Nowelizacja KSC w podmiotach publicznych

Dyrektywa NIS2 i projektowana nowelizacja ustawy o Krajowym Systemie Cyberbezpieczeństwa (KSC) wprowadzą istotne zmiany dla podmiotów publicznych w Polsce. Sektor publiczny, jako jeden z kluczowych obszarów działania państwa, zostanie objęty nowymi wymaganiami. Wymagania te mają zwiększyć odporność na cyberzagrożenia oraz poprawić zarządzanie bezpieczeństwem cyfrowym. Wyniki raportu Najwyższej Izby Kontroli (NIK) oraz wydarzenia, takie jak cyberataki w 2024 roku, podkreślają konieczność szybkiego wdrożenia skutecznych zabezpieczeń w tych instytucjach. Podmioty publiczne będą musiały dostosować swoje systemy do nowych standardów, co obejmuje zarówno procesy technologiczne, jak i organizacyjne.

Proces legislacyjny – gdzie jesteśmy z nowelizacją ustawy o KSC?

7 października 2024 r. Ministerstwo Cyfryzacji poinformowało, że skierowało projekt ustawy do Komitetów Rady Ministrów i Komisji Wspólnej Rządu i Samorządu Terytorialnego (KWRiST),

pismem z 14 października 2024 r. projekt został przekazany do Komitetu do Spraw Europejskich,
22 października 2024 r. Komitet zgłosił uwagi do projektu i protokołu rozbieżności,
pismem z 18 listopada 2024 r. projekt po kolejnych zmianach z 18 listopada został skierowany do Komitetu do Spraw Europejskich wraz z rekomendacją o rozstrzygnięcie przez Radę Ministrów nieuwzględnionych uwag, zawartych w protokole rozbieżności, co ma umożliwić uzyskanie niezbędnego czasu potrzebnego do ich analizy i ewentualnego uwzględnienia w treści projektu,

20 listopada 2024 r. Zespół ds. Społeczeństwa Informacyjnego w ramach KWRiST wprowadził do porządku obrad dyskusję nad projektowanymi zmianami w KSC,
pismem z 6 grudnia 2024 r. projekt po kolejnych zmianach z 2 grudnia został skierowany do Komitetu Spraw Europejskich w trybie do potwierdzenia, w którym rozpatrywane są wyłącznie uwagi zgłoszone na wcześniejszym etapie prac KSE,
do 10 grudnia 2024 r. Komitet do Spraw Europejskich ma zgłosić ewentualne uwagi do projektu z 2 grudnia 2024 r.

Czym jest KWRiST i jaka jest jej rola?

Komisja Wspólna Rządu i Samorządu Terytorialnego (KWRiST) jest kluczowym forum współpracy między administracją centralną a samorządami. Jej głównym zadaniem jest wypracowywanie wspólnych stanowisk w kwestiach dotyczących polityki państwa wobec samorządów. Komisja składa się z 11 zespołów tematycznych, które zajmują się różnymi aspektami funkcjonowania administracji.

Projekt nowelizacji ustawy o Krajowym Systemie Cyberbezpieczeństwa (KSC) został skierowany do Zespołu ds. Społeczeństwa Informacyjnego. Zadaniem tego zespołu jest analiza zmian dotyczących informatyzacji i bezpieczeństwa cyfrowego, które mają kluczowe znaczenie dla funkcjonowania samorządów.

W obecnym kształcie projektu zmian w KSC liczne jednostki publiczne zostaną zakwalifikowane jako podmioty kluczowe, co wiąże się z dodatkowymi wymaganiami w zakresie bezpieczeństwa IT.

Podmioty publiczne objęte nowymi regulacjami

Projekt nowelizacji ustawy o KSC w sektorze kluczowym wskazuje:

organy władzy publicznej, w tym organy administracji rządowej, organy kontroli państwowej i ochrony prawa oraz sądy i trybunały;
jednostki samorządu terytorialnego oraz ich związki;
związki metropolitalne;
jednostki budżetowe;
samorządowe zakłady budżetowe;
agencje wykonawcze;
instytucje gospodarki budżetowej;
Zakład Ubezpieczeń Społecznych i zarządzane przez niego fundusze oraz Kasa Rolniczego Ubezpieczenia Społecznego i fundusze zarządzane przez Prezesa Kasy Rolniczego Ubezpieczenia Społecznego;
Narodowy Fundusz Zdrowia;
uczelnie publiczne;
Polską Akademię Nauk i tworzone przez nią jednostki organizacyjne;
państwowe i samorządowe instytucje kultury.

