Na ile w praktyce  sprawdza się przyjęta w ubiegłym roku ustawa o krajowym systemie cyberbezpieczeństwa (KSC), jak jest realizowana oraz jak są wypełniane wynikające z niej obowiązki dotyczące operatorów usług kluczowych, a przede wszystkim: jakie kolejne kroki trzeba podjąć, aby realnie ustawa wpłynęła na poprawę poziomu cyberbezpieczeństwa w Polsce? Na te tematy dyskutowano podczas panelu „Cyberzagrożenia i cyberbezpieczeństwo”, który odbył się w ramach ścieżki tematycznej „Cyfryzacja i nowe technologie” podczas XI Europejskiego Kongresu Gospodarczego w Katowicach w dniu 14 maja 2019 r.

W debacie udział wzięli: Robert Siudak z Instytutu Kościuszki (moderator), Artur Józefiak z Accenture, Michał Kanownik, prezes Związku Cyfrowa Polska, Robert Kośla, dyrektor w Ministerstwie Cyfryzacji, Michał Kurek z KPMG, Paweł Sawicki z kancelarii Sołtysiński Kawecki & Szlęzak oraz Krzysztof Silicki, z-ca dyrektora ds. cyberbezpieczeństwa i innowacji w NASK-PIB.

Rozpoczynając dyskusję, moderator panelu Robert Siudak,  przytoczył wyniki badania, wedle którego jedynie 58 proc. firm w Polsce uznaje cyberbezpieczeństwo za kluczową kompetencję dla ich działalności, podczas gdy w tym samym (globalnym) badaniu liczba wskazań wynosiła średnio 83 proc. To pokazuje, że cyberbezpieczeństwo jest obszarem, gdzie wciąż trzeba wiele poprawić, a szczególnie w Polsce jest jeszcze dużo do zrobienia.

– Ustawa, będąca implementacją unijnej dyrektywy NIS, jest ramą systemową, która pozwala budować krajowy system, w który zaangażowanych jest wielu interesariuszy, w tym administracja państwowa, samorządowa i wiele sektorów gospodarki. Ma umożliwić współpracę różnych podmiotów oraz wymianę informacji, co m.in. pozwoli określić skalę zagrożeń, a przede wszystkim umożliwi im współpracę – mówił Krzysztof Silicki, odpowiadając na pierwsze panelowe pytanie: „Jaka logika stoi za stworzeniem krajowego systemu cyberbezpieczeństwa i jaki cel stawia sobie administracja publiczna w tym zakresie?”.

Ustawa o krajowym systemie cyberbezpieczeństwa (KSC), która weszła w życie w sierpniu ubiegłego roku, umożliwia zidentyfikowanie usług, które są kluczowe dla działania państwa w kilku sektorach: energii, dostaw wody i usług cyfrowych. Wejście w życie ustawy o KSC umożliwia m.in. identyfikowanie operatorów usług kluczowych, czyli tych podmiotów, które świadczą kluczowe usługi w oparciu o systemy informatyczne i ich zakłócenie mogłoby spowodować problemy w funkcjonowaniu państwa. Aktualnie trwa 360 postępowań administracyjnych dotyczących uznania określonego podmiotu za operatora usługi kluczowej. Dotychczas takim statusem objęto 68 podmiotów, w tym 19 w sektorze finansów, 8 w sektorze usług cyfrowych.

Wszyscy uczestnicy debaty byli zgodni, że przede wszystkim trzeba stawiać na edukację, głównie na poziomie kształcenia specjalistów i konieczne tu są działania systemowe, jak wspomniane tworzenie nowych kierunków studiów (choć nie tylko na uczelniach wyższych). Działania w ramach budowy kompetencji w zakresie cyberbezpieczeństwa wymagają wsparcia międzyresortowego, w tym Ministerstwa Nauki i Szkolnictwa Wyższego. Jako własny postulat moderator panelu wysunął propozycję zorganizowania okrągłego stołu poświęconego cyberbezpieczeństwu.

Pełna relacja z debaty „Cyberzagrożenia i cyberbezpieczeństwo” w serwisie TELKO.in.

Napisane przez Stefan Kaczmarek