fbpx
 
792 532 726
500 181 151
883 832 338
biuro@doradcy365.pl

Poniedziałek - Piątek (08:00 - 17:00)

 

Koszyk

Kompleksowo pomożemy Ci w spełnieniu obowiązkówDyrektywa NIS 2
Ustawa o KSC

Oferujemy kompleksową pomoc od A do Z w wypełnieniu wszelkich powinności związanych z nowymi przepisami dotyczącymi cyberbezpieczeństwa. Możesz zlecić nam obsługę kompletną lub skorzystać z dowolnie wybranej pojedynczej usługi np. tylko analizy ryzyka lub szkolenia. Oferujemy także kompleksową pomoc prawną we wszelkich sprawach związanych z cyberbezpieczeństwem.

Wraz z rozwojem technologii cyfrowych, cyberbezpieczeństwo stało się jednym z najważniejszych zagadnień dla firm i instytucji. W 2024 roku, w obliczu globalnych zagrożeń, takich jak wojna na Ukrainie czy kryzys gospodarczy, zapewnienie bezpieczeństwa informatycznego staje się jeszcze bardziej istotne.

W 2024 roku cyberprzestępcy stosują coraz bardziej wyrafinowane metody ataku. Do najczęstszych zagrożeń należą:

  • ataki ransomware,
  • ataki phishingowe,
  • ataki na infrastrukturę krytyczną.

W celu zwiększenia ogólnego poziomu bezpieczeństwa technologii informatycznych w Unii Europejskiej, w 2023 roku weszła w życie dyrektywa NIS 2. Dyrektywa ta nakłada na państwa członkowskie UE szereg obowiązków.

Ponadto od stycznia tego roku, wraz z wprowadzeniem „Rozporządzenia Wykonawczego do Aktu o Cyberbezpieczeństwie”, powstały ramy certyfikacji w zakresie cyberbezpieczeństwa produktów i usług ICT na terenie Unii Europejskiej, obejmujące sprzęt, oprogramowanie oraz komponenty.

Nowe prawo ma na celu zapewnienie, że usługi i urządzenia podłączone do sieci spełniają określone, jednolite kryteria cyberbezpieczeństwa obowiązujące na terenie całej UE.

Co to oznacza dla firm i konsumentów?

  • Klienci będą mogli świadomie wybierać produkty oraz usługi, biorąc pod uwagę poziom ich bezpieczeństwa cyfrowego.
  • Przedsiębiorstwa uzyskają narzędzie potwierdzające jakość ich produktów, co z kolei zwiększy zaufanie konsumentów.
  • Firmy, które chcą oferować usługi certyfikacyjne, będą mogły swobodnie kierować swoją ofertę do klientów z innych państw, mając gwarancję uznania ich dokumentów.
  • Certyfikaty będą ważne we wszystkich krajach Unii Europejskiej.

Jak będzie działał system certyfikacji?

Certyfikaty potwierdzające cyberbezpieczeństwo będą wydawane na podstawie Europejskiego Programu Certyfikacji Cyberbezpieczeństwa (EUCC), który opiera się na międzynarodowym standardzie Common Criteria (norma PN-EN ISO/IEC 15408).

W Polsce system certyfikacji będzie opierał się na prywatnych jednostkach certyfikujących i laboratoriach. Obecnie jedyną taką jednostką w Polsce jest NASK, która dostosuje swoje procedury do nowego europejskiego programu certyfikacji.

Sprawdź, czy i Ty podlegasz tym obowiązkom i dowiedz się więcej na poniższej stronie.

ZAMÓW KOMPLEKSOWE USŁUGI
bt_bb_section_bottom_section_coverage_image

Nasze HITY

Doradztwo prawne w zakresie cyberbezpieczeństwa

W skrócie

Mówimy prostym językiem
o skomplikowanych sprawach

https://doradcy365.pl/wp-content/uploads/2023/10/cybersecurity.jpg
Co się kryje pod nazwami dyrektywa NIS 2 oraz ustawa o KSC?

