Energetyka, banki, szpitale, transport. Niemal wszystko, co utrzymuje Polskę przy życiu, działa dziś na systemach informatycznych. Wystarczy jeden dobrze przeprowadzony atak, by sparaliżować dostawy prądu, zablokować przelewy bankowe albo wyłączyć z ruchu lotnisko. Brzmi jak scenariusz filmu? Niekoniecznie. Polska od lat buduje mechanizm, który ma przed tym chronić. Nazywa się Krajowy System Cyberbezpieczeństwa i obejmuje setki instytucji, firm oraz organów państwowych. Problem w tym, że niewiele osób wie, jak ten mechanizm naprawdę działa, kto za niego odpowiada i co grozi tym, którzy ignorują jego wymogi. A stawka rośnie z każdym rokiem.
KSC. Kogo dotyczy, a kogo nie? Ustawa sprzed lat, która wciąż rządzi cyfrową Polską
Podwaliny obecnego systemu ochrony cyberprzestrzeni sięgają 5 lipca 2018 roku. Wtedy właśnie Sejm uchwalił ustawę, która powołała do życia Krajowy System Cyberbezpieczeństwa, w skrócie KSC. Regulacja ta miała uporządkować coś, co do tamtej pory funkcjonowało raczej chaotycznie, czyli ochronę najważniejszych systemów informatycznych w kraju.
KSC nie powstał w próżni. Był odpowiedzią na unijną dyrektywę NIS, która zobowiązywała państwa członkowskie do stworzenia krajowych ram ochrony sieci i systemów. Polska zrobiła to po swojemu, budując wielopoziomową strukturę, w której każdy podmiot ma przypisane zadania i odpowiedzialność. Chodziło o to, żeby nie było tak, że po ataku wszyscy patrzą na siebie i nikt nie wie, co robić.
Sam system obejmuje naprawdę szeroki wachlarz instytucji. Mowa tu o operatorach usług, od których zależy codzienne funkcjonowanie państwa, ale też o dostawcach platform internetowych, instytucjach finansowych, organach administracji i wyspecjalizowanych zespołach reagowania na incydenty. Każda z tych grup ma inne obowiązki, ale cel jest wspólny: nie dopuścić do cyfrowej katastrofy.
Co ciekawe, KSC nie ogranicza się wyłącznie do gigantów rynkowych. Średnie firmy również mogą zostać objęte systemem, jeśli spełniają określone kryteria związane z ich znaczeniem dla gospodarki lub potencjalnym wpływem na bezpieczeństwo publiczne. To oznacza, że nawet przedsiębiorstwo zatrudniające kilkadziesiąt osób może pewnego dnia otrzymać decyzję administracyjną, która nałoży na nie obowiązki cyberbezpieczeństwa.
Co do zasady, mikroprzedsiębiorcy (mniej niż 10 pracowników, obrót/suma bilansowa do 2 mln EUR) są wyłączeni z głównych obowiązków ustawy o Krajowym Systemie Cyberbezpieczeństwa (KSC). Wyjątek stanowią podmioty świadczące kluczowe usługi cyfrowe. Od 3 kwietnia 2026 r. (nowelizacja KSC) firmy muszą samodzielnie zweryfikować swój status.
Kto wchodzi w skład tej machiny?
Struktura KSC przypomina wielowarstwową piramidę, na szczycie której zasiadają organy koordynujące politykę państwa. Na samej górze znajduje się Pełnomocnik Rządu do Spraw Cyberbezpieczeństwa, który nadzoruje realizację celów całego systemu i dba o spójność działań między resortami. Obok niego działa Kolegium do Spraw Cyberbezpieczeństwa, organ doradczy złożony z przedstawicieli ministerstw i służb. To tam zapadają strategiczne decyzje dotyczące kierunku, w jakim zmierza ochrona cyfrowa państwa.
Niżej w hierarchii znajdują się organy właściwe do spraw cyberbezpieczeństwa. To ministrowie odpowiedzialni za poszczególne sektory gospodarki (energię, transport, zdrowie, finanse, informatyzację) oraz Komisja Nadzoru Finansowego. Każdy z nich nadzoruje cyberbezpieczeństwo w swojej branży, prowadzi rejestr operatorów usług i może nakładać kary na podmioty, które nie wywiązują się z obowiązków.
