Szacowany czas czytania: 5 minut
Nowelizacja ustawy o Krajowym Systemie Cyberbezpieczeństwa oraz implementacja do polskiego porządku prawnego dyrektywy NIS2 kreują zupełnie nową, sformalizowaną rolę w podmiotach krajowego systemu cyberbezpieczeństwa – kierownika ds. cyberbezpieczeństwa. Zmiana ta nie jest przypadkowa – wynika ona z konieczności ujednolicenia standardów ochrony w sektorach o krytycznym znaczeniu dla państwa, gdzie dotychczasowe, rozproszone podejście do zabezpieczeń okazało się niewystarczające wobec ataków hybrydowych i ransomware.
Michał Giziński
Ekspert ds. cyberbezpieczeństwa Krajowego Instytutu Cyberbezpieczeństwa
Wprowadzenie funkcji kierownika w zakresie cyberbezpieczeństwa stanowi naturalną ewolucję i uzupełnienie mechanizmów znanych z RODO. O ile Inspektor Ochrony Danych (IOD) koncentruje się na prywatności i legalności przetwarzania danych osobowych osób fizycznych, o tyle kierownik ds. cyberbezpieczeństwa ma znacznie szerszy mandat. Jego zadaniem jest ochrona całego ekosystemu informacyjnego w podmiocie ważnym lub kluczowym – w tym tajemnic przedsiębiorstwa, ciągłości procesów technologicznych i integralności systemów IT/OT.
W praktyce obie te role muszą ze sobą ściśle współpracować: RODO narzuca „bezpieczeństwo przetwarzania”, ale to właśnie kierownik ds. cyberbezpieczeństwa dostarcza techniczne i organizacyjne fundamenty, które to bezpieczeństwo umożliwiają.
Kim jest kierownik ds. cyberbezpieczeństwa w świetle przepisów?
Fundamentem nowej roli są przepisy znowelizowanej ustawy, które wprost nakładają na podmioty kluczowe i ważne obowiązek wyznaczenia osoby odpowiedzialnej m.in. za utrzymywanie kontaktów z podmiotami krajowego systemu cyberbezpieczeństwa. Zgodnie z art. 15 ust. 1 pkt 3 UKSC podmioty te muszą wyznaczyć osobę pełniącą funkcję punktu kontaktowego i koordynatora działań ochronnych. To nie jest jedynie formalność. Ustawodawca wymaga, aby osoba ta posiadała wiedzę i kompetencje pozwalające na skuteczne zarządzanie Systemem Zarządzania Bezpieczeństwem Informacji (SZBI). W podmiotach kluczowych (m.in. energetyka, bankowość) oraz ważnych (m.in. gospodarka odpadami, woda i ścieki, produkcja żywności) rola ta staje się strategicznym ogniwem łączącym operacyjną technologię z poziomem zarządczym.
Outsourcing funkcji dzięki art. 14 UKSC
Jednym z najważniejszych i najbardziej praktycznych zapisów nowelizacji jest art. 14 ustawy o KSC, który otwiera drogę do nowoczesnych modeli zarządzania bezpieczeństwem. Przepis ten wprost wskazuje, że zadania związane z zapewnieniem cyberbezpieczeństwa mogą być realizowane przez zewnętrzny podmiot świadczący usługi z zakresu cyberbezpieczeństwa. Oznacza to, że funkcja kierownika ds. cyberbezpieczeństwa nie musi być obsadzona przez etatowego pracownika. Organizacja może zdecydować się na model outsourcingu usług od zewnętrznej firmy. Jak czytamy w ustawie: „Podmiot kluczowy lub podmiot ważny w celu realizacji zadań, o których mowa w art. 8 oraz w art. 9–13, powołuje wewnętrzne struktury odpowiedzialne za cyberbezpieczeństwo lub zawiera umowę z dostawcą usług zarządzanych w zakresie cyberbezpieczeństwa.”
To rozwiązanie ma szereg zalet. Po pierwsze zapewnia dostęp do ekspertów, ponieważ zewnętrzna firma dostarcza zespół specjalistów o szerokich kompetencjach, których trudno pozyskać na deficytowym rynku pracy. Po drugie – obiektywizm: podmiot zewnętrzny łatwiej identyfikuje luki wewnątrz organizacji, unikając „ślepoty operacyjnej”. Wreszcie – optymalizacja kosztów. Model abonamentowy jest często korzystniejszy niż utrzymywanie rozbudowanego działu bezpieczeństwa.
Wybór zewnętrznego partnera nie zdejmuje jednak z organizacji odpowiedzialności za nadzór nad realizacją tych zadań. Partner ten musi gwarantować najwyższe standardy, co potwierdza Michał Giziński, ekspert ds. cyberbezpieczeństwa Krajowego Instytutu Cyberbezpieczeństwa:
„Rola kierownika ds. cyberbezpieczeństwa w nowych strukturach to nie tylko zarządzanie firewallami czy systemami antywirusowymi. To przede wszystkim rola dyplomaty i stratega, który musi przekonać zarząd, że wydatki na cyberbezpieczeństwo to nie koszt, lecz inwestycja w przetrwanie firmy. Niezależnie od tego, czy funkcja ta jest sprawowana przez pracownika, czy w modelu outsourcingu zgodnie z art. 14 UKSC, brak odpowiednio umocowanej osoby to nie tylko ryzyko techniczne, ale przede wszystkim ryzyko prawne i finansowe dla całej kadry zarządzającej.”
Obowiązki i odpowiedzialność zarządu
Rola kierownika (własnego lub zewnętrznego) jest ściśle powiązana z katalogiem obowiązków wymienionych w art. 8–15 UKSC. Należą do nich m.in. zarządzanie incydentami (z raportowaniem w ciągu 24 h), analiza ryzyka oraz audyty podatności.
Kluczowym elementem nowelizacji jest art. 12a UKSC, który wprowadza osobistą odpowiedzialność członków organów zarządzających za zatwierdzanie i nadzór nad środkami bezpieczeństwa. Za rażące zaniedbania ustawa przewiduje kary pieniężne sięgające milionów euro lub procenta globalnego obrotu, a nawet czasowy zakaz pełnienia funkcji kierowniczych. W tym kontekście kierownik ds. cyberbezpieczeństwa staje się najważniejszym doradcą zarządu, chroniącym liderów organizacji przed sankcjami.