W celu zwiększenia ogólnego poziomu bezpieczeństwa technologii informatycznych w Unii Europejskiej, w 2023 roku weszła w życie dyrektywa NIS 2. Dyrektywa ta nakłada na państwa członkowskie UE szereg obowiązków, w tym:

  • powołanie organu nadzorczego ds. cyberbezpieczeństwa,
  • opracowanie krajowych planów cyberbezpieczeństwa,
  • wprowadzenie obowiązków informacyjnych i szkoleniowych dla podmiotów zobowiązanych.

W lipcu 2023 roku do Sejmu trafił najnowszy projekt nowelizacji ustawy o krajowym systemie cyberbezpieczeństwa (KSC). Projekt został wycofany, prawdopodobnie z uwagi na zakończenie prac Sejmu IX kadencji, jednak zakłada się, że prace na nowelizacją zostaną wkrótce wznowione. Planowane nowe przepisy nakładają na firmy i instytucje szereg obowiązków, które są zgodne z dyrektywą NIS 2. Do najważniejszych obowiązków należą:

  • sporządzenie i wdrożenie oceny ryzyka cyberbezpieczeństwa,
  • wdrożenie odpowiednich środków bezpieczeństwa,
  • zgłoszenie incydentu cyberbezpieczeństwa do CSIRT-K,
  • współpraca z CSIRT-K w ramach reagowania na incydenty cyberbezpieczeństwa.
Najprościej rzecz ujmując, obowiązek stosowania dyrektywy NIS 2 i przepisów ustawy o KSC mają operatorzy usług kluczowych oraz dostawcy usług cyfrowych.

Przepisy o cyberbezpieczeństwie obowiązują w szczególności:

Operatorów usług kluczowych, czyli podmiotów, których usługi są istotne dla funkcjonowania państwa lub gospodarki, do których należą m.in.:

  • dostawcy usług finansowych,
  • dostawcy usług energii,
  • dostawcy usług transportu,
  • dostawcy usług telekomunikacyjnych,
  • dostawcy usług pocztowych,
  • dostawcy usług medycznych,
  • dostawcy usług wodociągowych,
  • dostawcy usług zarządzania kryzysowego.

Dostawców usług cyfrowych, czyli podmiotów oferujących usługi cyfrowe, które są powszechnie dostępne i wykorzystywane przez dużą liczbę osób, do których należą m.in.:

  • platformy internetowe,
  • sklepy internetowe,
  • dostawcy usług chmurowych,
  • dostawcy usług społecznościowych,
  • dostawcy usług płatności elektronicznych.
Jakie zmiany może wprowadzić nowelizacja ustawy o KRC i dyrektywa NIS-2?

Planowana nowelizacja ustawy o krajowym systemie cyberbezpieczeństwa oraz dyrektywa NIS-2 wprowadzają szereg nowych zmian w zakresie cyberbezpieczeństwa w Polsce.

Oto niektóre z nich:

1. Rozszerzenie zakresu podmiotów zobowiązanych do stosowania przepisów o cyberbezpieczeństwie.

Wraz z wejściem w życie nowych przepisów, obowiązkami w zakresie cyberbezpieczeństwa zostaną objęte nowe podmioty, takie jak:

  • podmioty świadczące usługi w zakresie dostawy energii elektrycznej, gazu ziemnego, wody, ciepła lub chłodu,
  • podmioty świadczące usługi w zakresie transportu publicznego,
  • podmioty świadczące usługi finansowe,
  • podmioty świadczące usługi w zakresie opieki zdrowotnej,
  • podmioty świadczące usługi w zakresie edukacji,
  • podmioty świadczące usługi w zakresie łączności elektronicznej,
  • podmioty świadczące usługi w zakresie infrastruktury krytycznej.

2. Wprowadzenie nowych obowiązków dla podmiotów zobowiązanych.

Podmioty zobowiązane będą zobowiązane do:

  • wdrożenia systemów zarządzania bezpieczeństwem informacji (ISMS),
  • zgłaszania incydentów cybernetycznych do CSIRT-u,
  • przeprowadzania regularnych audytów bezpieczeństwa,
  • informowania pracowników o zagrożeniach cybernetycznych,
  • zapewnienia ciągłości działania w przypadku wystąpienia incydentu cybernetycznego.