Na poziomie operacyjnym działają trzy zespoły CSIRT, czyli Computer Security Incident Response Team, odpowiedzialne za reagowanie na cyberataki w trzech odrębnych obszarach. CSIRT MON pilnuje sektora obronnego pod egidą Ministerstwa Obrony Narodowej. CSIRT NASK, prowadzony przez Naukową i Akademicką Sieć Komputerową, obsługuje sektor cywilny. Z kolei CSIRT GOV, funkcjonujący w strukturach Agencji Bezpieczeństwa Wewnętrznego, odpowiada za administrację rządową i infrastrukturę o znaczeniu państwowym.
Uzupełnieniem tej struktury są sektorowe zespoły cyberbezpieczeństwa wspierające operatorów w poszczególnych branżach, firmy świadczące usługi audytowe i testów penetracyjnych, a także Pojedynczy Punkt Kontaktowy umiejscowiony w Ministerstwie Cyfryzacji. Ten ostatni odpowiada za łączność z instytucjami unijnymi i partnerami zagranicznymi. Do systemu należą ponadto jednostki sektora finansów publicznych, Narodowy Bank Polski, Bank Gospodarstwa Krajowego oraz instytuty badawcze.
Od elektrowni po szpitale, czyli kto jest operatorem usług?
Operatorzy usług to podmioty, których systemy informatyczne są tak istotne dla funkcjonowania kraju, że ich awaria mogłaby mieć poważne konsekwencje dla milionów ludzi. Nie chodzi tu o dowolną firmę z branży IT. Chodzi o przedsiębiorstwa z sektorów, bez których państwo po prostu nie może normalnie działać.
W energetyce to firmy zajmujące się produkcją, przesyłem i dystrybucją prądu, gazu ziemnego oraz ropy naftowej, łącznie z rafineriami i operatorami rurociągów. W transporcie mowa o zarządcach infrastruktury kolejowej, przewoźnikach, podmiotach prowadzących porty lotnicze i morskie, operatorach systemów zarządzania ruchem lotniczym oraz firmach odpowiedzialnych za systemy sterowania ruchem drogowym.
Sektor bankowy i rynki finansowe obejmują instytucje kredytowe, operatorów systemów rozliczeniowych, giełdy papierów wartościowych i podmioty prowadzące systemy płatności. W ochronie zdrowia operatorami są przede wszystkim szpitale, laboratoria diagnostyczne, centra krwiodawstwa oraz podmioty zarządzające systemami e-zdrowia i informacji medycznej. Do tego dochodzi sektor zaopatrzenia w wodę pitną, czyli przedsiębiorstwa wodociągowe odpowiedzialne za ujęcia, uzdatnianie, dystrybucję wody oraz monitoring jej jakości.
Nie każda firma z wymienionych branż automatycznie staje się operatorem usług. O tym, czy dany podmiot otrzyma taki status, decyduje kilka kryteriów: znaczenie świadczonej usługi dla gospodarki i społeczeństwa, potencjalny wpływ cyberataku na bezpieczeństwo publiczne, udział w rynku oraz zasięg geograficzny ewentualnych skutków incydentu. Operatorami mogą być też podmioty z obszaru infrastruktury cyfrowej, w tym dostawcy usług DNS, operatorzy punktów wymiany ruchu internetowego (IXP) i zarządcy domen najwyższego poziomu.
Platformy, chmury i wyszukiwarki pod lupą
Obok operatorów usług w systemie KSC funkcjonuje druga ważna grupa: dostawcy usług cyfrowych. To podmioty prowadzące internetowe platformy handlowe, świadczące usługi przetwarzania danych w chmurze oraz zarządzające wyszukiwarkami internetowymi. Każda z tych kategorii pełni inną funkcję, ale łączy je jedno: ich praca dotyka milionów użytkowników codziennie.
Platformy e-commerce pośredniczą w transakcjach między sprzedającymi a kupującymi, gromadząc przy tym ogromne ilości danych osobowych i finansowych. Dostawcy usług chmurowych (w modelach IaaS, PaaS i SaaS) przechowują dane firm i instytucji publicznych, więc ich zabezpieczenia mają bezpośredni wpływ na bezpieczeństwo informacji o znaczeniu państwowym. Z kolei wyszukiwarki indeksują zasoby internetu i kształtują dostęp do informacji, co czyni je atrakcyjnym celem dla cyberprzestępców.
