfliktu – o czym donosiły media branżowe. Oficjalnie odpowiadało za nią Ministerstwo Cyfryzacji, ale resort obrony narodowej nie ukrywał, że tematykę cyberbezpieczeństwa chciałby mieć u siebie. A i inne resorty też chciały dorzucić swoje trzy grosze. „Ustawa o krajowym systemie cyberbezpieczeństwa powstawała w mękach i w bólach jeszcze zanim zdymisjonowano Annę Streżyńską. Teraz Ministerstwo Cyfryzacji istnieje raczej w formie przetrwalnikowej i praktycznie nie ma polityka, którego można uznać za silnego przywódcę polskiej informatyzacji. Ustawa o cyberbezpieczeństwie jest raczej ważna, ale od początku powstawała w klimacie konfliktu na linii MC‒MON, a teraz dodatkowe problemy chce dorzucić Ministerstwo Finansów” – informował niedawno branżowy portal Niebezpiecznik.pl. Pojawiły się nawet zarzuty, że nasze państwo mało poważnie, a nawet lekceważąco w porównaniu do innych państw, traktuje kwestie cyberbezpieczeństwa. Wspomniany portal branżowy powoływał się na swych informatorów, którzy wyjaśniali, że urzędnicy w ogóle nie zdają sobie sprawę z wagi ustawy, nad którą pracują. I że ich rozwiązaniem na wszelkie bolączki będzie po prostu obłożenie nowymi obowiązkami przedsiębiorców, bez dawania wiele od państwa.
!Termin implementacji unijnej dyrektywy NIS, dotyczącej minimalnego poziomu cyberbezpieczeństwa, do krajowych porządków prawnych państw członkowskich UE minął 9 maja 2018 r. Polska go nie dotrzymała.
„Pieniędzy w budżecie nie ma nawet na podstawowe rzeczy, które wpisano w ustawę. Choć od dwóch lat nie jest tajemnicą, że termin jej wprowadzenia upływa w maju br. (jest to wymuszone terminem implementacji tzw. dyrektywy NIS) i MC jasno komunikowało konieczność zabezpieczenia środków na ten cel. Ulubioną mantrą MF jest najwyraźniej «zadania nie powinny stanowić podstawy do ubiegania się o dodatkowe środki». Postawmy sprawę jasno – dotyczy to finansowania instytucji, które mają zadbać m.in. o analizę zagrożeń, reagowanie na poważne incydenty i ocenę ryzyka dla systemów wykorzystywanych do świadczenia kluczowych usług” – alarmowano na łamach Niebezpiecznik.pl.