3. Wzmocnienie sankcji za naruszenie przepisów o cyberbezpieczeństwie.

Za naruszenie przepisów o cyberbezpieczeństwie grożą podmiotom zobowiązanym kary administracyjne, które mogą wynieść nawet do 10 mln euro.

4. Utworzenie nowego organu nadzorczego w zakresie cyberbezpieczeństwa.

Wraz z wejściem w życie nowych przepisów, powołany zostanie nowy organ nadzorczy w zakresie cyberbezpieczeństwa, którym będzie Prezes Urzędu Ochrony Danych Osobowych.

https://doradcy365.pl/wp-content/uploads/2023/10/cybersecurity2.jpg
Jakie obowiązki się zmieniają i od kiedy?

Termin implementacji dyrektywy NIS2 na poziomie prawa krajowego upływa dopiero 17 października 2024 roku, a dokładny zakres implementacji regulacji w nowelizacji ustawy o KSC zależy od najbliższych decyzji rządu. Jednak już dziś można wyróżnić kluczowe obowiązki, które będą musieli wdrożyć zarówno operatorzy usług kluczowych oraz dostawcy usług cyfrowych, m. in.:

  • zarządzanie ryzykiem cyberbezpieczeństwa,
  • implementację odpowiednich środków technicznych i organizacyjnych,
  • prowadzenie szkoleń dla pracowników,
  • raportowanie incydentów cyberbezpieczeństwa.

Oprócz terminów na wdrożenie poszczególnych obowiązków, OUK muszą również przestrzegać następujących terminów:

  • Obowiązek aktualizacji analizy ryzyka cyberbezpieczeństwa – co najmniej raz w roku;
  • Obowiązek aktualizacji polityki bezpieczeństwa systemów informatycznych – co najmniej raz na dwa lata;
  • Obowiązek aktualizacji Planu Ciągłości Działania – co najmniej raz na dwa lata;
  • Obowiązek przeprowadzenia szkolenia z zakresu cyberbezpieczeństwa dla pracowników – co najmniej raz na dwa lata.

Dla DUC, którzy są również operatorami usług kluczowych, terminy na wdrożenie niektórych obowiązków są takie same jak dla OUK.

Nowe przepisy o cyberbezpieczeństwie mają na celu poprawę poziomu bezpieczeństwa systemów informatycznych i danych w Polsce.
Wprowadzenie nowych obowiązków dla podmiotów zobowiązanych ma przyczynić się do zwiększenia świadomości cyberbezpieczeństwa wśród pracowników oraz do wdrożenia odpowiednich środków bezpieczeństwa w organizacjach.
ZAMÓW KOMPLEKSOWE USŁUGI
ZWRÓĆ SIĘ DO NAS

Jesteśmy po to, aby odciążyć Twoją firmę
od biurokratycznych procedur

Mamy wyspecjalizowaną drużynę, która weźmie na siebie przygotowanie odpowiedniej dokumentacji, załatwi formalności, a Ty możesz skupić się na celach które chcesz zrealizować.
Skontaktuj się z nami
https://doradcy365.pl/wp-content/uploads/2019/04/img-faq-1.png

Podstawy
prawne

Jakie są nowe obowiązki wynikające z nowelizacji ustawy o obowiązkach przedsiębiorców w zakresie gospodarowania niektórymi odpadami oraz o opłacie produktowej?
DYREKTYWA PARLAMENTU EUROPEJSKIEGO I RADY (UE)

DYREKTYWA PARLAMENTU EUROPEJSKIEGO I RADY (UE) 2022/2555 z dnia 14 grudnia 2022 r. w sprawie środków na rzecz wysokiego wspólnego poziomu cyberbezpieczeństwa na terytorium Unii, zmieniająca rozporządzenie (UE) nr 910/2014 i dyrektywę (UE) 2018/1972 oraz uchylająca dyrektywę (UE) 2016/1148 (dyrektywa NIS 2)

