Unijna dyrektywa notuje opóźnienia. Jak do jej wdrożenia przygotowują się organizacje [WYWIAD]

Wdrożenie dyrektywy NIS 2, której celem jest zwiększenie poziomu cyberbezpieczeństwa, to spore wyzwanie w organizacjach zarówno publicznych, jak i prywatnych. Przepisy miały być wprowadzone w październiku 2024 roku, ale na przeszkodzie stanęła m.in. szeroka nowelizacja ustawy o Krajowym Systemie Cyberbezpieczeństwa. O czym w rozmowie z Krzysztofem Dykim, prezesem ComCERT w Grupie Asseco rozmawia dr Marta Mackiewicz, wykładowczyni ALK w Katedrze Prawa Administracji i Prawa Gospodarczego.

Marta Mackiewicz: Jedna z trudniejszych dla biznesu dyrektyw w Polsce – NIS 2 miała zostać wdrożona do krajowego systemu prawnego w październiku 2024 roku. Jednak, zgodnie z najnowszymi doniesieniami Ministerstwa Cyfryzacji, proces ten znacznie się wydłużył. Możemy z dużą dozą pewności stwierdzić, że implementacja nie została przeprowadzona w terminie.

Przyczyną tego opóźnienia jest szeroka nowelizacja ustawy o Krajowym Systemie Cyberbezpieczeństwa, która spowolniła cały proces legislacyjny. Do projektu zgłoszono liczne uwagi konsultacyjne – ponad 90 podmiotów wyraziło różnego rodzaju zastrzeżenia, głównie dotyczące doprecyzowania pojęć, takich jak proces ICT, czy zakres podmiotów objętych dyrektywą NIS 2.

Panie Prezesie, jako osoba zajmująca się nie tyle prawną stroną tej kwestii, co pragmatycznym wdrażaniem systemów cyberbezpieczeństwa w różnych organizacjach – zarówno publicznych, jak i prywatnych – jak ocenia Pan proces nie tyle implementacji samego aktu prawnego, ile świadomość kluczowych i istotnych podmiotów oraz ich responsywność organizacyjną i biznesową w zakresie wdrażania postanowień dyrektywy NIS 2? Czy organizacje są świadome konieczności wdrożenia tych zmian? Jak wygląda to w sektorze publicznym oraz wśród przedsiębiorców prywatnych?

Krzysztof Dyki, prezes ComCERT, Grupa Asseco: Responsywność w tym procesie legislacyjnym powinniśmy mierzyć stopniem proaktywnych działań podejmowanych przez organizacje w celu przygotowania się do realizacji postulatów, które już od dłuższego czasu znajdują się w projekcie ustawy. Warto zaznaczyć, że wiele z tych zapisów jest stabilnych i nie ulegnie zmianie. Niestety, poziom proaktywności jest niski – zarówno w sektorze prywatnym, jak i publicznym.

Lepsze przygotowanie można zaobserwować jedynie w tych organizacjach, które już dziś mają wyraźne zobowiązania prawne, wynikające z innych przepisów, np. dotyczących rynku finansowego. Te podmioty, przy okazji wdrażania istniejących regulacji, starają się uwzględniać stabilne wymagania związane z dyrektywą NIS 2, ponieważ prawdopodobnie nie ulegną one zmianie w ostatecznej wersji nowelizacji.

Jednym z najbardziej problematycznych i niestabilnych obszarów jest definicja i sposób klasyfikacji tzw. vendora wysokiego ryzyka. Nadal nie wiadomo, kto nim będzie i jak będzie to rozstrzygane. Jest to kluczowa kwestia, ponieważ wpływa na koszty ponoszone przez podmioty zobowiązane do dostosowania się do nowych regulacji. W przypadku małych firm koszty te będą niewielkie, w średnich przedsiębiorstwach większe, natomiast w korporacjach – największe, szczególnie w sektorze telekomunikacyjnym.

