+48 577 779 296 kontakt@inspektorzyrodo.pl
Dyrektywa NIS - nasze spojrzenie

USTAWA O KRAJOWYM SYSTEMIE CYBERBEZPIECZEŃSTWA

Niewypełnianie narzuconych obowiązków może skutkować nałożeniem kar pieniężnych w wysokości do miliona złotych

Dnia 28 sierpnia 2018 r. weszła w życie Ustawa o Krajowym Systemie Cyberbezpieczeństwa (Dz. U. 2018 poz.1560, stanowiąca wdrożenie unijnej dyrektywy NIS, ang. Network and Information Systems Directive).

Do Ustawy mają zastosowanie powołane akty wykonawcze określające:

  • Rodzaje wymaganej dokumentacji dotyczącej Cyberbezpieczeństwa systemu
  • Wykaz Certyfikatów uprawniających do przeprowadzania obowiązkowych audytów
  • Wykaz progów uznających incydent za poważny

 

Przepisy te stanowią odpowiedź na rosnące zagrożenia związane z cyberatakami oraz mają na celu stworzenie spójnego systemu zabezpieczeń przed nimi na szczeblu krajowym, poprzez:

  • Podnoszenie kompetencji w doborze, wdrażaniu i utrzymaniu środków technicznych zwiększających Cyberbezpieczeństwo
  • Wprowadzenie minimalnych wymagań bezpieczeństwa dla sieci i systemów teleinformatycznych
  • Korzystanie z nowoczesnych i bezpiecznych modeli przetwarzania danych w chmurach obliczeniowych
  • Tworzenie bezpiecznych aplikacji oraz korzystanie z bezpiecznych systemów mobilnych

Działalność większości firm opiera się na wykorzystywaniu nowoczesnych rozwiązań informatycznych dla wspierania procesu zarządzania, produkcji lub świadczenia usług.

Stosowanie rozwiązań IT wiąże się jednocześnie z ryzykiem wykorzystania podatności systemów przez cyberprzestępców, np.:

  • włamanie do niezabezpieczonej sieci firmowej
  • zainfekowanie systemu wirusem w wyniku otwarcia przez pracownika załącznika przesłanego drogą e-mail, sms posiadającego złośliwe oprogramowanie
  • braku planów ciągłości działania, które mogą skutkować zawieszeniem działalności firmy (brak kopii systemów, brak regularnych testów)
  • zablokowanie dostępu do danych połączone z żądaniem okupu
  • realizacja powyższych scenariuszy może powodować konsekwencje ekonomiczne, społeczne i wizerunkowe

Ustawa o Krajowym Systemie Cyberbezpieczeństwa nałożyła nowe zadania i obowiązki na przedsiębiorców jak i podmioty publiczne

 

CO MOŻEMY ZROBIĆ DLA PAŃSTWA JEDNOSTKI SAMORZĄDU TERYTORIALNEGO:

 

  •  zrobimy audyt wejścia
  • oszacujemy ryzyko
  • wydamy zalecenia co do wprowadzenia zabezpieczeń technicznych i organizacyjnych
  • przygotujemy plan ciągłości działania w zgodzie z ISO 22301
  • pomożemy zadbać o obwiązek informacyjny dla użytkownika/ interesanta
  • zgłosimy osobę do dedykowanego CSIRT
  • przygotujemy system zarządzania incydentem
  • przygotujemy wymagane zalecenia po wykonanym audycie
  • przygotujemy wymaganą dokumentację w zgodzie z ISO/IEC 27001:2017
  • na zlecenie zrealizujemy również testy penetracyjne
NAPISZ W SPRAWIE OFERTY KSC

Ustawa nakłada na Operatora Usług Kluczowych następujące obowiązki:

1. prowadzenie systematycznego szacowania ryzyka wystąpienia incydentu oraz zarządzanie tym ryzykiem

2. wdrożenie odpowiednich i proporcjonalnych do oszacowanego ryzyka środków technicznych i organizacyjnych, uwzględniających najnowszy stan wiedzy, w tym:

