Prezydent Karol Nawrocki podpisał w zeszłym tygodniu nowelizację ustawy o krajowym systemie cyberbezpieczeństwa (KSC), wdrażającą unijną dyrektywę NIS2. Jednocześnie skierował do Trybunału Konstytucyjnego wniosek o kontrolę następczą przepisów dotyczących dostawców wysokiego ryzyka.
– Podpisanie nowelizacji ustawy o KSC nie jest dla przedsiębiorców jednorazowym wydarzeniem legislacyjnym, lecz początkiem kilkuletniego procesu realnej zmiany sposobu funkcjonowania organizacji w świecie cyfrowym – zauważa w rozmowie z „Wprost” Paweł Stapf, dyrektor generalny Komputronik Biznes.
Ekspert podkreśla, że praktyczne wdrożenie KSC to nie tylko spełnienie formalnych wymogów czy przygotowanie dokumentacji. To konieczność zbudowania zdolności do stałego rozumienia zagrożeń, reagowania na incydenty oraz utrzymania ciągłości działania w środowisku biznesowym coraz bardziej uzależnionym od technologii.
Wyzwania dla przedsiębiorców
Według Pawła Stapfa największym wyzwaniem dla przedsiębiorców nie będzie sama technologia, lecz zrozumienie skali odpowiedzialności, jaka pojawia się wraz z cyfryzacją.
– Dla wielu firm cyberbezpieczeństwo pozostaje obszarem abstrakcyjnym, kojarzonym z działem IT, podczas gdy ustawa przenosi je na poziom zarządczy i operacyjny. Problemem okaże się brak kompetencji, ograniczona dostępność specjalistów oraz trudność w przełożeniu wymogów regulacyjnych na konkretne działania biznesowe. Przedsiębiorca nie potrzebuje listy narzędzi, lecz odpowiedzi na pytanie: kto realnie przejmie w trybie ciągłym odpowiedzialność za bezpieczeństwo jego organizacji – stwierdza Stapf.
Sporym wyzwaniem pozostaje także złożoność nowych obowiązków.
– Dla wielu firm, szczególnie spoza sektora technologicznego, język regulacyjny oraz zakres oczekiwań mogą być trudne do interpretacji – dodaje ekspert.
Obawia się, że część organizacji może potraktować KSC wyłącznie jako obowiązek formalny, zamiast wykorzystać go jako okazję do budowy przewagi konkurencyjnej.
– Tymczasem prawdziwa wartość pojawia się dopiero wtedy, gdy bezpieczeństwo zostaje włączone w codzienne funkcjonowanie firmy, a nie pozostaje projektem realizowanym jednorazowo – zauważa Stapf.
„KSC może stać się impulsem modernizacyjnym”
Wielu ekspertów zwraca uwagę, że nowelizacja wreszcie uporządkowuje obszar, który dotychczas rozwijał się nierównomiernie i często reaktywnie.
– KSC może stać się impulsem modernizacyjnym, wymuszając uporządkowanie środowisk informatycznych, lepszą widoczność procesów oraz większą odporność operacyjną przedsiębiorstw. W tym sensie regulacja działa jak katalizator cyfryzacji, ponieważ bezpieczeństwo przestaje być kosztem, a zaczyna pełnić rolę fundamentu stabilnego rozwoju – podkreśla Stapf.
Co przyniesie przyszłość?
Zdaniem eksperta kluczowe będzie przejście od myślenia projektowego do modelu stałej ochrony operacyjnej.
– Przedsiębiorstwa coraz częściej będą potrzebowały wyspecjalizowanych usług zapewniających ciągły nadzór nad środowiskiem cyfrowym, analizę zdarzeń i wsparcie w reagowaniu na cyberincydenty. To naturalny kierunek rozwoju rynku, ponieważ większość organizacji nie jest w stanie samodzielnie budować takich kompetencji wewnętrznie – zauważa Stapf.
Podkreśla, że KSC nie należy traktować wyłącznie jako regulacji dotyczącej bezpieczeństwa.
– To regulacja dotycząca zdolności przedsiębiorstw do funkcjonowania w gospodarce cyfrowej. Firmy, które potraktują ją jako impuls do uporządkowania technologii, automatyzacji procesów i modernizacji środowisk operacyjnych, mogą realnie zwiększyć swoją odporność i efektywność. Te, które zignorują nadchodzącą zmianę, ryzykują nie tylko utratę konkurencyjności, lecz w skrajnych przypadkach także ograniczenie możliwości dalszego działania w ekosystemie biznesowym wymagającym potwierdzonego poziomu bezpieczeństwa – podsumowuje ekspert.
