Na ile w praktyce sprawdza się przyjęta w ubiegłym roku ustawa o krajowym systemie cyberbezpieczeństwa (KSC)*, jak jest realizowana oraz jak są wypełniane wynikające z niej obowiązki dotyczące operatorów usług kluczowych, a przede wszystkim: jakie kolejne kroki trzeba podjąć, aby realnie ustawa wpłynęła na poprawę poziomu cyberbezpieczeństwa w Polsce? Na te tematy dyskutowano podczas panelu „Cyberzagrożenia i cyberbezpieczeństwo”, który odbył się w ramach ścieżki tematycznej „Cyfryzacja i nowe technologie” podczas XI Europejskiego Kongresu Gospodarczego w Katowicach w dniu 14 maja 2019 r.
W debacie udział wzięli: Robert Siudak z Instytutu Kościuszki (moderator), Artur Józefiak z Accenture, Michał Kanownik, prezes Związku Cyfrowa Polska, Robert Kośla, dyrektor w Ministerstwie Cyfryzacji, Michał Kurek z KPMG, Paweł Sawicki z kancelarii Sołtysiński Kawecki & Szlęzak oraz Krzysztof Silicki, z-ca dyrektora ds. cyberbezpieczeństwa i innowacji w NASK-PIB.
Rozpoczynając dyskusję, moderator panelu Robert Siudak, przytoczył wyniki badania, wedle którego jedynie 58 proc. firm w Polsce uznaje cyberbezpieczeństwo za kluczową kompetencję dla ich działalności, podczas gdy w tym samym (globalnym) badaniu liczba wskazań wynosiła średnio 83 proc. To pokazuje, że cyberbezpieczeństwo jest obszarem, gdzie wciąż trzeba wiele poprawić, a szczególnie w Polsce jest jeszcze dużo do zrobienia.
– Ustawa, będąca implementacją unijnej dyrektywy NIS, jest ramą systemową, która pozwala budować krajowy system, w który zaangażowanych jest wielu interesariuszy, w tym administracja państwowa, samorządowa i wiele sektorów gospodarki. Ma umożliwić współpracę różnych podmiotów oraz wymianę informacji, co m.in. pozwoli określić skalę zagrożeń, a przede wszystkim umożliwi im współpracę – mówił Krzysztof Silicki, odpowiadając na pierwsze panelowe pytanie: „Jaka logika stoi za stworzeniem krajowego systemu cyberbezpieczeństwa i jaki cel stawia sobie administracja publiczna w tym zakresie?”.
Obowiązek wprowadzania u operatorów kluczowych odpowiednich mechanizmów bezpieczeństwa na podstawie analiz ryzyk przeprowadzonych w oparciu o wyznaczone standardy i rekomendacje, zgłaszanie incydentów oraz wypełnianie treścią systemu cyberbezpieczeństwa poprzez współpracę różnych ośrodków i pomiotów – to trzy kluczowe elementy, będące logiką ustawy wymienione przez dyrektora NASK.
– W tym zakresie dużo większe możliwości finansowe niż publiczny ma sektor prywatny, jednak często brakuje tam przekrojowego myślenia o innych – w skali globalnej – stwierdził Paweł Sawicki.
Współpraca jest niezbędna, jednak nie da się jej zapisać w ustawie – zgodzili się uczestnicy panelu.
