Ustawa o Krajowym Systemie Cyberbezpieczeństwa

Dyrektywa NIS - nasze spojrzenie

Niewypełnianie narzuconych obowiązków może skutkować nałożeniem kar pieniężnych w wysokości do miliona złotych

Dnia 28 sierpnia 2018 r. weszła w życie Ustawa o Krajowym Systemie Cyberbezpieczeństwa (Dz. U. 2018 poz.1560, stanowiąca wdrożenie unijnej dyrektywy NIS, ang. Network and Information Systems Directive).


 

Do Ustawy mają zastosowanie powołane akty wykonawcze określające:

-rodzaje wymaganej dokumentacji dotyczącej Cyberbezpieczeństwa systemu

-wykaz Certyfikatów uprawniających do przeprowadzania obowiązkowych audytów

-wykaz progów uznających incydent za poważny

 

Przepisy te stanowią odpowiedź na rosnące zagrożenia związane z cyberatakami oraz mają na celu stworzenie spójnego systemu zabezpieczeń przed nimi na szczeblu krajowym, poprzez:

-podnoszenie kompetencji w doborze, wdrażaniu i utrzymaniu środków technicznych zwiększających Cyberbezpieczeństwo

-wprowadzenie minimalnych wymagań bezpieczeństwa dla sieci i systemów teleinformatycznych

-korzystanie z nowoczesnych i bezpiecznych modeli przetwarzania danych w chmurach obliczeniowych

-tworzenie bezpiecznych aplikacji oraz korzystanie z bezpiecznych systemów mobilnych

Działalność większości firm opiera się na wykorzystywaniu nowoczesnych rozwiązań informatycznych dla wspierania procesu zarządzania, produkcji lub świadczenia usług.


 

Stosowanie rozwiązań IT wiąże się jednocześnie z ryzykiem wykorzystania podatności systemów przez cyberprzestępców, np.:

1. włamanie do niezabezpieczonej sieci firmowej

2. zainfekowanie systemu wirusem w wyniku otwarcia przez pracownika załącznika przesłanego drogą e-mail, sms posiadającego złośliwe oprogramowanie

3. braku planów ciągłości działania, które mogą skutkować zawieszeniem działalności firmy (brak kopii systemów, brak regularnych testów)

4. zablokowanie dostępu do danych połączone z żądaniem okupu

5. realizacja powyższych scenariuszy może powodować konsekwencje ekonomiczne, społeczne i wizerunkowe

Ustawa o Krajowym Systemie Cyberbezpieczeństwa nałożyła nowe zadania i obowiązki na przedsiębiorców jak i podmioty publiczne

  •  

Zobacz co możemy zrobić aby pomóc Twojej firmie?


 

Specjalnie dla Państwa :

 

1. zrobimy audyt wejścia

2. oszacujemy ryzyko

3. wydamy zalecenia co do wprowadzenia zabezpieczeń technicznych i organizacyjnych

4. przygotujemy plan ciągłości działania w zgodzie z ISO 22301

5. pomożemy zadbać o obwiązek informacyjny dla użytkownika/ interesanta

6. zgłosimy osobę do dedykowanego CSIRT

7. przygotujemy system zarządzania incydentem

8. przygotujemy wymagane zalecenia po wykonanym audycie

9. przygotujemy wymaganą dokumentację w zgodzie z ISO/IEC 27001:2017

10. na zlecenie zrealizujemy również testy penetracyjne

Zespół Spółki to grupa ekspertów, którzy posiadają uprawnienia Audytora Wiodącego ISO 27001 z akredytacją IRCA oraz Menadżera Bezpieczeństwa Informacji i Inspektora Ochrony Danych potwierdzone certyfikatami wydanymi przez TUV Nord

Dodatkowo w ustawie pojawiło się nowe sformułowanie – Operator Usług kluczowych


 

W tym kontekście jest  to mowa o firmach z sektora:

1. energetycznego (między innymi energia elektryczna, ciepło, ropa i gaz)

2. transportowego (z podziałem na wodny, lądowy i powietrzny)

3. bankowości i infrastruktury rynków finansowych

4. uzdatnianie wody i odprowadzanie ścieków

5. ochrony zdrowia (w tym podmioty lecznicze i przemysł farmaceutyczny)

6. infrastruktury  cyfrowej (platformy handlowe, usługi przetwarzania w chmurze, wyszukiwarki internetowe)

 

Dodatkowo, dla sektora energetycznego – obowiązki wyszczególnione w Ustawie dotyczą również podmiotów współpracujących –  tzn. obejmują „cały łańcuch”.

