NIS to specjalna dyrektywa Unii Europejskiej, będąca pierwszym aktem prawnym wspólnoty dotyczącym kwestii cyberbezpieczeństwa. Jej zadaniem było ujednolicenie prawa obowiązującego na obszarze wszystkich państw członkowskich. NIS 2 to z kolei aktualnie obowiązująca dyrektywa, która weszła w życie 16 stycznia 2023 roku i która jest rewizją dyrektywy NIS, a jej celem było doprecyzowanie poszczególnych procedur i poprawienie bezpieczeństwa cybernetycznego, w tym poprzez poszerzenie rejestru sektorów gospodarki o szczególnym znaczeniu z perspektywy bezpieczeństwa państwa.

Ustawa o KSC, czyli o Krajowym Systemie Cyberbezpieczeństwa, to implementacja NIS, a później NIS 2 do polskiego systemu prawnego. Ustawa definiuje m.in. grupy podmiotów podlegające szczególnym regulacjom, uznając je za istotne dla bezpieczeństwa kraju. Jak już wspomniano na wstępie, szacuje się, że nawet kilka tysięcy firm i podmiotów publicznych zostanie zobowiązanych do wprowadzenia kosztownych zmian i przestrzegania nowych wytycznych. Więcej informacji na temat dyrektywy NIS i NIS 2 znajduje się w dedykowanym artykule, a z kolei tutaj dostępna jest analiza ustawy o Krajowym Systemie Cyberbezpieczeństwa.

Ustawa o KSC, która powinna wejść w życie w październiku 2024 roku będzie stanowić nowelizację ustawy uchwalonej 5 lipca 2018 roku. Choć pierwszy projekt nowelizacji pojawił się już w 2020 roku, pomimo prezentacji kilku kolejnych projektów ustawy nadal nie ma pewności, co do finalnego kształtu nowego aktu prawnego. Od 5 października 2022 roku, kiedy to w biuletynie informacji publicznej Ministra Cyfryzacji pojawiła się ostatnia wersja poprawianej ustawy, minęło już prawie półtora roku. Mimo, że działania legislacyjne dot. wdrożenia do polskiego porządku prawnego tzw. Dyrektywy NIS2 zostały wstrzymane na okres kilku miesięcy w związku z wyborami parlamentarnymi w październiku 2023 r. i powołaniem nowego rządu, już dzisiaj z nieoficjalnych informacji wiadomo, że prace nad przygotowaniem projektu nowelizacji ustawy o KSC ruszyły w Ministerstwie Cyfryzacji pełną parą.

Wykaz zmian stanowi obszerny dokument, a do najważniejszych nowości należą m.in. rezygnacja ze stworzenia Spółki Polskie 5G (pomysł wywołał wiele kontrowersji), utworzenie Krajowego Systemu Certyfikacji Cyberbezpieczeństwa oraz włączenie do KSC kolejnych podmiotów gospodarczych.

Warto w tym miejscu wspomnieć, że liczba sektorów gospodarki objętych nowymi regulacjami ma wzrosnąć do 18 i dotknie bezpośrednio: energetykę, transport, bankowość, infrastrukturę rynków finansowych, opiekę zdrowotną, wodę pitną, oczyszczanie ścieków, infrastrukturę cyfrową, zarządzenie usługami ICT (między przedsiębiorstwami), administrację publiczną, przestrzeń kosmiczną, usługi pocztowe i kurierskie, gospodarowania odpadami, produkcję i dystrybucję chemikaliów, produkcję i dystrybucja żywności, wybrane, inne działy produkcji (m.in. medyczna, komputerów, maszyn elektrycznych, samochodów, przyczep, naczep), dostawców usług cyfrowych oraz badania naukowe. Równocześnie nie wszystkie podmioty prowadzące działalność w w/w sektorach zostaną objęte regulacjami. W wielkim uproszczeniu można powiedzieć, że decydujące znaczenie będzie miała ich wielkość (wielkość zatrudnienia, wielkość obrotu rocznego, wielkość sumy bilansowej), chociaż nie będzie to jedyne kryterium.

