Home Bezpieczeństwo Ustawa KSC: zarządzanie urządzeniami przestaje być opcją, staje się obowiązkiem

Ustawa KSC: zarządzanie urządzeniami przestaje być opcją, staje się obowiązkiem

0
0
171

Przez lata hasło „zadbaj o bezpieczeństwo IT” funkcjonowało w polskich firmach jako jeden z tych postulatów, które wszyscy rozumieją, wszyscy popierają i prawie nikt nie wdraża. Przynajmniej nie systemowo, nie konsekwentnie, nie tak żeby można było pokazać to audytorowi.

W kwietniu 2025 roku coś się zmieniło. Weszła w życie ustawa o Krajowym Systemie Cyberbezpieczeństwa, wdrażająca unijną dyrektywę NIS2. I nagle to samo hasło ma datę, stawki i podpis ministra.

Świadomość jest. Gotowości nie ma.

Zaczniemy od liczby, która powinna niepokoić każdego prezesa firmy objętej nowymi przepisami: 19%. Tyle podmiotów spośród ankietowanych przez Mediarecovery i Safesqr — we współpracy z PMR Market Experts — oceniło w raporcie „Incydenty pod kontrolą” z 2025 roku, że w znacznym stopniu spełnia wymogi NIS2. Reszta, czyli 81%, albo jest w trakcie, albo jest na początku drogi, albo jeszcze nie ruszyła.

To nie jest wynik ignorancji. Aż 91% respondentów słyszało o dyrektywie i uznało, że dotyczy ich bezpośrednio lub pośrednio. Problemem nie jest brak wiedzy — problemem jest przepaść między świadomością a działaniem. Średnia samoocena gotowości wyniosła 3,27 w skali od 1 do 5. Solidna trójka z plusem. W szkole taka ocena pozwala przejść do następnej klasy. W regulacyjnym środowisku KSC może oznaczać grzywnę.

Co dokładnie nakazuje ustawa

KSC nie jest kolejną rekomendacją dobrych praktyk. To wymóg operacyjny z konkretnymi obowiązkami. Firmy objęte przepisami muszą aktywnie zarządzać flotą urządzeń i być w stanie wykazać, że robią to w sposób ciągły i spójny. Zakres jest szeroki: monitorowanie urządzeń w czasie rzeczywistym, uwierzytelnianie wieloskładnikowe, zarządzanie aktualizacjami i podatnościami, rejestrowanie zdarzeń bezpieczeństwa, a do tego prowadzenie pełnej dokumentacji wdrożonych środków ochrony.

Ten ostatni punkt bywa niedoceniany. Ustawa nie pyta tylko o to, czy coś zrobiłeś — pyta, czy możesz to udowodnić. Tymczasem według danych z raportu Mediarecovery i Safesqr jedynie 5% organizacji przygotowuje raporty poincydentalne i prowadzi analizę przyczyn źródłowych, mimo że to jeden z kluczowych wymogów dyrektywy. Pięć procent. W firmach, które w większości deklarują, że wiedzą, o czym mowa.

Konsekwencje, które bolą

Agnieszka Wachowska, radca prawny i Co-Managing Partner w kancelarii Traple Konarski Podrecki i Partnerzy, nie pozostawia złudzeń co do skali ryzyka. Podmioty kluczowe mogą zostać ukarane administracyjną karą pieniężną do 10 milionów euro lub 2% całkowitego rocznego globalnego obrotu — zależnie od tego, która kwota jest wyższa. Dla podmiotów ważnych limit wynosi 7 milionów euro lub 1,4% obrotu.

Ale to nie wszystko. KSC wprowadza coś, czego polskie regulacje dotąd raczej unikały: odpowiedzialność personalną osób zarządzających. Członkowie zarządów mogą zostać ukarani grzywną do trzykrotności miesięcznego wynagrodzenia. W szczególnych przypadkach — przy rażącym naruszeniu obowiązków — możliwy jest czasowy zakaz pełnienia funkcji kierowniczych. A jeśli zostanie wykazane, że zaniechanie było szkodliwe dla spółki, w grę wchodzi też odpowiedzialność cywilna, a nawet karna.