Nie każdy dostawca usług cyfrowych podlega jednak przepisom KSC. Ustawa obejmuje wyłącznie firmy zatrudniające co najmniej 50 pracowników lub osiągające roczny obrót netto powyżej 10 milionów euro. Mniejsze podmioty, choć mogą być narażone na ataki, nie muszą spełniać wymogów systemu. To świadomy wybór ustawodawcy, który uznał, że usługi cyfrowe mają charakter transgraniczny i podlegają mniejszej regulacji sektorowej niż np. energetyka czy transport.
Obowiązki dostawców usług cyfrowych są mniej surowe niż te nałożone na operatorów. Muszą oni wdrożyć odpowiednie zabezpieczenia techniczne i organizacyjne, zgłaszać poważne incydenty do właściwego zespołu CSIRT, podejmować działania ograniczające skutki ataków oraz zapewnić ciągłość świadczenia usług lub ich szybkie przywrócenie po awarii. To minimum, ale i tak więcej niż to, czego wymaga się od przeciętnej firmy internetowej.
Trzy cyfrowe drużyny szybkiego reagowania
Gdyby KSC miał swoje jednostki specjalne, byłyby to zespoły CSIRT. To one jako pierwsze reagują na zgłoszenia o cyberatakach, analizują zagrożenia i koordynują obronę. W Polsce działają trzy takie zespoły na poziomie krajowym, a każdy z nich nadzoruje inny fragment cyberprzestrzeni.
CSIRT MON chroni sektor obronny. CSIRT NASK obsługuje podmioty cywilne. CSIRT GOV pilnuje administracji rządowej i infrastruktury o znaczeniu strategicznym. Podział jest czytelny, ale ich praca ma wiele wspólnych mianowników: ciągłe monitorowanie sieci za pomocą zaawansowanych narzędzi analitycznych i systemów wczesnego ostrzegania, analiza zgłoszonych incydentów pod kątem skali i źródła ataku, a także klasyfikacja zagrożeń i ustalanie priorytetów działań naprawczych.
Gdy dochodzi do poważnego incydentu, CSIRT przejmuje rolę koordynatora. Zapewnia przepływ informacji między zaatakowanym podmiotem, organami nadzorczymi i innymi instytucjami, które mogą być zagrożone. Zespoły udzielają też bezpośredniego wsparcia technicznego: pomagają izolować zainfekowane systemy, usuwać złośliwe oprogramowanie i przywracać normalne funkcjonowanie infrastruktury. W procesie identyfikacji źródła ataku wykorzystują m.in. narzędzia do analizy ruchu sieciowego, takie jak Wireshark.
Poza gaszeniem pożarów zespoły CSIRT zajmują się też profilaktyką. Organizują szkolenia, warsztaty i konferencje poświęcone cyberbezpieczeństwu. Publikują alerty o nowych zagrożeniach. Pracują nad własnymi narzędziami do wykrywania intruzów i analizy złośliwego oprogramowania. Wspierają też mniejsze organizacje, które nie dysponują własnymi ekspertami od cyberbezpieczeństwa, oferując im pomoc w ocenie ryzyka i wdrażaniu zabezpieczeń. Na arenie międzynarodowej współpracują z analogicznymi zespołami z innych państw, co pozwala na szybsze reagowanie na globalne kampanie cyberataków.
Administracja publiczna w cyfrowych okopach
Lista organów administracji zaangażowanych w KSC jest długa i obejmuje instytucje, które na co dzień nie kojarzą się z cyberbezpieczeństwem. Minister właściwy do spraw informatyzacji pełni centralną funkcję koordynacyjną, nadzoruje cały system i reprezentuje Polskę na forach międzynarodowych w sprawach dotyczących ochrony cyberprzestrzeni.
Ministerstwo Obrony Narodowej odpowiada za cyberbezpieczeństwo w sektorze wojskowym. Agencja Bezpieczeństwa Wewnętrznego chroni administrację rządową i infrastrukturę o znaczeniu państwowym. NASK, czyli Naukowa i Akademicka Sieć Komputerowa będąca Państwowym Instytutem Badawczym, pilnuje sektora cywilnego. Urząd Komunikacji Elektronicznej nadzoruje sektor telekomunikacyjny, a Rządowe Centrum Bezpieczeństwa koordynuje zarządzanie kryzysowe na poziomie krajowym, również w przypadku poważnych incydentów cybernetycznych.