Podsumowując, obecnie mamy do czynienia z sytuacją, w której instytucje finansowe i telekomunikacyjne wykazują największe zainteresowanie tematem, choć wciąż bardziej się przyglądają, niż podejmują konkretne działania. W sektorze prywatnym i publicznym można zaobserwować podobny trend – organizacje czekają na finalną wersję przepisów i analizują kolejne iteracje projektu z bezpiecznego dystansu. Niestety, jest to podejście, do którego zdążył nas już przyzwyczaić ustawodawca, publikując liczne wersje tej samej ustawy.

Marta Mackiewicz: Celowo rozróżniamy sektor publiczny i prywatny, ponieważ od podmiotów publicznych oczekuje się większego rygoryzmu normatywnego – powinny one stanowić wzór w zakresie implementacji regulacji prawnych.

Czy w okresie, w którym dyrektywa NIS 2 miała zostać wdrożona zauważył Pan wzrost liczby przetargów publicznych związanych z cyberbezpieczeństwem? Mówię przede wszystkim o jednostkach budżetowych, które są definitywnie zobligowane do stosowania PZP.

Czy jako dostawca usług cyberbezpieczeństwa zauważył Pan zwiększoną liczbę przetargów dotyczących systemów operacyjnych bezpieczeństwa (SOC), audytów oraz innych usług związanych z cyberbezpieczeństwem? Jak wygląda aktywność sektora publicznego w tym zakresie?

Krzysztof Dyki: Widać stopniowo rosnącą aktywność, choć nie można mówić o gwałtownym wzroście. Powinniśmy zastanowić się, na ile ta zwiększona aktywność wynika z rosnącej samoświadomości organizacji, a na ile jest bezpośrednim efektem nowelizacji UKSC, dyrektywy NIS 2 i regulacji DORA.

Z analizy zamówień publicznych i komercyjnych wynika, że niewielka część przetargów jest wprost adresowana do wdrożenia NIS 2 czy DORA. Jeszcze rzadziej spotykamy się z sytuacją, w której zamówienia te dotyczą dużych inwestycji skierowanych na pełną implementację wymogów tych regulacji. Przeważnie widzimy ogólny trend podnoszenia poziomu cyberbezpieczeństwa – organizacje inwestują w ten obszar, jednocześnie przybliżając się do spełnienia wymagań wynikających z NIS 2 i DORA.

Jeśli spojrzymy na kluczowe cechy tych regulacji, zauważymy pewne wspólne elementy: rozszerzenie zakresu podmiotowego, wzmocnienie wymogów bezpieczeństwa, obowiązek zgłaszania incydentów, zarządzanie ryzykiem ICT oraz testowanie odporności cyfrowej. Skoro te obszary są wspólne dla UKSC, DORA i NIS 2, trudno jednoznacznie określić, czy firmy inwestują z myślą o konkretnej dyrektywie, jeśli nie wskazują tego wprost w dokumentacji przetargowej.

Z tego, co obserwujemy podczas składania ofert, tylko niewielka część inwestycji jest jednoznacznie powiązana z nadchodzącymi zmianami w przepisach i regulacjach. W większości przypadków organizacje po prostu starają się zwiększyć swój poziom cyberbezpieczeństwa.

Co więcej, często zdarza się, że wzrost inwestycji wynika z obaw przed realnymi zagrożeniami, a nie z konieczności dostosowania się do regulacji. Na przykład, po atakach cybernetycznych na sektor medyczny, niektóre podmioty w Polsce zainwestowały w dodatkowe zabezpieczenia. Widzimy więc, że decyzje inwestycyjne są często reakcją na incydenty, a nie proaktywnym dostosowywaniem się do wymogów prawnych.

Podsumowując, sektor publiczny i prywatny nadal czeka na stabilizację przepisów. Dopóki nie pojawi się jasna ścieżka legislacyjna i ostateczny kształt regulacji, wiele organizacji wstrzymuje się z konkretnymi działaniami, inwestując jedynie w ogólne podniesienie poziomu cyberbezpieczeństwa. Jest to podejście zrozumiałe – trudno oczekiwać, by podmioty zobowiązane ponosiły duże koszty, dopóki nie mają pewności co do ostatecznego kształtu przepisów.

