Jeszcze niedawno kwestie cyberbezpieczeństwa były uregulowane prawnie w Ustawie o Krajowym Systemie Cyberbezpieczeństwa (UoKSC). Obecnie ta ustawa wymaga mocnej aktualizacji, która już jest zapowiadana zarówno przez Ministerstwo Cyfryzacji, jak i sam rząd. Obecna obowiązująca dyrektywa NIS2 zwiastuje obowiązek zgodności dokumentów zarówno pod kątem bezpieczeństwa informacji, jak i ciągłości działania. Jakie jeszcze zmiany zostały zawarte w obecnym projekcie ustawy?
Rozwój cyberbezpieczeństwa – początki UoKSC
Cyberbezpieczeństwo to sektor, który ciągle się rozwija. Jeszcze niedawno laptopy były nowością na rynku, teraz są najczęściej spotykanym urządzeniem zaraz po smartfonach, które można znaleźć w polskich domach. Wiadomości mailowe można było przeczytać tylko przy użyciu przeglądarki na komputerze – dzisiaj można to zrobić przy pomocy zarówno telefonu komórkowego, jak i smartwatcha. Prawo próbuje nadążyć za rozwojem, zarówno technologicznym, jak i umiejętnościowym, przestępców cybernetycznych, którzy coraz bardziej zuchwale prowadzą swoje działania w cyberprzestrzeni. Obecnie obowiązująca ustawa o Krajowym Systemie Cyberbezpieczeństwa wymaga dbania o bezpieczeństwo systemu zarządzania bezpieczeństwem w systemie informacyjnym od operatorów usług kluczowych.
Operator usług kluczowych – kto to jest?
Zgodnie z obowiązującą ustawą, podmioty, które posiadają jednostkę organizacyjną na terenie Rzeczypospolitej Polskiej, mogą zostać uznane za operatorów usług kluczowych, jeśli organ właściwy do spraw cyberbezpieczeństwa wydał decyzję o uznaniu ich za takie. W ustawie wyróżnione zostały najważniejsze podmioty, sektory i podsektory, a są to:
- Sektor energetyczny:
- wydobycie kopalin;
- energia elektryczna;
- ciepło;
- ropa naftowa;
- gaz;
- dostawy i usługi dla sektora energii;
- jednostki nadzorujące i podległe.
- Sektor transportowy:
- transport lotniczy;
- transport kolejowy;
- transport wodny;
- transport drogowy.
- Sektor – bankowość i infrastruktura rynków finansowych:
- Sektor – ochrona zdrowia;
- Sektor – zaopatrzenie w wodę pitną i jej dystrybucję;
- Sektor – infrastruktura cyfrowa, w tym
- podmioty świadczące usługi DNS,
- podmioty zarządzające rejestracją internetowych nazw domen w ramach TLD,
- podmioty prowadzące punkt wymiany ruchu internetowego.
Jakie zmiany będą – NIS2
Ustawa, która obecnie jest w fazie konsultacji, powinna wejść w życie zgodnie z obowiązującą dyrektywą Parlamentu Europejskiego i Rady (UE) 2022/2555 w sprawie środków na rzecz wysokiego wspólnego poziomu cyberbezpieczeństwa na terytorium Unii, najpóźniej do 18 października 2024 r. Obecnie wydawane komunikaty ze strony Ministerstwa Cyfryzacji deklarują, że planują, aby ustawa weszła w życie najpóźniej do 17 października 2024 r. Obecnie trwają cały czas konsultacje nad ustawą i są przesyłane uwagi ze strony zainteresowanych.
Kto odpowiada w NIS2 za system zarządzania bezpieczeństwem informacji?
Warto zwrócić uwagę, że w obecnym projekcie ustawy definiuje się, że odpowiedzialność spada na kluczowy podmiot lub ważny podmiot. Oni odpowiadają za system zarządzania bezpieczeństwem informacji w procesach wpływających na świadczenie usług przez podmiot. Kim będą ci podmioty?
Podmiot kluczowy
Za podmiot kluczowy zostaną uznani:
- osoby fizyczne, osoby prawne albo jednostki organizacyjne nieposiadające osobowości prawnej wskazane w załączniku nr 1 i nr 2 do ustawy, która przewyższa wymogi dla średniego przedsiębiorstwa określone w art. 2 ust. 1 załącznika I do rozporządzenia Komisji (UE) nr 651/2014 z dnia 17 czerwca 2014 r. uznającego niektóre rodzaje pomocy za zgodne z rynkiem wewnętrznym w zastosowaniu art. 107 i 108 Traktatu (Dz. Urz. UE L 187 z 26.06.2014, str. 1), zwanego dalej „rozporządzeniem 651/2014/UE”;
- przedsiębiorcy komunikacji elektronicznej, który co najmniej spełnia wymogi dla średniego przedsiębiorcy określone w rozporządzeniu 651/2014/UE;
- niezależnie od wielkości podmiotu:
- dostawca usług DNS,
- dostawca usług zarządzanych w zakresie cyberbezpieczeństwa,
- kwalifikowany dostawca usług zaufania w rozumieniu art. 3 pkt 20 rozporządzenia 910/2014,
- podmiot krytyczny,
- podmiot publiczny,
- rejestr nazw domen najwyższego poziomu (TLD).