Pełny tekst dyrektywy

https://eur-lex.europa.eu/legal-content/PL/TXT/PDF/?uri=CELEX:32022L2555&qid=1697835195195https://eur-lex.europa.eu/legal-content/PL/TXT/PDF/?uri=CELEX:32019L0904&from=pl

Ustawa z dnia 5 lipca 2018 r. o krajowym systemie cyberbezpieczeństwa

https://isap.sejm.gov.pl/isap.nsf/download.xsp/WDU20230000913/U/D20230913Lj.pdf

Inne przydatne informacje

Jakie sankcje karne grożą podmiotom zobowiązanym do stosowania dyrektywy NIS 2 i przepisów ustawy o KSC, za działanie niezgodne z przepisami?

Za działanie niezgodne z przepisami dyrektywy NIS 2 i ustawy o krajowym systemie cyberbezpieczeństwa podmiotom zobowiązanym grożą następujące sankcje karne:

  • Kara grzywny w wysokości do 10 mln euro – za naruszenie obowiązków w zakresie wdrożenia systemów zarządzania bezpieczeństwem informacji (ISMS), zgłaszania incydentów cybernetycznych do CSIRT-u, przeprowadzania regularnych audytów bezpieczeństwa, informowania pracowników o zagrożeniach cybernetycznych, zapewnienia ciągłości działania w przypadku wystąpienia incydentu cybernetycznego.
  • Kara grzywny w wysokości do 5 mln euro – za naruszenie obowiązków w zakresie:
    • stosowania środków technicznych i organizacyjnych zapewniających bezpieczeństwo systemów informatycznych i danych;
    • współpracy z CSIRT-em;
    • przekazywania informacji organom nadzorczym.
  • Kara ograniczenia wolności albo pozbawienia wolności do 2 lat – za umyślne naruszenie obowiązków w zakresie cyberbezpieczeństwa, które miało istotny wpływ na bezpieczeństwo systemów informatycznych i danych.

Oprócz sankcji karnych, podmiotom zobowiązanym grożą również inne konsekwencje niezgodnego z przepisami działania, takie jak:

  • Utrata zaufania klientów i partnerów biznesowych,
  • Uszkodzenie reputacji,
  • Zagrożenie ciągłości działania,
  • Koszt naprawienia szkód wywołanych incydentem cybernetycznym.
KROK PO KROKU

Jak wygląda proces
współpracy z nami?

1 KROKSkontaktuj się

podaj nam e-mailowo lub telefonicznie Twoje dane kontaktowe i dane firmy, którą reprezentujesz. Napisz w temacie „Cyberbezpieczeństwo”

2 KROKZapoznaj się

z ofertą którą otrzymasz od nas e-mailowo.

3 KROKZaakceptuj

e-mailowo warunki współpracy.

4 KROKOpłać

wybraną usługę (na życzenie wystawiamy fakturę proforma) i poczekaj chwilę na kontakt od naszego eksperta.

5 KROKZrealizuj wybraną usługę w zakresie cyberbezpieczeństwa

i ciesz się spokojem. Właśnie dopełniłeś obowiązki wynikające z dyrektywy NIS 2 i ustawy o KSC.
bt_bb_section_top_section_coverage_image
https://doradcy365.pl/wp-content/uploads/2019/04/img-experience.png
FAQ

Najczęściej zadawane pytania do tej usługi

Nie wiem, czy podlegam obowiązkom dyrektywy NIS 2 – co mam zrobić?

Prosimy o kontakt z naszymi Doradcami (telefonicznie lub emaliowo) – zapytają oni Państwa o profil działalności i doradzą właściwą ścieżkę postepowania. Nasza usługa zawiera w sobie profesjonalną weryfikację podlegania obowiązkom dyrektywy NIS 2 oraz wprowadzenie obowiązkowych działań.

Ile czasu zajmuje ekspertom przeprowadzenie obowiązkowych działań i przygotowanie wymaganych dokumentów w zakresie cyberbezpieczeństwa?

