W dniu 28 sierpnia 2018 r. zaczęła obowiązywać ustawa o krajowym systemie cyberbezpieczeństwa. Nowa ustawa implementuje do polskiego prawa dyrektywę w sprawie środków na rzecz wysokiego wspólnego poziomu bezpieczeństwa sieci i systemów informatycznych na terytorium Unii (tzw. dyrektywę NIS).
Ustawa o cyberbezpieczenstwie utworzy w Polsce krajowy system cyberbezpieczeństwa, który obejmuje strategiczne przedsiębiorstwa ze wskazanych sektorów gospodarki oraz administrację publiczną na szczeblu rządowym i samorządowym.
Usługi kluczowe i ich operatorzy
Ustawa nakłada obowiązki na operatorów usług, które mają kluczowe znaczenie dla utrzymania krytycznej działalności społecznej lub gospodarczej (usługi kluczowe). Lista przedsiębiorstw objętych ustawą jest niejawna, ale wśród operatorów usług kluczowych znajdą się największe banki, firmy z sektora energetycznego, przewoźnicy lotniczy i kolejowi, armatorzy, szpitale i podmioty tworzące w Polsce infrastrukturę cyfrową.
Wymaganiami z zakresu cyberbezpieczeństwa zostaną także objęci dostawcy usług cyfrowych, czyli internetowe platformy handlowe, usługi przetwarzania w chmurze i wyszukiwarki internetowe. Z racji międzynarodowej specyfiki tych podmiotów, obowiązki dla dostawców usług cyfrowych będą objęte zharmonizowane na poziomie UE.
Obowiązki operatorów usług kluczowych
Operatorzy usług kluczowych są zobowiązani do szacowania ryzyka związanego z cyberbezpieczeństwem i wdrożenia skutecznych zabezpieczeń oraz przekazywania informacji o poważnych incydentach i ich obsługi we współpracy z jednym z trzech Zespołów Reagowania na Incydenty Bezpieczeństwa Komputerowego (ang. Computer Security Incident Response Team – CSIRT). W ramach wymagań operatorzy usług kluczowych będą także zobowiązani do wyznaczenia osoby odpowiedzialnej za cyberbezpieczeństwo świadczonych usług, obsługi i zgłaszania incydentów oraz udostępniania wiedzy na temat cyberbezpieczeństwa.
Informacje o incydentach powinny być przekazywane do CSIRT, któremu podlega danych podmiot. Poszczególne CSIRT prowadzi Agencja Bezpieczeństwa Wewnętrznego (CSIRT GOV), NASK – Państwowy Instytut Badawczy (CSIRT NASK) oraz resort obrony narodowej (CSIRT MON). Jednostki te mają współpracować ze sobą oraz z organami właściwymi do spraw cyberbezpieczeństwa, ministrem właściwym do spraw informatyzacji oraz Pełnomocnikiem Rządu ds. Cyberbezpieczeństwa.
Krajowy System Cyberbezpieczeństwa
Kwestia cyberbezpieczeństwa dotyka wielu aspektów, zagrożeń zarówno cywilnych jak i wojskowych, potrzeby zaangażowania różnych organów administracji rządowej i służb. Dlatego też w ustawie przewidziano różnorodne rozwiązania, określono zadania i wskazano podmioty odpowiedzialne za ich realizację. Do krajowego systemu cyberbezpieczeństwa, poza operatorami, będą włączone organy administracji publicznej, a także przedsiębiorcy telekomunikacyjni – w sposób zharmonizowany z istniejącymi uregulowaniami w tym zakresie. System zarządzania cyberbezpieczeństwem w Polsce obejmie zarówno poziom roboczy (Zespół ds. Obsługi Incydentów Krytycznych) jak i instytucjonalny (Pełnomocnik Rządu ds. Cyberbezpieczeństwa oraz Kolegium ds. Cyberbezpieczeństwa).
Celem ustawy o cyberbezpieczeństwie jest stworzenie spójnego i kompletnego systemu zarządzania ryzykiem na poziomie krajowym, który będzie realizował zadania w kierunku przeciwdziałania zagrożeniom cyberbezpieczeństwa o charakterze ponadsektorowym i transgranicznym, oraz który pozwoli na skuteczną koordynację obsługi zgłoszonych incydentów.
Wdrożenie wymogów NIS
Wdrożenie wymagań stawianych przez ustawę o cyberbezpieczeństwie w przedsiębiorstwach jest zadaniem złożonym, obejmującym zdolność do analizowania i szacowania ryzyka oraz możliwość detekcji incydentów i reagowania na incydenty, które później będą przekazywane do CSIRT.
Zapraszamy do kontaktu, jeśli wdrożenie wymagań NIS dotyczy Państwa przedsiębiorstwa.
