Ustawa o KSC w 2023 roku – czy możemy spodziewać się nowelizacji?
Ustawa o KSC a NIS i NIS2 – o co chodzi?
NIS to specjalna dyrektywa Unii Europejskiej, będąca pierwszym aktem prawnym wspólnoty dotyczącym kwestii cyberbezpieczeństwa. Jej zadaniem było ujednolicenie prawa obowiązującego na obszarze wszystkich państw członkowskich. NIS 2 to z kolei obowiązująca obecnie dyrektywa, będąca rewizją dyrektywy NIS, a jej celem było doprecyzowanie poszczególnych procedur i poprawienie bezpieczeństwa cybernetycznego.
Ustawa o KSC, czyli o Krajowym Systemie Cyberbezpieczeństwa, to implementacja NIS, a później NIS 2 do polskiego systemu prawnego. Ustawa definiuje m.in. grupy podmiotów podlegające szczególnym regulacjom, uznając je za istotne dla bezpieczeństwa kraju. Kilka tysięcy firm i podmiotów publicznych zobowiązano do wprowadzenia kosztownych zmian i przestrzegania nowych wytycznych. Więcej informacji na temat dyrektywy NIS i NIS 2 znajduje się w dedykowanym artykule, a z kolei tutaj dostępna jest analiza ustawy o Krajowym Systemie Cyberbezpieczeństwa.
Co będzie zawierać nowelizacja ustawy o KSC w 2023 roku?
Ustawa o KSC, która powinna wejść w życie w 2023 roku będzie stanowić nowelizację ustawy uchwalonej 5 lipca 2018 roku. Choć projekt nowelizacji pojawił się już w 2020 roku, to potrzeba było kilku kolejnych propozycji zmian i nadal nie ma pewności, co do finalnego kształtu nowego aktu prawnego. Od 5 października 2022 roku, kiedy to w biuletynie informacji publicznej Ministra Cyfryzacji pojawiła się ostatnia wersja poprawianej ustawy, minęło już kilka miesięcy. Wykaz zmian stanowi obszerny dokument, a do najważniejszych nowości należą m.in. rezygnacja ze stworzenia Spółki Polskie 5G (pomysł wywołał wiele kontrowersji), utworzenie Krajowego Systemu Certyfikacji Cyberbezpieczeństwa oraz włączenie do KSC kolejnych podmiotów gospodarczych. Do jednostek, które podlegają nowym regulacjom dotyczącym bezpieczeństwa cybernetycznego należą m.in.szpitale prowadzące Szpitalne Oddziały Ratunkowe (SOR) oraz szpitale prywatne.
Choć uwzględnienie szpitali (szczególnie prowadzących SOR) w wykazie istotnych, z punktu widzenia bezpieczeństwa kraju, podmiotów wydaje się całkowicie logicznym posunięciem, to dyrektorzy jednostek mogą martwić się kosztami wprowadzenia zmian wynikających z regulacji prawnych. Nie od dziś bowiem wiadomo, że duża część publicznych placówek medycznych skarży się na brak wystarczających środków i personelu. Z pomocą ma przyjść Narodowy Fundusz Zdrowia. Na mocy rozporządzenia Prezesa NFZ z 2022 roku szpitale uznane za Operatorów Usług Kluczowych (OUK) mogą liczyć na duże wsparcie finansowe – od 200 tys. zł do nawet 900 tys. zł. Dofinansowanie może objąć zakup niezbędnego sprzętu informatycznego lub opłacenie usług firm zewnętrznych, które zapewnią odpowiedni poziom cyberbezpieczeństwa. Zarządzenie precyzuje rodzaje inwestycji, które mogą zostać objęte finansowaniem. Mowa w nim m.in. o:
• systemach backupu,
• systemach antywirusowych klasy EDR,
• zaporach sieciowych, IPS,
• bezpiecznej poczcie elektronicznej,
• systemach ochrony DNS,
• systemach SIEM i NAC,
• usługach Security Operations Center,
• szkoleniach z zakresu zasad cyberbezpieczeństwa,
• innych usługach IT, które mogą pomóc w osiągnięciu zgodności z nowymi przepisami.
Możliwości finansowania są zatem szerokie, a szpitale mają szansę dzięki pomocy zewnętrznych firm i ekspertów zapewnić najwyższy poziom bezpieczeństwa dla swojej infrastruktury IT.
Jak firmy powinny przygotować się na nowelizację?
Biorąc pod uwagę krótkie vacatio legis (ustawa wejdzie w życie w ciągu 30 dni od jej uchwalenia), tworzenie nowych rozwiązań infrastrukturalnych wewnątrz jednostek objętych nowym prawem, wydaje się zadaniem karkołomnym. Ustawa o KSC pozwala jednak na powierzenie cyberbezpieczeństwa zewnętrznej firmie, dlatego najrozsądniejszym rozwiązaniem jest outsourcing.
Netia SOC (Security Operations Center) to kompleksowa usługa zapewniającą wsparcie doświadczonego zespołu specjalistów o zróżnicowanych kompetencjach w zakresie cyberbezpieczeństwa. W ramach Netia SOC, szpital lub inny podmiot zyska pełną ochronę, proaktywny monitoring ruchu sieciowego 24/7/365, ochronę danych, bezpieczną pocztę elektroniczną i wiele innych składowych. Usługę można wdrożyć w krótkim czasie i jest ona kilkukrotnie tańszym rozwiązaniem niż budowa wewnętrznego zespołu specjalistów. Nie wymaga też inwestycji w sprzęt, jego konserwacji i późniejszej wymiany.
W ofercie Netii znajduje się wiele innych usług bezpieczeństwa, które mogą zostać sfinansowane z pomocą rządowych programów. Zalicza się do nich m.in. Netia Cloud Firewall – rozwiązanie zapewniające ochronę łącza internetowego, Netia Managed UTM, czyli zarządzany UTM do ochrony przed różnymi cyberzagrożeniami czy Netia DDoS Protection – usługa zapobiegająca atakom DDoS.
Krajowy System Cyberbezpieczeństwa w 2023 roku przejdzie kilka gruntownych zmian, na które warto się przygotować przed uchwaleniem nowelizacji ustawy.Skontaktuj się ze specjalistami Netii, którzy pomogą wypracować idealne rozwiązanie dla Twojej firmy.