W Ustawie, firmy z powyższych sektorów zostaną zaliczone do Operatorów Usługi Kluczowej (OUK), wobec których organ właściwy do spraw Cyberbezpieczeństwa, wyda lub wydał decyzję  administracyjną o uznaniu go za Operatora Usług Kluczowych.

Technologie informatyczne (IT) wykorzystywane przez operatorów usług kluczowych, dostawców usług cyfrowych, operatorów infrastruktury krytycznej (w tym operatorów telekomunikacyjnych), stanowią element krytyczny dla ciągłości działania państwa oraz zapewniania bezpieczeństwa obywatelom.

Tym samym niezmiernie istotne jest wdrożenie kompleksowego systemu zabezpieczeń przed takimi atakami, szczególnie przez przedsiębiorców będących Operatorem Usług Kluczowych.

Ustawa nakłada na Operatora Usług Kluczowych następujące obowiązki:


 

1. prowadzenie systematycznego szacowania ryzyka wystąpienia incydentu oraz zarządzanie tym ryzykiem

2. wdrożenie odpowiednich i proporcjonalnych do oszacowanego ryzyka środków technicznych i organizacyjnych, uwzględniających najnowszy stan wiedzy, w tym:

– utrzymanie i bezpieczną eksploatację systemu informacyjnego

– bezpieczeństwo fizyczne i środowiskowe, uwzględniające kontrolę dostępu, bezpieczeństwo i ciągłość dostaw usług, od których zależy świadczenie usługi kluczowej

– wdrażanie, dokumentowanie i utrzymywanie planów działania możliwiających ciągłe i niezakłócone świadczenie usługi kluczowej oraz zapewniających poufność, integralność, dostępność i autentyczność informacji

– objęcie systemu informacyjnego wykorzystywanego do świadczenia usługi kluczowej systemem monitorowania w trybie ciągłym; zbieranie informacji o zagrożeniach cyberbezpieczeństwa i podatnościach na incydenty systemu informacyjnego wykorzystywanego do świadczenia usługi kluczowej

3. zarządzanie incydentami

4. stosowanie środków zapobiegających i ograniczających wpływ incydentów na bezpieczeństwo systemu informacyjnego wykorzystywanego do świadczenia usługi kluczowej

5. stosowanie środków łączności umożliwiających prawidłową i bezpieczną komunikację w ramach krajowego systemu cyberbezpieczeństwa.

– obowiązek wyznaczenia osoby odpowiedzialnej za utrzymywanie kontaktów z podmiotami krajowego systemu cyberbezpieczeństwa oraz przekazania danych tej osoby w terminie 14 dni od daty jej wyznaczenia, do właściwego CSIRT MON, CSIRT NASK, CSIRT GOV i sektorowego zespołu cyberbezpieczeństwa

CSIRT oznacza Zespół Reagowania na Incydenty Bezpieczeństwa Komputerowego

– obowiązek zapewnienia użytkownikowi usługi kluczowej dostępu do wiedzy pozwalającej na zrozumienie zagrożeń cyberbezpieczeństwa i stosowanie skutecznych sposobów zabezpieczania się przed tymi zagrożeniami w zakresie związanym ze świadczoną usługą kluczową, w szczególności przez publikowanie informacji na ten temat na swojej stronie internetowej

– obowiązek opracowania, wdrożenia i aktualizacji dokumentacji cyberbezpieczeństwa systemu informacyjnego wykorzystywanego do świadczenia usługi kluczowej

– obowiązek ustanowienia nadzoru nad dokumentacją dotyczącą cyberbezpieczeństwa systemu informacyjnego wykorzystywanego do świadczenia usługi kluczowej

– obowiązek obsługi incydentów, zgłaszania incydentów poważnych i współdziałania przy obsłudze incydentu poważnego i incydentu krytycznego;

6. obowiązek przeprowadzania audytu przez osoby wyszczególnione w Rozporządzeniu co 24 miesiące

AUDYT DLA TWOJEJ FIRMY

Harmonogram postępowania Operatora Usługi Kluczowej po otrzymaniu decyzji administracyjnej

w ciągu 3 miesięcy należy:


-wyznaczyć osobę kontaktową z właściwym CSIRT

-dokonać szacowania ryzyka dla swoich usług kluczowych

-wprowadzić system zarządzania incydentami (obsługuje i identyfikuje incydenty, poważne zgłasza)

-prowadzić działania informacyjne na temat zagrożeń wobec swoich użytkowników

-dbać o aktualizację systemów, analizować podatności

w ciągu 6 miesięcy należy:


