Ustawa o krajowym systemie cyberbezpieczeństwa od początku nie wzbudzała zbytniego entuzjazmu ani wśród obecnie rządzących, ani wśród przedsiębiorców czy NGO-sów. Na razie UoKSC jest określana czasem „młodszą siostrą RODO”, ponieważ wiąże się z wieloma nowymi obowiązkami dla części przedsiębiorców. Przedsiębiorstwa jednak nie powinny oglądać się na ustawodawcę – lepiej, żeby samodzielnie wdrażały rozwiązania umożliwiające zabezpieczenie im bezpieczeństwa cyfrowego.
Ustawa o krajowym systemie cyberbezpieczeństwa, czyli wdrażanie prawa UE
Po pierwsze – warto wiedzieć, że Ustawa o krajowym systemie cyberbezpieczeństwa (w skrócie: UoKSC) to w rzeczywistości przejaw wdrażania unijnego prawa. Chodzi o dyrektywę NIS, której celem było zapewnienie wysokiego poziomu bezpieczeństwa sieci i systemów informatycznych na terenie UE. Po wejściu w życie dyrektywy (czyli po 26. lipca 2016 r.) państwa miały mieć 21 miesięcy na wdrożenie unijnego prawa. Polsce udało się w końcu uchwalić odpowiednią ustawę, jednak miało to miejsce już po czasie – prezydent podpisał UoKSC w sierpniu 2018 r.
Co wprowadza cyberustawa?
Po pierwsze, Ustawa o krajowym systemie cyberbezpieczeństwa (bo tak nazywana jest czasem UoKSC) wprowadza kilka nowych pojęć (stają się one zdefiniowane w polskim prawie) – jest to m.in. cyberbezpieczeństwo czy operator usługi kluczowej. Drugi termin powinien zainteresować przynajmniej część przedsiębiorców, ponieważ wkrótce może się okazać, że…zostaną uznani za OUK. Operatorzy usług kluczowych będą bowiem zobowiązani do wdrożenia konkretnych zabezpieczeń, szacowania ryzyka czy przekazywania informacji o incydentach naruszających cyberbezpieczeństwo specjalnym podmiotom (tzw. CSIRT). W firmie uznanej za UOK będzie musiała zostać zatrudniona także osoba odpowiedzialna za cyberbezpieczeństwo świadczonych usług.
Kto będzie uznany za OUK? Operatorzy usług, którzy „mają kluczowe znaczenie dla utrzymania krytycznej działalności społecznej lub gospodarczej”. Oczywiście są to m.in. banki, firmy z sektora energetycznego, ale i przewoźnicy (zarówno lotniczy jak i kolejowi), szpitale i wszystkie podmioty, które w jakimś stopniu tworzą cyfrową infrastrukturę kraju. Oczywiście to tylko dwie z wielu kwestii, które są zawarte w nowej ustawie, jednak bez wątpienia odgrywają ważną rolę.
Zastrzeżenia dotyczące nowego prawa
Równie ważni są dostawcy usług cyfrowych (czyli internetowe platformy handlowe czy wyszukiwarki internetowe). To właśnie oni i operatorzy usług kluczowych mają być głównymi podmiotami krajowego systemu cyberbezpieczeństwa. Z tym, że nie wszystkim się to podoba. Niezbyt przychylnie na temat ustawy wypowiedziały się m.in. takie podmioty jak Konfederacja Pracodawców „Lewiatan”, Związek Banków Polskich czy Federacja Przedsiębiorców Polskich (chociaż każdy z tych podmiotów zgłosił inne uwagi). O ile dla wszystkich jasne jest, że dokument o charakterze przekrojowym, systematyzujący wszystko, co związane z polskim cyberbezpieczeństwem jest po prostu niezbędny, o tyle nowe obowiązki, ich podział czy katalog środków – jest kwestią dyskusyjną. Niektórzy zwracają uwagę na to, że nowe prawo przewiduje jedynie sankcje za niewywiązanie się z obowiązków (i brak zachęt), inni – że zmiany mogą objąć podmioty, które nie powinny mieć nowych obowiązków (bo mają ich już wystarczająco dużo).