Do systemu włączone są także organy ścigania. Komenda Główna Policji prowadzi Biuro do Walki z Cyberprzestępczością, prokuratura ściga sprawców przestępstw komputerowych, a Służba Kontrwywiadu Wojskowego chroni cyberprzestrzeń w obszarze obronności. Ministerstwo Spraw Zagranicznych uczestniczy natomiast w kształtowaniu międzynarodowej polityki cyberbezpieczeństwa i reprezentowaniu polskiego stanowiska na zagranicznych forach.
Struktura ta nie jest zamrożona raz na zawsze. KSC zakłada, że będzie się ona zmieniać w odpowiedzi na nowe zagrożenia i potrzeby. Każdy z wymienionych podmiotów wnosi do systemu swoją specjalistyczną wiedzę i kompetencje, a ich współpraca ma zapewnić, że żaden atak nie zastanie polskich instytucji nieprzygotowanych.
Obowiązki, których nie można zignorować
KSC nakłada na objęte nim podmioty konkretne wymagania, a ich zakres zależy od kategorii, do której dany podmiot należy. Operatorzy usług muszą przeprowadzać oceny ryzyka co najmniej raz na dwa lata. Są zobowiązani do wdrożenia systemu zarządzania bezpieczeństwem informacji (np. zgodnego z normą ISO/IEC 27001), prowadzenia dokumentacji dotyczącej cyberbezpieczeństwa, wyznaczenia osoby kontaktowej odpowiedzialnej za współpracę z innymi podmiotami KSC oraz przeprowadzania regularnych audytów bezpieczeństwa.
Krytyczny jest obowiązek zgłaszania poważnych incydentów. Operatorzy muszą powiadomić właściwy zespół CSIRT w ciągu 24 godzin od wykrycia zdarzenia. To bardzo krótki termin, który wymusza natychmiastowe działanie i posiadanie sprawnych procedur wewnętrznych. Dostawcy usług cyfrowych mają analogiczny obowiązek raportowania, choć ich wymogi są łagodniejsze. Podmioty publiczne z kolei muszą wyznaczyć osobę odpowiedzialną za cyberbezpieczeństwo, zgłaszać incydenty i stosować adekwatne zabezpieczenia techniczne.
Zespoły CSIRT na poziomie krajowym mają za zadanie monitorować zagrożenia, szacować ryzyko, klasyfikować incydenty i koordynować ich obsługę. Sektorowe zespoły cyberbezpieczeństwa przyjmują zgłoszenia, analizują zdarzenia i wspierają operatorów w realizacji ustawowych obowiązków. Organy właściwe prowadzą analizy stanu cyberbezpieczeństwa w swoich sektorach i nadzorują operatorów oraz dostawców usług cyfrowych.
Wszystkie podmioty KSC łączy też kilka uniwersalnych powinności: współpraca z organami ścigania, udział w ćwiczeniach z zakresu cyberbezpieczeństwa i stosowanie się do zaleceń wydawanych przez właściwe organy. Co ważne, obowiązki te nie są ustalone raz na zawsze. System zakłada ciągłe doskonalenie i adaptację do nowych zagrożeń, co oznacza konieczność regularnych aktualizacji procedur i zabezpieczeń.
Dane osobowe pod specjalnym nadzorem
Przetwarzanie danych osobowych w ramach KSC podlega odrębnym regulacjom, które muszą pozostawać w zgodności z RODO. Ustawa stanowi podstawę prawną do przetwarzania danych w kontekście cyberbezpieczeństwa, powołując się na realizację zadań w interesie publicznym (art. 6 ust. 1 lit. e RODO). Dotyczy to danych związanych z incydentami, informacji o zagrożeniach oraz materiałów niezbędnych do analizy ryzyka.
Zakres przetwarzanych danych obejmuje dane kontaktowe osób odpowiedzialnych za cyberbezpieczeństwo w organizacjach, informacje związane z incydentami (adresy IP, dane logowania) oraz dane użytkowników systemów dotkniętych atakiem. Przepisy wprowadzają przy tym zasadę celowości: dane mogą być wykorzystywane wyłącznie na potrzeby wykrywania i analizy incydentów, oceny ryzyka lub koordynacji działań obronnych. Maksymalny okres przechowywania danych dotyczących incydentów to pięć lat od momentu zgłoszenia.