Czas na przygotowanie odpowiednich dokumentów i przeprowadzenie obowiązkowych działań może się różnić w zależności od wielu czynników, np.:

  • profilu i wielkości firmy lub instytucji
  • stan obecnego cyberbezpieczeństwa,
  • gotowości do współpracy.

W ogólnym rozrachunku, przeprowadzenie obowiązkowych działań i przygotowanie wymaganych dokumentów w zakresie cyberbezpieczeństwa może zająć od kilku dni do nawet kilku miesięcy (w przypadku bardzo dużych podmiotów).

Jak mogę łatwo sprawdzić, czy dyrektywa NIS 2 i ustawa o KRC nakłada na moją firmę jakieś obowiązki?

Aby łatwo sprawdzić, czy dyrektywa NIS 2 i ustawa o KRC nakładają na Twoją firmę jakieś obowiązki, możesz skorzystać z następujących metod:

  • Sprawdź, czy Twoja firma jest podmiotem kluczowym lub ważnym. Wykaz podmiotów kluczowych i ważnych został opublikowany przez Prezesa Urzędu Ochrony Danych Osobowych. Jeśli Twoja firma znajduje się na tym wykazie, to nakłada na nią obowiązki wynikające z dyrektywy NIS 2 i ustawy o KRC.
  • Sprawdź, czy Twoja firma świadczy usługi rejestracji nazw domen. Usługi rejestracji nazw domen są również objęte zakresem dyrektywy NIS 2.
  • Odwiedź stronę internetową NASK. NASK udostępnił na swojej stronie internetowej praktyczny przewodnik po dyrektywie NIS 2 i ustawie o KRC. Przewodnik ten zawiera informacje o obowiązkach nakładanych na podmioty kluczowe, ważne i świadczące usługi rejestracji nazw domen.

Oto kilka pytań, które możesz sobie zadać, aby określić, czy Twoja firma podlega obowiązkom wynikającym z dyrektywy NIS 2 i ustawy o KRC:

  • Czy moja firma świadczy usługi lub prowadzi działalność w sektorze krytycznym?
  • Czy moja firma przetwarza dane osobowe w dużym lub krytycznym zakresie?
  • Czy moja firma jest połączona z innymi podmiotami w sposób, który może zwiększyć ryzyko wystąpienia incydentu cybernetycznego?

Jeśli Twoja firma odpowiada na co najmniej jedno z tych pytań, to może podlegać obowiązkom wynikającym z dyrektywy NIS 2 i ustawy o KRC. W takim przypadku, należy zapoznać się z odpowiednimi przepisami i podjąć działania w celu ich wdrożenia.

ZAMÓW KOMPLEKSOWE USŁUGI

Pokrewne usługi

ZOSTAW DANE KONTAKTOWE

Nasi doradcy wkrótce do Ciebie się odezwą

https://doradcy365.pl/wp-content/uploads/2021/02/smiling-woman-headset-presentation-something-min-scaled.jpg

Nasi Klienci
Zaufali nam

logo lasy państwowe
logo uni przyr wroc
logo warszawa
lot crew
gmina smołdzino
logo miasto otwock
ford
logo rmf
bez tytułu
logo dp
logo trzebińskie centrum kultury
uw olsztyn
pup toruń
logo lp piła
nadleśnictwo krotoszyn
logo uni rol krak
vicotel
Właścicielem marki DORADCY365
jest CERES-HOLDING Sp. z o.o.
53-135 Wrocław
ul. Januszowicka 5

Obsługujemy Klientów z całej Polski
Szybki kontaktObsługa klientów
+48 792 532 726
+48 500 181 151
+48 883 832 338
biuro@doradcy365.pl
Jesteśmy po toaby odciążyć Cię od biurokratycznych procedur

Polityka prywatności
Polityka Jakości
Regulamin

Bądż na bieżąco Zaobserwuj nas w mediach społecznościowych

Copyright DORADCY365.

Realizacja: Doradcy365