Więcej na temat cyberbezpieczeństwa firm i instytucji w wideo poniżej.

Marta Mackiewicz: Za każdym aktem prawnym powinna stać realna potrzeba jego wprowadzenia. Prawnicy znają aksjologię tych regulacji, ale dla przeciętnego obywatela uzasadnienie takiej regulacji powinno być jasne i wynikać z realnego zagrożenia lub potrzeby ochrony prawnej określonego obszaru.

W przypadku dyrektywy NIS 2, DORA czy innych regulacji dotyczących cyberbezpieczeństwa można założyć, że stoją za nimi zwiększone zagrożenia w zakresie cyberataków. Logicznie rzecz ujmując, regulacje powinny być odpowiedzią na realne ryzyko, które zostało zidentyfikowane.

Czy, obserwując rynek cyberbezpieczeństwa od wielu lat, rzeczywiście dostrzega Pan wzrost liczby ataków? Czy na przykład temat tzw. vendora wysokiego ryzyka jest faktycznie uzasadniony zwiększoną liczbą incydentów? Czy można powiedzieć, że istnieje rzeczywista potrzeba wzmocnienia systemów cyberbezpieczeństwa i skoordynowania działań na poziomie CERT-ów, ministerstw i organów unijnych? A może liczba ataków pozostaje stabilna i mamy raczej do czynienia z legislacyjną reakcją na wcześniej zidentyfikowane ryzyko?

Krzysztof Dyki: Zwiększenie liczby cyberataków rzeczywiście następuje, ale ma charakter liniowy, a nie wykładniczy. Można powiedzieć, że wzrost ten jest względnie przewidywalny – wręcz można by obstawiać zakłady bukmacherskie, ponieważ dynamika tego procesu nie odbiega znacząco od wcześniejszych trendów. Nie obserwujemy nagłych skoków liczby incydentów.

Oczywiście, mieliśmy pewne okresy wzmożonej aktywności cyberprzestępców – zwłaszcza w trakcie pandemii COVID-19 i bezpośrednio po niej. To właśnie wtedy nastąpił gwałtowny wzrost liczby cyberataków, a jednocześnie był to czas największych inwestycji w cyberbezpieczeństwo. Po pandemii sytuacja się ustabilizowała, a dane wskazują na powrót do przewidywalnych poziomów zagrożeń.

Podobnie było z rynkiem specjalistów IT – w czasie pandemii nastąpił gwałtowny wzrost zapotrzebowania na ekspertów w dziedzinie cyberbezpieczeństwa, a po pandemii nastąpiła stabilizacja. Widzimy więc, że wzrost zagrożeń nie jest skokowy, ale stopniowy i przewidywalny.

Jeśli przyjrzymy się procesowi legislacyjnemu, zobaczymy, że obecne regulacje były przygotowywane od wielu lat. Ich powstanie było reakcją na wcześniejsze wydarzenia i zidentyfikowane zagrożenia. W pewnym sensie mamy dziś do czynienia z sytuacją, w której regulacje, choć potrzebne, są konsekwencją wcześniejszych decyzji legislacyjnych i uświadomienia sobie konieczności uregulowania aspektów znanych kilka lat wcześniej. Nie wynikają jednak z nagłego wzrostu zagrożeń w konkretnym sektorze.

Marta Mackiewicz: Przez długi czas organy regulacyjne – zwłaszcza w sektorze finansowym – obawiały się przenoszenia usług ICT do chmury, zwłaszcza w zakresie danych wrażliwych, biznesowych czy komercyjnych. Komisja Nadzoru Finansowego długo pozostawała sceptyczna wobec outsourcingu usług bankowych do chmury, choć z czasem zaczęła dopuszczać wyjątki.

W sektorze prywatnym, który nie podlega tak rygorystycznym regulacjom, chmura stała się jednak standardem – jest tańsza i bardziej efektywna.

