9 999,00zł + VAT
Zadbaj o bezpieczeństwo swoich systemów informatycznych i danych. Zamów analizę ryzyka cyberbezpieczeństwa już dziś!
Usługa Analiza ryzyka cyberbezpieczeństwa obejmuje następujące etapy:
- Identyfikacja zagrożeń: identyfikacja potencjalnych zagrożenia dla systemów informatycznych i danych firmy. Do zagrożeń można zaliczyć m. in. ataki ransomware, ataki phishingowe, ataki na infrastrukturę krytyczną itp.
- Ocena ryzyka: ocena prawdopodobieństwa i potencjalnych konsekwencji wystąpienia każdego zagrożenia.
- Mitygacja ryzyka: wdrożenie środków bezpieczeństwa w celu zmniejszenia prawdopodobieństwa lub konsekwencji wystąpienia zagrożeń.
Nasza usługa Analizy ryzyka cyberbezpieczeństwa jest zgodna z wymaganiami dyrektywy NIS 2 i nowelizacji ustawy o KSC.
Co nas wyróżnia:
- Wysoka jakość: analiza ryzyka cyberbezpieczeństwa jest przeprowadzana przez doświadczonych ekspertów w dziedzinie cyberbezpieczeństwa.
- Kompleksowość: analiza obejmuje wszystkie kluczowe obszary cyberbezpieczeństwa.
- Aktualizacja: analiza jest aktualizowana na bieżąco, aby uwzględniać najnowsze zagrożenia, przepisy i trendy w cyberbezpieczeństwie.
Podana cena 9999 zł netto + VAT jest ceną minimalną za usługę i jest każdorazowo ustalana indywidualnie, w zależności od zakresu usługi i wielkości firmy. Przed zakupem prosimy o kontakt z Biurem Obsługi Klienta w celu przygotowania wyceny.
Opis
Podstawa prawna
W Polsce podstawę prawną w zakresie cyberbezpieczeństwa firm i instytucji stanowią:
- Ustawa o krajowym systemie cyberbezpieczeństwa (KSC), oraz
- Dyrektywa NIS 2,
- a także rozporządzenie DORA.
Ustawa o KSC określa zasady funkcjonowania krajowego systemu cyberbezpieczeństwa, w tym obowiązki podmiotów zobowiązanych. Dyrektywa NIS 2 jest natomiast aktem prawnym Unii Europejskiej, który nakłada na państwa członkowskie UE szereg obowiązków w zakresie cyberbezpieczeństwa. Rozporządzenie DORA (Digital Operational Resilience Act) jest natomiast aktem prawnym obowiązującym bezpośrednio we wszystkich krajach członkowskich UE, którego celem jest ustanowienie spójnych standardów zarządzania ryzykiem związanym z technologiami informacyjnymi i komunikacyjnymi (ICT) w sektorze finansowym.
Obowiązki podmiotów zobowiązanych
Podmioty zobowiązane to podmioty, które świadczą usługi kluczowe lub przetwarzają dane osobowe w znacznej skali. Do podmiotów zobowiązanych należą m.in.:
- dostawcy usług kluczowych, takich jak dostawcy energii elektrycznej, gazu, wody, transportu publicznego, służby zdrowia, bankowości,
- podmioty przetwarzające dane osobowe w znacznej skali, takie jak duże firmy, instytucje publiczne.
Podmioty zobowiązane muszą spełniać szereg obowiązków w zakresie cyberbezpieczeństwa, w tym m. in:
- Sporządzenie i wdrożenie oceny ryzyka cyberbezpieczeństwa,
- Wdrożenie odpowiednich środków bezpieczeństwa,
- Zgłoszenie incydentu cyberbezpieczeństwa do CSIRT-K,
- Współpraca z CSIRT-K w ramach reagowania na incydenty cyberbezpieczeństwa.
Najważniejsze wymogi DORA
- Zarządzanie ryzykiem ICT – instytucje finansowe muszą wdrożyć kompleksowe ramy zarządzania ryzykiem ICT, obejmujące identyfikację, ocenę i minimalizację zagrożeń związanych z technologiami cyfrowymi. Kluczowe znaczenie ma także uwzględnienie ryzyk wynikających z współpracy z dostawcami zewnętrznymi.
- Raportowanie incydentów – nowe przepisy zobowiązują podmioty finansowe do zgłaszania poważnych incydentów ICT do właściwych organów nadzorczych, takich jak KNF w Polsce. Proces raportowania obejmuje m.in. klasyfikację incydentu, analizę jego przyczyn oraz podjęte działania naprawcze.
- Testowanie odporności cyfrowej – DORA wymaga przeprowadzania regularnych testów penetracyjnych oraz symulacji sytuacji kryzysowych. Testy te mają na celu ocenę skuteczności mechanizmów obronnych oraz identyfikację słabych punktów w infrastrukturze IT.
- Zarządzanie dostawcami zewnętrznymi – instytucje finansowe muszą zapewnić, że ich dostawcy usług ICT spełniają określone standardy bezpieczeństwa. Wymaga się także wdrożenia strategii minimalizującej ryzyko związane z nadmierną zależnością od jednego dostawcy oraz planów awaryjnych na wypadek przerwania współpracy.
- Cyfrowa strategia odporności operacyjnej – strategia ta powinna obejmować całą organizację i wspierać realizację jej celów biznesowych, uwzględniając zarządzanie ryzykiem ICT oraz reakcję na potencjalne incydenty.
Nowe Rozporządzenie Wykonawcze do Aktu o Cyberbezpieczeństwie
Od stycznia 2024 roku, wraz z wprowadzeniem “Rozporządzenia Wykonawczego do Aktu o Cyberbezpieczeństwie”, powstały ramy certyfikacji w zakresie cyberbezpieczeństwa produktów i usług ICT na terenie Unii Europejskiej, obejmujące sprzęt, oprogramowanie oraz komponenty.
Nowe prawo ma na celu zapewnienie, że usługi i urządzenia podłączone do sieci spełniają określone, jednolite kryteria cyberbezpieczeństwa obowiązujące na terenie całej UE.
Co to oznacza dla firm i konsumentów?
- Klienci będą mogli świadomie wybierać produkty oraz usługi, biorąc pod uwagę poziom ich bezpieczeństwa cyfrowego.
- Przedsiębiorstwa uzyskają narzędzie potwierdzające jakość ich produktów, co z kolei zwiększy zaufanie konsumentów.
- Firmy, które chcą oferować usługi certyfikacyjne, będą mogły swobodnie kierować swoją ofertę do klientów z innych państw, mając gwarancję uznania ich dokumentów.
- Certyfikaty będą ważne we wszystkich krajach Unii Europejskiej.
Jak będzie działał system certyfikacji?
Certyfikaty potwierdzające cyberbezpieczeństwo będą wydawane na podstawie Europejskiego Programu Certyfikacji Cyberbezpieczeństwa (EUCC), który opiera się na międzynarodowym standardzie Common Criteria (norma PN-EN ISO/IEC 15408). W Polsce system certyfikacji będzie opierał się na prywatnych jednostkach certyfikujących i laboratoriach. Obecnie jedyną taką jednostką w Polsce jest NASK, która dostosuje swoje procedury do nowego europejskiego programu certyfikacji.
