Związek Przedsiębiorców i Pracodawców
𝕏

Dialog społeczny w tworzeniu polityki cyberbezpieczeństwa przedsiębiorstw

Wstęp

W dobie dynamicznego rozwoju technologii cyfrowych i rosnącej liczby zagrożeń cybernetycznych, prawidłowo funkcjonujący dialog społeczny odgrywa kluczową rolę w kształtowaniu funkcjonalnej polityki cyberbezpieczeństwa przedsiębiorstw. Skuteczna ochrona infrastruktury cyfrowej oraz danych wrażliwych wymaga współpracy sektora publicznego i prywatnego, a także aktywnego zaangażowania przedsiębiorców w proces legislacyjny i implementacyjny.

  1. Jak efektywnie angażować przedsiębiorców w proces tworzenia przepisów dotyczących ochrony infrastruktury cyfrowej
    i danych w Polsce?

Zaangażowanie przedsiębiorców w proces tworzenia przepisów dotyczących cyberbezpieczeństwa jest kluczowe dla zapewnienia, że regulacje będą praktyczne i adekwatne do realiów i potrzeb rynkowych. Istnieje wiele strategii efektywnego angażowania przedsiębiorców, mowa tu m.in. o:

  • Platformach dialogu publiczno-prywatnego: Tworzenie stałych platform współpracy, takich jak rady doradcze ds. cyberbezpieczeństwa, które gromadzą przedstawicieli administracji publicznej, sektora prywatnego i środowisk akademickich (konsultacje trójstronne);
  • Konsultacjach branżowych: Regularne organizowanie konsultacji z poszczególnymi branżami, co pozwala na dostosowanie przepisów do specyfiki różnych sektorów gospodarki.
  • Grupach roboczych: Powoływanie grup roboczych składających się z ekspertów technicznych, przedstawicieli firm technologicznych i regulatorów, co umożliwia stworzenie platformy wymiany wiedzy i doświadczeń.
  • Transparentności procesów legislacyjnych: Udostępnianie projektów aktów prawnych do publicznej dyskusji oraz zapewnienie możliwości zgłaszania uwag przez przedsiębiorców.
  1. Rola konsultacji społecznych w przeciwdziałaniu cyberzagrożeniom oraz w opracowywaniu strategii ochrony przed cyberatakami w sektorze prywatnym

Fundamentem demokratycznego procesu legislacyjnego są konsultacje społeczne, a w kontekście cyberbezpieczeństwa pełnią one szczególną rolę w identyfikacji potencjalnych zagrożeń oraz opracowywaniu skutecznych strategii ochrony, czy planów działania. Ich znaczenie można przedstawić w kilku aspektach:

  • Identyfikacja potrzeb i zagrożeń: Konsultacje pozwalają na zidentyfikowanie rzeczywistych problemów i luk w istniejących systemach zabezpieczeń, co umożliwia tworzenie bardziej precyzyjnych regulacji.
  • Zwiększenie akceptacji społecznej: Udział różnych interesariuszy w procesie legislacyjnym zwiększa poziom zrozumienia problemu i podjęcia bardziej skoordynowanych działań.
  • Implementacja przepisów unijnych: Wdrażanie przepisów unijnych, takich jak dyrektywa NIS2, która wprowadza nowe obowiązki w zakresie zarządzania ryzykiem i zgłaszania incydentów, wymaga dostosowania regulacji do lokalnych realiów. W tym kontekście konsultacje społeczne odgrywają kluczową rolę, wspierając identyfikację obszarów wymagających szczególnej uwagi w procesie implementacji do prawa lokalnego.
  • Budowanie kultury cyberbezpieczeństwa: Konsultacje promują świadomość znaczenia cyberbezpieczeństwa wśród przedsiębiorców i społeczeństwa.
  1. Cyberbezpieczeństwo – wsparcie lokalne (KSC) i unijne (ENISA)

Krajowy System Cyberbezpieczeństwa (KSC) to kluczowy element krajowej polityki ochrony przed cyberzagrożeniami. Jego głównym celem jest zapewnienie wysokiego poziomu bezpieczeństwa sieci i systemów informatycznych w Polsce poprzez integrację różnych podmiotów odpowiedzialnych za cyberbezpieczeństwo. System obejmuje operatorów usług kluczowych, dostawców usług cyfrowych, CSIRT-y sektorowe oraz administrację publiczną, tworząc strukturę umożliwiającą szybką wymianę informacji na temat wszelkich zagrożeń i reagowania na incydenty.

Jednym z istotnych elementów KSC jest obowiązek raportowania incydentów, co pozwala na bieżące monitorowanie zagrożeń oraz wdrażanie działań prewencyjnych – czyli zaimplementowana dyrektywa NIS w pigułce. System promuje również współpracę publiczno-prywatną, zachęcając przedsiębiorstwa do angażowania się w proces wzmacniania krajowego cyberbezpieczeństwa. W kontekście dialogu społecznego KSC stanowi platformę wymiany wiedzy oraz doświadczeń, co pozwala na lepsze dostosowanie regulacji do realnych potrzeb sektora prywatnego.

