CYBERBEZPIECZEŃSTWO – Dyrektywa NIS 2 i nowelizacja ustawy o KSC – dla firm i instytucji

19 października 2023by Joanna Pohl
Wraz z rozwojem technologii cyfrowych, cyberbezpieczeństwo stało się jednym z najważniejszych zagadnień dla firm i instytucji. W celu zwiększenia ogólnego poziomu bezpieczeństwa technologii informatycznych w Unii Europejskiej, w 2023 roku weszła w życie dyrektywa NIS 2. W lipcu 2023 roku do Sejmu trafił najnowszy projekt nowelizacji ustawy o krajowym systemie cyberbezpieczeństwa (KSC). Projekt został wycofany 11 września, lecz z uwagi na unijne przepisy, niemal pewne jest, że reforma krajowego systemu cyberbezpieczeństwa zostanie wkrótce przeprowadzona, a kierunek zmian może pozostać niezmieniony lub bardzo podobny do obranego w nowelizacji. Nowe przepisy nakładają na firmy i instytucje szereg obowiązków.
Dyrektywa NIS 2

Dyrektywa NIS (ang. Network and Information Security Directive) to unijny akt prawny, który ma na celu zwiększenie bezpieczeństwa sieci i systemów informatycznych w Unii Europejskiej. Dyrektywa NIS 2 to zaktualizowana wersja dyrektywy NIS z 2016 roku. Przewiduje ona szereg nowych obowiązków dla operatorów usług kluczowych (OUK) oraz dostawców usług cyfrowych (DUC).

Operatorzy usług kluczowych

OUK to podmioty, których usługi są istotne dla funkcjonowania państwa lub gospodarki. Do OUK należą m.in.:

  • dostawcy usług finansowych,
  • dostawcy usług energii,
  • dostawcy usług transportu,
  • dostawcy usług telekomunikacyjnych,
  • dostawcy usług pocztowych,
  • dostawcy usług medycznych,
  • dostawcy usług wodociągowych,
  • dostawcy usług zarządzania kryzysowego.

OUK mają obowiązek wdrożyć szereg środków bezpieczeństwa, w tym:

  • zarządzanie ryzykiem cyberbezpieczeństwa,
  • implementację odpowiednich środków technicznych i organizacyjnych,
  • prowadzenie szkoleń dla pracowników,
  • raportowanie incydentów cyberbezpieczeństwa.
Dostawcy usług cyfrowych

DUC to podmioty, które oferują usługi cyfrowe, które są powszechnie dostępne i wykorzystywane przez dużą liczbę osób. Do DUC należą m.in.:

  • platformy internetowe,
  • sklepy internetowe,
  • dostawcy usług chmurowych,
  • dostawcy usług społecznościowych,
  • dostawcy usług płatności elektronicznych.

DUC mają obowiązek wdrożyć szereg środków bezpieczeństwa, w tym:

  • zarządzanie ryzykiem cyberbezpieczeństwa,
  • implementację odpowiednich środków technicznych i organizacyjnych,
  • prowadzenie szkoleń dla pracowników,
  • raportowanie incydentów cyberbezpieczeństwa.
Najważniejsze zmiany po planowanej nowelizacji
Utworzenie CSIRT* sektorowych

Dotychczas wszystkie obowiązki związane z reagowaniem na incydenty cybernetyczne spoczywały na CSIRT poziomu krajowego. Po wejściu w życie nowelizacji, część z nich zostanie przekazana CSIRT sektorowym, które będą działać w poszczególnych sektorach gospodarki.

Utworzenie CSIRT sektorowych pozwoli na lepsze dostosowanie działań w zakresie cyberbezpieczeństwa do specyfiki poszczególnych sektorów. Dzięki temu będzie możliwe szybsze i skuteczniejsze reagowanie na incydenty cybernetyczne.

*CSIRT, czyli Computer Security Incident Response Team, to zespół odpowiedzialny za reagowanie na incydenty bezpieczeństwa w sieciach i systemach informatycznych.

Obowiązek zgłaszania incydentów przez przedsiębiorców komunikacji elektronicznej

Dotychczas obowiązek zgłaszania incydentów cybernetycznych spoczywał na operatorach usług kluczowych. Po wejściu w życie nowelizacji, obowiązek ten zostanie rozszerzony na przedsiębiorców komunikacji elektronicznej.

Rozszerzenie obowiązku zgłaszania incydentów cybernetycznych na przedsiębiorców komunikacji elektronicznej pozwoli na szybsze wykrywanie i reagowanie na zagrożenia w tym sektorze.

Krajowy system certyfikacji cyberbezpieczeństwa

Nowelizacja zakłada utworzenie krajowego systemu certyfikacji cyberbezpieczeństwa, który będzie służył ocenie poziomu bezpieczeństwa produktów, usług i systemów informatycznych.

Krajowy system certyfikacji cyberbezpieczeństwa pozwoli firmom i instytucjom na wybór produktów i usług, które spełniają wysokie standardy bezpieczeństwa.

Możliwość uznania za dostawcę wysokiego ryzyka

Minister właściwy do spraw informatyzacji będzie mógł uznać dostawcę sprzętu lub oprogramowania wykorzystywanego przez kluczowe podmioty gospodarki za dostawcę wysokiego ryzyka.

Uznanie dostawcy za dostawcę wysokiego ryzyka może skutkować nałożeniem na niego dodatkowych obowiązków, takich jak:

  • zapewnienie wsparcia w zakresie cyberbezpieczeństwa,
  • przeprowadzenie audytu bezpieczeństwa,
  • udostępnienie informacji o bezpieczeństwie.
Jak przygotować się do nowych przepisów?