  • utrzymanie i bezpieczną eksploatację systemu informacyjnego
  • bezpieczeństwo fizyczne i środowiskowe, uwzględniające kontrolę dostępu, bezpieczeństwo i ciągłość dostaw usług, od których zależy świadczenie usługi kluczowej
  • wdrażanie, dokumentowanie i utrzymywanie planów działania możliwiających ciągłe i niezakłócone świadczenie usługi kluczowej oraz zapewniających poufność, integralność, dostępność i autentyczność informacji
  • objęcie systemu informacyjnego wykorzystywanego do świadczenia usługi kluczowej systemem monitorowania w trybie ciągłym; zbieranie informacji o zagrożeniach cyberbezpieczeństwa i podatnościach na incydenty systemu informacyjnego wykorzystywanego do świadczenia usługi kluczowej

3. zarządzanie incydentami

4. stosowanie środków zapobiegających i ograniczających wpływ incydentów na bezpieczeństwo systemu informacyjnego wykorzystywanego do świadczenia usługi kluczowej

5. stosowanie środków łączności umożliwiających prawidłową i bezpieczną komunikację w ramach krajowego systemu cyberbezpieczeństwa.

  • obowiązek wyznaczenia osoby odpowiedzialnej za utrzymywanie kontaktów z podmiotami krajowego systemu cyberbezpieczeństwa oraz przekazania danych tej osoby w terminie 14 dni od daty jej wyznaczenia, do właściwego CSIRT MON, CSIRT NASK, CSIRT GOV i sektorowego zespołu cyberbezpieczeństwa

CSIRT oznacza Zespół Reagowania na Incydenty Bezpieczeństwa Komputerowego

  • obowiązek zapewnienia użytkownikowi usługi kluczowej dostępu do wiedzy pozwalającej na zrozumienie zagrożeń cyberbezpieczeństwa i stosowanie skutecznych sposobów zabezpieczania się przed tymi zagrożeniami w zakresie związanym ze świadczoną usługą kluczową, w szczególności przez publikowanie informacji na ten temat na swojej stronie internetowej
  • obowiązek opracowania, wdrożenia i aktualizacji dokumentacji cyberbezpieczeństwa systemu informacyjnego wykorzystywanego do świadczenia usługi kluczowej
  • obowiązek ustanowienia nadzoru nad dokumentacją dotyczącą cyberbezpieczeństwa systemu informacyjnego wykorzystywanego do świadczenia usługi kluczowej
  • obowiązek obsługi incydentów, zgłaszania incydentów poważnych i współdziałania przy obsłudze incydentu poważnego i incydentu krytycznego;

6. obowiązek przeprowadzania audytu przez osoby wyszczególnione w Rozporządzeniu co 24 miesiące

Elektrownia jest elementem infrastruktury krytycznej w ramach KSC

AUDYT DLA JST

ZADZWOŃ PO SZCZEGÓŁY

Harmonogram postępowania Operatora Usługi Kluczowej po otrzymaniu decyzji administracyjnej

w ciągu 3 miesięcy należy:

  • wyznaczyć osobę kontaktową z właściwym CSIRT
  • dokonać szacowania ryzyka dla swoich usług kluczowych
  • wprowadzić system zarządzania incydentami (obsługuje i identyfikuje incydenty, poważne zgłasza)
  • prowadzić działania informacyjne na temat zagrożeń wobec swoich użytkowników
  • dbać o aktualizację systemów, analizować podatności

w ciągu 6 miesięcy należy:

  • zebrać informacje o podatnościach i zagrożeniach
  • stosować środki minimalizujące wpływ incydentów na bezpieczeństwo systemu IT
  • wdrożyć odpowiednie i adekwatne do oszacowanego ryzyka środki techniczne i organizacyjne
  • przygotować wymaganą dokumentację

w ciągu 12 miesięcy należy:

  • przygotować pierwszy audyt
  • przekazać sprawozdanie z audytu wskazanym w Ustawie podmiotom

Podmioty publiczne a Ustawa o Krajowym Systemie Cyberbezpieczeństwa

Ustawa o Krajowym Systemie Cyberbezpieczeństwa obejmuje swoim zasięgiem:

  • organy władzy publicznej, w tym organy administracji rządowej, sądy
  • jednostki Samorządu Terytorialnego oraz ich związki
  • jednostki budżetowe

Obowiązki podmiotów publicznych:

  • wyznaczenie osoby odpowiedzialnej za utrzymywanie kontaktów z podmiotami Krajowego Systemu Cyberbezpieczeństwa
  • zapewnienie zarządzania incydentem w podmiocie publicznym
  • zgłaszanie incydentu w podmiocie publicznym niezwłocznie, nie później niż w ciągu 24 godzin od momentu wykrycia, do właściwego CSIRT MON, CSIRT NASK lub CSIRT GOV
  • zapewnienie obsługi incydentu w podmiocie publicznym i incydentu krytycznego we współpracy z właściwym CSIRT MON, CSIRT NASK lub CSIRT GOV, przekazując niezbędne dane, w tym dane osobowe
  • zapewnienie osobom, na rzecz których zadanie publiczne jest realizowane, dostęp do wiedzy pozwalającej na zrozumie zagrożeń cyberbezpieczeństwa i stosowanie skutecznych sposobów zabezpieczania się przed tymi zagrożeniami, w szczególności przez publikowanie informacji w tym zakresie na swojej stronie internetowej

Należy pamiętać, że jednostki samorządu terytorialnego (JST) oprócz swoich instytucji administracyjnych, mają również szereg podległych sobie podmiotów strategicznych jak wodociągi, szpitale, etc.

Szpital jest elementem infrastruktury krytycznej w ustawie KSC

zgłaszanie incydentu w podmiocie publicznym niezwłocznie, nie później niż w ciągu 24 godzin od momentu wykrycia, do właściwego CSIRT MON, CSIRT NASK lub CSIRT GOV

Ustawodawca oczekuje, że realizacja nałożonych obowiązków związanych z cyberbezpieczeństwem będzie realizowana poprzez stosowanie Polskich Norm, bazujących na normach europejskich i międzynarodowych

Pośród środków, które pozwalają na dokonanie oceny skuteczności wdrożonych systemów zarządzania bezpieczeństwem i adekwatności ustanowionych zabezpieczeń, są:

 

  • okresowe audyty
  • okresowe testy (w tym testy penetracyjne)

Uprawnienia kontrolne w zakresie realizacji obowiązków KSC

AUDYT DLA JST

ZADZWOŃ PO SZCZEGÓŁY

Nadzór w zakresie wykonywania przez OUK obowiązków wynikających z ustawy dotyczących przeciwdziałania zagrożeniom cyberbezpieczeństwa i zgłaszania incydentów poważnych (incydent, który powoduje lub może spowodować poważne obniżenie jakości lub przerwanie ciągłości świadczenia usługi kluczowej) sprawują Organy właściwe do spraw cyberbezpieczeństwa.

Uprawnienia organu kontrolnego:

  • swobodny wstęp i poruszanie się po terenie podmiotu kontrolowanego bez obowiązku uzyskiwania przepustki
  • wgląd do dokumentów dotyczących działalności podmiotu kontrolowanego, pobierania za pokwitowaniem oraz zabezpieczania dokumentów związanych z zakresem kontroli, z zachowaniem przepisów o tajemnicy prawnie chronionej
  • sporządzanie, a w razie potrzeby żądanie sporządzenia niezbędnych do kontroli kopii, odpisów lub wyciągów z dokumentów oraz zestawień lub obliczeń
  • przetwarzanie danych osobowych w zakresie niezbędnym do realizacji celu kontroli; żądanie złożenia ustnych lub pisemnych wyjaśnień w sprawach dotyczących zakresu kontroli
  • przeprowadzanie oględzin urządzeń, nośników oraz systemów informatycznych

PEŁNA OFERTA

Dane rejestrowe naszej firmy:
Inspektorzyrodo.pl Sp. z o.o.
Siedziba: 00-682 Warszawa ul. Hoża 86/410
KRS 0000739784 Regon 380718355 NIP 7010831232