Czy sama chmura zwiększa zagrożenia cyberbezpieczeństwa w porównaniu do trzymania systemów IT on-premise, czyli w klasycznych serwerowniach? Czy fakt, że mamy kilku dominujących dostawców chmury i wielu mniejszych graczy korzystających z ich infrastruktury, sprawia, że włamania do systemów chmurowych są łatwiejsze?

Dodatkowo, duzi dostawcy usług chmurowych często nie biorą na siebie odpowiedzialności za bezpieczeństwo danych – ta odpowiedzialność spoczywa na kliencie. Czy rzeczywiście jest to istotny problem i czy przetwarzanie danych w chmurze wiąże się z większym ryzykiem?

Krzysztof Dyki: To bardzo istotne pytanie i nie ma na nie jednoznacznej odpowiedzi. Kluczowe jest rozróżnienie dwóch aspektów bezpieczeństwa w chmurze, o których często się zapomina:

1. Bezpieczeństwo fizyczne – czyli dostęp do serwerów, monitoring, chłodzenie, zasilanie. W tym zakresie wiodący dostawcy chmurowi, tacy jak Microsoft, Google, Amazon czy Salesforce, mają znacznie wyższe standardy niż przeciętny podmiot publiczny czy prywatny. Ich centra danych są doskonale zabezpieczone pod względem infrastruktury fizycznej.
2. Bezpieczeństwo teleinformatyczne – które jednak zależy głównie od klienta, a nie dostawcy chmury.

Ważne jest, aby zrozumieć, że dostawcy chmurowi nie odpowiadają za bezpieczeństwo systemów uruchamianych przez klientów na ich infrastrukturze. Owszem, oferują narzędzia do zabezpieczeń, ale to klient musi je skonfigurować i wdrożyć odpowiednie procedury.

To właśnie brak tej świadomości jest głównym problemem. Wielu klientów, zwłaszcza tych mniej doświadczonych, zakłada, że skoro korzystają z chmury dużego dostawcy, to ich dane są automatycznie bezpieczne. Tak jednak nie jest. Jeśli klient nie zadba o odpowiednią konfigurację i procedury bezpieczeństwa, jego systemy będą podatne na ataki – niezależnie od tego, że działają na infrastrukturze renomowanego dostawcy.

Ataki na chmury największych dostawców, które miały miejsce w ostatnich latach, wynikały właśnie z błędnej konfiguracji po stronie klientów, a nie z luk w samych usługach chmurowych.

Marta Mackiewicz: A jak wygląda kwestia odpowiedzialności za cyberbezpieczeństwo w kontekście usług chmurowych?

Załóżmy, że klient zamawia rozwiązanie SaaS w chmurze i chce, aby jego dane były w pełni zabezpieczone. Czy w takiej sytuacji powinien oczekiwać, że dostawca tej usługi – np. firma, która opracowuje dla niego oprogramowanie – zapewni mu również pełne zabezpieczenie ? Czy jest to coś, co klient powinien adresować bezpośrednio do dostawcy usługi chmurowej, czy może do odrębnej firmy zajmującej się cyberbezpieczeństwem?

Krzysztof Dyki: Wiodący dostawcy chmurowi – Microsoft, Google, Amazon, Salesforce – nie świadczą usług ochrony, lecz jedynie dostarczają narzędzia umożliwiające zabezpieczenie systemów. Te narzędzia trzeba jednak wdrożyć, skonfigurować i zintegrować – co wymaga wiedzy i doświadczenia.

Właściwą praktyką jest zatem to, aby firma wdrażająca usługi chmurowe jednocześnie zapewniała odpowiednie środki ochrony. Jeśli klient chce, aby jego systemy były zgodne np. z DORA czy NIS 2, powinien jasno określić te wymagania przy zawieraniu umowy z dostawcą usługi.

Najczęstszym błędem klientów jest myślenie o cyberbezpieczeństwie dopiero po wdrożeniu chmury. Wówczas trzeba uruchamiać dodatkowy, kosztowny projekt zabezpieczeń. Tymczasem znacznie taniej i efektywniej jest zadbać o ten aspekt od samego początku transformacji chmurowej.

