– Bardzo dobrze, że jest ta ustawa. To duży impuls dla wielu sektorów, żeby wdrażać cyberochronę. Jak pokazują badania, zgodność jest bardzo ważna dla budowania cyberbezpieczeństwa, ale sama zgodność nie wystarczy. Bardzo istotne jest, aby operatorzy usług kluczowych podnosili bezpieczeństwo, nie tylko starając się spełniać wymagania ustawowe, ale także poprzez wymianę informacji o incydentach wykrywanych dzięki stałemu monitoringowi. Bez monitorowania nie będzie identyfikacji i zgłoszeń incydentów, czyli wypełniania obowiązków ustawowych – mówił Michał Kurek.
Jeżeli chodzi o monitorowanie i sposoby reagowania przedsiębiorstw na incydenty, przytoczył wyniki badania zrealizowanego w polskich firmach przez KPMG, które pokazało, że zdecydowana większość firm sprowadza swoje działania do odnotowania incydentu, natomiast rzadko gromadzi informacje o nich i potem dzieli się tą wiedzą.
– Mamy pierwszy impuls, ale przed polskimi firmami długa droga do tego, aby sprawnie zabezpieczać się przed cyberzagrożeniami, a co więcej: identyfikować je i odpowiednio reagować – dodał przedstawiciel KPMG.
– Należę do osób, które cieszą się, że ustawa jest, ale jestem krytyczny, jeżeli chodzi o jej aspekty praktyczne – zastrzegł Artur Józefiak.
Jego zdaniem, prawo powinno pełnić rolę wychowawczą. Jednak same regulacje prawne nie naprawią zaniedbań wynikających z tego, że przez długi czas bezpieczeństwo nie było ani elementem technologii, ani procesów. Ustawa sprzyja mobilizacji, natomiast to osobiste relacje specjalistów od bezpieczeństwa są kluczowe dla skutecznej współpracy przy zwalczaniu cyberzagrożeń – podkreślał przedstawiciel Accenture. Ważna jest współpraca nie tylko w ramach sektora, ale też łańcucha dostarczania wartości. Należy być odpowiedzialnym za cały ten łańcuch.
– Wszyscy zgodzimy się, że ta ustawa jest pozytywnym zjawiskiem, dobrym aktem prawnym, który pozwala skutecznie myśleć o budowie systemu cyberbezpieczeństwa. Największa robota jednak dopiero przed nami, tj. dalsze budowanie świadomości o cyberzagrożeniach. Zwłaszcza wśród małych i średnich podmiotów. Kluczem do długofalowego sukcesu jest zgłaszanie nawet tych najmniejszych incydentów, także przez najmniejsze podmioty i tutaj jest najwięcej do zrobienia – zgodził się z dyrektorem NASK Michał Kanownik.
Kwestię potrzeby budowania świadomości dotyczącej cyberzagrożeń potwierdzają badania Instytutu Kościuszki.
Zapytany o dynamikę procesu wyznaczania operatorów usług kluczowych, Robert Kośla powiedział, że sektory bankowy i finansowy były najlepiej przygotowane jeżeli chodzi o identyfikację i wskazywanie operatorów kluczowych według przyjętego w Polsce modelu opartego na postępowaniu administracyjnym.
– Na początku stycznia br. Komisja Nadzoru Finansowego poinformowała, że 19 podmiotów z sektora finansowego i bankowego zostało uznanych za operatorów usług kluczowych, a ich listę przekazano do ministra cyfryzacji, który prowadzi wykaz. Tydzień później odbyły się ćwiczenia zorganizowane przez Związek Banków Polskich, w których uczestniczyło 11 podmiotów uznanych za operatorów usług kluczowych, co pokazuje dużą dynamikę procesu oraz duże zainteresowanie tworzeniem kompetencji do reagowania na incydenty i sytuacje nadzwyczajne. Ustawa wprowadza mechanizm zgłaszania, natomiast na razie nie daje mechanizmów do tego, żeby w sposób skuteczny obsługiwać incydenty. W zakresie dobrych praktyk mamy również zaawansowane działania w Ministerstwie Obrony Narodowej, czy w sektorze ochrony zdrowia. W obszarze usług cyfrowych zidentyfikowano ośmiu operatorów usług kluczowych – informował przedstawiciel Ministerstwa Cyfryzacji (MC).
Odnosząc się do wypowiedzi Pawła Sawickiego, powiedział, że nie boi się o współpracę w sektorze prywatnym, którą tam napędza ekonomiczny interes. Ważne jest, żeby administracja publiczna w tym nie przeszkadzała. Ustawa daje możliwość budowania wyższej świadomości sytuacyjnej i zachęca do współpracy oraz partnerstwa, przekonywał przedstawiciel MC.
