Nowelizacja ustawy o Krajowym Systemie Cyberbezpieczeństwa

Nowelizacja ustawy o Krajowym Systemie Cyberbezpieczeństwa wprowadza m.in. nowe kategorie podmiotów (kluczowe i ważne), obowiązki w zakresie raportowania incydentów, zarządzania ryzykiem oraz odpowiedzialności kadry kierowniczej. Nowelizacja UKSC nie jest jedynie formalnym dostosowaniem do prawa unijnego. To realna zmiana podejścia do cyberbezpieczeństwa – z reaktywnego na proaktywne. Ustawa ma na celu nie tylko reagowanie na incydenty, ale przede wszystkim ich zapobieganie poprzez budowę kultury bezpieczeństwa, wdrażanie systemów zarządzania ryzykiem i rozwój kompetencji w organizacjach.

Przyjęcie obecnej wersji projektu nowelizacji UKSC spodziewane jest w IV kwartale tego roku. Warto podkreślić, że zakres wymagań na przestrzeni ostatnich wersji projektów jest stabilny.

Nowa klasyfikacja podmiotów

Jedną z ważniejszych zmian w nowelizacji UKSC jest wprowadzenie nowej klasyfikacji podmiotów objętych regulacją. Zamiast dotychczasowych operatorów usług kluczowych i dostawców usług cyfrowych, ustawa wprowadza dwie główne kategorie: podmioty kluczowe oraz podmioty ważne. Klasyfikacja ta opiera się na kryteriach takich jak wielkość organizacji, sektor działalności oraz znaczenie dla funkcjonowania państwa i społeczeństwa.

Podmioty kluczowe to m.in. operatorzy infrastruktury krytycznej, duże przedsiębiorstwa z sektorów takich jak energetyka, transport, zdrowie, bankowość czy administracja publiczna. Podmioty ważne to z kolei średnie przedsiębiorstwa działające w tych samych sektorach lub inne podmioty, które – mimo mniejszej skali – mają istotne znaczenie dla bezpieczeństwa cyfrowego kraju.

Co istotne nowelizacja UKSC rozszerza zakres regulacji również na dostawców usług cyfrowych i technologii, w tym szczególnie na tzw. dostawców usług zarządzanych (ang. Managed Service Providers – MSP) oraz dostawców wysokiego ryzyka (ang. High Risk Vendors – HRV). To odpowiedź na rosnącą zależność organizacji od zewnętrznych dostawców IT oraz zagrożenia związane z łańcuchem dostaw.

Nowelizacja przewiduje również mechanizm samoidentyfikacji – organizacje, które spełniają określone kryteria, są zobowiązane do zgłoszenia się do właściwego organu i poddania się obowiązkom wynikającym z ustawy. W przypadku braku zgłoszenia, a późniejszego stwierdzenia, że podmiot powinien był się zarejestrować, grożą wysokie kary finansowe. Zaangażowanie zewnętrznych ekspertów i doradców w proces oceny podlegania pod przepisy UKSC pozwala na zmniejszenie ryzyka niezakwalifikowania organizacji.

Wymagania UKSC – obszary 

Zakres audytu zgodności z wymaganiami UKSC obejmuje szerokie spektrum obszarów merytorycznych, które odzwierciedlają kompleksowe podejście ustawodawcy do zarządzania cyberbezpieczeństwem.

• Kluczowym elementem jest organizacja zarządzania cyberbezpieczeństwem – organizacje muszą wykazać, że kierownictwo aktywnie wspiera funkcjonowanie systemu zarządzania bezpieczeństwem informacji (SZBI), zapewnia odpowiednie zasoby oraz nadzoruje realizację celów bezpieczeństwa.
• Kolejnym filarem jest zarządzanie ryzykiem – wymagane jest systematyczne szacowanie ryzyka wystąpienia incydentów oraz wdrażanie działań mitygujących. W tym kontekście istotne są zabezpieczenia organizacyjne i techniczne, obejmujące m.in. polityki bezpieczeństwa, kontrolę dostępu, zarządzanie aktywami, stosowanie kryptografii oraz edukację personelu w zakresie cyberhigieny.

Nowelizacja UKSC kładzie również nacisk na:

• gotowość do reagowania na incydenty – organizacje muszą posiadać procedury wykrywania, analizowania i raportowania incydentów, a także zapewnić współpracę z CSIRT i organami nadzorczymi. Równolegle wymagane jest wdrożenie mechanizmów zapewniających ciągłość działania, w tym planów awaryjnych i odtworzeniowych.bezpieczeństwo łańcucha dostaw ICT – podmioty muszą identyfikować ryzyka związane z dostawcami, oceniać jakość produktów i usług oraz uwzględniać decyzje o uznaniu dostawców za wysokiego ryzyka.

Dodatkowo, ustawa wprowadza obowiązki w zakresie:

• zarządzania produktami ICT, w tym zakaz nabywania lub konieczność wycofania określonych rozwiązań.wymiany informacji o cyberzagrożeniach, co ma wspierać budowę wspólnej odporności sektora.

Całość uzupełniają przepisy szczególne, które mogą zostać określone przez Radę Ministrów w formie dodatkowych wymagań dla SZBI.

Audyt oceny zgodności UKSC – pierwszy krok

Audyt oceny zgodności z wymaganiami UKSC (Audyt UKSC) jest kluczowym krokiem w przygotowaniu organizacji do nadchodzących obowiązków regulacyjnych i wzmocnienia obszaru cyberbezpieczeństwa. Badanie umożliwia wczesną identyfikację luk w obszarze cyberbezpieczeństwa, ocenę dojrzałości obecnych mechanizmów zarządzania ryzykiem oraz przygotowanie organizacji do wdrożenia nowych obowiązków w sposób uporządkowany i efektywny.

Warto podkreślić, że rezultatem przeprowadzonego Audytu powinien być nie tylko Raport oceny zgodności z wymaganiami UKSC ale również Road Mapa, lista inicjatyw projektowanych jakie należy podjąć krótko i długoterminowych, ich zależności pomiędzy sobą, w tym szacowanych nakładów pracy.

W naszej ocenie przygotowanie Road Mapy umożliwi nam zintegrowanie wymaganych działań związanych z UKSC z istniejąc strategią biznesową oraz rozwoju i utrzymania IT i OT.

Audyt UKSC to także narzędzie wspierające budowę kultury bezpieczeństwa w organizacji. Angażując kluczowych interesariuszy w warsztaty i proces oceny, zwiększa świadomość zagrożeń oraz odpowiedzialności kadry kierowniczej. W kontekście przewidywanych sankcji za brak samoidentyfikacji oraz rosnących wymagań wobec zarządów, audyt staje się elementem strategicznego zarządzania ryzykiem. Dla wielu organizacji to również szansa na uporządkowanie procesów, optymalizację działań i wzmocnienie odporności operacyjnej.

Podsumowanie

Nowelizacja UKSC jest realną zmianą podejścia do zarządzania bezpieczeństwem cyfrowym w organizacjach. Wprowadzenie nowych obowiązków, rozszerzenie katalogu podmiotów objętych regulacją oraz nacisk na proaktywne działania wymagają od organizacji strategicznego przygotowania. Audyt UKSC stanowi skuteczne narzędzie do oceny gotowości, identyfikacji luk i zaplanowania działań dostosowujących. W obliczu rosnących zagrożeń, odpowiedzialności zarządów i potencjalnych sankcji, warto już teraz podjąć kroki w kierunku zgodności z nowymi przepisami. Wczesne przygotowanie to nie tylko zgodność z prawem, ale także inwestycja w odporność organizacji.