Chodzi o najnowszą – już piątą - wersję projektu Ustawy o zmianie ustawy o krajowym systemie cyberbezpieczeństwa oraz niektórych innych ustaw, którą opublikowano na stronach Rządowego Centrum Legislacji.

Kluczową zmianą przewidzianą w projekcie jest wprowadzenie podziału podmiotów publicznych na kluczowe i ważne - wcześniej wszystkie podmioty publiczne były traktowane jako kluczowe. Zdaniem ekspertów rozróżnienie to jest istotne dla JST, ponieważ zgodnie z projektem podmioty publiczne ważne będą miały uproszczone obowiązki w zakresie zgłaszania incydentów.

„Wprowadzenie kategorii +podmiotów ważnych+, obejmujących m.in. samorządowe jednostki budżetowe, zakłady budżetowe oraz instytucje kultury, jest odpowiedzią na obawy związane z nadmiernym obciążeniem tych instytucji obowiązkami cyberbezpieczeństwa na poziomie infrastruktury krytycznej” – ocenił Aleksander Kostuch, inżynier Stormshield.

„To pragmatyczne podejście, ponieważ samorządy i podmioty publiczne działające na poziomie lokalnym często nie dysponują zasobami technicznymi i finansowymi, które pozwalałyby na pełne wdrożenie skomplikowanych procedur zarządzania ryzykiem, wymaganych w myśl założeń dyrektywy NIS2 od kluczowych operatorów usług” - dodał.

Zdaniem Piotra Zielaskiewicza, menedżera DAGMA Bezpieczeństwo IT, zmniejszenie wymagań względem części podmiotów publicznych, w tym samorządowych, nie wpłynie znacząco na ich poziom cyberbezpieczeństwa, a zmiana ta wynika z dopasowania rozwiązań prawnych do polskich realiów.

„W instytucjach publicznych zdarza się, że jeden czy dwóch informatyków odpowiada za cyberbezpieczeństwo całej organizacji (…). Z tego względu obniżenie wymagań, do poziomu który nie narusza bezpieczeństwa, jest wskazane. Zwiększa to szanse na skuteczną implementację obowiązków, które nawet w złagodzonej wersji podniosą bezpieczeństwo samorządów i mieszkańców” - powiedział Piotr Zielaskiewicz.

Zdaniem Aleksandra Kostucha takie rozwiązanie uwzględnia ograniczenia organizacyjne i kadrowe JST.

„Wdrożenie rygorystycznych systemów zarządzania ryzykiem w jednostkach samorządowych mogłoby być nieproporcjonalnie kosztowne w stosunku do realnego zagrożenia. Miejmy nadzieję, że uproszczony system rzeczywiście zapewni podstawowy poziom ochrony i nie będzie tworzył luki bezpieczeństwa w infrastrukturze samorządowej” – powiedział Kostuch.

Eksperci pozytywnie ocenili również zaproponowane w projekcie nowelizacji zmiany dotyczące obowiązków zgłaszania incydentów dla podmiotów ważnych.

„JST odciążane są z nadmiernych formalnych wymagań, co pozwala im skupić się na najistotniejszych zagrożeniach. Wprowadzone zmiany w praktyce mogą oznaczać, że mniejsze podmioty będą zobowiązane do raportowania jedynie tych naruszeń, które realnie wpływają na ich funkcjonowanie” – powiedział Kostuch.

Również zaproponowane w projekcie zmniejszenie maksymalnego wymiaru kary finansowej dla kierowników podmiotów kluczowych i ważnych z 600 proc. do 300 proc. wynagrodzenia spotkało się z aprobatą ekspertów. Ich zdaniem dostosowanie sankcji do realnych możliwości finansowych osób odpowiedzialnych i zapewnienie proporcjonalności kar w stosunku do naruszeń jest dobrym rozwiązaniem.

„Wcześniejsze regulacje mogły powodować sytuacje, w których strach przed wysokimi sankcjami paraliżował angażowanie się w cyberbezpieczeństwo i osłabiał motywację do działań ws. wdrażania środków bezpieczeństwa i traktowania cyberzagrożeń priorytetowo” – zaznaczył Kostuch.

Zdaniem Piotra Zielaskiewicza zmniejszenie maksymalnego wymiaru kary finansowej dla kierowników podmiotów kluczowych lub ważnych może skutkować jej częstszym zasądzaniem.

„Przy takim założeniu rozwiązanie powinno pozostać skutecznym motywatorem do podejmowania działań wynikających z przepisów ustawy” – powiedział Zielaskiewicz.

mam/