Nowelizacja KSC w podmiotach publicznych – nowe obowiązki

Jednostki zakwalifikowane jako podmioty kluczowe muszą m.in.:

Raportować incydenty bezpieczeństwa do właściwych zespołów reagowania (CSIRT).
Regularne przeprowadzać audyty bezpieczeństwa IT.
Wdrożyć systemy zarządzania ryzykiem oraz plany reagowania na incydenty.
Stosować zaawansowane narzędzia ochrony.
Przeprowadzać szkolenia w zakresie cyberbezpieczeństwa.

To tylko niektóre wyzwania, z którymi podmioty publiczne będą musiały się zmierzyć. Podmioty publiczne będą musiały zmienić swoje podejście do cyberzagrożeń, zainwestować w infrastrukturę IT, wdrożyć skuteczne procesy i rozwiązania.

Raport NIK – o cyberbezpieczeństwie w podmiotach publicznych

O tym jak obecnie wygląda cyberbezpieczeństwo w niektórych samorządach możemy przeczytać w wystąpieniu pokontrolnym Najwyższej Izby Kontroli (NIK). Kontrola NIK przeprowadzona w kwietniu 2024 r. w samorządach w województwie zachodniopomorskim ujawniła, że skontrolowane jednostki nie spełniły podstawowych wymogów cyberbezpieczeństwa.

Kluczowe wnioski z kontroli NIK dotyczącej bezpieczeństwa teleinformatycznego w urzędach gmin:

Braki w dokumentacji i standardach bezpieczeństwa:
- Żadna z jednostek nie miała kompletnego Systemu Zarządzania Bezpieczeństwem Informacji.
- W trzech przypadkach dokumentacja nie spełniała wymagań normy PN-ISO/IEC 27001.
- W jednym urzędzie przez 2 lata, a w trzech przez 4 lata, nie wyznaczono osoby odpowiedzialnej za kontakty z Krajowym Systemem Cyberbezpieczeństwa.
Nieprzygotowanie na odtworzenie danych po cyberataku:
- 50% urzędów nie posiadało procedur odtworzenia zasobów po ataku.
- W jednym przypadku procedura istniała, ale nie przeprowadzono testów jej skuteczności.
- Kopie zapasowe były tworzone, lecz nie weryfikowano ich pod kątem kompletności ani możliwości odtworzenia danych.
- W jednym urzędzie kopie zapasowe były podatne na infekcję w przypadku zawirusowania serwera głównego.
Problemy z konfiguracją i aktualnością oprogramowania:
- W połowie urzędów wykorzystywano nieaktualne oprogramowanie z krytycznymi lukami bezpieczeństwa.
- W jednym przypadku oprogramowanie zabezpieczające było niewłaściwie skonfigurowane, co czyniło je nieskutecznym.
Braki w szkoleniach pracowników:
- Żaden z urzędów nie zapewnił odpowiednich szkoleń z zakresu cyberbezpieczeństwa.
- Pracownicy nie posiadali wystarczającej wiedzy, by rozpoznać zagrożenia i odpowiednio na nie reagować.

Nowelizacja KSC w podmiotach publicznych - wyniki ankiety

Źródło: wyniki ankiety przeprowadzonej przez NIK w kontrolowanych samorządach
Zachodniopomorskie gminy nieprzygotowane na cyberzagrożenia – Najwyższa Izba Kontroli

Brak inwentaryzacji środowiska IT:
- W żadnym z urzędów nie zinwentaryzowano środowiska informatycznego, co utrudniało kontrolę nad systemami i ich zabezpieczeniami.
Problemy z zarządzaniem incydentami bezpieczeństwa:
- W dwóch urzędach brakowało skutecznego systemu identyfikacji i reagowania na incydenty.
- Jeden urząd nie rejestrował incydentów i nie zgłaszał ich do CSIRT NASK, mimo istnienia procedury.
Nieprawidłowe korzystanie z usług chmurowych:
- Usługi chmurowe były wykorzystywane bez określonych zasad i kontroli, co zwiększało ryzyko naruszenia bezpieczeństwa danych.
Nieodpowiednia ochrona serwerów:
- W jednej z gmin serwer znajdował się w otwartej szafie w przechodnim biurze, narażając go na nieuprawniony dostęp lub przypadkowe uszkodzenie.
- W innych jednostkach brakowało odpowiedniej fizycznej ochrony serwerów.

Nowelizacja KSC w podmiotach publicznych - serwer

Źródło: materiały z kontroli NIK
Zachodniopomorskie gminy nieprzygotowane na cyberzagrożenia – Najwyższa Izba Kontroli

Dlaczego bezpieczeństwo cyfrowe w podmiotach publicznych jest kluczowe dla obywateli i firm?

