Analizy i badania

Nowe obowiązki firm związane z ustawą o krajowym systemie cyberbezpieczeństwa

<p style="text-align: justify;">28 sierpnia br. wchodzi w życie ustawa o krajowym systemie cyberbezpieczeństwa implementująca europejską dyrektywę NIS (<em>Network and Information Systems Directive</em>) dotyczącą bezpieczeństwa sieci i informacji. Na jej mocy część firm zostanie wpisana do rejestru operatorów usług kluczowych, na których będą ciążyły obowiązki związane z  zapewnieniem cyberbezpieczeństwa. Nowe wymogi będą obowiązywały m.in. dostawców prądu i gazu, firmy transportowe, służbę zdrowia oraz banki.</p>

>

Dyrektywa NIS weszła w życie w sierpniu 2016 roku. Jest pierwszym ogólnounijnym aktem prawnym w dziedzinie cyberbezpieczeństwa, a zawarte w niej regulacje maj? gwarantować równy poziom zabezpieczeń sieci i systemów w całej Unii Europejskiej oraz wzmacniać ochronę państw członkowskich przed cyberatakami.

Określone w polskiej ustawie ministerstwa i regulatorzy, czyli tzw. organy właściwe ds. cyberbezpieczeństwa do 9 listopada br. maj? czas na podjęcie decyzji odnośnie podmiotów, które zostan? wpisane do rejestru operatorów usług kluczowych. Po tym czasie firmy wpisane do rejestru będ? musiały w dość krótkim czasie wdrożyć nałożone na nie nowe obowi?zki.

W terminie zaledwie trzech miesięcy operatorzy usług kluczowych będ? musieli m.in. powołać wewnętrzne struktury do zarz?dzania cyberbezpieczeństwem (lub skorzystać z outsourcingu), wdrożyć program systematycznej analizy i zarz?dzania ryzykiem oraz uruchomić sprawnie funkcjonuj?cy proces zarz?dzania incydentami bezpieczeństwa, pozwalaj?cy m.in. na   zgłaszanie poważnych incydentów do krajowego zespołu CSIRT (sieć Zespołów Reagowania na Incydenty Bezpieczeństwa Komputerowego) w czasie nieprzekraczaj?cym 24 godzin od ich wykrycia.

Dla większości dużych przedsiębiorstw powyższe wymagania nie s? czymś nowym, ale   mniejsze podmioty lub firmy z sektorów gospodarki o niższym poziomie dojrzałości bezpieczeństwa mog? mieć duży problem z wypełnieniem nowych obowi?zków. Wdrożenie powyższych wymagań od podstaw w trzy miesi?ce jest praktycznie niemożliwe. Z kolei dla dojrzałych firm wyzwaniem może być posiadanie sformalizowanego, systematycznego procesu oceny i zarz?dzania ryzykiem, jak również sprawnego procesu zarz?dzania incydentami, zapewniaj?cego szybk? analizę incydentów, by sprostać wymaganiu 24 godzin na notyfikację  – mówiMichał Kurek, parter, szef zespołu ds. cyberbezpieczeństwa w KPMG w Polsce.

Wdrożenie powyższych obowi?zków nie będzie oznaczało końca spełniania wymagań nałożonych ustaw? o krajowym systemie cyberbezpieczeństwa. W terminie do sześciu miesięcy operatorzy usług kluczowych będ? bowiem zobowi?zani: wdrożyć zabezpieczenia proporcjonalne do oszacowanego ryzyka, obejmuj?ce m.in. wdrożenie planów ci?głości działania, czy objęcie systemów informatycznych monitorowaniem w trybie ci?głym, uruchomić sprawny proces zarz?dzania podatnościami i gromadzenia wiedzy na temat cyberzagrożeń, a także opracować i zapewnić aktualność dokumentacji dotycz?cej cyberbezpieczeństwa systemów informatycznych wykorzystywanych do świadczenia usługi kluczowej.

Po spełnieniu wszystkich obowi?zków oraz ich uporz?dkowaniu operatorzy usług kluczowych, będ? zobowi?zani do przeprowadzenia w terminie jednego roku zewnętrznego audytu bezpieczeństwa. Później audyty będ? musiały być realizowane co dwa lata. Brak wywi?zania się z tego obowi?zku może kosztować operatora usługi kluczowej 200 tys. zł.

Wiele z podmiotów już dziś wie, że znajdzie się w rejestrze operatorów usług kluczowych. Dlatego jeśli jeszcze nie zostały uruchomione stosowne inicjatywy w zakresie dostosowania do wymogów ustawy o krajowym systemie cyberbezpieczeństwa, nie warto odkładać tego na później. Jeśli firmy maj? niedoci?gnięcia w którychkolwiek z obszarów zarz?dzania cyberbezpieczeństwem – chociażby w zakresie posiadania właściwej dokumentacji – pół roku może okazać się zbyt krótkim terminem na uzupełnienie posiadanych luk. Przykładowo, jeśli firma nie dysponuje formalnie wdrożonym i funkcjonuj?cym planem zapewnienia ci?głości działania, należy już dziś rozpoczynać działania w tym zakresie. Także objęcie kluczowych systemów monitorowaniem bezpieczeństwa w trybie ci?głym wi?że się z reorganizacj?, której czas realizacji zwykle liczy się w miesi?cach  – mówiMichał Kurek, parter, szef zespołu ds. cyberbezpieczeństwa w KPMG w Polsce.

***

O KPMG:                        

KPMG to międzynarodowa sieć firm świadcz?cych usługi z zakresu audytu, doradztwa podatkowego, gospodarczego i  prawnego. KPMG zatrudnia 189 000 pracowników w 152 krajach. Niezależne firmy członkowskie sieci KPMG s? stowarzyszone z KPMG International Cooperative (“KPMG International”), podmiotem prawa szwajcarskiego. Każda z firm KPMG jest odrębnym podmiotem prawa. W Polsce KPMG działa od 1990 roku. Obecnie zatrudnia ponad 1 800 osób w  Warszawie, Krakowie, Poznaniu, Wrocławiu, Gdańsku, Katowicach i Łodzi. Więcej na stronie  kpmg.pl.

Kontakt dla mediów:

Jakub Malczewski, e-mail:  jmalczewski@kpmg.pl, tel.: (22) 528 15 72 lub 605  511  308

Patrycja Kowalczyk, e-mail:  patrycjakowalczyk@kpmg.pl, tel.: (22) 528 11 87 lub 664  718  676

Krzysztof Krzyżanowski, e-mail:  kkrzyzanowski@kpmg.pl, tel.: (22) 528 11 14 lub 508 047  582

Nie przegap żadnej aktualizacji od  @KPMGPoland

Share this page Share on FacebookShare on TwitterShare on Linkedin