NIS2 i UoKSC – najważniejsza zmiana

.

Konsekwencje NIS2

Jeszcze niedawno kwestie cyberbezpieczeństwa były uregulowane prawnie w Ustawie o Krajowym Systemie Cyberbezpieczeństwa (UoKSC). Obecnie ta ustawa wymaga mocnej aktualizacji, która już jest zapowiadana zarówno przez Ministerstwo Cyfryzacji, jak i sam rząd. Obecna obowiązująca dyrektywa NIS2 zwiastuje obowiązek zgodności dokumentów zarówno pod kątem bezpieczeństwa informacji, jak i ciągłości działania. Jakie jeszcze zmiany zostały zawarte w obecnym projekcie ustawy?

Rozwój cyberbezpieczeństwa – początki UoKSC

Cyberbezpieczeństwo to sektor, który ciągle się rozwija. Jeszcze niedawno laptopy były nowością na rynku, teraz są najczęściej spotykanym urządzeniem zaraz po smartfonach, które można znaleźć w polskich domach. Wiadomości mailowe można było przeczytać tylko przy użyciu przeglądarki na komputerze – dzisiaj można to zrobić przy pomocy zarówno telefonu komórkowego, jak i smartwatcha. Prawo próbuje nadążyć za rozwojem, zarówno technologicznym, jak i umiejętnościowym, przestępców cybernetycznych, którzy coraz bardziej zuchwale prowadzą swoje działania w cyberprzestrzeni. Obecnie obowiązująca ustawa o Krajowym Systemie Cyberbezpieczeństwa wymaga dbania o bezpieczeństwo systemu zarządzania bezpieczeństwem w systemie informacyjnym od operatorów usług kluczowych.

Operator usług kluczowych – kto to jest?

Zgodnie z obowiązującą ustawą, podmioty, które posiadają jednostkę organizacyjną na terenie Rzeczypospolitej Polskiej, mogą zostać uznane za operatorów usług kluczowych, jeśli organ właściwy do spraw cyberbezpieczeństwa wydał decyzję o uznaniu ich za takie. W ustawie wyróżnione zostały najważniejsze podmioty, sektory i podsektory, a są to:

  • Sektor energetyczny:
    • wydobycie kopalin;
    • energia elektryczna;
    • ciepło;
    • ropa naftowa;
    • gaz;
    • dostawy i usługi dla sektora energii;
    • jednostki nadzorujące i podległe.
  • Sektor transportowy:
    • transport lotniczy;
    • transport kolejowy;
    • transport wodny;
    • transport drogowy.
  • Sektor – bankowość i infrastruktura rynków finansowych:
  • Sektor – ochrona zdrowia;
  • Sektor – zaopatrzenie w wodę pitną i jej dystrybucję;
  • Sektor – infrastruktura cyfrowa, w tym
    • podmioty świadczące usługi DNS,
    • podmioty zarządzające rejestracją internetowych nazw domen w ramach TLD,
    • podmioty prowadzące punkt wymiany ruchu internetowego.

Jakie zmiany będą – NIS2

Ustawa, która obecnie jest w fazie konsultacji, powinna wejść w życie zgodnie z obowiązującą dyrektywą Parlamentu Europejskiego i Rady (UE) 2022/2555 w sprawie środków na rzecz wysokiego wspólnego poziomu cyberbezpieczeństwa na terytorium Unii, najpóźniej do 18 października 2024 r. Obecnie wydawane komunikaty ze strony Ministerstwa Cyfryzacji deklarują, że planują, aby ustawa weszła w życie najpóźniej do 17 października 2024 r. Obecnie trwają cały czas konsultacje nad ustawą i są przesyłane uwagi ze strony zainteresowanych.

Kto odpowiada w NIS2 za system zarządzania bezpieczeństwem informacji?

Warto zwrócić uwagę, że w obecnym projekcie ustawy definiuje się, że odpowiedzialność spada na kluczowy podmiot lub ważny podmiot. Oni odpowiadają za system zarządzania bezpieczeństwem informacji w procesach wpływających na świadczenie usług przez podmiot. Kim będą ci podmioty?

Podmiot kluczowy

Za podmiot kluczowy zostaną uznani:

  1. osoby fizyczne, osoby prawne albo jednostki organizacyjne nieposiadające osobowości prawnej wskazane w załączniku nr 1 i nr 2 do ustawy, która przewyższa wymogi dla średniego przedsiębiorstwa określone w art. 2 ust. 1 załącznika I do rozporządzenia Komisji (UE) nr 651/2014 z dnia 17 czerwca 2014 r. uznającego niektóre rodzaje pomocy za zgodne z rynkiem wewnętrznym w zastosowaniu art. 107 i 108 Traktatu (Dz. Urz. UE L 187 z 26.06.2014, str. 1), zwanego dalej „rozporządzeniem 651/2014/UE”;
  2. przedsiębiorcy komunikacji elektronicznej, który co najmniej spełnia wymogi dla średniego przedsiębiorcy określone w rozporządzeniu 651/2014/UE;
  3. niezależnie od wielkości podmiotu:
    • dostawca usług DNS,
    • dostawca usług zarządzanych w zakresie cyberbezpieczeństwa,
    • kwalifikowany dostawca usług zaufania w rozumieniu art. 3 pkt 20 rozporządzenia 910/2014,
    • podmiot krytyczny,
    • podmiot publiczny,
    • rejestr nazw domen najwyższego poziomu (TLD).