Równocześnie, na poziomie Unii Europejskiej, kluczową rolę odgrywa Agencja Unii Europejskiej ds. Cyberbezpieczeństwa (ENISA), która swoimi pracami oddziałuje na polityki wewnętrzne państw członkowskich, w tym Polski. ENISA wspiera państwa stowarzyszone w opracowywaniu i wdrażaniu polityk oraz standardów dotyczących ochrony przed cyberzagrożeniami. Działa na rzecz podnoszenia poziomu odporności europejskiej infrastruktury cyfrowej poprzez prowadzenie badań, analizowanie trendów w cyberbezpieczeństwie oraz organizowanie ćwiczeń oraz szkoleń dla podmiotów publicznych i prywatnych.

Agencja odegrała istotną rolę w opracowaniu dyrektywy NIS2, która nakłada na państwa członkowskie nowe obowiązki w zakresie zarządzania ryzykiem i raportowania incydentów. Dzięki wsparciu ENISA możliwe jest skuteczniejsze wdrażanie unijnych regulacji, co bezpośrednio wpływa na poziom ochrony infrastruktury krytycznej w Polsce. Współpraca między krajowymi organami ds. cyberbezpieczeństwa a ENISA pozwala na wymianę najlepszych praktyk oraz efektywne dostosowywanie polityk do dynamicznie zmieniającego się krajobrazu zagrożeń cybernetycznych.

  1. Dobre praktyki z krajów UE: Estonia i Niemcy

Estonia

Estonia jest uznawana za lidera w dziedzinie cyberbezpieczeństwa dzięki zaawansowanym rozwiązaniom technologicznym i silnemu zaangażowaniu społecznemu:

  • Cyber Defence League: Ochotnicza organizacja zrzeszająca specjalistów IT, którzy współpracują z rządem w zakresie testowania i doskonalenia systemów bezpieczeństwa.
  • E-Governance Academy: Instytucja promująca dialog międzysektorowy oraz edukację w zakresie cyberbezpieczeństwa.
  • Otwarte konsultacje publiczne: Estonia regularnie organizuje konsultacje dotyczące projektów ustaw i strategii cyfrowych, angażując szerokie grono interesariuszy.

Niemcy

Niemcy stawiają na silną współpracę publiczno-prywatną i integrację polityki cyberbezpieczeństwa z innymi aspektami bezpieczeństwa narodowego:

  • Federalny Urząd ds. Bezpieczeństwa Informacji (BSI): Odpowiedzialny za koordynację działań związanych z cyberbezpieczeństwem, BSI prowadzi liczne inicjatywy konsultacyjne z sektorem prywatnym.
  • Allianz für Cyber-Sicherheit: Sojusz na rzecz cyberbezpieczeństwa skupiający przedsiębiorstwa, instytucje rządowe i ekspertów, umożliwiający wymianę informacji o zagrożeniach i najlepszych praktykach.
  • Obowiązkowe testy bezpieczeństwa: Przed wdrożeniem nowych regulacji Niemcy często przeprowadzają testy pilotażowe, które pozwalają na weryfikację skuteczności przepisów w praktyce.

Zakończenie

Dialog społeczny w zakresie cyberbezpieczeństwa jest nieodzownym elementem skutecznej polityki ochrony infrastruktury cyfrowej. Angażowanie przedsiębiorców, prowadzenie szeroko zakrojonych konsultacji społecznych oraz czerpanie z doświadczeń innych krajów UE, takich jak Estonia i Niemcy, pozwala na tworzenie kompleksowych i efektywnych strategii. Współpraca międzysektorowa jest kluczowa dla budowania odporności przeciwko cyberzagrożeniom.

 

Źródła:

  1. Dyrektywa Parlamentu Europejskiego i Rady (UE) 2016/1148 z dnia 6 lipca 2016 r. w sprawie środków na rzecz wysokiego wspólnego poziomu bezpieczeństwa sieci i systemów informatycznych na terytorium Unii (https://eur-lex.europa.eu/legal-content/PL/ALL/?uri=CELEX%3A32016L1148)
  2. https://www.bsi.bund.de/EN/Home/home_node.html
  3. https://ega.ee/
  4. https://www.lufthansa-industry-solutions.com/de-en/studies/whitepaper-on-nis2-legislation-and-cybersecurity-using-ai?_gl=1*1vqp5op*_up*MQ..*_gs*MQ..&gclid=CjwKCAiAtYy9BhBcEiwANWQQLwnB_8eBi3DqVuoKyURcEX6kqqCVI5Xe4PlRHOX3EaGuDa7yauYtZhoCe1YQAvD_BwE
  5. https://cyberpolicy.nask.pl/stan-rzadowych-prac-legislacyjnych-z-zakresu-cyberbezpieczenstwa-i-cyfryzacji/
  6. https://www.gov.pl/attachment/c8189ba4-2797-4cba-b00f-200dd10e9474
  7. https://european-union.europa.eu/institutions-law-budget/institutions-and-bodies/search-all-eu-institutions-and-bodies/european-union-agency-cybersecurity-enisa_pl
  8. https://www.gov.pl/web/cyfryzacja/krajowy-system-cyberbezpieczenstwa-