System reguluje również zasady udostępniania danych między podmiotami KSC, ograniczając je do sytuacji, gdy jest to niezbędne do realizacji zadań z zakresu cyberbezpieczeństwa. Podmioty muszą prowadzić rejestry udostępnień i stosować środki ochrony: szyfrowanie, kontrolę dostępu, regularne audyty. W przypadku naruszenia ochrony danych osobowych zgłoszenia trafiają równolegle do właściwego CSIRT i do Prezesa Urzędu Ochrony Danych Osobowych.
KSC promuje też stosowanie pseudonimizacji i anonimizacji tam, gdzie pełna identyfikacja osób nie jest konieczna. Obowiązkiem jest prowadzenie szkoleń dla personelu z zakresu ochrony danych w kontekście cyberbezpieczeństwa. Dla operacji przetwarzania o podwyższonym ryzyku wymagane jest przeprowadzenie oceny skutków dla ochrony danych (DPIA). W pewnych sytuacjach, gdy mogłoby to zagrozić skuteczności działań obronnych, obowiązek informowania osób o przetwarzaniu ich danych może zostać ograniczony, ale ta wyjątkowa regulacja podlega ścisłej kontroli.
Siedem celów, na których opiera się cały system
KSC realizuje siedem strategicznych celów wynikających z ustawy z 2018 roku i Strategii Cyberbezpieczeństwa RP na lata 2019-2024. Pierwszym jest ochrona infrastruktury, od której zależy nieprzerwane świadczenie usług: sieci energetyczne, systemy bankowe i transportowe muszą działać bez zakłóceń nawet pod presją cyberataku. Drugim celem jest budowanie odporności systemów informatycznych, rozumianej nie tylko jako zdolność do odparcia ataku, ale też jako umiejętność szybkiej regeneracji po udanym włamaniu.
Trzeci cel to podnoszenie ogólnego poziomu ochrony cyfrowej poprzez wzmacnianie zabezpieczeń technicznych i edukację społeczeństwa. Czwarty dotyczy usprawnienia koordynacji między instytucjami państwowymi, operatorami usług i sektorem prywatnym. Piąty to wzmocnienie pozycji Polski na arenie międzynarodowej przez aktywny udział w inicjatywach UE i NATO związanych z cyberobroną.
Szósty cel skupia się na stymulowaniu rozwoju krajowego sektora cyberbezpieczeństwa, wspieraniu innowacji i badań, co ma zwiększać konkurencyjność polskich firm technologicznych. Siódmym jest zapewnienie zgodności z międzynarodowymi standardami i regulacjami, co ułatwia współpracę z partnerami zagranicznymi i buduje zaufanie na arenie międzynarodowej.
Zarządzanie realizacją tych celów opiera się na wielopoziomowej strukturze. Pełnomocnik Rządu ds. Cyberbezpieczeństwa koordynuje politykę na poziomie krajowym i przygotowuje Strategię Cyberbezpieczeństwa RP. Kolegium ds. Cyberbezpieczeństwa, któremu przewodniczy Pełnomocnik, wydaje opinie i koordynuje działania na najwyższym szczeblu. Na poziomie operacyjnym obok trzech zespołów CSIRT działa platforma S46, służąca do automatycznej wymiany informacji o zagrożeniach w formacie wskaźników kompromitacji (IoC).
Jak firma staje się operatorem usług?
Proces wyłaniania operatorów usług to procedura wieloetapowa i sformalizowana. Rozpoczyna się od analizy sektorowej: organ właściwy dla danej branży dokonuje przeglądu podmiotów świadczących usługi o newralgicznym znaczeniu. Następnie weryfikuje, czy dany podmiot spełnia ustalone kryteria, takie jak znaczenie usługi dla funkcjonowania gospodarki, liczba użytkowników, udział w rynku, zasięg geograficzny oraz potencjalne skutki cyberataku na bezpieczeństwo publiczne.
Jeśli podmiot spełnia warunki, organ właściwy wydaje decyzję administracyjną o uznaniu go za operatora usług, precyzyjnie wskazując zakres usługi objętej ochroną. Operator trafia następnie do prowadzonego przez organ wykazu. Od momentu wydania decyzji firma ma trzy miesiące na wyznaczenie osoby kontaktowej, powołanie wewnętrznych struktur cyberbezpieczeństwa i rozpoczęcie wdrażania wymaganych zabezpieczeń.
