To dyrektywa oparta na:
- analizie ryzyka,
- proporcjonalności,
- adekwatności środków,
- obowiązkach zarządczych,
- spójnych procedurach reagowania.
Problem polskiej implementacji nie leży w dyrektywie, lecz w tym, że polski projekt wdrożeniowy (czyli nowelizacja KSC) próbuje rozwiązać 10 problemów naraz. I tu właśnie można się zgodzić z Patrycją Gołos: łączenie tak wielu wątków w jednym KSC rozmywa cele i komplikuję drogę wdrożenia.
Nawet „szczupła” wersja KSC byłaby dla większości rynku rewolucją, bo zmusza do tego, czego dotąd nie robiliśmy. Nawet gdyby jutro odchudzić KSC i wdrożyć tylko czyste NIS2 („EU+0”), i tak powstałaby największa od lat zmiana w zarządzaniu ryzykiem cyber w Polsce.Dlaczego?
Bo dziś:
- zarządy nie analizują ryzyka,
- zarządy nie odpowiadają za incydenty,
- systemy nie są katalogowane,
- łańcuchy dostaw są „niewidzialne”,
- procedury nie istnieją lub istnieją tylko „na papierze”,
- większość firm nie prowadzi żadnych ćwiczeń.
Czyli problem nie zaczyna się w ustawie, tylko w kulturze zarządzania ryzykiem, której u nas po prostu nie ma. I tu polemizuję nieco z fundamentem wspomnianego artykułu: zbyt rozbudowane KSC to problem, owszem, ale nie najważniejszy. Najważniejsze jest to, że nawet odchudzona wersja dla 80 proc. przedsiębiorstw na rynku również byłaby trudna. Co nie znaczy, że niepotrzebna.
W debacie publicznej pojawia się argument, że rozbudowane KSC może być kosztowne.
Zgoda ‒ może być. Ale dzięki temu, że:
- polski rynek ma wszystkie globalne rozwiązania,
- konkurencja dostawców SOC i MSP jest ogromna,
- jakość inżynierska jest wysoka,
- usługi są relatywnie tanie w porównaniu z Europą Zachodnią,
koszty wdrożenia adekwatnych środków są w Polsce naprawdę rozsądne. Największy koszt to nie systemy, lecz:
- zmiana podejścia,
- ułożenie procesów,
- nauczenie kadry zarządzającej myślenia ryzkiem.
A tego żadna ustawa nie zrobi za nas.
Zgadzam się z jedną rzeczą w 100 proc. ‒ wątek dostawców wysokiego ryzyka nie powinien być ujmowany w tej samej ustawie. To jest jedyny element, w którym moje stanowisko niemal w pełni pokrywa się z artykułem opublikowanym na TELKO.in.
Łączenie kwestii NIS2 (operacyjne bezpieczeństwo) z problemem DWR (strategia geopolityczna i łańcuch dostaw) jest konstrukcyjnie trudne i spowalnia wszystko. To nie jest kwestia tego, czy temat jest ważny ‒ bo jest. Tylko tego, że powinien być procedowany oddzielnie, aby nie obciążać KSC.
KSC może być prostsze. Ale dopóki rynek nie robi podstaw, każda ustawa będzie „za duża”. KSC w obecnym kształcie jest zbyt szerokie, zbyt rozbudowane i zbyt wielowątkowe.To jednak nie ta rozbudowa jest najważniejszym zagrożeniem dla odporności państwa.
Najważniejszym zagrożeniem jest to, że:
- ogrom firm nie analizuje ryzyka,
- sektor publiczny ma poważne braki proceduralne,
- nikt nie patrzy na łańcuch dostaw,
- reakcje na incydenty są improwizowane,
- kultura bezpieczeństwa jest słaba.
Dlatego prawo powinno być prostsze, ale organizacje muszą wreszcie zacząć robić to, co na Zachodzie jest standardem od dekady. KSC czy NIS2 ‒ nawet w skromnej, „odchudzonej” wersji ‒ i tak będzie dla wielu rewolucją. I dobrze. Bo brak zmiany będzie kosztował nas więcej niż jakakolwiek regulacja.
AUTOR
Praktyk wdrażania sieci i cyberbersec z ponad 20 letnim doświadczeniem na polskim rynku IT, zarządzający zespołem SOC. Właściciel firmy Network Experts. Z wykształcenia inżynier telekomunikacji (Politechnika Śląska).