Marta Mackiewicz: Chciałabym poruszyć temat, który – z mojej prawnej perspektywy – w projekcie ustawy o Krajowym Systemie Cyberbezpieczeństwa jest traktowany powierzchownie. Mam na myśli kwestię dostawców ICT i samego procesu ICT, który w aktualnym brzmieniu ustawy wydaje się definiowany zbyt szeroko.

Problem ten sygnalizowało wiele podmiotów uczestniczących w konsultacjach publicznych – spośród 99 podmiotów zgłaszających uwagi do projektu, wiele wskazywało właśnie na brak precyzji w tym zakresie. Co więcej, pojawia się tu kwestia zapewnienia bezpieczeństwa i ciągłości łańcucha dostaw produktów, usług i procesów ICT. Zgodnie z ustawą, każdy podmiot kluczowy i ważny ma obowiązek zagwarantowania bezpieczeństwa i ciągłości tych dostaw – ale co to tak naprawdę oznacza?

DORA reguluje tę kwestię w bardziej jednoznaczny sposób, precyzując, jakie klauzule powinny znaleźć się w umowach z dostawcami ICT. Artykuł 30 rozporządzenia określa m.in. wymogi dotyczące możliwości wypowiedzenia umowy, obowiązku raportowania incydentów czy zapewnienia odpowiedniego poziomu bezpieczeństwa przez samego dostawcę. W praktyce oznacza to, że banki i instytucje finansowe na podstawie DORA renegocjują umowy z dostawcami, korzystając np. z aneksu opracowanego przez Związek Banków Polskich.

Natomiast w przypadku NIS 2 i KSC mamy ogólnikowe sformułowania – prawo wymaga zapewnienia bezpieczeństwa i ciągłości dostaw, ale nie precyzuje, jak to zrobić.

Chciałabym więc zapytać Pana, jako praktyka zajmującego się cyberbezpieczeństwem, jak rozumie Pan bezpieczeństwo i ciągłość łańcucha dostaw ICT oraz jak powinny funkcjonować dostawy ICT w podmiocie krytycznym, np. elektrociepłowni?

Czy bezpieczeństwo i ciągłość działania to dwa odrębne pojęcia, czy powinny być traktowane jako nierozerwalnie powiązane aspekty?

Krzysztof Dyki: To pytanie dotyka jednego z najbardziej problematycznych obszarów implementacji ustawy. Właśnie ten temat generuje wiele pytań i budzi obawy na rynku.

Zacznijmy od podstaw. Usługi ICT to – upraszczając – usługi cyfrowe świadczone za pośrednictwem systemów teleinformatycznych. Ich zakres jest bardzo szeroki:

• usługi chmurowe (SaaS, PaaS, IaaS),
• przechowywanie i przetwarzanie danych,
• analityka danych,
• licencjonowanie oprogramowania,
• usługi konsultingowe w IT i AI,
• hosting, zarządzanie infrastrukturą i wiele innych.

Kluczowe jest to, że w tej definicji nie mieszczą się tradycyjne usługi analogowe, np. telefonia stacjonarna.

W kontekście DORA poprawne zrozumienie i zdefiniowanie usług ICT ma duże znaczenie dla instytucji finansowych, ponieważ wpływa na ich obowiązki w zakresie zarządzania ryzykiem ICT i współpracy z dostawcami.

Natomiast bezpieczeństwo i ciągłość działania to pojęcia, które choć powiązane, nie są tożsame. Bezpieczeństwo – to ochrona przed zagrożeniami, zarządzanie ryzykiem i zapewnienie stabilności systemów.

Ciągłość działania – to zdolność organizacji do utrzymania operacyjności nawet w przypadku awarii. Można mieć bezpieczne systemy, ale jeśli zabraknie prądu, serwerów zapasowych czy mechanizmów redundancji, organizacja i tak przestanie funkcjonować.

Czyli brak ciągłości działania może prowadzić do zagrożenia bezpieczeństwa, ale nie zawsze jest to jednoznaczne z cyberzagrożeniem.

