HomeCYBERSECSamorządy vs. Ministerstwo Cyfryzacji – walka bez prawa (jeszcze)

Samorządy vs. Ministerstwo Cyfryzacji – walka bez prawa (jeszcze)

2024-11-02
3
(2)

Wraz z implementacją dyrektywy NIS2, której celem jest zwiększenie bezpieczeństwa cybernetycznego w całej Unii Europejskiej, polskie samorządy stoją przed wyzwaniem dopasowania procedur oraz systemów zarządzania ryzykiem do wymogów określonych przez Ministerstwo Cyfryzacji. Przepisy nakładają szczególny nacisk na ochronę infrastruktury krytycznej, zwiększoną ocenę ryzyka, a także na bieżące monitorowanie incydentów i zagrożeń, co staje się podstawowym zadaniem również na szczeblu samorządowym. Jednak pomimo intensywnych prac legislacyjnych i konsultacji z samorządami, wielu przedstawicieli lokalnych władz zgłasza problemy związane z realizacją tych wytycznych.

1. Niejednolitość komunikacji między samorządami a Ministerstwem Cyfryzacji

Głównym wyzwaniem, przed którym stają samorządy, jest komunikacja z Ministerstwem Cyfryzacji w zakresie dostępu do wytycznych, które miałyby ułatwić wdrożenie wymagań NIS2 w sposób zrównoważony i dopasowany do lokalnych możliwości. Wymiana informacji, zdaniem wielu samorządów, często jest niewystarczająco sprecyzowana, a niejednoznaczne instrukcje generują niepewność co do pełnych wymagań lub obszaru odpowiedzialności. Samorządy wielokrotnie wnioskują o dodatkowe wytyczne, które mogłyby usprawnić proces wdrażania systemu oceny ryzyka, w szczególności w zakresie odpowiedzialności za bezpieczeństwo infrastruktury teleinformatycznej.

2. System oceny ryzyka – różne standardy i brak spójności w praktyce

Kolejną kwestią, którą wielokrotnie poruszają jednostki samorządu terytorialnego, jest funkcjonowanie i rola systemu oceny ryzyka w kontekście wymogów NIS2. W myśl przepisów NIS2, każda jednostka odpowiedzialna za infrastrukturę o znaczeniu krytycznym powinna przeprowadzać szczegółowe analizy ryzyka, z uwzględnieniem aktualnych zagrożeń cybernetycznych oraz potencjalnych skutków dla funkcjonowania usług publicznych. Jednak, jak wskazują przedstawiciele administracji samorządowej, system oceny ryzyka funkcjonuje w sposób rozproszony, co dodatkowo utrudnia wypełnienie nałożonych obowiązków. Różnice w podejściu do identyfikacji ryzyka na poziomie lokalnym mogą prowadzić do niejednolitych wyników, które nie zawsze odpowiadają oczekiwaniom kontrolnym ustawodawcy.

3. Wytyczne Urzędu Kontroli Systemu Cyberbezpieczeństwa (UKSC)

Utworzony na mocy nowych przepisów Urząd Kontroli Systemu Cyberbezpieczeństwa (UKSC) pełni rolę nadzorczą nad wdrażaniem wymogów NIS2, w tym nad jednostkami samorządowymi. W ramach swoich zadań UKSC odpowiedzialny jest za wyznaczenie standardów zgodnych z dyrektywą, jednakże, jak sygnalizują urzędnicy, przepisy krajowe nie zawsze są wystarczająco precyzyjnie skoordynowane z wymaganiami UE, co powoduje niejasności w interpretacji obowiązków. Przykładem jest brak jednoznacznych wytycznych co do zakresu wydatków koniecznych na wdrożenie zaleceń, co jest istotne w kontekście przyszłych kontroli ze strony Najwyższej Izby Kontroli (NIK). Samorządy obawiają się, że brak jasno określonych wytycznych może skutkować rozbieżnościami podczas oceniania zgodności wydatków na cyberbezpieczeństwo z przyjętymi standardami.

4. Brak modelu oceny kosztów wdrożenia i potrzeba indywidualnych wyliczeń

Kwestia finansowa stanowi istotne wyzwanie dla samorządów, szczególnie w kontekście oceny kosztów związanych z implementacją wymogów NIS2. Koszty są trudne do oszacowania bez jednoznacznych wytycznych, które pozwoliłyby każdemu samorządowi przeprowadzić indywidualne obliczenia dostosowane do jego specyfiki i możliwości budżetowych. Dlatego też liczne jednostki samorządu apelują do Ministerstwa Cyfryzacji o opracowanie transparentnego modelu szacowania kosztów wdrożenia, który uwzględniałby różnorodność potrzeb na poziomie lokalnym. Taki model byłby przydatnym narzędziem nie tylko przy planowaniu budżetów, ale również podczas kontroli NIK, której wyniki mogłyby być zbieżne z przyjętymi przez UKSC standardami i oczekiwaniami ministerstwa.

Podsumowanie

Spór dotyczący wdrażania NIS2 między samorządami a Ministerstwem Cyfryzacji pokazuje, że kluczową rolę w skutecznej implementacji przepisów odgrywa spójna komunikacja oraz jasne wytyczne. Brak klarownych wytycznych co do interpretacji przepisów i finansowania działań prowadzi do niepewności wśród jednostek samorządowych, które obawiają się, że w trakcie kontroli NIK pojawią się trudności w uzasadnieniu wydatków.

Pełne informacje na temat NIS2, ustawy KSC i przyszłych wymogów znajdziesz na stronie Ministerstwa Cyfryzacji: Ministerstwo Cyfryzacji – Cyberbezpieczeństwo oraz Krajowy System Cyberbezpieczeństwa.

Tekst powstał na podstawie uczestnictwa w 8 Forum „Bezpieczeństwo Informacji w Administracji” gdzie miałem przyjemność wysłuchać wielu ciekawych prelekcji.

Andrzej Piotrowski

How useful was this post?

Click on a star to rate it!

Average rating 3 / 5. Vote count: 2

No votes so far! Be the first to rate this post.

We are sorry that this post was not useful for you!

Let us improve this post!

Tell us how we can improve this post?

Tags:, , , , , , , , , , , ,

Related Posts

Add a Comment

Twój adres e-mail nie zostanie opublikowany. Wymagane pola są oznaczone *