Cyberprzestępcy coraz częściej w kręgu zainteresowania stawiają podmioty publiczne. Wystarczy przypomnieć ataki tylko w 2024 r. na Starostwo Powiatowe w Świebodzinie i Starostwo Powiatowe w Jędrzejowie. W obu przypadkach doszło do przejęcia danych i częściowego sparaliżowania pracy urzędów. Bezpieczeństwo cyfrowe w podmiotach publicznych zatem ma bezpośredni wpływ na codzienne życie mieszkańców oraz funkcjonowanie lokalnych firm. podmioty publiczne zarządzają kluczowymi systemami i danymi, które mają znaczenie dla zdrowia, bezpieczeństwa oraz komfortu obywateli. W przypadku ataku hakerskiego mogą zostać sparaliżowane istotne usługi publiczne, co niesie za sobą poważne konsekwencje społeczne i ekonomiczne.

Przykłady zagrożeń:

Kradzież danych osobowych
Pomioty publiczne przechowują dane osobowe obywateli, w tym PESEL, adresy czy numery kont bankowych. Wyciek takich informacji może prowadzić do kradzieży tożsamości, fałszywych kredytów czy innych przestępstw finansowych.
Zablokowanie pracy urzędów
Ataki ransomware na podmioty publiczne skutkują blokadą dostępu do systemów. Obywatele nie mogą wtedy załatwić ważnych spraw, takich jak wydanie dowodu osobistego, aktów urodzenia czy pozwoleń budowlanych. Firmy mogą mieć opóźnienia w uzyskiwaniu licencji czy zezwoleń.
Dezinformacja i chaos społeczny
Ataki na systemy komunikacyjne podmioty publiczne mogą prowadzić do rozprzestrzeniania fałszywych informacji. Przykładowo, hakerzy mogą wysłać fałszywe ostrzeżenia o zagrożeniach lub przekazać nieprawdziwe dane o jakości wody czy powietrza, wywołując panikę.

Wnioski i rekomendacje – co należy zrobić, aby sprostać wyzwaniom?

Inwestycje w infrastrukturę IT – wymiana przestarzałych systemów i wdrożenie skutecznej ochrony stacji roboczych i serwerów, w tym inwestycja w sprawdzone oprogramowanie antywirusowe, rozwiązania z zakresu cyber decepcji, zabezpieczenie logowań silnymi hasłami, stosowanie dwuskładniowego uwierzytelnienia w kluczowych systemach, tworzenie backupów danych.
Szkolenia dla pracowników – budowanie świadomości zagrożeń i umiejętności reagowania.
Przeprowadzanie audytów – identyfikacja słabych punktów i bieżące aktualizacje procedur.
Zlecanie testów penetracyjnych – sprawdzanie odporności systemów na potencjalne ataki.

Podsumowanie

Nowelizacja ustawy o KSC oraz implementacja dyrektywy NIS2 to wyzwanie, ale i szansa dla polskiego sektora publicznego. Wyniki kontroli NIK i incydenty w 2024 roku uwidoczniły skalę zaniedbań w obszarze cyberbezpieczeństwa. Dzięki wdrożeniu nowych regulacji jest szansa na zwiększenie odporności na zagrożenia, ale wymaga zaangażowania i inwestycji w infrastrukturę IT. Niemniej jednak przed KWRiST ważne zadanie, aby nowelizowane przepisy rozważyć niezwykle wnikliwie. O ile duże jednostki mogą udźwignąć ciężar zmian o tyle małe samorządy, czy instytucje kultury mogą osiągnąć taki efekt jak przedstawiają to wyniki kontroli NIK. W obecnej erze cyberzagrożeń nie chodzi o tworzenie przepisów dla samych przepisów, ale wdrożenie skutecznych rozwiązań w służbie nas wszystkich.

Cookie	Duration	Description
cookielawinfo-checkbox-analytics	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Analytics".
cookielawinfo-checkbox-functional	11 months	The cookie is set by GDPR cookie consent to record the user consent for the cookies in the category "Functional".
cookielawinfo-checkbox-necessary	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookies is used to store the user consent for the cookies in the category "Necessary".
cookielawinfo-checkbox-others	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Other.
cookielawinfo-checkbox-performance	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Performance".
viewed_cookie_policy	11 months	The cookie is set by the GDPR Cookie Consent plugin and is used to store whether or not user has consented to the use of cookies. It does not store any personal data.