Posiedzenie sejmowej Komisji Cyfryzacji 9 stycznia przyniosło kluczową zmianę w projekcie nowelizacji ustawy o krajowym systemie cyberbezpieczeństwa - wydłużono okres na wdrożenie nowych obowiązków dla podmiotów kluczowych i ważnych z 6 do 12 miesięcy. Dla wielu organizacji ta poprawka oznacza nie tylko więcej czasu, ale szansę na przygotowanie kompleksowej strategii cyberbezpieczeństwa zamiast działania „na ostatnią chwilę”.

Dlaczego 12 miesięcy ma znaczenie

Pół roku to w praktyce jedno „okno budżetowe” – niewiele, by zbudować system zarządzania ryzykiem, wybrać dostawców i wdrożyć rozwiązania. Dodatkowe sześć miesięcy pozwala firmom spokojnie oszacować wpływ ustawy, zaplanować wydatki i uzgodnić zakres zmian z działami IT, prawnym i zarządem. Warto jednak pamiętać, że obowiązki UKSC obejmują nie tylko infrastrukturę techniczną. Potrzebne będą procesy zgłaszania incydentów, audyty dostawców i włączenie bezpieczeństwa do codziennej kultury pracy - a to wymaga przygotowania i edukacji pracowników.

Gdzie w tym wszystkim „czynnik ludzki”

Wielu naruszeń nie wynika z awarii systemów, ale z błędów użytkowników. Dane z raportów KnowBe4 pokazują, że początkowy wskaźnik podatności pracowników na phishing wynosi średnio 34,3 %, ale dzięki odpowiednio prowadzonym szkoleniom można go obniżyć do 18,9 % w 90 dni, a w ciągu roku nawet do około 4,6 %. Platforma KnowBe4 oferuje ponad tysiąc interaktywnych modułów, filmów, gier i testów phishingowych, tworzących bibliotekę, z której można zbudować całoroczną kampanię edukacyjną. Co ważne, jej rozwój wspiera największy w branży zespół specjalistów od tworzenia treści, dzięki czemu nowe tematy pojawiają się szybko i w różnej formie. Szkolenia są zaprojektowane tak, by pracownicy uczyli się rozpoznawać ataki i zatrzymywać się przed kliknięciem w podejrzany link.

Jak wykorzystać dodatkowy czas

  1. Analiza wpływu i plan - w pierwszych miesiącach warto ocenić, jakie obowiązki wynikające z ustawy dotyczą firmy oraz które systemy i procesy wymagają korekt.
  2. Audyt dostawców i przegląd procedur - sprawdź, czy Twoi partnerzy spełniają wymogi bezpieczeństwa i ustal kryteria wyboru nowych dostawców.
  3. Edukacja i kultura bezpieczeństwa - zaplanuj długofalowy program szkoleniowy dla pracowników. Wykorzystaj narzędzia, które łączą testy phishingowe z interaktywnymi modułami oraz materiałami wideo.
  4. Wdrażanie technologii i dokumentacji - dopiero po przygotowaniu ludzi i procesów wprowadź konkretne narzędzia (systemy detekcji, zarządzanie podatnościami) i przygotuj dokumentację na potrzeby audytów.

Podsumowanie

Nowelizacja UKSC dała firmom dodatkowe sześć miesięcy na dostosowanie się do nowych obowiązków. To czas, który warto zainwestować nie tylko w zakupy sprzętu i usług, lecz także w budowanie świadomości i kultury cyberbezpieczeństwa. Platformy takie jak KnowBe4 - oferujące bogate biblioteki materiałów szkoleniowych i symulowane ataki phishingowe - mogą pomóc wykorzystać ten czas z korzyścią, zmniejszając ryzyko incydentu oraz ułatwiając spełnienie wymogów ustawy.