Cyberbezpieczeństwo polskich uczelni przestaje być sprawą wyłącznie informatyków, a staje się jednym z filarów zarządzania całym systemem nauki. Nowelizacja ustawy o Krajowym Systemie Cyberbezpieczeństwa ma wprowadzić wspólne, uporządkowane standardy ochrony danych w szkołach wyższych i instytutach badawczych, które każdego dnia obsługują ponad 1,2 mln studentów i realizują międzynarodowe projekty o strategicznym znaczeniu. Jak podkreśla minister Marcin Kulasek, skala przetwarzanych wrażliwych informacji sprawiła, że zmiany były nie tyle opcją, co koniecznością. Prof. Bogumiła Kaniewska, przewodnicząca KRASP, oraz dr hab. Dariusz Szostek, szef Zespołu ds. Cyberbezpieczeństwa KRASP – przekonują, że nowe regulacje udało się wypracować tak, by łączyły wymogi bezpieczeństwa państwa z poszanowaniem autonomii uczelni. Przepisy mają być zgodne z prawem unijnym i jednocześnie dostosowane do realiów funkcjonowania polskiej nauki.
Potrzeba zmian była bezdyskusyjna. Minister Marcin Kulasek podkreśla, że w obliczu trwającej od lat wojny cybernetycznej i sytuacji geopolitycznej za naszą wschodnią granicą, nowe przepisy były nie tylko potrzebne – były konieczne. Zapewnia, że cała społeczność akademicka może „czuć się cyberbezpiecznie”.
Bogumiła Kaniewska, KRASP: Kwestią kluczową jest zapewnienie cyberbezpieczeństwa, zwłaszcza tam, gdzie prowadzone są badania o charakterze innowacyjnym, rozwojowym, wdrożeniowym, ale też fakt, że ta nowelizacja uwzględnia zróżnicowanie uczelni, dzięki czemu uczelnie artystyczne będą mniej obciążone i finansowo i organizacyjnie. Uwzględniono w tej nowelizacji fakt, że uczelnia prowadzi różne rodzaje działalności. To jest delikatne złagodzenie skutków dyrektywy NISA2, która nakłada na podmioty ważne bardzo wiele obowiązków. Z drugiej strony jest to także wyraz tego, że instytucje szkolnictwa wyższego i instytuty badawcze, instytucje naukowe są widziane przez nasze państwo jako instytucje ważne, wiodące i kluczowe dla rozwoju.
Najważniejsza zmiana dotyczy przeniesienia ciężaru zadań na kadrę zarządzającą: ustawa określa, że to na rektorów zostają nałożone obowiązki, gdzie rektorzy ponoszą odpowiedzialność za wdrożenie cyberbezpieczeństwa, a nie działy IT. W nowym modelu IT jest tylko jednym elementem, a sukces ochrony zależy od zmiany procesów, odpowiedniego zarządzania cyberbezpieczeństwem oraz bezpieczeństwem w ogólności.
System opiera się na „zasadzie adekwatności i proporcjonalności”. Nowe przepisy wprowadzają unijne „pojęcie autonomiczne organizacji badawczej”, co pozwala na precyzyjne różnicowanie obowiązków w zależności od charakteru działalności. Najwyższe, rygorystyczne wymogi wynikające z załącznika nr 2 dotyczą tylko tych obszarów, gdzie prowadzone są badania „rozwojowe i stosowane”. Dr hab. Dariusz Szostek, prof. UŚ i przewodniczący Zespołu ds. Cyberbezpieczeństwa KRASP, wyjaśnia tę selektywność na konkretnym przykładzie:
Jeżeli takie badania prowadzone są na fizyce, to fizyka będzie podlegała pod załącznik nr 2, ale matematyka czy filologia już nie. Dzięki temu jednostki o profilu humanistycznym czy artystycznym będą mniej obciążone i finansowo i organizacyjnie. Pozostała część infrastruktury podlegać będzie pod załącznik nr 4, który przewiduje uproszczoną odpowiedzialność i uproszczone wymagania, ale i tak bardzo wysokie.
Kluczowym wsparciem dla sektora będzie utworzenie przez Ministra Nauki CIRTU sektorowego, który będzie po pierwsze wspierał i pomagał uczelniom, instytutom oraz Polskiej Akademii Nauk w zakresie dostosowania się do cyberbezpieczeństwa. Eksperci sugerują, że zamiast tworzenia 400 niezależnych zespołów, warto uwspólnotowić pomiędzy uczelniami zasoby IT. Ministerstwo zapewnia przy tym wsparcie finansowe, deklarując, że pieniądze w polskiej nauce na cyberbezpieczeństwo się znajdą.
Dr hab. Dariusz Szostek zaznacza, że pomimo wysokiego poziomu specjalistów na niektórych uczelniach technicznych, przed sektorem stoi „bardzo trudna praca”, gdyż istnieją jednostki, które „w ogóle nie myślą o cyberbezpieczeństwie”. Reforma wskazuje również na gigantyczną lukę kadrową – w Polsce „brakuje kilkudziesięciu tysięcy specjalistów z cyberbezpieczeństwa”. Rozwiązaniem ma być gruntowne, odpowiednie wykształcenie akademickie , a nie tylko doraźne kursy prywatnych firm. Jak podsumowała prof. Bogumiła Kaniewska, nowelizacja to „przykład regulacji, która łączy bezpieczeństwo państwa z poszanowaniem autonomii akademickiej i stawia tamę wzmacniającą bezpieczeństwo, która pozwala nauce zyskać spokój, zachowując wolność.
AR