W pewnym momencie nie wiadomo było nawet, kogo konkretnie obejmie ustawa, a UoKSC zyskała przydomek „młodszej siostry RODO” – głównie ze względu na chaos przy jej wdrażaniu i nowe obowiązki dla przedsiębiorców. Trudno także przewidzieć w tym momencie, na ile nowe przepisy będą efektywne i pozwolą na zwiększenie cyberbezpieczeństwa Polski zarówno w ujęciu państwowym jak i na poziomie zwykłych obywateli (w tym także przedsiębiorców).
Efekty ustawy poznamy dopiero za jakiś czas. Przedsiębiorcy nie powinni oglądać się na ustawodawcę
I mimo narzekania przedsiębiorców (wynikającego też w dużej mierze z niepewności jak prawo będzie egzekwowane w praktyce i co zmieni się na korzyść) należy pamiętać, że kwestie cyberbezpieczeństwa są wciąż zbyt rzadko poruszane w przestrzeni publicznej. Nie wiadomo jeszcze, w jakim stopniu przepisy UoKSC okażą się skuteczne (zarówno w aspekcie zapobiegania zagrożeniom, jak i wypracowywaniu lepszych rozwiązań). W związku z tym przedsiębiorcy powinni starać się zapewnić ochronę przed atakami cyberprzestępców zarówno sobie, jak i swoim pracownikom. Dotyczy to zwłaszcza tych przedsiębiorców, którzy udostępniają pracownikom firmowy sprzęt (komputery i smartfony). Bez wystarczających zabezpieczeń poufne dane firmy mogą zostać wykradzione i wykorzystane przeciwko niej. I chodzi tutaj nie tylko o zabezpieczenia na poziomie oprogramowania czy samego sprzętu, ale także – o czujność użytkownika tego sprzętu.
Co może zrobić przedsiębiorca, by zwiększyć bezpieczeństwo swojej firmy?
Po pierwsze – konieczna jest edukacja. Warsztaty, kursy, szkolenia – wszystko, co pozwoli pracownikom na uświadomienie sobie zagrożeń wynikających z dostępu do sieci. Po drugie – ważne jest wykrycie błędów w zabezpieczeniach firmowych. Tę kwestię można rozwiązać poprzez zlecenie kontroli specjalistycznej firmie. Pozostaje jednak także kwestia sposoby użytkowania sprzętu przez pracownika. Jeśli pracodawca obawia się, że pracownik wykorzystuje telefon służbowy do celów prywatnych (bez uzyskania zgody pracodawcy), a do tego niespecjalnie stosuje się do zaleceń dotyczących bezpieczeństwa w sieci, to może pomyśleć nad dodatkowymi rozwiązaniami. Przykładem może być platforma Samsung Knox. Wersja komercyjna umożliwia pracodawcom kontrolowanie pewnych aspektów korzystania ze smartfonów służbowych. Na przykład pracodawca może za pomocą platformy odgórnie zabronić instalowania pewnych aplikacji (co z kolei zmniejsza ryzyko zawirusowania urządzenia); to zresztą nie jest jedyna dostępna opcja w ramach tej usługi. Inne firmy oferują np. aplikacje, które mają domyślnie zainstalowane antywirusy.
Przedsiębiorcy powinni pamiętać, by łączyć ze sobą poszczególne rozwiązania i nie poprzestawać na jednym. Z kolei jeśli chodzi o UoKSC – dla części nowe przepisy to efekt chaosu, niezrozumienia potrzeb i wdrażania unijnego prawa bez jakiejkolwiek refleksji i próby dostosowania dyrektywy NIS do polskich realiów. Dla innych to nadzieja na to, że kwestia cyberbezpieczeństwa Polski i jej obywateli w końcu będzie częściej poruszana oraz że państwo będzie dysponować (przynajmniej częściowo) odpowiednimi narzędziami w tym zakresie. Bez względu na to jedną z grup, która powinna być szczególnie zainteresowana bezpieczeństwem w sieci, są przedsiębiorcy. I mimo że Ustawa o krajowym systemie cyberbezpieczeństwa wymusza na części tej grupy pewne dodatkowe zabezpieczenia, to o swoje bezpieczeństwo powinni dbać wszyscy. I to właśnie działanie na poziomie mikro może przynieść znacznie więcej pożytku niż UoKSC.
