Naga Markets

Jesteś przedsiębiorcą Sprawdź, co warto wiedzieć o nowelizacji ustawy o KSCJuż niebawem wejdą w życie zapisy planowanej nowelizacji ustawy o Krajowym Systemie Cyberbezpieczeństwa. Polscy przedsiębiorcy powinni przygotować się do zmian i wynikających z nich nowych obowiązków.

Z czego wynika nowelizacja ustawy o KSC?

Od 2018 roku obowiązuje w Polsce Ustawa o Krajowym Systemie Cyberbezpieczeństwa (KSC), wdrażająca dyrektywę Unii Europejskiej NIS. Po jej wejściu w życie kilkaset polskich podmiotów otrzymało decyzję wydaną przez Ministerstwo Cyfryzacji o spełnieniu kryteriów Operatora Usług Kluczowych (OUK). Skutkowało to nałożeniem na nie szeregu obowiązków związanych z identyfikacją cyberzagrożeń oraz zapobieganiem im.

W opinii organów unijnych, w związku z dynamicznym rozwojem technologii cyfryzacji i powiększaniem się skali zagrożeń w obszarze cyberbezpieczeństwa, dotychczasowe regulacje przestały być wystarczające. W związku z tym w grudniu 2021 roku opublikowano projekt nowej dyrektywy unijnej NIS 2. Z uwagi na konieczność dostosowania do niej prawa krajowego w Polsce, Rada Ministrów podjęła w trybie przyspieszonym prace nad przygotowaniem nowelizacji ustawy o KSC z 2018 roku.

Jakie zmiany wprowadzi nowelizacja i kogo będą dotyczyć?

Szacuje się, że zmiany dotkną kilku tysięcy polskich przedsiębiorstw, zarówno z sektora publicznego, jak i prywatnego. Ustawa przewiduje ich podział na 2 rodzaje podmiotów – oprócz dotychczasowej kategorii operatorów usług kluczowych (OUK) zostanie wyodrębniona nowa grupa podmiotów istotnych.

Kategoria OUK obejmie zarówno dotychczasowe, jak i nowe sektory gospodarki. Będą się do nich zaliczać:

  • bankowość,
  • energetyka,
  • infrastruktura wodno-ściekowa,
  • administracja publiczna,
  • służba zdrowia,
  • infrastruktura cyfrowa,
  • transport,
  • infrastruktura rynków finansowych,
  • przestrzeń kosmiczna.

Podmiotami istotnymi będą natomiast:

  • dostawcy usług cyfrowych (DUC),
  • producenci komputerów, wyrobów elektronicznych, elektrycznych i optycznych,
  • dostawcy usług pocztowych i kurierskich,
  • podmioty zajmujące się gospodarowaniem odpadami,
  • producenci i dystrybutorzy żywności oraz chemikaliów,
  • producenci wyrobów medycznych,
  • producenci maszyn i urządzeń,
  • producenci pojazdów samochodowych, naczep i przyczep,
  • producenci pozostałego sprzętu transportowego.

Firmy te będą musiały dostosować się do nowej dyrektywy, mimo że nie otrzymają decyzji administracyjnej informującej o podleganiu przepisom znowelizowanej ustawy o KSC. Za ich nieprzestrzeganie będą groziły surowe kary – do 10 milionów euro lub 2% rocznego obrotu globalnego przedsiębiorstwa. Dodatkowo, podmioty publiczne zostaną objęte obowiązkiem zgłoszenia dwóch osób odpowiedzialnych za kontakty z odpowiednimi organami w ramach KSC. Jeśli tego nie zrobią, może na nie zostać nałożona kara administracyjna do 10 000 złotych.

XTB

Odpowiedzialność za przestrzeganie nowych przepisów będzie spoczywać na zarządzie przedsiębiorstwa. Zostanie on zobowiązany do:

  • zatwierdzania przyjętych środków zarządzania ryzykiem,
  • nadzorowania ich wdrażania,
  • systematycznego odbywania specjalistycznych szkoleń w zakresie cyberbezpieczeństwa.

Nowelizacja ustawy o KSC nakłada na operatorów usług kluczowych obowiązek realizowania zadań w zakresie cyberbezpieczeństwa w ramach SOC (Security Operations Center). Jest to komórka wyspecjalizowana w identyfikacji i przeciwdziałaniu cyberzagrożeniom. Może być ona powołana w ramach struktur wewnętrznych przedsiębiorstwa. Możliwe będzie także powierzenie zadań zewnętrznemu podmiotowi.

Podmioty objęte dyrektywą NIS 2 będą miały obowiązek m.in.:

  • analizy ryzyka i polityki bezpieczeństwa systemów IT,
  • obsługi incydentów,
  • opracowania planu zarządzania kryzysowego i ciągłości działania,
  • zapewnienia bezpieczeństwa łańcucha dostaw,
  • opracowania procedur w zakresie wykonywania audytów i testowania zabezpieczeń,
  • wykorzystywania szyfrowania i kryptografii,
  • raportowania incydentów do Zespołu Reagowania na Incydenty Bezpieczeństwa Komputerowego (CSIRT).

Zadbaj o cyberbezpieczeństwo swojej firmy

Okres między publikacją nowelizacji ustawy a jej wejściem w życie (vacatio legis) wyniesie zaledwie 30 dni, podczas gdy dostosowanie się do nowych przepisów może zająć nawet 18 miesięcy. W związku z tym warto już teraz zadbać o cyberbezpieczeństwo w swojej firmie.

Firmy mogą skorzystać z oferty usług bezpieczeństwa od Netii. Firma ta realizuje dla klientów biznesowych m.in. usługę SOC. W ramach tej komórki zapewnia ochronę 24 godziny na dobę infrastruktury informatycznej i sieci pod kątem podejrzanego ruchu, w tym ataków DDoS, złośliwego oprogramowania czy innych zagrożeń. Specjaliści Netii, w przypadku wykrycia zagrożenia, niezwłocznie podejmują stosowne działania. Wspierają również firmy we wdrażaniu polityki cyberbezpieczeństwa i prowadzą szkolenia dla ich pracowników.

Inne oferowane usługi to m.in. ochrona użytkowników i zasobów sieciowych przed różnymi atakami (Netia Managed UTM), ochrona przed atakami DDoS (Netia DDoS Protection) czy utratą danych (Netia Data Protection) oraz usługa, w ramach której przeprowadzane są testy podatności klientów biznesowych na ataki phishingowe (Netia Phishing-on-Demand).

Więcej na temat planowanej nowelizacji ustawy o KSC można przeczytać na blogu Netii.

Artykuł partnera



Śledź nas w Google News. Szukaj to co ważne i bądź na bieżąco z rynkiem! Obserwuj nas >>



ZOSTAW ODPOWIEDŹ

Please enter your comment!
Please enter your name here