Prezydent Karol Nawrocki podpisał nowelizację ustawy o Krajowym Systemie Cyberbezpieczeństwa (KSC). Zakończył się w ten sposób sześcioletni proces legislacyjny, którego celem było dostosowanie polskiego prawa do unijnej dyrektywy NIS2 — dyrektywy, której termin implementacji minął osiemnastego października 2024 roku, a więc 16 miesięcy przed podpisem.

‍

Ustawa wejdzie w życie po upływie miesiąca od ogłoszenia w Dzienniku Ustaw i obejmie szacunkowo trzydzieści osiem tysięcy podmiotów z sektorów kluczowych i ważnych, wobec zaledwie kilku tysięcy regulowanych przez poprzednią ustawę z 2018 roku. Skala rozszerzenia zakresu podmiotowego jest jedną z najważniejszych zmian — i jedną z najmniej omawianych w komentarzach skupionych na mechanizmie dostawców wysokiego ryzyka.

‍

Certyfikat ISO 27001 a wymagania KSC — gdzie zaczyna się luka

‍

Organizacje posiadające certyfikat ISO 27001 są w lepszej pozycji wyjściowej niż te, które zarządzanie bezpieczeństwem informacji traktują wyłącznie jako zbiór dobrych praktyk. Posiadają udokumentowany system zarządzania, rejestr ryzyka i zdefiniowane procedury. Problem w tym, że ustawa o KSC stawia wymagania szczegółowe tam, gdzie ISO 27001 dopuszcza elastyczność. Norma pozwala na akceptację ryzyka jako formalną odpowiedź na zidentyfikowane zagrożenie – certyfikat tego nie zabrania. Ustawa o KSC tego podejścia do systemów kluczowych już nie akceptuje w tym samym stopniu.

‍

Co istotne, ustawa nie ogranicza się do bezpieczeństwa informacji. Wysoki poziom cyberbezpieczeństwa jest wymagany w celu niezakłóconego funkcjonowania usług kluczowych, podobnie jak ma to miejsce w przypadku wszystkich regulacji dotyczących odporności Unii Europejskiej (oprócz NIS2 są to DORA, Akt w sprawie cyberodporności, CER, Unijny Mechanizm Ochrony Ludności).

‍

Oznacza to, że obok ISO 27001 równie istotna staje się norma ISO 22301, regulująca zarządzanie ciągłością działania (BCM  – ang. Business Continuity Management). Incydenty cyberbezpieczeństwa będą się zdarzać, a organizacje muszą być przygotowane nie tylko na ich wykrycie i zgłoszenie do CSIRT w ciągu 24 godzin, ale też na utrzymanie dostępności usług w trakcie i po wystąpieniu incydentu. Posiadanie polityk bezpieczeństwa bez przetestowanych planów ciągłości działania i odtwarzania po awarii oznacza w kontekście KSC, że organizacja spełnia tylko część wymagań ustawy, i to prawdopodobnie nie tę, którą organ sprawdzi w pierwszej kolejności.

‍

‍

Łańcuch dostaw ICT — obszar, który najczęściej pozostaje niedokończony

‍

Podobna różnica dotyczy zarządzania ryzykiem dostawców ICT. ISO 27001 wymaga, żeby nim zarządzać. Norma, jak zwykle, wskazuje kierunek, ale nie precyzuje, jak to robić.

‍

Ustawa o KSC wymaga konkretnego podejścia, czyli inwentaryzacji dostawców obsługujących systemy objęte regulacją z rozróżnieniem na tych, którzy mają dostęp do systemów krytycznych, stosowania własnych kwestionariuszy oceny bezpieczeństwa, klauzul umownych dających prawo do audytu oraz obowiązku raportowania incydentów po stronie dostawcy. Certyfikat ISO 27001 czy SOC 2 posiadany przez partnera biznesowego pozostaje przydatną informacją, ale nie zastępuje żadnego z tych elementów.

‍

Dla organizacji, które zarządzanie ryzykiem strony trzeciej ograniczały dotąd głównie do klauzul umownych, weryfikacja procesów ICT po stronie dostawców może stanowić istotną lukę, wymagającą uruchomienia osobnego projektu.

‍

Samoidentyfikacja jako pierwsza decyzja

‍

Nowelizacja wprowadza obowiązek samoidentyfikacji. Organizacja sama ocenia czy spełnia kryteria podmiotu kluczowego lub ważnego, według sektorów i progów wielkościowych określonych w przepisach. Jeśli tak, ma sześć miesięcy na rejestrację w wykazie podmiotów KSC liczonych (uwaga!) od momentu spełnienia kryteriów, nie od momentu przeprowadzenia analizy. Dla podmiotów działających w sektorach objętych ustawą zegar zaczyna więc biec natychmiast. Niezgłoszenie się, mimo że kwalifikacja powinna nastąpić, nie zwalnia z obowiązków ani nie chroni przed karami. W praktyce pierwsza decyzja wymaga analizy prawnej i operacyjnej jednocześnie, czyli odpowiedzi na pytania: czy działalność mieści się w zakresie podmiotowym, które systemy wspierają usługi kluczowe i czy skala organizacji przekracza progi określone w ustawie? Dla podmiotów działających w kilku sektorach lub posiadających spółki zależne analiza nie jest trywialna.

‍

Dwanaście miesięcy, dwa lata i jeden istotny szczegół

‍

Po rejestracji organizacje mają dwanaście miesięcy na wdrożenie wymaganych środków bezpieczeństwa. Kary administracyjne (do 2% przychodów, maksymalnie dziesięć milionów euro dla podmiotów kluczowych i do 1,4% przychodów, maksymalnie siedem milionów euro dla podmiotów ważnych) mogą być nakładane dopiero po upływie dwóch lat od wejścia ustawy w życie.

‍

Warto jednak zwrócić uwagę na jeden szczegół, który łatwo przeoczyć – dwuletni horyzont bez kar nie oznacza dwuletniej przerwy w obowiązkach. Oznacza jedynie, że organ nie może nakładać kar przez ten okres. Obowiązki w tym wdrożenie systemu zarządzania bezpieczeństwem informacji i procedur obsługi incydentów będą wymagane po roku od wejścia ustawy w życie (a więc w końcu marca 2027). Prezydent skierował ustawę do kontroli następczej Trybunału Konstytucyjnego, ale nie wstrzymuje to jej wejścia w życie ani terminów obowiązywania przepisów.

‍

Pytanie, które warto zadać sobie teraz

‍

Organizacje posiadające ISO 27001 mają dokumentację, rejestr ryzyka i audytorów, którzy regularnie weryfikują system. Warto sprawdzić, czy ten system zarządzania obejmuje dostawców ICT obsługujących systemy krytyczne z taką samą szczegółowością, jakiej wymaga KSC, czyli z własną oceną, prawem do weryfikacji i klauzulami umownymi, które zadziałają w momencie wystąpienia incydentu? Czy plany ciągłości działania były testowane na tyle niedawno, żeby można było powiedzieć, że organizacja wie, jak zachowa się jej infrastruktura pod presją?

‍

Jeśli odpowiedź na którekolwiek z tych pytań nie jest natychmiastowa, to prawdopodobnie jest też odpowiedzią na pytanie, od czego zacząć.

‍