Nowelizacja ustawy o Krajowym Systemie Cyberbezpieczeństwa (KSC), wdrażająca dyrektywę NIS2, istotnie zmienia sposób, w jaki operatorzy telekomunikacyjni powinni patrzeć na bezpieczeństwo infrastruktury. Jednym z kluczowych, a jednocześnie najbardziej niedookreślonych obszarów pozostaje bezpieczeństwo łańcucha dostaw ICT. W praktyce nie jest to już kwestia polityki zakupowej ani relacji z producentami, lecz element obowiązkowego zarządzania ryzykiem regulacyjnym, operacyjnym i biznesowym. KSC przenosi odpowiedzialność z poziomu deklaracji na poziom konkretów, które trzeba udokumentować.
W rozumieniu KSC łańcuch dostaw obejmuje cały ekosystem technologiczny, od którego zależy ciągłość świadczenia usług telekomunikacyjnych. To nie tylko producenci sprzętu, ale również:
Ustawa nakłada na podmioty kluczowe i ważne obowiązek wdrożenia adekwatnych i proporcjonalnych środków technicznych oraz organizacyjnych, które zapewniają bezpieczeństwo i ciągłość tego łańcucha. Wprost wskazuje się konieczność uwzględniania podatności dostawców, jakości ich produktów oraz wyników postępowań dotyczących dostawców wysokiego ryzyka.
Mechanizm uznania dostawcy za dostawcę wysokiego ryzyka jest jednym z najbardziej brzemiennych w skutki elementów KSC. Decyzja administracyjna może prowadzić do:
Co istotne, samo wejście w życie ustawy nie oznacza publikacji listy DWR. Brak formalnej decyzji nie zwalnia jednak operatora z odpowiedzialności. KSC przenosi ciężar przygotowania się na taki scenariusz bezpośrednio na organizację operatora.
Jednym z kluczowych przesunięć wprowadzonych przez KSC i NIS2 jest zmiana oczekiwań regulatora. Nie wystarczy posiadać procedury ani deklarować zgodności. Operator musi być w stanie udowodnić, że:
W praktyce oznacza to odejście od dokumentacji statycznej (arkusze, ręcznie aktualizowane CMDB) na rzecz obrazu rzeczywistego stanu infrastruktury, który może zostać zweryfikowany w trakcie audytu.
Z perspektywy audytów i kontroli KSC najczęściej ujawniają się:
W takim modelu operator nie jest w stanie ani ocenić skutków potencjalnej decyzji DWR, ani wykazać należytej staranności w zarządzaniu łańcuchem dostaw.
KSC nie narzuca jednego modelu organizacyjnego, ale jasno wskazuje kierunek: zarządzanie ryzykiem łańcucha dostaw musi być procesem ciągłym, a nie jednorazowym projektem. Obejmuje on:
Dla operatorów telekomunikacyjnych oznacza to konieczność połączenia obszarów sieciowych, bezpieczeństwa i compliance w jeden spójny model decyzyjny.
W odpowiedzi na wymagania KSC dotyczące bezpieczeństwa łańcucha dostaw, wspieramy operatorów telekomunikacyjnych w:
W oparciu o analizę rzeczywistego stanu sieci pomagamy operatorom:
Na bazie obrazu infrastruktury pomagamy przełożyć architekturę techniczną na język ryzyka:
Prowadzimy warsztaty robocze dla zespołów operatora, których celem jest:
Dla operatorów telekomunikacyjnych, którzy chcą przejść od deklaracji do realnej gotowości regulacyjnej, kluczowe jest sprawdzenie, jak wymogi KSC przekładają się na faktyczny stan infrastruktury i łańcucha dostaw.
Jeśli chcesz sprawdzić, jak wygląda to w kontekście Twojej sieci i modelu operacyjnego, zapraszamy do rozmowy lub audytu wstępnego.
