Nowe przepisy podniosą bezpieczeństwo polskich firm
Ustawa o Krajowym Systemie Cyberbezpieczeństwa (UoKSC) nakłada na operatorów usług kluczowych szereg obowiązków.
To m.in. w obszarze budowania i utrzymania bezpieczeństwa cyfrowego, ochrony systemów teleinformatycznych przed cyberatakami, oceny ryzyka, audytu. Nowością jest obowiązek raportowania tzw. incydentów poważnych: nie tylko tych, które spowodowały negatywny skutek dla podmiotu objętego przepisami KSC, ale też mogły taki wywołać w szerszym, rynkowym kontekście. Kogo obejmą nowe przepisy?
"Liczba zidentyfikowanych na dzień 9 listopada potencjalnych operatorów usług kluczowych, wynosiła blisko 330 podmiotów" - informuje Interię Ministerstwo Cyfryzacji. Dodaje jednak, że nie jest to ostateczna liczba i nie można jej traktować jako ostatecznego spisu operatorów usług kluczowych.
Operatorów kluczowych może być znacznie więcej, bowiem aktualny spis dotyczy tych podmiotów, w stosunku do których organ właściwy (np. Ministerstwo Cyfryzacji, Ministerstwo Energii), wydał już ważną decyzję administracyjną o uznaniu danego podmiotu za operatora usługi kluczowej. Obecnie organy właściwe prowadzą postepowania administracyjne w tej sprawie.
Do tego, pojęcie operatora kluczowego jest szerokie. Ustawa o krajowym systemie cyberbezpieczeństwa obejmuje sześć sektorów gospodarki, tj. energetykę, transport, bankowość i infrastrukturę rynków finansowych, ochronę zdrowia, sektor wodno-kanalizacyjny oraz infrastrukturę cyfrową. "Operatorami usług kluczowych mogą być m.in. takie podmioty jak: podmioty prowadzące działalność gospodarczą w zakresie wydobywania gazu ziemnego na podstawie koncesji, przedsiębiorstwo energetyczne posiadające koncesję na wykonywanie działalności gospodarczej w zakresie wytwarzania energii elektrycznej, podmioty prowadzące działalność gospodarczą w zakresie przesyłania ropy naftowej, zarządca infrastruktury kolejowej, armator w transporcie morskim pasażerów i towarów, Narodowy Fundusz Zdrowia, czy podmiot prowadzący punkt wymiany ruchu internetowego (IXP)" - precyzuje dla Interii resort cyfryzacji.
Kluczowe usługi, które mogą zostać objęte przepisami ustawy o cyberbezpieczeństwie to w kontekście powyższego m.in. wydobycie ropy naftowej, wytwarzanie energii elektrycznej, przesyłanie paliw gazowych, wytwarzanie ciepła, transport lotniczy pasażerski, transport morski towarów, konstrukcja rozkładu jazdy pociągów, prowadzenie rynku regulowanego lub innej działalności w zakresie organizowania obrotu instrumentami finansowymi oraz giełdy towarowej, udzielanie świadczenia opieki zdrowotnej przez podmiot leczniczy, dostarczanie wody.
Podmioty, które zostaną przez odpowiedni organ zidentyfikowane jako kluczowe - mają obowiązek przeprowadzić ocenę ryzyka w terminie trzech miesięcy od dnia otrzymania pisma administracyjnego o uznaniu za operatora usług kluczowych. Oprócz tego muszą wdrożyć systemy bezpieczeństwa, o ile takich jeszcze nie mają (w terminie 6 miesięcy). Na koniec natomiast przeprowadzić ocenę działania całego systemu i jego bezpieczeństwa (audyt do listopada 2020 r.).
"Szacowanie i ocena ryzyka są indywidualną kwestią dla każdego przedsiębiorcy. Dlatego MC nie będzie narzucać jednej metody dla różnych sektorów. MC jako organ właściwy dla sektora infrastruktury cyfrowej, będzie kontrolować i nadzorować tylko ten sektor" - wyjaśnia MC. W pozostałych sektorach będą to robić odpowiednie organy właściwe - np. dla szpitali będzie to Ministerstwo Zdrowia, a dla rynku finansowego - Komisja Nadzoru Finansowego.
Przepisy ustawy wprowadzają możliwość karania firm, które nie przestrzegają nowych obowiązków (od 1 tys. do 200 tys. zł, a przy nagminnie łamanych zasadach nawet do 1 mln zł). Czy takich przypadków będzie dużo? Trudno dzisiaj oceniać, bowiem dla sporej części przedsiębiorstw, przepisy ujęte w UoKSC nie będą niczym nowym. Część z nich od dawna dba o bezpieczeństwo w sieci, a takie wymagania jak ocena ryzyka, zabezpieczenie sieci czy ochrona danych osobowych - nie są niczym nowym. Dla niektórych jednak, dodatkowe wymogi mogą być trudne do spełnienia, kosztowne i skomplikowane organizacyjnie lub technologicznie. Zwłaszcza, jeśli dotychczas sprawy bezpieczeństwa sieci, danych, informacji traktowali z przymrużeniem oka.
Firmy nie są jednak skazane na samodzielne wdrażanie rozwiązań z obszaru cyberbezpieczeństwa. Zamiast tego mogą skorzystać z usług wyspecjalizowanych podmiotów, które spełniają określone w KSC wymagania.
- Wsparcie doświadczonej firmy, mającej odpowiednie kompetencje i niezbędne zasoby, to duże ułatwienie dla operatorów usług krytycznych. Czasu na przygotowanie całej organizacji do wymogów ustawy jest stosunkowo mało. Taki ekspercki partner może przejąć część obowiązków jak np. kontakt z odpowiednim CSiRT w przypadku wystąpienia zdarzenia w cyberprzestrzeni, bieżące zarządzanie incydentami czy ocena ryzyka. Podwykonawca pomoże też w doborze systemów, tj. przeanalizuje realne potrzeby firmy, przygotuje projekt, wdroży go i zapewni jego utrzymanie - mówi Szymon Ruman, dyrektor sprzedaży Exatel.
UoKSC, chociaż obejmuje swoimi przepisami sporą grupę przedsiębiorstw w Polsce, to jednak nie wszystkie. O bezpieczeństwo powinny zadbać także te firmy, których nie dotyczą bezpośrednio nowe przepisy. Dlaczego? Po pierwsze, mogą tego wymagać podmioty, które zostały uznane za operatorów usług kluczowych i niejako wymuszać na rynku wyższy poziom bezpieczeństwa cyfrowego. Po drugie, wraz z rozwojem usług cyfrowych wrażliwość tak kontrahentów jak i społeczna na zagrożenia w sieci stale rośnie.
Cyberatak dla firmy to nie tylko koszty finansowego, blokada danych czy przestoje w produkcji, ale również straty wizerunkowe, w tym np. dewaluacja marki, pogorszenie relacji z klientami.
mk