-zebrać informacje o podatnościach i zagrożeniach

-stosować środki minimalizujące wpływ incydentów na bezpieczeństwo systemu IT

-wdrożyć odpowiednie i adekwatne do oszacowanego ryzyka środki techniczne i organizacyjne

-przygotować wymaganą dokumentację

w ciągu 12 miesięcy należy:


-przygotować pierwszy audyt

-przekazać sprawozdanie z audytu wskazanym w Ustawie podmiotom

Ustawodawca oczekuje, że realizacja nałożonych obowiązków związanych z cyberbezpieczeństwem będzie realizowana poprzez stosowanie Polskich Norm, bazujących na normach europejskich i międzynarodowych

Pośród środków, które pozwalają na dokonanie oceny skuteczności wdrożonych systemów zarządzania bezpieczeństwem i adekwatności ustanowionych zabezpieczeń, są:


-okresowe audyty

-okresowe testy (w tym testy penetracyjne)

Podmioty publiczne a Ustawa o Krajowym Systemie Cyberbezpieczeństwa


 

Ustawa o Krajowym Systemie Cyberbezpieczeństwa obejmuje swoim zasięgiem:

-organy władzy publicznej, w tym organy administracji rządowej, sądy

-jednostki Samorządu Terytorialnego oraz ich związki

-jednostki budżetowe

 

Obowiązki podmiotów publicznych:

-wyznaczenie osoby odpowiedzialnej za utrzymywanie kontaktów z podmiotami Krajowego Systemu Cyberbezpieczeństwa

-zapewnienie zarządzania incydentem w podmiocie publicznym

-zgłaszanie incydentu w podmiocie publicznym niezwłocznie, nie później niż w ciągu 24 godzin od momentu wykrycia, do właściwego CSIRT MON, CSIRT NASK lub CSIRT GOV

-zapewnienie obsługi incydentu w podmiocie publicznym i incydentu krytycznego we współpracy z właściwym CSIRT MON, CSIRT NASK lub CSIRT GOV, przekazując niezbędne dane, w tym dane osobowe

-zapewnienie osobom, na rzecz których zadanie publiczne jest realizowane, dostęp do wiedzy pozwalającej na zrozumie zagrożeń cyberbezpieczeństwa i stosowanie skutecznych sposobów zabezpieczania się przed tymi zagrożeniami, w szczególności przez publikowanie informacji w tym zakresie na swojej stronie internetowej

 

Należy pamiętać, że jednostki samorządu terytorialnego (JST) oprócz swoich instytucji administracyjnych, mają również szereg podległych sobie podmiotów strategicznych jak wodociągi, szpitale, etc.

zgłaszanie incydentu w podmiocie publicznym niezwłocznie, nie później niż w ciągu 24 godzin od momentu wykrycia, do właściwego CSIRT MON, CSIRT NASK lub CSIRT GOV

Uprawnienia kontrolne w zakresie realizacji obowiązków KSC

AUDYT DLA TWOJEJ FIRMY

Nadzór w zakresie wykonywania przez OUK obowiązków wynikających z ustawy dotyczących przeciwdziałania zagrożeniom cyberbezpieczeństwa i zgłaszania incydentów poważnych (incydent, który powoduje lub może spowodować poważne obniżenie jakości lub przerwanie ciągłości świadczenia usługi kluczowej) sprawują Organy właściwe do spraw cyberbezpieczeństwa.

 

Uprawnienia organu kontrolnego:


 

-swobodny wstęp i poruszanie się po terenie podmiotu kontrolowanego bez obowiązku uzyskiwania przepustki

-wgląd do dokumentów dotyczących działalności podmiotu kontrolowanego, pobierania za pokwitowaniem oraz zabezpieczania dokumentów związanych z zakresem kontroli, z zachowaniem przepisów o tajemnicy prawnie chronionej

-sporządzanie, a w razie potrzeby żądanie sporządzenia niezbędnych do kontroli kopii, odpisów lub wyciągów z dokumentów oraz zestawień lub obliczeń

-przetwarzanie danych osobowych w zakresie niezbędnym do realizacji celu kontroli; żądanie złożenia ustnych lub pisemnych wyjaśnień w sprawach dotyczących zakresu kontroli

-przeprowadzanie oględzin urządzeń, nośników oraz systemów informatycznych

Firma - dane rejestrowe


Inspektorzyrodo.pl Sp. z o.o.
Siedziba: 00-682 Warszawa ul. Hoża 86/410
KRS 0000739784 REGON 380718355 NIP 7010831232