Reklama

Nowe obowiązki dla firm w obszarze cyberbezpieczeństwa

Luka w systemie może prowadzić do wycieku danych wrażliwych (w tym również informacji o klientach), kradzieży pieniędzy, utraty zaufania i wizerunku firmy, ale również - ze względu na obowiązujące od niedawna przepisy - wiązać się z poważnymi karami finansowymi.

Czasu na spełnienie wymogów nakładanych przez ustawę o Krajowym Systemie Cyberbezpieczeństwa (UoKSC) jest niewiele. Dokument, który obowiązuje od 28 sierpnia br., jest z jednej strony implementacją unijnej dyrektywy NIS przez Polskę; z drugiej - sposobem na ustalenie i uporządkowanie ram prawnych w obszarze funkcjonowania różnych ośrodków odpowiedzialnych za cyberbezpieczeństwo w kraju i próbą stworzenia systemu, który będzie odpowiadać specyfice rodzimego rynku.

Dyrektywa NIS w praktyce

Unijna dyrektywa NIS nakłada na Polskę i pozostałe kraje UE szereg wymogów. Wprowadza zasadę raportowania na poziomie UE poważnych cyberincydentów i nakłada obowiązek przyjęcia dokumentów strategicznych dot. cyberbezpieczenstwa. Mało tego, państwo ma zidentyfikować operatorów usług kluczowych. Sektory, w których będą identyfikowani operatorzy usług kluczowych to m.in. energetyka, finanse, sektor zdrowia, transport. Muszą oni - zgodnie z przepisami - zadbać o bezpieczeństwo cyfrowe, wdrożyć rozwiązania mające na celu ochronę posiadanych systemów teleinformatycznych przed cyberzagrożeniami i odpowiednio im przeciwdziałać.

Reklama

Ustawa o Krajowym Systemie Cyberbezpieczeństwa

Po pierwsze, jeśli firma/organizacja lub instytucja znalazła się w wykazie "operatorów usług kluczowych" Ministerstwa Cyfryzacji, będzie musiał przeprowadzić u siebie analizę swojej podatności na cyberataki, określić kluczowe i wrażliwe obszary, zmierzyć ryzyko. Ma na to trzy miesiące od dnia otrzymania pisma.

Niezbędne będzie także wdrożenie zasad zarządzania incydentami i wyznaczenie osoby kontaktowej z podmiotami krajowego systemu cyberbezpieczeństwa. Ustawa o cyberbezpieczeństwie nakłada na operatorów usług kluczowych obowiązek zgłaszania tzw. incydentów poważnych: nie tylko tych, które spowodowały negatywny skutek dla podmiotu objętego przepisami KSC, ale też mogły taki wywołać w szerszym, rynkowym kontekście. Zgłoszenia mają trafić do jednego z trzech CSiRT-ów (ang. Computer Security Incident Response Team), czyli centrów reagowania.

- Lista obowiązków jest długa. To stworzenie odpowiednich planów bezpieczeństwa, analiz ryzyk, wdrożenie właściwych środków technicznych zabezpieczających organizację przed cyberzagrożeniami, usuwanie zauważonych podatności czy zgłaszanie incydentów do CSIRT. Ale ustawa wspomina także o cyklicznych audytach oraz obowiązkowym wdrażaniu wynikających z nich zaleceń pokontrolnych. Mówiąc krótko - od teraz firmy muszą przykładać dużą uwagę do swojego cyberbezpieczeństwa - mówi Łukasz Bonczek, p.o. kierownika zespołu obsługi przetargów publicznych w Exatel.

Kary dla nie-cyberbezpiecznych

Przy rozbudowanej liczbie nowych obowiązków potrzeba mocnej kontroli nad ich wdrożeniem. Zdaniem eksperta Exatela, skuteczne egzekwowanie wymogów określonych w ustawie KSC będzie spoczywało na organach właściwych (czyli m. in. ministrze energii, ministrze cyfryzacji, KNF). To od skuteczności przeprowadzanych przez nie kontroli i nakładanych kar będzie zależało, jak poważnie operatorzy usług kluczowych podejdą do nowych obowiązków.

