CSO Council, która integruje menedżerów cyberbezpieczeństwa i bezpieczeństwa informacji, wyraża obawy, że proces legislacyjny nowej ustawy o Krajowym Systemie Cyberbezpieczeństwa (KSC) wciąż nie został zakończony, a już pojawiają się głosy, że może to być jedną z pierwszych ustaw odrzuconych przez Prezydenta Karola Nawrockiego.
Zdaniem organizacji, brak nowelizacji KSC utrzymuje niepewność prawną w kluczowych obszarach, szczególnie w zakresie zarządzania ryzykiem w łańcuchu dostaw.
– Bez jasnych wytycznych dotyczących oceny dostawców ICT, w tym wykluczania podmiotów „wysokiego ryzyka”, CISO jako osoby odpowiedzialne za cyberbezpieczeństwo firmy, zwłaszcza w sektorze publicznym, nie mają podstaw do eliminowania dostawców, którzy mogą stanowić zagrożenie dla państwa (np. sprzęt pochodzący z jurysdykcji wrogich krajów) – podkreśla CSO Council.
Jednocześnie zauważa, że skutki gospodarcze takich decyzji mogłyby być poważne: wykluczenie zagranicznych dostawców, często oferujących najkorzystniejsze warunki finansowe (np. chińskich), może zakłócić łańcuchy dostaw, zwiększyć koszty oraz wywołać retorsje handlowe.
Jednak gorsze jest, że brak nowelizacji ustawy o Krajowym Systemie Cyberbezpieczeństwa utrzymuje stan niepewności i utrudnia strategiczne planowanie w zakresie cyberbezpieczeństwa.
– Mimo to, rolą każdego CISO jest już dziś wzmacnianie analizy ryzyka stron trzecich w łańcuchu dostaw oraz dokumentowanie ocen ryzyka dostawców, nawet przy braku formalnych wymogów. Jak długo jeszcze polskie firmy będą musiały funkcjonować w stanie permanentnej niepewności, wynikającym z braku jasnych regulacji? – pyta CSO Council.
