Według Palo Alto Networks, o ile w 2021 r. średni czas kradzieży danych z organizacji wynosił dziewięć dni, to w 2023 r. było to już zaledwie dwa dni, a w 2025 r. może to być tylko 25 minut.
Problem ten dostrzega Unia Europejska, która przyjęła dyrektywę NIS 2. Jej celem jest wzmocnienie cyberbezpieczeństwa w całej Unii Europejskiej poprzez wprowadzenie jednolitych standardów ochrony sieci i systemów informatycznych. A to po to, by wzmocnić odporność na cyberataki, poprawić zarządzanie ryzykiem, usprawnić raportowanie incydentów oraz zabezpieczenie łańcucha dostaw. Dyrektywa obejmuje szeroki zakres podmiotów, takich jak energetyka, transport, zdrowie oraz wprowadza surowsze kary za nieprzestrzeganie przepisów.
Teoretycznie kraje członkowskie powinny ją wdrożyć na krajowy grunt do połowy października ub.r. Tak się nie stało w wielu krajach, m.in w Polsce. W naszym kraju implementować te przepisy ma nowelizowana od kilku lat ustawa o Krajowym Systemie Cyberbezpieczeństwa (KSC). Z różnych względów kolejne wersje tego aktu wzbudzały wielkie emocje i dyskusje. Dotyczy to także ostatnich wersji tej nowelizacji przedstawionych przez obecny resort cyfryzacji. Teoretycznie cel jest szczytny – wszyscy się zgadzają, że działania związane z poprawą poziomu cyberbezpieczeństwa są niezbędne. Mniej radości budzi perspektywa, że wprowadzenie takich wymogów jak: obowiązek raportowania incydentów cybernetycznych, przeprowadzania regularnych audytów bezpieczeństwa, ocen ryzyka czy wdrożenie zaawansowanych środków ochronnych będzie w wielu firmach wymagało sporych nakładów finansowych. W opinii ekspertów, wysokie koszty związane z dostosowywaniem się do nowych wymogów mogą być barierą we wdrażaniu NIS 2, szczególnie dla mniejszych firm.
Zgłaszane są wątpliwości, czy aż tak surowe muszą być kary, czy przepisom musi podlegać aż tyle podmiotów i tyle branż. Ogromne kontrowersje budzą proponowane zapisy dotyczące dostawców wysokiego ryzyka.
Jedno pozostaje jednak pewne, przepisy nowelizowanej ustawy o KSC niebawem wejdą w życie. O tym, jak się do tego przygotować, jakie wydatki to może pociągnąć w firmach, na co przy dostosowaniu się do nowych wymogów zwrócić szczególną uwagę podpowiemy w specjalnym raporcie TELKO.in „Technologiczne i prawne wyzwania przy wdrażaniu przepisów ustawy o Krajowym Systemie Cyberbezpieczeństwa”, przygotowywanym we współpracy z Kancelarią Prawną Media. Opublikowany on zostanie na początku maja.
– Projekt nowelizacji ustawy o krajowym systemie bezpieczeństwa (ustawy o KSC) jest na etapie prac rządowych i zostanie niebawem przekazany do rozpatrzenia przez Stały Komitet Rady Ministrów. Staramy się, aby ustawa została uchwalona do końca I połowy 2025 r. i weszła w życie w bieżącym roku, natomiast w przypadku wielu podstawowych obowiązków dla administracji i przedsiębiorców objętych regulacją – w szczególności dotyczących wdrożenia systemu zarządzania bezpieczeństwem informacji – przewidziany jest aktualnie 6-miesięczny termin vacatio legis – informuje w rozmowie z TELKO.in Marcin Wysocki, zastępca dyrektora Departamentu Cyberbezpieczeństwa w Ministerstwie Cyfryzacji, którą opublikujemy w raporcie.