Tabela
Sektory objęte dyrektywą NIS2 w podziale na podmioty kluczowe oraz ważne

Na mocy zarządzenia Prezesa NFZ z 2022 roku oraz z 2023 roku szpitale uznane za Operatorów Usług Kluczowych (OUK) mogą liczyć na duże wsparcie finansowe – od 200 tys. zł do nawet 900 tys. zł w zakresie podwyższenia ich cyberodporności. Dofinansowanie może objąć zakup niezbędnego sprzętu informatycznego lub opłacenie usług firm zewnętrznych, które zapewnią odpowiedni poziom cyberbezpieczeństwa. Zarządzenia precyzują rodzaje inwestycji, które mogą zostać objęte finansowaniem. Mowa w nich m.in. o:

• systemach backupu,

• systemach antywirusowych klasy EDR,

• zaporach sieciowych, IPS,

• bezpiecznej poczcie elektronicznej,

• systemach ochrony DNS,

• systemach SIEM i NAC,

• usługach Security Operations Center,

• szkoleniach z zakresu zasad cyberbezpieczeństwa,

• skanach podatności,

• innych usługach IT, które mogą pomóc w osiągnięciu zgodności z nowymi przepisami. Możliwości finansowania są zatem szerokie, a szpitale mają szansę dzięki pomocy zewnętrznych firm i ekspertów zapewnić najwyższy poziom bezpieczeństwa dla swojej infrastruktury IT. Co niezmiernie ważne, program dofinansowania dla szpitali w celu podniesienia poziomu ich bezpieczeństwa teleinformatycznego ma być kontynuowany w 2024 roku: zgodnie z informacjami z Ministerstwa Zdrowia nowy nabór wniosków o dofinansowanie ma ruszyć na przełomie marca i kwietnia br.

Biorąc pod uwagę krótkie vacatio legis (ustawa wejdzie w życie w ciągu 30 dni od jej uchwalenia), tworzenie nowych rozwiązań infrastrukturalnych wewnątrz jednostek objętych nowym prawem, wydaje się zadaniem karkołomnym Ustawa o KSC pozwala jednak na powierzenie cyberbezpieczeństwa zewnętrznej firmie, dlatego najrozsądniejszym rozwiązaniem jest outsourcing. Netia SOC (Security Operations Center) to kompleksowa usługa zapewniającą wsparcie doświadczonego zespołu specjalistów o zróżnicowanych kompetencjach w zakresie cyberbezpieczeństwa. W ramach Netia SOC, szpital lub inny podmiot zyska pełną ochronę, proaktywny monitoring ruchu sieciowego 24/7/365, ochronę danych, bezpieczną pocztę elektroniczną i wiele innych składowych. Usługę można wdrożyć w krótkim czasie i jest ona kilkukrotnie tańszym rozwiązaniem niż budowa wewnętrznego zespołu specjalistów. Nie wymaga też inwestycji w sprzęt, jego konserwacji i późniejszej wymiany.

W ofercie Netii znajduje się wiele innych usług bezpieczeństwa, które mogą zostać sfinansowane z pomocą rządowych programów. Zalicza się do nich m.in. Netia Cloud Firewall – rozwiązanie zapewniające ochronę łącza internetowego, Netia Managed UTM, czyli zarządzany UTM do ochrony przed różnymi cyberzagrożeniami czy Netia DDoS Protection – usługa zapobiegająca atakom DDoS.

Krajowy System Cyberbezpieczeństwa w 2024 roku przejdzie kilka gruntownych zmian, na które warto się przygotować przed uchwaleniem nowelizacji ustawy. Skontaktuj się ze specjalistami Netii, którzy pomogą wypracować idealne rozwiązanie dla Twojej firmy.