Podmiot ważny
W ramach podmiotu ważnego należy przyjąć:
- osobę fizyczną, osobę prawną albo jednostkę organizacyjną nieposiadająca osobowości prawnej wskazana w załączniku nr 1 lub nr 2 do ustawy, która spełnia wymogi dla średniego przedsiębiorcy określone w rozporządzeniu 651/2014/UE oraz która nie jest podmiotem kluczowym;
- niekwalifikowany dostawca usług zaufania będący mikro-, małym lub średnim przedsiębiorcą, o którym mowa w art. 2 ust. 1 załącznika I do rozporządzenia 651/2014/UE;
- przedsiębiorca komunikacji elektronicznej będący mikro-, lub małym przedsiębiorcą, o którym mowa w art. 2 ust. 1 załącznika I do rozporządzenia 651/2014/UE.
NIS2 – obowiązki podmiotów kluczowych i ważnych
Do ich obowiązków należy:
- prowadzenie systematycznego szacowania ryzyka wystąpienia incydentu oraz zarządzanie wykrytym ryzykiem,
- wdrożenie środków technicznych i organizacyjnych, które zostały odpowiednio i proporcjonalnie oszacowane w ryzyku, w tym:
- polityki szacowania ryzyka oraz bezpieczeństwa systemu informacyjnego (także polityki tematyczne),
- utrzymanie i bezpieczne eksploatowanie systemu informacyjnego,
- bezpieczeństwo fizyczne i środowiskowe z uwzględnieniem kontroli dostępu,
- bezpieczeństwo i ciągłość łańcucha dostaw produktów, usług i procesów ICT,
- wdrażanie, dokumentowanie i utrzymywanie planów działania z uwzględnieniem ciągłego i niezakłóconego świadczenia usługi wraz z zapewnieniem poufności, integralności, dostępności i autentyczności informacji, oraz planów awaryjnych umożliwiających odtworzenie systemu informacyjnego po incydencie,
- objęcie systemu informacyjnego wykorzystywanego do świadczenia usługi systemu monitorowania w trybie ciągłym,
- edukacja z zakresu cyberbezpieczeństwa dla personelu z uwzględnieniem zasad cyberhigieny,
- polityki i procedury stosowania kryptografii, w tym szyfrowanie.
- zbieranie informacji i cyberzagrożeniach i podatnościach na incydenty systemu informacyjnego,
- zarządzanie incydentami,
- stosowanie środków zapobiegających i ograniczających wpływ incydentów na bezpieczeństwo systemu informacyjnego,
- stosowanie bezpiecznych środków komunikacji elektronicznej w ramach krajowego systemu cyberbezpieczeństwa z uwzględnieniem uwierzytelniania wieloskładnikowego.
Najważniejszą zmianą w obowiązkach jest taka, że wszystkie powyższe działania będą uznane za spełnione, gdy podmiot kluczowy i ważny zapewnią system zarządzania bezpieczeństwem informacji z uwzględnieniem wymagań określonych w Polskich Normach: PN-EN ISO/IEC 27001 oraz PN-EN ISO/IEC 22301.
Bezpieczeństwo informacji – Doering & Partnerzy
Zastanawiasz się, kto może pomóc w przygotowaniu dokumentów i dostosowaniu procedur zgodnie z obowiązującymi przepisami? Nie miałeś/aś wcześniej możliwości przeprowadzenia audytu bezpieczeństwa informacji przez zewnętrznego specjalistę? Zastanawiasz się, w jaki sposób możesz poprawić bezpieczeństwo informacji, jak i poziom cyberbezpieczeństwa w swojej firmie? Nie wiesz, czy pracownicy są odpowiednio wyszkoleni z zakresu cyberbezpieczeństwa?
Jeśli na któreś z tych pytań odpowiedziałeś/aś tak, to wiedz, że możesz liczyć na naszą pomoc. Skontaktuj się z nami, a chętnie Ci pomożemy.
Zobacz nasze usługi:
Audyt bezpieczeństwa informacji
Szkolenie z zakresu cyberbezpieczeństwa
Inspektor Ochrony Danych – RODO/IOD
Zobacz więcej:
Bezpieczeństwo informacji w JST
Cyberslashing – czym jest i jak się przed tym chronić
Jak zapewnić bezpieczeństwo informacji? Krok po kroku.
Szkolenie w zakresie ochrony danych na przykładzie szpitala
Bezpieczeństwo skrzynek elektronicznych w podmiotach publicznych.