Lista operatorów nie jest zamknięta. Podlega regularnej weryfikacji i aktualizacji w odpowiedzi na zmiany technologiczne i gospodarcze. Nowe podmioty mogą być dopisywane, a te, które straciły znaczenie, mogą zostać wykreślone. To dynamiczny mechanizm, który ma nadążać za tempem zmian w cyfrowym ekosystemie.
Cały ten proces ma zapewnić, że ochroną objęte zostaną dokładnie te podmioty, których cyfrowa awaria miałaby najpoważniejsze konsekwencje. To nie jest formalność. Decyzja administracyjna o statusie operatora pociąga za sobą realne obowiązki i realne sankcje za ich nieprzestrzeganie.
Co robić, gdy atak już nastąpi?
Obsługa incydentów w ramach KSC to skomplikowana sekwencja działań, w której liczy się każda godzina. Proces zaczyna się od wykrywania: podmioty objęte systemem prowadzą ciągły monitoring cyberprzestrzeni przy użyciu systemów IDS/IPS oraz rozwiązań klasy SIEM (Security Information and Event Management). Gdy system wykryje anomalię, następuje analiza wstępna i ocena, czy mamy do czynienia z poważnym incydentem.
Od momentu wykrycia poważnego zdarzenia operator ma 24 godziny na zgłoszenie go do właściwego CSIRT. Zgłoszenie musi zawierać opis incydentu, informacje o skutkach i działaniach podjętych w celu ograniczenia szkód. CSIRT klasyfikuje zdarzenie pod kątem skali i potencjalnego wpływu, a następnie ustala priorytety obsługi. Równolegle prowadzona jest szczegółowa analiza techniczna (forensic), mająca na celu identyfikację wektorów ataku i oszacowanie zakresu szkód.
Na etapie reakcji CSIRT koordynuje działania między zaatakowanym podmiotem, organami nadzorczymi i innymi instytucjami KSC, które mogą być zagrożone. Może to obejmować izolację zainfekowanych systemów, blokowanie podejrzanego ruchu sieciowego czy wdrażanie poprawek bezpieczeństwa. Jednocześnie CSIRT informuje inne potencjalnie zagrożone podmioty, co pozwala im na szybkie wzmocnienie własnych zabezpieczeń.
Po opanowaniu sytuacji następują działania naprawcze: przywrócenie pełnej funkcjonalności systemów i analiza poincydentowa. Ta ostatnia ma na celu zidentyfikowanie przyczyn ataku, ocenę skuteczności podjętych działań i wyciągnięcie wniosków na przyszłość. Na tej podstawie aktualizowane są procedury i wytyczne bezpieczeństwa. W przypadku incydentów o wymiarze transgranicznym KSC współpracuje z odpowiednikami w innych krajach UE za pośrednictwem sieci CSIRT i platformy MISP.
Lepiej zapobiegać niż gasić
KSC kładzie duży nacisk na prewencję. Operatorzy usług muszą przeprowadzać systematyczne oceny ryzyka co najmniej raz na dwa lata, identyfikując zagrożenia i podatności, zanim zostaną one wykorzystane przez atakujących. Do tego dochodzi obowiązkowe wdrożenie systemów zarządzania bezpieczeństwem informacji zgodnych z normami ISO/IEC 27001 oraz regularne audyty bezpieczeństwa, w tym testy penetracyjne.
Zarządzanie podatnościami to kolejny filar prewencji: podmioty KSC muszą regularnie skanować swoje systemy i szybko instalować poprawki bezpieczeństwa. System wymaga też dbałości o bezpieczeństwo łańcucha dostaw, czyli audytowania dostawców i uwzględniania aspektów cyberbezpieczeństwa w umowach z kontrahentami. To element często pomijany, a tymczasem ataki przez dostawców stają się coraz bardziej popularne.
Szkolenia i kampanie uświadamiające obejmują pracowników wszystkich szczebli, bo najsłabszym ogniwem zabezpieczeń nadal pozostaje człowiek. Podmioty KSC wymieniają się informacjami o zagrożeniach (threat intelligence) za pośrednictwem platformy S46 i uczestniczą w ćwiczeniach symulujących cyberataki, które pozwalają przetestować gotowość i doskonalić procedury reagowania.
