Planowanie i wdrażanie strategii cyberbezpieczeństwa

Podstawa prawna

W Polsce podstawę prawną w zakresie cyberbezpieczeństwa firm i instytucji stanowią:

• Ustawa o krajowym systemie cyberbezpieczeństwa (KSC), oraz
• Dyrektywa NIS 2,
• a także rozporządzenie DORA.

Ustawa o KSC określa zasady funkcjonowania krajowego systemu cyberbezpieczeństwa, w tym obowiązki podmiotów zobowiązanych. Dyrektywa NIS 2 jest natomiast aktem prawnym Unii Europejskiej, który nakłada na państwa członkowskie UE szereg obowiązków w zakresie cyberbezpieczeństwa. Rozporządzenie DORA (Digital Operational Resilience Act) jest natomiast aktem prawnym obowiązującym bezpośrednio we wszystkich krajach członkowskich UE, którego celem jest ustanowienie spójnych standardów zarządzania ryzykiem związanym z technologiami informacyjnymi i komunikacyjnymi (ICT) w sektorze finansowym.

Obowiązki podmiotów zobowiązanych

Podmioty zobowiązane to podmioty, które świadczą usługi kluczowe lub przetwarzają dane osobowe w znacznej skali. Do podmiotów zobowiązanych należą m.in.:

• dostawcy usług kluczowych, takich jak dostawcy energii elektrycznej, gazu, wody, transportu publicznego, służby zdrowia, bankowości,
• podmioty przetwarzające dane osobowe w znacznej skali, takie jak duże firmy, instytucje publiczne.

Podmioty zobowiązane muszą spełniać szereg obowiązków w zakresie cyberbezpieczeństwa, w tym m. in:

• Sporządzenie i wdrożenie oceny ryzyka cyberbezpieczeństwa,
• Wdrożenie odpowiednich środków bezpieczeństwa,
• Zgłoszenie incydentu cyberbezpieczeństwa do CSIRT-K,
• Współpraca z CSIRT-K w ramach reagowania na incydenty cyberbezpieczeństwa.

Najważniejsze wymogi DORA

• Zarządzanie ryzykiem ICT – instytucje finansowe muszą wdrożyć kompleksowe ramy zarządzania ryzykiem ICT, obejmujące identyfikację, ocenę i minimalizację zagrożeń związanych z technologiami cyfrowymi. Kluczowe znaczenie ma także uwzględnienie ryzyk wynikających z współpracy z dostawcami zewnętrznymi.
• Raportowanie incydentów – nowe przepisy zobowiązują podmioty finansowe do zgłaszania poważnych incydentów ICT do właściwych organów nadzorczych, takich jak KNF w Polsce. Proces raportowania obejmuje m.in. klasyfikację incydentu, analizę jego przyczyn oraz podjęte działania naprawcze.
• Testowanie odporności cyfrowej – DORA wymaga przeprowadzania regularnych testów penetracyjnych oraz symulacji sytuacji kryzysowych. Testy te mają na celu ocenę skuteczności mechanizmów obronnych oraz identyfikację słabych punktów w infrastrukturze IT.
• Zarządzanie dostawcami zewnętrznymi – instytucje finansowe muszą zapewnić, że ich dostawcy usług ICT spełniają określone standardy bezpieczeństwa. Wymaga się także wdrożenia strategii minimalizującej ryzyko związane z nadmierną zależnością od jednego dostawcy oraz planów awaryjnych na wypadek przerwania współpracy.
• Cyfrowa strategia odporności operacyjnej – strategia ta powinna obejmować całą organizację i wspierać realizację jej celów biznesowych, uwzględniając zarządzanie ryzykiem ICT oraz reakcję na potencjalne incydenty.

Ważne informacje

Planowanie i wdrażanie strategii cyberbezpieczeństwa jest jednym z obowiązków podmiotów zobowiązanych zgodnie z ustawą o krajowym systemie cyberbezpieczeństwa, rozporządzeniem DORA oraz dyrektywą NIS 2.

Po więcej informacji o cyberbezpieczeństwie zapraszamy na: https://doradcy365.pl/cyberbezpieczenstwo/

oraz do naszych artykułów w tym temacie: https://doradcy365.pl/category/cyberbezpieczenstwo/