Łańcuch dostaw to kolejne zagadnienie, które w regulacjach europejskich i krajowych zaczęto dostrzegać stosunkowo późno. Przypadek awarii PKP sprzed kilku lat pokazuje, jakie mogą być konsekwencje niedostatecznej kontroli nad dostawcami.

Wtedy, przypomnijmy, awaria dotyczyła systemu Ebilock 950, który był produkowany we Francji, ale część oprogramowania pochodziła z Moskwy. Dwa lata temu w całym kraju przestały jeździ pociągi, co pokazało, jak kluczowe jest śledzenie całego łańcucha dostaw, a nie tylko bezpośredniego dostawcy.

Czym jest bezpieczeństwo łańcucha dostaw?

• Nie chodzi tylko o to, czy ufamy swojemu dostawcy.
• Trzeba także sprawdzić jego poddostawców i ich dostawców.
• Organizacja powinna mieć pełną wiedzę na temat tego, skąd pochodzą produkty i usługi, z których korzysta.

Z perspektywy prawnej to duże wyzwanie. Informatycy nie zajmują się łańcuchem dostaw – oni dbają o konfigurację i ochronę systemów. Ale ktoś w organizacji musi odpowiada za ten aspekt.

Istotna jest rola działów prawnych, które pomogą stworzy zapisy umowne definiujące wymagania wobec dostawców i podwykonawców ICT. Chodzi o sprawdzanie czy spełniają oni standardy bezpieczeństwa i nie stanowią ryzyka dla organizacji.

Marta Mackiewicz: Podsumowując, chciałabym jeszcze zapytać: kiedy możemy spodziewać się finalnej wersji ustawy o KSC? Czy Ministerstwo Cyfryzacji jest w stanie w najbliższym czasie przedstawić ostateczny kształt regulacji i uruchomić proces rejestracji podmiotów zobowiązanych do raportowania incydentów? Jak długo jeszcze przedsiębiorcy będą mogli „odkładać” wdrażanie zmian, bazując na niepewnej sytuacji prawnej? Czy możemy mówić o perspektywie pół roku, roku?

Krzysztof Dyki: To pytanie dla bukmacherów – tylko Minister Cyfryzacji zna odpowiedź, a i on nie ma łatwego zadania. Ta ustawa nie dotyczy jedynie jednego resortu, ale wpływa na funkcjonowanie tysięcy podmiotów oraz kluczowych instytucji państwowych.

Miałem okazję uczestniczyć w procesach legislacyjnych i wiem, jak skomplikowane są takie uzgodnienia. Zmiana, która jest korzystna dla jednej grupy interesariuszy, może kolidować z interesami innej.

Zakładano, że wojna Rosji z Ukrainą przyspieszy proces wdrażania ustawy o KSC. Tak się jednak nie stało. Teraz, gdy sytuacja na froncie stabilizuje się i zmierza ku negocjacjom pokojowym, trudno dostrzec nowe przesłanki powodujące, że prace legislacyjne przyspieszą.

Czy ustawa wejdzie w życie w tym roku? Rząd twierdzi, że tak, ale podobne deklaracje słyszeliśmy już wcześniej. Kluczową rolę może odegra aspekt finansowy – nowelizacja oznacza poważne koszty zarówno dla firm prywatnych, jak i instytucji państwowych.

Niezależnie od tego w jakiej formie Minister Cyfryzacji wprowadzi ustawę, niestety spotka się z krytyką stron, które mają rozbieżne interesy.

Rozmawiała dr Marta Mackiewicz, wykładowczyni ALK w Katedrze Prawa Administracji i Prawa Gospodarczego.

Oprac. Źródło własne / zdjęcie otwierające: Flickr.com/European Parliament/CC BY 2.0

Artykuł Unijna dyrektywa notuje opóźnienia. Jak do jej wdrożenia przygotowują się organizacje [WYWIAD] pochodzi z serwisu ANDROID.COM.PL - społeczność entuzjastów technologii.