Organy właściwe opracowują i dystrybuują wytyczne bezpieczeństwa dostosowane do specyfiki poszczególnych sektorów, a cały system monitoruje trendy technologiczne po to, by na bieżąco aktualizować wymogi ochrony. Podejście jest proste w założeniu, choć trudne w realizacji: nie czekać na atak, lecz przygotować się na niego zawczasu.
Papierowa strona cyberbezpieczeństwa
Firmy objęte KSC muszą dysponować rozbudowaną dokumentacją. Na szczycie hierarchii stoi polityka bezpieczeństwa informacji, czyli dokument strategiczny zatwierdzony przez zarząd, określający cele i zasady ochrony informacji w organizacji. Obok niej funkcjonują procedury zarządzania ryzykiem z jasno zdefiniowaną metodyką identyfikacji, oceny i postępowania z zagrożeniami oraz kryteriami akceptowalności ryzyka.
Plany ciągłości działania (BCP) muszą zawierać strategie utrzymania krytycznych procesów w sytuacji kryzysowej i podlegać regularnym testom oraz aktualizacjom. Procedury reagowania na incydenty opisują krok po kroku proces wykrywania, analizy, zgłaszania i obsługi zdarzeń, z jasnymi kryteriami eskalacji na kolejne poziomy zarządzania. Polityka kontroli dostępu reguluje nadawanie uprawnień, wymaga dwuskładnikowego uwierzytelniania i okresowych przeglądów przyznanych dostępów.
Do tego dochodzą instrukcje bezpiecznego użytkowania (wytyczne dla pracowników dotyczące haseł, poczty elektronicznej, urządzeń mobilnych i danych wrażliwych), umowy z dostawcami zawierające klauzule bezpieczeństwa i poufności oraz dokumentacja techniczna obejmująca konfigurację systemów, diagramy sieci, opisy mechanizmów zabezpieczeń i logi zmian.
Za całość strategii cyberbezpieczeństwa w firmie odpowiada zwykle CISO, czyli Chief Information Security Officer. Ta rola obejmuje zarządzanie ryzykiem i nadzór nad zespołami bezpieczeństwa. Dobrą praktyką jest powoływanie interdyscyplinarnego komitetu sterującego ds. cyberbezpieczeństwa z przedstawicielami IT, bezpieczeństwa, działu prawnego, HR i komunikacji. Taki zespół zapewnia, że ochrona cyfrowa nie pozostaje wyłącznie problemem informatyków.
Kary, które zabolą
Ustawa o KSC przewiduje trzy rodzaje sankcji: finansowe, administracyjne i karne. Operatorzy usług, którzy nie wywiązują się z nałożonych obowiązków, mogą zostać ukarani grzywną do 200 tysięcy złotych. Dla dostawców usług cyfrowych limit wynosi 100 tysięcy złotych. Wysokość kary zależy od wagi naruszenia, jego skali, czasu trwania i tego, czy podmiot podjął działania naprawcze.
Sankcje administracyjne obejmują nakaz usunięcia nieprawidłowości w wyznaczonym terminie, czasowy zakaz świadczenia usługi do czasu naprawy uchybień, a w skrajnych przypadkach wykreślenie z wykazu operatorów lub dostawców usług cyfrowych. To ostatnie jest najbardziej dotkliwą sankcją administracyjną, bo oznacza utratę statusu i związanych z nim uprawnień.
Najpoważniejsza jest odpowiedzialność karna. Osoba odpowiedzialna za bezpieczeństwo systemu informatycznego usługi, która nie wdraża wymaganych zabezpieczeń i naraża system na poważne zakłócenie, może trafić do więzienia na okres do pięciu lat. To nie jest martwy przepis. Ma odstraszać osoby decyzyjne od traktowania cyberbezpieczeństwa jako tematu drugoplanowego.
Poza sankcjami ustawowymi nieprzestrzeganie wymogów KSC wiąże się z ryzykiem strat finansowych wynikających z przestojów, utratą reputacji i zaufania klientów, odpowiedzialnością cywilną za szkody wobec osób trzecich oraz odpływem kontrahentów do konkurencji. Suma tych konsekwencji sprawia, że ignorowanie obowiązków cyberbezpieczeństwa przestaje się po prostu opłacać.