Firmy i instytucje, które są objęte nowymi przepisami, powinny rozpocząć przygotowania do ich wdrożenia. Warto zacząć od najprostszych, m. in:

  • Skontaktowania się z ekspertami ds. cyberbezpieczeństwa. Specjaliści mogą pomóc w przeprowadzeniu analizy ryzyka, opracowaniu polityki bezpieczeństwa i wdrożenia odpowiednich środków bezpieczeństwa.
  • Monitorowania zmian przepisów. Nowe przepisy mogą się zmieniać, dlatego ważne jest, aby OUK i DUC monitorowali zmiany i dostosowywali swoje działania do aktualnych wymagań.
  • Rozpoczęcia przygotowania już teraz. Wdrożenie nowych obowiązków wymaga czasu i zasobów, dlatego ważne jest, aby odpowiednio wcześniej rozpocząć przygotowania do wdrożenia nowych obowiązków.
Jak wdrożyć nowe obowiązki?

Wdrożenie nowych obowiązków wymaga podjęcia szeregu działań, w tym:

  • przeprowadzenia analizy ryzyka cyberbezpieczeństwa,
  • opracowania i wdrożenia polityki bezpieczeństwa systemów informatycznych,
  • wdrożenia odpowiednich środków bezpieczeństwa,
  • przeszkolenia personelu z zakresu cyberbezpieczeństwa.

Szczegółowy plan wdrożenia nowych obowiązków dotyczących cyberbezpieczeństwa powinien uwzględniać następujące etapy:

  • Analiza sytuacji wyjściowej: należy przeanalizować obecny stan bezpieczeństwa w organizacji. Należy zidentyfikować obecne środki bezpieczeństwa, jak również słabe punkty w systemie bezpieczeństwa.
  • Dostosowanie do nowych przepisów: należy dostosować system bezpieczeństwa do nowych przepisów. Należy zidentyfikować nowe wymagania, które należy spełnić, oraz wdrożyć odpowiednie środki bezpieczeństwa.
  • Wdrażanie i testowanie: należy wdrożyć nowe środki bezpieczeństwa i przetestować ich działanie. Należy również przeprowadzić szkolenia dla personelu w zakresie nowych wymagań.
  • Monitorowanie i kontrola: należy monitorować i kontrolować działanie systemu bezpieczeństwa. Należy również regularnie aktualizować system bezpieczeństwa, aby uwzględniać nowe zagrożenia.
Ważne terminy

Termin implementacji dyrektywy NIS2 na poziomie prawa krajowego upływa dopiero 17 października 2024 roku, a dokładny zakres implementacji regulacji w nowelizacji ustawy o KSC zależy od najbliższych decyzji rządu. Jednak już dziś można wyróżnić kluczowe obowiązki, które będą musieli wdrożyć zarówno operatorzy usług kluczowych oraz dostawcy usług cyfrowych, m. in.:

  • zarządzanie ryzykiem cyberbezpieczeństwa,
  • implementację odpowiednich środków technicznych i organizacyjnych,
  • prowadzenie szkoleń dla pracowników,
  • raportowanie incydentów cyberbezpieczeństwa.

Oprócz terminów na wdrożenie poszczególnych obowiązków, OUK muszą również przestrzegać następujących terminów:

  • Obowiązek aktualizacji analizy ryzyka cyberbezpieczeństwa – co najmniej raz w roku;
  • Obowiązek aktualizacji polityki bezpieczeństwa systemów informatycznych – co najmniej raz na dwa lata;
  • Obowiązek aktualizacji Planu Ciągłości Działania – co najmniej raz na dwa lata;
  • Obowiązek przeprowadzenia szkolenia z zakresu cyberbezpieczeństwa dla pracowników – co najmniej raz na dwa lata.

Dla DUC, którzy są również operatorami usług kluczowych, terminy na wdrożenie niektórych obowiązków są takie same jak dla OUK.

Szczegółowe informacje o terminach wdrożenia dla OUK i DUC znajdują się w następujących aktach prawnych:

  • Dyrektywa NIS2,
  • Ustawa o krajowym systemie cyberbezpieczeństwa,
  • Rozporządzenie Ministra Cyfryzacji w sprawie szczegółowych wymagań dla dostawców usług cyfrowych.

OUK i DUC, którzy nie spełnią nowych obowiązków, mogą zostać ukarani przez organy nadzoru.

Podsumowanie

Nowe przepisy dyrektywy NIS 2 oraz planowana nowelizacja ustawy o krajowym systemie cyberbezpieczeństwa nakładają na firmy i instytucje szereg obowiązków, które mają na celu zwiększenie bezpieczeństwa systemów informatycznych. Firmy i instytucje, które są objęte nowymi przepisami, powinny już dziś rozpocząć przygotowania do ich wdrożenia.

Skorzystaj z naszej pomocy już dziś i uzyskaj wsparcie.

Masz więcej pytań? Zapraszamy do kontaktu

Nasi Klienci
Zaufali nam

logo lasy państwowe
logo uni przyr wroc
logo warszawa
lot crew
gmina smołdzino
logo miasto otwock
ford
logo rmf
bez tytułu
logo dp
logo trzebińskie centrum kultury
uw olsztyn
pup toruń
logo lp piła
nadleśnictwo krotoszyn
logo uni rol krak
vicotel
Dane naszej firmyDORADCY 365 Sp. z o.o.
53-135 Wrocław
ul. Januszowicka 5

Obsługujemy Klientów z całej Polski
Jesteśmy po toaby odciążyć Cię od biurokratycznych procedur
Bądż na bieżąco Zaobserwuj nas w mediach społecznościowych

Copyright DORADCY365