Podmiot ważny

W ramach podmiotu ważnego należy przyjąć:

  • osobę fizyczną, osobę prawną albo jednostkę organizacyjną nieposiadająca osobowości prawnej wskazana w załączniku nr 1 lub nr 2 do ustawy, która spełnia wymogi dla średniego przedsiębiorcy określone w rozporządzeniu 651/2014/UE oraz która nie jest podmiotem kluczowym;
  • niekwalifikowany dostawca usług zaufania będący mikro-, małym lub średnim przedsiębiorcą, o którym mowa w art. 2 ust. 1 załącznika I do rozporządzenia 651/2014/UE;
  • przedsiębiorca komunikacji elektronicznej będący mikro-, lub małym przedsiębiorcą, o którym mowa w art. 2 ust. 1 załącznika I do rozporządzenia 651/2014/UE.

NIS2 – obowiązki podmiotów kluczowych i ważnych

Do ich obowiązków należy:

  • prowadzenie systematycznego szacowania ryzyka wystąpienia incydentu oraz zarządzanie wykrytym ryzykiem,
  • wdrożenie środków technicznych i organizacyjnych, które zostały odpowiednio i proporcjonalnie oszacowane w ryzyku, w tym:
    • polityki szacowania ryzyka oraz bezpieczeństwa systemu informacyjnego (także polityki tematyczne),
    • utrzymanie i bezpieczne eksploatowanie systemu informacyjnego,
    • bezpieczeństwo fizyczne i środowiskowe z uwzględnieniem kontroli dostępu,
    • bezpieczeństwo i ciągłość łańcucha dostaw produktów, usług i procesów ICT,
    • wdrażanie, dokumentowanie i utrzymywanie planów działania z uwzględnieniem ciągłego i niezakłóconego świadczenia usługi wraz z zapewnieniem poufności, integralności, dostępności i autentyczności informacji, oraz planów awaryjnych umożliwiających odtworzenie systemu informacyjnego po incydencie,
    • objęcie systemu informacyjnego wykorzystywanego do świadczenia usługi systemu monitorowania w trybie ciągłym,
    • edukacja z zakresu cyberbezpieczeństwa dla personelu z uwzględnieniem zasad cyberhigieny,
    • polityki i procedury stosowania kryptografii, w tym szyfrowanie.
  • zbieranie informacji i cyberzagrożeniach i podatnościach na incydenty systemu informacyjnego,
  • zarządzanie incydentami,
  • stosowanie środków zapobiegających i ograniczających wpływ incydentów na bezpieczeństwo systemu informacyjnego,
  • stosowanie bezpiecznych środków komunikacji elektronicznej w ramach krajowego systemu cyberbezpieczeństwa z uwzględnieniem uwierzytelniania wieloskładnikowego.

Najważniejszą zmianą w obowiązkach jest taka, że wszystkie powyższe działania będą uznane za spełnione, gdy podmiot kluczowy i ważny zapewnią system zarządzania bezpieczeństwem informacji z uwzględnieniem wymagań określonych w Polskich Normach: PN-EN ISO/IEC 27001 oraz PN-EN ISO/IEC 22301.

Bezpieczeństwo informacji – Doering & Partnerzy

Zastanawiasz się, kto może pomóc w przygotowaniu dokumentów i dostosowaniu procedur zgodnie z obowiązującymi przepisami? Nie miałeś/aś wcześniej możliwości przeprowadzenia audytu bezpieczeństwa informacji przez zewnętrznego specjalistę? Zastanawiasz się, w jaki sposób możesz poprawić bezpieczeństwo informacji, jak i poziom cyberbezpieczeństwa w swojej firmie? Nie wiesz, czy pracownicy  są odpowiednio wyszkoleni z zakresu cyberbezpieczeństwa?

Jeśli na któreś z tych pytań odpowiedziałeś/aś tak, to wiedz, że możesz liczyć na naszą pomoc. Skontaktuj się z nami, a chętnie Ci pomożemy.

Zapraszamy do współpracy

Zobacz nasze usługi:

Audyt bezpieczeństwa informacji

Bezpieczeństwo informacji

Audyt cyberbezpieczeństwa

Szkolenie z zakresu cyberbezpieczeństwa

Inspektor Ochrony Danych – RODO/IOD

Zobacz więcej:

Bezpieczeństwo informacji w JST

Cyberslashing – czym jest i jak się przed tym chronić

Jak zapewnić bezpieczeństwo informacji? Krok po kroku.

Szkolenie w zakresie ochrony danych na przykładzie szpitala

Bezpieczeństwo skrzynek elektronicznych w podmiotach publicznych.

Audyt RODO.

Cyberbezpieczny Samorząd. Jak zrealizować grant?

Jak audyt bezpieczeństwa wygląda w praktyce?

Dodaj komentarz

Twój adres e-mail nie zostanie opublikowany. Wymagane pola są oznaczone *

Kategorie

Popularne wpisy

Ciekawe publikacje

Zaufali nam między innymi:

Skontaktuj się z nami

kontakt@doering-partnerzy.pl​
rodo, sygnalista: +48 600 210 513
prace b+r: +48 690 495 513​

Zobacz nasze referencje

Skip to content