Jeden z ostatnich artykułów na TELKO.in pod tytułem Krajowy System Cyberbezpieczeństwa – ambitna wizja polityczna kosztem odporności państwa? [autorka: Patrycja Gołos ‒ red.] zwrócił uwagę, że projekt nowelizacji ustawy o krajowym systemie cyberbezpieczeństwa (KSC) stał się konstrukcją tak szeroką i ciężką, że grozi utratą przejrzystości i realnej wykonalności. Z tą diagnozą trudno się nie zgodzić. Ale pracując od lat z firmami i instytucjami publicznymi, widzę jeszcze coś innego: nawet gdyby KSC było smukłe, idealnie napisane i pozbawione nadmiarowych wątków, to i tak ogromna część rynku nie byłaby dziś gotowa spełnić nawet podstawowych wymagań.
Zacznijmy od uczciwości: tak, projekt KSC jest przerośnięty.
Łączy:
- implementację NIS2,
- sektorowe obowiązki,
- nowe definicje ról,
- procedury nadzorcze,
- reżimy raportowania,
do czego dorzucono jeszcze temat dostawców wysokiego ryzyka [DWR].
Tak rozbudowane akty prawne rzeczywiście rodzą ryzyko chaosu interpretacyjnego, a przede wszystkim możliwości wdrożenia w realnym świecie. W tym sensie Patrycja Gołos ma rację: to nie musi działać dobrze. Ale… To nie jest cały obraz. Bo kiedy „przyłożymy lupę” do rzeczywistości, zobaczymy, że problem nie zaczyna się na poziomie ustawy. Polska nie ma problemu z tym, że prawo jest zbyt szerokie. Polska ma problem z tym, że rynek w ogromnej części... nie robi nawet minimum. Tu dochodzimy do sedna.
Dla części dojrzałych firm telekomunikacyjnych, energetycznych czy finansowych KSC w obecnym kształcie faktycznie może być przesadnie rozbudowane. Ale zdecydowana większość polskich firm ‒ i znaczna część instytucji publicznych ‒ nie spełnia nawet podstaw cyberhigieny:
- nie wie, jakie systemy posiada;
- nie prowadzi ewidencji zasobów;
- nie ma procedury reagowania;
- nie ma zarządzania tożsamościami;
- nie potrafi ocenić ryzyka;
- nigdy nie ćwiczyła scenariuszy incydentów;
- nie ma budżetu na bezpieczeństwo;
- nie wie, kto odpowiada, gdy „coś się wydarzy”.
Trudno powiedzieć, że problemem jest „nadmierna regulacja”.
Problemem jest nieadekwatność naszej praktyki do minimalnych wymagań współczesności.I to jest moim zdaniem różnica perspektywy, której zabrakło w tekście Krajowy System Cyberbezpieczeństwa – ambitna wizja polityczna kosztem odporności państwa.
Warto też w tym miejscu zwrócić uwagę na jeszcze jedno zjawisko, które w ostatnich latach staje się coraz bardziej widoczne a mianowicie pokusę funkcjonowania w dwóch równoległych światach: „regulacje i compliance sobie, a technika sobie”.
W efekcie obserwujemy wiele organizacji, które potrafią przedstawić kompletną, poprawną dokumentację bezpieczeństwa ‒ często nawet aktualizowaną przy okazji nowych regulacji lub audytów ‒ ale za tym porządkiem formalnym rzadko idą (niestety) rzeczywiste działania.
Polityki istnieją, procedury są podpisane, checklisty uzupełnione ‒ tylko, że systemów, które miały być monitorowane, od miesięcy nikt nie sprawdzał, a incydenty wykrywane są przypadkiem. To pokazuje, że regulacja bez realnego wdrożenia technicznego daje wyłącznie poczucie bezpieczeństwa, ale realnie nie zapewnia tego bezpieczeństwa. I to w tym rozdźwięku między papierem a praktyką kryje się dziś jedno z ważnych ryzyk.
To również warto podkreślić: dyrektywa NIS2 sama w sobie nie tworzy prawa obszernego i złożonego.
