Nowe obowiązki firm związane z ustawą o krajowym systemie cyberbezpieczeństwa

<p style="text-align: justify;">28 sierpnia br. wchodzi w życie ustawa o krajowym systemie cyberbezpieczeństwa implementująca europejską dyrektywę NIS (<em>Network and Information Systems Directive</em>) dotyczącą bezpieczeństwa sieci i informacji. Na jej mocy część firm zostanie wpisana do rejestru operatorów usług kluczowych, na których będą ciążyły obowiązki związane z  zapewnieniem cyberbezpieczeństwa. Nowe wymogi będą obowiązywały m.in. dostawców prądu i gazu, firmy transportowe, służbę zdrowia oraz banki.</p>

>

Dyrektywa NIS weszła w życie w sierpniu 2016 roku. Jest pierwszym ogólnounijnym aktem prawnym w dziedzinie cyberbezpieczeństwa, a zawarte w niej regulacje maj? gwarantować równy poziom zabezpieczeń sieci i systemów w całej Unii Europejskiej oraz wzmacniać ochronę państw członkowskich przed cyberatakami.

Określone w polskiej ustawie ministerstwa i regulatorzy, czyli tzw. organy właściwe ds. cyberbezpieczeństwa do 9 listopada br. maj? czas na podjęcie decyzji odnośnie podmiotów, które zostan? wpisane do rejestru operatorów usług kluczowych. Po tym czasie firmy wpisane do rejestru będ? musiały w dość krótkim czasie wdrożyć nałożone na nie nowe obowi?zki.

W terminie zaledwie trzech miesięcy operatorzy usług kluczowych będ? musieli m.in. powołać wewnętrzne struktury do zarz?dzania cyberbezpieczeństwem (lub skorzystać z outsourcingu), wdrożyć program systematycznej analizy i zarz?dzania ryzykiem oraz uruchomić sprawnie funkcjonuj?cy proces zarz?dzania incydentami bezpieczeństwa, pozwalaj?cy m.in. na   zgłaszanie poważnych incydentów do krajowego zespołu CSIRT (sieć Zespołów Reagowania na Incydenty Bezpieczeństwa Komputerowego) w czasie nieprzekraczaj?cym 24 godzin od ich wykrycia.

Dla większości dużych przedsiębiorstw powyższe wymagania nie s? czymś nowym, ale   mniejsze podmioty lub firmy z sektorów gospodarki o niższym poziomie dojrzałości bezpieczeństwa mog? mieć duży problem z wypełnieniem nowych obowi?zków. Wdrożenie powyższych wymagań od podstaw w trzy miesi?ce jest praktycznie niemożliwe. Z kolei dla dojrzałych firm wyzwaniem może być posiadanie sformalizowanego, systematycznego procesu oceny i zarz?dzania ryzykiem, jak również sprawnego procesu zarz?dzania incydentami, zapewniaj?cego szybk? analizę incydentów, by sprostać wymaganiu 24 godzin na notyfikację  – mówiMichał Kurek, parter, szef zespołu ds. cyberbezpieczeństwa w KPMG w Polsce.

Wdrożenie powyższych obowi?zków nie będzie oznaczało końca spełniania wymagań nałożonych ustaw? o krajowym systemie cyberbezpieczeństwa. W terminie do sześciu miesięcy operatorzy usług kluczowych będ? bowiem zobowi?zani: wdrożyć zabezpieczenia proporcjonalne do oszacowanego ryzyka, obejmuj?ce m.in. wdrożenie planów ci?głości działania, czy objęcie systemów informatycznych monitorowaniem w trybie ci?głym, uruchomić sprawny proces zarz?dzania podatnościami i gromadzenia wiedzy na temat cyberzagrożeń, a także opracować i zapewnić aktualność dokumentacji dotycz?cej cyberbezpieczeństwa systemów informatycznych wykorzystywanych do świadczenia usługi kluczowej.

Po spełnieniu wszystkich obowi?zków oraz ich uporz?dkowaniu operatorzy usług kluczowych, będ? zobowi?zani do przeprowadzenia w terminie jednego roku zewnętrznego audytu bezpieczeństwa. Później audyty będ? musiały być realizowane co dwa lata. Brak wywi?zania się z tego obowi?zku może kosztować operatora usługi kluczowej 200 tys. zł.

Wiele z podmiotów już dziś wie, że znajdzie się w rejestrze operatorów usług kluczowych. Dlatego jeśli jeszcze nie zostały uruchomione stosowne inicjatywy w zakresie dostosowania do wymogów ustawy o krajowym systemie cyberbezpieczeństwa, nie warto odkładać tego na później. Jeśli firmy maj? niedoci?gnięcia w którychkolwiek z obszarów zarz?dzania cyberbezpieczeństwem – chociażby w zakresie posiadania właściwej dokumentacji – pół roku może okazać się zbyt krótkim terminem na uzupełnienie posiadanych luk. Przykładowo, jeśli firma nie dysponuje formalnie wdrożonym i funkcjonuj?cym planem zapewnienia ci?głości działania, należy już dziś rozpoczynać działania w tym zakresie. Także objęcie kluczowych systemów monitorowaniem bezpieczeństwa w trybie ci?głym wi?że się z reorganizacj?, której czas realizacji zwykle liczy się w miesi?cach  – mówiMichał Kurek, parter, szef zespołu ds. cyberbezpieczeństwa w KPMG w Polsce.

***

O KPMG:                        

KPMG to międzynarodowa sieć firm świadcz?cych usługi z zakresu audytu, doradztwa podatkowego, gospodarczego i  prawnego. KPMG zatrudnia 189 000 pracowników w 152 krajach. Niezależne firmy członkowskie sieci KPMG s? stowarzyszone z KPMG International Cooperative (“KPMG International”), podmiotem prawa szwajcarskiego. Każda z firm KPMG jest odrębnym podmiotem prawa. W Polsce KPMG działa od 1990 roku. Obecnie zatrudnia ponad 1 800 osób w  Warszawie, Krakowie, Poznaniu, Wrocławiu, Gdańsku, Katowicach i Łodzi. Więcej na stronie  kpmg.pl.

Kontakt dla mediów:

Jakub Malczewski, e-mail:  jmalczewski@kpmg.pl, tel.: (22) 528 15 72 lub 605  511  308

Patrycja Kowalczyk, e-mail:  patrycjakowalczyk@kpmg.pl, tel.: (22) 528 11 87 lub 664  718  676

Krzysztof Krzyżanowski, e-mail:  kkrzyzanowski@kpmg.pl, tel.: (22) 528 11 14 lub 508 047  582

Nie przegap żadnej aktualizacji od  @KPMGPoland

WIĘCEJ AKTUALNOŚCI

Regulatorzy finansowi w obliczu wyzwań

Celem organów regulacyjnych pozostaje wspieranie stabilności podmiotów świadczących usługi finansowe oraz opracowywanie mechanizmów naprawczych,...

Share this page Share on FacebookShare on TwitterShare on Linkedin

Close

Zaloguj się do Strefy Członkowskiej!