Polska na cyfrowej mapie Europy i NATO
KSC nie działa w izolacji. System aktywnie angażuje się we współpracę międzynarodową na kilku poziomach. Na forum Unii Europejskiej Polska jest reprezentowana przez Pojedynczy Punkt Kontaktowy w Grupie Współpracy NIS, która koordynuje polityki cyberbezpieczeństwa państw członkowskich. Polskie zespoły CSIRT wymieniają informacje z odpowiednikami z innych krajów UE za pośrednictwem platformy MISP (Malware Information Sharing Platform) i systemów wczesnego ostrzegania.
Eksperci KSC uczestniczą w pracach Europejskiej Agencji ds. Cyberbezpieczeństwa (ENISA), w grupach roboczych zajmujących się ochroną infrastruktury i certyfikacją produktów ICT. Polska posiada też przedstawiciela w Radzie Zarządzającej ENISA. Na płaszczyźnie bilateralnej funkcjonują umowy o wzmocnionej współpracy: z USA (od 2018 roku, obejmująca wymianę informacji, wspólne ćwiczenia i projekty badawcze), a także z Wielką Brytanią, Izraelem i Koreą Południową.
Na forum NATO Polska angażuje się w prace Centrum Doskonalenia Cyberobrony (CCD COE) z siedzibą w Tallinie, uczestnicząc w szkoleniach, ćwiczeniach i projektach badawczych. Wspiera też wdrażanie polityki cyberbezpieczeństwa Sojuszu, w tym koncepcji obrony kolektywnej w cyberprzestrzeni. Na poziomie globalnym polscy eksperci biorą udział w Forum Zarządzania Internetem (IGF), Międzynarodowym Związku Telekomunikacyjnym (ITU) i Globalnym Forum CSIRT.
KSC wspiera ponadto kampanie edukacyjne skierowane do różnych grup. Program „CyberWyga” adresowany jest do dzieci i młodzieży, a „Cyberbezpieczni” podnosi kompetencje małych i średnich przedsiębiorstw. System inwestuje też w badania i innowacje we współpracy z ośrodkami akademickimi, m.in. w ramach programu Horyzont Europa. Wszystko po to, by Polska nie była tylko odbiorcą rozwiązań, ale też ich twórcą.
Nadchodzi NIS2 i nowa rzeczywistość prawna
Planowana nowelizacja ustawy o KSC ma zaimplementować unijną dyrektywę NIS2 i wprowadzić istotne zmiany w dotychczasowym porządku. Przede wszystkim rozszerzony zostanie krąg podmiotów objętych regulacjami. Do systemu dołączą nowe sektory: administracja publiczna, przestrzeń kosmiczna, gospodarka odpadami i produkcja. To oznacza, że firmy, które dotąd nie musiały martwić się o cyberbezpieczeństwo na poziomie ustawowym, będą musiały szybko nadrobić zaległości.
Zaostrzeniu ulegną wymogi dotyczące bezpieczeństwa. Nowe standardy zarządzania ryzykiem będą wyższe, a terminy zgłaszania incydentów krótsze niż dotychczasowe 24 godziny. Organy właściwe zyskają większe uprawnienia nadzorcze, a kary finansowe za naruszenia wzrosną. Zmieni się też terminologia: dotychczasowy podział na operatorów usług i dostawców usług cyfrowych zastąpi nowa klasyfikacja na podmioty kluczowe i podmioty ważne.
Nowelizacja przewiduje też powstanie krajowego systemu certyfikacji produktów i usług ICT oraz utworzenie Centrum Cyberbezpieczeństwa NASK. Ta nowa jednostka ma skonsolidować zasoby i kompetencje, wspierając podmioty KSC specjalistyczną wiedzą i narzędziami. Wzmocniona zostanie również współpraca międzynarodowa, z dostosowaniem mechanizmów do nowych ram współpracy w Unii Europejskiej.
Wszystkie te zmiany mają jeden wspólny mianownik: dostosować polski system ochrony cyberprzestrzeni do zagrożeń, które stają się coraz bardziej wyrafinowane i coraz częstsze. Obecna ustawa z 2018 roku spełniła swoją rolę, ale cyfrowy krajobraz zmienił się nie do poznania. Nowe przepisy mają sprawić, że KSC nie będzie jedynie nadążał za zagrożeniami, lecz zacznie je wyprzedzać.
