NIS to specjalna dyrektywa Unii Europejskiej, będąca pierwszym aktem prawnym wspólnoty dotyczącym kwestii cyberbezpieczeństwa. Jej zadaniem było ujednolicenie prawa obowiązującego na obszarze wszystkich państw członkowskich. NIS 2 to z kolei aktualnie obowiązująca dyrektywa, która weszła w życie 16 stycznia 2023 roku i która jest rewizją dyrektywy NIS, a jej celem było doprecyzowanie poszczególnych procedur i poprawienie bezpieczeństwa cybernetycznego, w tym poprzez poszerzenie rejestru sektorów gospodarki o szczególnym znaczeniu z perspektywy bezpieczeństwa państwa.

Ustawa o KSC, czyli o Krajowym Systemie Cyberbezpieczeństwa, to implementacja NIS, a później NIS 2 do polskiego systemu prawnego. Ustawa definiuje m.in. grupy podmiotów podlegające szczególnym regulacjom, uznając je za istotne dla bezpieczeństwa kraju. Jak już wspomniano na wstępie, szacuje się, że nawet kilka tysięcy firm i podmiotów publicznych zostanie zobowiązanych do wprowadzenia kosztownych zmian i przestrzegania nowych wytycznych. Więcej informacji na temat dyrektywy NIS i NIS 2 znajduje się w dedykowanym artykule, a z kolei tutaj dostępna jest analiza ustawy o Krajowym Systemie Cyberbezpieczeństwa.

Ustawa o KSC, która ma wejść w życie w październiku 2024 roku będzie stanowić nowelizację ustawy uchwalonej 5 lipca 2018 roku. Aktualny projekt nowelizacji ustawy KSC ujrzał światło dzienne 24 kwietnia 2024 roku, rozpoczynając 30-dniowy okres konsultacji. Samo uzasadnienie projektu liczy ponad 90 stron i wskazuje jak istotną kwestią z perspektywy zarówno UE, jak i polskiego rządu staje się cyberbezpieczeństwo Co niezmiernie ważne, planowana nowelizacja KSC to nie tylko inkorporowanie Dyrektywy NIS2 do polskiego porządku prawnego, lecz również wdrożenie elementów tzw. 5G Toolbox (m.in. proces uznania danego dostawcy sprzętu i/lub oprogramowania za tzw. dostawcę wysokiego ryzyka) oraz Dyrektywy CER. W niektórych względach, w w/w projekcie nowelizacji ustawy KSC polski prawodawca planuje pójść dalej niż to wynika wprost z Dyrektywy NIS2. Warto w tym miejscu wspomnieć choćby re-klasyfikację niektórych sektorów uznanych w świetle Dyrektywy NIS2 za podmioty ważne do podmiotów kluczowych, szczególną sankcję finansową w kwocie do 100 mln zł za określony typ naruszeń czy konieczność przeprowadzania audytów zgodności z ustawą nie rzadziej niż co 2 lata przez podmioty podlegające ustawie na ich własny koszt. Nie wspominając o znacznym poszerzeniu liczby podmiotów podlegających ustawie oraz zakresu ich obowiązków czy osobistej odpowiedzialności tzw. kierownika zakładu za zapewnienie zgodności działania jego podmiotu z przepisami prawa.

Warto w tym miejscu wspomnieć, że liczba sektorów gospodarki objętych nowymi regulacjami ma wzrosnąć do 18 i dotknie bezpośrednio: energetykę, transport, bankowość, infrastrukturę rynków finansowych, opiekę zdrowotną, wodę pitną, oczyszczanie ścieków, infrastrukturę cyfrową, zarządzenie usługami ICT (między przedsiębiorstwami), administrację publiczną, przestrzeń kosmiczną, usługi pocztowe i kurierskie, gospodarowania odpadami, produkcję i dystrybucję chemikaliów, produkcję i dystrybucja żywności, wybrane, inne działy produkcji (m.in. medyczna, komputerów, maszyn elektrycznych, samochodów, przyczep, naczep), dostawców usług cyfrowych oraz badania naukowe. Równocześnie nie wszystkie podmioty prowadzące działalność w w/w sektorach zostaną objęte regulacjami. W wielkim uproszczeniu można powiedzieć, że decydujące znaczenie będzie miała ich wielkość (wielkość zatrudnienia, wielkość obrotu rocznego, wielkość sumy bilansowej), chociaż nie będzie to jedyne kryterium.