Krótko mówiąc: to nie jest problem działu IT. To jest problem zarządu.

MDM jako fundament zgodności

Jak więc w praktyce wypełnić wymogi, które ustawa nakłada? Mariusz Pik, ekspert ds. wdrożeń w iMad — autoryzowanym partnerze Apple — wskazuje na centralne zarządzanie urządzeniami mobilnymi, czyli MDM (Mobile Device Management), jako narzędzie, które adresuje większość kluczowych obowiązków jednocześnie. Chodzi o uzyskanie pełnej widoczności floty: które urządzenia działają w sieci, jaki jest ich stan bezpieczeństwa, czy mają włączone wymagane mechanizmy ochrony i czy są zgodne z polityką firmy.

Dobrze wdrożone MDM pozwala zdalnie wymuszać aktualizacje, stosować MFA, wdrażać polityki bezpieczeństwa i blokować urządzenia w przypadku ich utraty. Co istotne z perspektywy KSC — automatyzuje logowanie zdarzeń i tworzenie dokumentacji wymaganej przy audytach. To nie eliminuje konieczności zatrudnienia kogoś do myślenia o bezpieczeństwie, ale eliminuje sytuację, w której firma nie wie, co się dzieje z jej własnymi urządzeniami.

Bariera budżetowa i sposób na jej ominięcie

Największa przeszkoda we wdrażaniu tych rozwiązań jest brutnie prosta: 77% firm wskazuje jako główną barierę ograniczony budżet IT. To zrozumiałe, szczególnie w sektorze MŚP, gdzie dział IT często oznacza jedną osobę robiącą wszystko naraz.

Dlatego coraz częściej mówi się o outsourcingu zarządzania flotą jako alternatywie dla budowania własnych kompetencji. Zewnętrzny partner przejmuje konfigurację, monitorowanie i bieżącą administrację urządzeniami — firma płaci za usługę, nie za infrastrukturę. Wybór spójnego ekosystemu urządzeń dodatkowo upraszcza ten rachunek. Forrester szacuje, że Mac generuje oszczędności rzędu około 2 000 złotych na urządzenie w ciągu pięciu lat w porównaniu z alternatywami — głównie dzięki mniejszej liczbie problemów technicznych i niższemu obciążeniu wsparcia.

Dane te dotyczą konkretnego środowiska, więc nie należy ich generalizować. Ale kierunek jest czytelny: wybór ekosystemu ma znaczenie kosztowe, nie tylko estetyczne.

Nie ma już „za chwilę się zajmiemy”

Wróćmy do tych 89% firm, które deklarują gotowość do inwestycji IT związanych z NIS2. To optymistyczna liczba. Problem w tym, że deklaracja inwestycji to nie to samo co inwestycja, a inwestycja to nie to samo co zgodność. Między „planujemy” a „spełniamy wymogi i jesteśmy w stanie to udowodnić” jest cały projekt wdrożeniowy, proces dokumentacyjny i kilka decyzji zarządowych.

Firmy, które traktowały zarządzanie urządzeniami jako kwestię do rozwiązania kiedyś, mają teraz konkretny termin i konkretne konsekwencje za jego niedotrzymanie. To rzadki przypadek, gdy regulacja robi dokładnie to, do czego służy: zamienia dobrowolną dobrą praktykę w egzekwowalny obowiązek.

Pytanie nie brzmi już: czy zarządzać urządzeniami systemowo. Brzmi: ile czasu zostało na wdrożenie i czy ktoś w firmie już zaczął to liczyć.

Dodaj komentarz

Przeczytaj również

Nowe przepisy celne: czy logistyka przeniesie się do UE?

Z początkiem lipca weszły w życie przepisy dotyczące przesyłek spoza UE, które zmieniają z…