Polskim uczelniom wyższym grozi paraliż biurokratyczny i drastyczny wzrost kosztów w związku z planowaną nowelizacją ustawy o Krajowym Systemie Cyberbezpieczeństwa. Najnowszy raport Instytutu Patria Polonia oraz Towarzystwa Naukowego KUL wskazuje, że projektowane przepisy, zamiast realnie wzmacniać odporność na cyberataki, mogą zmusić uczelnie do budowania kosztownej „papierowej zgodności”, nieadekwatnej do specyfiki środowiska akademickiego.
W ocenie autorów opracowania głównym problemem zidentyfikowanym w raporcie jest rozbieżność między unijną dyrektywą NIS2 a jej polską implementacją pod postacią nowelizacji ustawy o Krajowym Systemie Cyberbezpieczeństwa. Podczas gdy prawo unijne opiera się na zasadzie proporcjonalności i podejściu opartym na ryzyku, polska nowela przyjmuje sztywne podejście administracyjne. Prowadzi to do automatycznego włączania niemal wszystkich uczelni do katalogu „podmiotów ważnych”, nakładając na nie obowiązki porównywalne z sektorem infrastruktury krytycznej.
Eksperci ostrzegają przed tzw. „gold platingiem”, czyli wprowadzaniem przez polskiego ustawodawcę dodatkowych wymogów, które wykraczają poza minimum określone przez UE. Dla przeciętnej uczelni może to oznaczać konieczność poniesienia ogromnych kosztów wdrożeniowych (m.in. budowa systemów SOC/SIEM, centralizacja zarządzania tożsamością) oraz stałych wydatków na rozbudowę zespołów eksperckich i cykliczne audyty.
– Projekt nowelizacji ustawy o Krajowym Systemie Cyberbezpieczeństwa, w obecnym kształcie, niesie istotne ryzyko nadregulacji sektora szkolnictwa wyższego. Nakłada obowiązki wykraczające poza minimum określone w Dyrektywie NIS2 i generuje potencjalne koszty nieadekwatne do realnej „krytyczności" większości uczelni – ocenia profesor Jacek Gołębiowski z KUL, jeden z autorów raportu.
Autorzy rekomendują, by objęcie uczelni reżimem KSC miało charakter fakultatywny i dotyczyło wyłącznie jednostek prowadzących badania o znaczeniu strategicznym, zgodnie z duchem przepisów europejskich. Uważają też, że skuteczna poprawa cyberodporności sektora szkolnictwa wyższego wymaga instrumentów wsparcia państwowego (ramy referencyjne, wspólne usługi SOC, centralne wytyczne techniczne, programy kompetencyjne), a nie wyłącznie rozszerzania obowiązków ustawowych.
Pełne wdrożenie wymogów KSC w aktualnie projektowanej formie oznacza dla uczelni konieczność poniesienia wysokich kosztów stałych i jednorazowych, obejmujących m.in.:
- budowę lub zakup usług SOC/SIEM/EDR,
- centralizację IAM i wdrożenie MFA/PAM,
- stałe audyty, testy bezpieczeństwa i ćwiczenia BCP/DR,
- utrzymanie „żywej” dokumentacji i dowodów operacyjnych,
- wzmocnienie zespołów cyberbezpieczeństwa lub outsourcingu
– Skala tych kosztów jest porównywalna z obciążeniami sektora infrastruktury krytycznej, co jest trudne do uzasadnienia w odniesieniu do większości uczelni dydaktycznych – czytamy w raporcie.