Tabela
Sektory objęte dyrektywą NIS2 w podziale na podmioty kluczowe oraz ważne

Na mocy zarządzenia Prezesa NFZ z 2022 roku oraz z 2023 roku szpitale uznane za Operatorów Usług Kluczowych (OUK) mogą liczyć na duże wsparcie finansowe – od 200 tys. zł do nawet 900 tys. zł w zakresie podwyższenia ich cyberodporności. Dofinansowanie może objąć zakup niezbędnego sprzętu informatycznego lub opłacenie usług firm zewnętrznych, które zapewnią odpowiedni poziom cyberbezpieczeństwa. Zarządzenia precyzują rodzaje inwestycji, które mogą zostać objęte finansowaniem. Mowa w nich m.in. o:

• systemach backupu,

• systemach antywirusowych klasy EDR,

• zaporach sieciowych, IPS,

• bezpiecznej poczcie elektronicznej,

• systemach ochrony DNS,

• systemach SIEM i NAC,

• usługach Security Operations Center,

• szkoleniach z zakresu zasad cyberbezpieczeństwa,

• skanach podatności,

• innych usługach IT, które mogą pomóc w osiągnięciu zgodności z nowymi przepisami. Możliwości finansowania są zatem szerokie, a szpitale mają szansę dzięki pomocy zewnętrznych firm i ekspertów zapewnić najwyższy poziom bezpieczeństwa dla swojej infrastruktury IT. Co niezmiernie ważne, program dofinansowania dla szpitali w celu podniesienia poziomu ich bezpieczeństwa teleinformatycznego ma być kontynuowany w 2024 roku: zgodnie z informacjami z Ministerstwa Zdrowia nowy nabór wniosków o dofinansowanie ma ruszyć na przełomie marca i kwietnia br.

Biorąc pod uwagę krótkie vacatio legis (ustawa wejdzie w życie w ciągu 30 dni od jej uchwalenia), tworzenie nowych rozwiązań infrastrukturalnych wewnątrz jednostek objętych nowym prawem, wydaje się zadaniem karkołomnym Ustawa o KSC pozwala jednak na powierzenie cyberbezpieczeństwa zewnętrznej firmie, dlatego najrozsądniejszym rozwiązaniem jest outsourcing. Netia SOC (Security Operations Center) to kompleksowa usługa zapewniającą wsparcie doświadczonego zespołu specjalistów o zróżnicowanych kompetencjach w zakresie cyberbezpieczeństwa. W ramach Netia SOC, szpital lub inny podmiot zyska pełną ochronę, proaktywny monitoring ruchu sieciowego 24/7/365, ochronę danych, bezpieczną pocztę elektroniczną i wiele innych składowych. Usługę można wdrożyć w krótkim czasie i jest ona kilkukrotnie tańszym rozwiązaniem niż budowa wewnętrznego zespołu specjalistów. Nie wymaga też inwestycji w sprzęt, jego konserwacji i późniejszej wymiany.

W ofercie Netii znajduje się wiele innych usług bezpieczeństwa, które mogą zostać sfinansowane z pomocą rządowych programów. Zalicza się do nich m.in. Netia Cloud Firewall – rozwiązanie zapewniające ochronę łącza internetowego, Netia Managed UTM, czyli zarządzany UTM do ochrony przed różnymi cyberzagrożeniami czy Netia DDoS Protection – usługa zapobiegająca atakom DDoS.

Krajowy System Cyberbezpieczeństwa w 2024 roku przejdzie kilka gruntownych zmian, na które warto się przygotować przed uchwaleniem nowelizacji ustawy. Skontaktuj się ze specjalistami Netii, którzy pomogą wypracować idealne rozwiązanie dla Twojej firmy.