- Wydawać się może, że w dzisiejszych czasach już nikogo nie trzeba nakłaniać do dbania o swoje cyberbezpieczeństwo. Jednak - na wszelki wypadek - ustawodawca wprowadził również kary dla nieprzestrzegających nowych obowiązków. Wartość kar może wynosić od 1 000 zł do 200 000 zł. Ale to nie wszystko. Dla organizacji, które nagminnie łamią przepisy UoKSC kary mogą sięgać nawet 1 mln zł - dodaje Bonczek

Można liczyć na wsparcie

Operatorzy usług kluczowych, zobowiązani do przestrzegania przepisów KSC, nie muszą jednak przez te skomplikowane procesy przechodzić samodzielnie. Mogą zawrzeć umowę z wyspecjalizowanym podmiotem, spełniającym określone w KSC wymagania. Taki podmiot świadczący usługi z zakresu cyberbezpieczeństwa może dostarczyć im zarówno kompleksowej usługi cyberbezpieczeństwa, jak i przeprowadzić audyt bezpieczeństwa, dokonać analizy ryzyka, przedstawić rekomendacje.

Na podstawie zawartej umowy na świadczenie cyberusług, to zewnętrzne podmioty będą wypełniać część obowiązków nakładanych przez ustawę na operatora, a to oznacza, że również - kontaktować się z odpowiednim CSiRTem w przypadku wystąpienia zdarzenia w cyberprzestrzeni, zarządzać incydentami i mierzyć ryzyko. Dla części podmiotów obowiązki nakładane na operatorów są na tyle naturalne, że jeśli już jakiś czas temu zrozumiały one, że poważnie należy traktować cyberbezpieczeństwo - to z dużym prawdopodobieństwem już je spełniają. Dla pozostałych może to być jednak wyzwanie organizacyjne, technologiczne i finansowe.

Wracajać do UoKSC. Poza wspomnianą analizą "cyberkondycji" przez podmioty kluczowe, będą one zobowiązane także do innych działań. Po sześciu miesiącach operator będzie zobowiązany, o ile jeszcze tego nie robił, wdrożyć środki techniczne adekwatne do ryzyka i zacząć zbierać dane o wszystkich zagrożeniach dotyczących organizacji. Oprócz tego musi stosować środki zapobiegawcze i ograniczać ryzyko dla systemów teleinformatycznych.

Po roku natomiast operator usług kluczowych jest zobowiązany przeprowadzić audyt bezpieczeństwa i wykazać, że spełnia wymogi stawiane w KSC, a jego usługi są bezpieczne.

Chcemy być cyberbezpieczni

- Po wejściu w życie ustawy, na rynku usług cyberbezpieczeństwa powinien nastąpić znaczący wzrost. Oznacza to, że zarówno ceny usług cyberbezpieczeństwa, jak i oczekiwania płacowe specjalistów z tego zakresu mogą wzrosnąć. Mniejsi operatorzy usług kluczowych będą mieć problem ze zbudowaniem własnego zespołu specjalistów. Z tego względu jak najszybciej warto szukać wsparcia wyspecjalizowanych podmiotów, takich jak Exatel - tłumaczy Bonczek

To nie koniec zmian

KSC to nie jedyna zmiana, która dotknie polskie firmy w najbliższej przyszłości. W harmonogramie prac na następne miesiące są już kolejne akty, które mają uporządkować cyberprzestrzeń i uczynić ją bezpieczniejszą. To m.in. "Cybersecurity Act" - nowa regulacja, która wprowadzi certyfikację produktów, usług, procesów cyfrowych.

Działania te są o tyle istotne, że - jak wynika z raportu "Economic Impact of Cybercrime-No Slowing Down" - w 2017 r. strata biznesu wywołana atakami cyberprzestępców osiągnęła poziom od 445 do 608 mld dol., co stanowi odpowiednio 0,59 do 0,80 proc. globalnego PKB (75,8 bln dol.).

mk

Reklama

Reklama

Reklama

Reklama

Strona główna INTERIA.PL

Polecamy

Finanse / Giełda / Podatki
Bądź na bieżąco!
Odblokuj reklamy i zyskaj nieograniczony dostęp do wszystkich treści w naszym serwisie.
Dzięki wyświetlanym reklamom korzystasz z naszego serwisu całkowicie bezpłatnie, a my możemy spełniać Twoje oczekiwania rozwijając się i poprawiając jakość naszych usług.
Odblokuj biznes.interia.pl lub zobacz instrukcję »
Nie, dziękuję. Wchodzę na Interię »