Cyberbezpieczeństwo w zamówieniach publicznych – podsumowanie webinaru

Temat cyberbezpieczeństwa w sektorze publicznym nie jest tematem nowym i istnieje już od jakiegoś czasu, choć warto podkreślić, że rzeczywiście w ostatnich miesiącach znacząco zyskał na popularności. Ma to bezpośredni związek z Dyrektywą NIS2, która jednak nie jest pierwszym dokumentem dotyczącym cyberbezpieczeństwa. Zacznijmy więc od początku.

Poprzednikiem Dyrektywy NIS2 jest Dyrektywa NIS, która była pierwszą dyrektywą poświęconą ogólnie cyberbezpieczeństwu w Unii Europejskiej. Dotyczyła ona dość wąskiego grona podmiotów, tzw. operatorów usług cyfrowych. W Polsce dyrektywa NIS została zaimplementowana ustawą o Krajowym Systemie Cyberbezpieczeństwa w 2018 roku, czyli już 6 lat temu. Ustawa ta, choć skupiała się głównie na sektorze prywatnym, zawierała również przepisy dotyczące podmiotów publicznych, które polski ustawodawca dodał, niejako uzupełniając tym samym luki w dyrektywie NIS.

Równolegle funkcjonuje także Ustawa o Informatyzacji działalności podmiotów realizujących zadania publiczne, wraz z którą wprowadzono Krajowe Ramy Interoperacyjności (KRI), które zawierają wytyczne dotyczące bezpieczeństwa systemów teleinformatycznych w sektorze publicznym.

Warto także dodać, że grupa robocza przy Prezesie UZP, która przygotowywała wytyczne dotyczące zamawiania Systemów Informatycznych w opracowanym drugim tomie, dotyczącym opisu przedmiotu zamówienia, zawarła specjalny rozdział dotyczący cyberbezpieczeństwa.

Jak podsumowała to Agnieszka Wachowska podczas webinaru:

– Ramy dotyczące tego, że sektor publiczny i administracja powinna dbać o cyberbezpieczeństwo, są z nami od wielu lat, natomiast faktycznie nie było takiej mocnej egzekucji i te przepisy zawierały dosyć ogólne normy.

Cyberbezpieczeństwo w zamówieniach publicznych w praktyce

Czym tak naprawdę jest cyberbezpieczeństwo? To bez wątpienia coś więcej niż sama Dyrektywa NIS2. Nie można go kupić, musi być uwzględniane w działaniach na wielu obszarach. Dotyczy zarówno zakupu systemów informatycznych, jak i zakupu sprzętu czy szkoleń dla pracowników w jednostkach publicznych, tak aby wiedzieli, jak bezpiecznie poruszać się w sieci.

Zachęcamy także do przeczytania artykułu na temat cyberbezpieczeństwa w organizacji – co warto wiedzieć na ten temat.

Jak wygląda wdrożenie NIS2 w praktyce?

Przede wszystkim NIS2 obejmuje znacznie więcej organizacji niż NIS, a każdy podmiot musi samodzielnie ocenić, czy Dyrektywa go dotyczy. Następnym etapem jest audyt i ocena, co w organizacji już jest, czego brakuje i co trzeba wdrożyć. Dotyczy to zarówno procedur, jak i koniecznych usług/ sprzętu. Tu wchodzi kolejny etap – wybór dostawcy, a także zarezerwowanie środków na niezbędne zamówienia.

Jak podkreślała w rozmowie Edyta Pietak:

– My ze swojej perspektywy rekomendowalibyśmy, żeby zamawiający brali pod uwagę oferty od firm, które same mają już wdrożone i spełniają standardy, chociażby ISO 27001, ponieważ jeżeli sama firma spełnia standardy bezpieczeństwa informacji, to będzie też umiała podobne standardy wdrożyć w jednostkach czy w innych organizacjach.

Bezpieczeństwo łańcucha dostaw, czyli weryfikacja dostawców

NIS2 podkreśla także bezpieczeństwo łańcucha dostaw, co ma bezpośredni wpływ na współpracę z dostawcami. Zamawiający mogą to robić na trzech poziomach:

1. Weryfikacja dostawców, czyli sprawdzanie potencjalnych dostawców pod kątem ich zabezpieczeń.
2. Postanowienia umowne, czyli zadbanie o to, aby umowy z dostawcami zawierały szczegółowe zapisy dotyczące cyberbezpieczeństwa, takie jak obowiązek stosowania określonych procedur bezpieczeństwa, raportowania incydentów i zagrożeń, a nawet konsekwencje nieprzestrzegania tych zapisów w tym możliwość wypowiedzenia umowy.
3. Kontrola przestrzegania umowy, czyli Zamawiający powinni regularnie sprawdzać, czy dostawcy faktycznie stosują się do zawartych w umowie postanowień. Można to robić np. za pomocą audytów.