Warning: Uninitialized string offset 0 in /home/platne/serwer232406/public_html/autoinstalator/dziennikbankowy.pl/wordpress64318/wp-includes/media.php on line 1

Warning: Uninitialized string offset 0 in /home/platne/serwer232406/public_html/autoinstalator/dziennikbankowy.pl/wordpress64318/wp-includes/media.php on line 1

Warning: Uninitialized string offset 0 in /home/platne/serwer232406/public_html/autoinstalator/dziennikbankowy.pl/wordpress64318/wp-includes/admin-bar.php on line 1

Warning: Uninitialized string offset 0 in /home/platne/serwer232406/public_html/autoinstalator/dziennikbankowy.pl/wordpress64318/wp-includes/admin-bar.php on line 1

Warning: Uninitialized string offset 0 in /home/platne/serwer232406/public_html/autoinstalator/dziennikbankowy.pl/wordpress64318/wp-includes/rest-api/endpoints/class-wp-rest-users-controller.php on line 1

Warning: Uninitialized string offset 0 in /home/platne/serwer232406/public_html/autoinstalator/dziennikbankowy.pl/wordpress64318/wp-includes/rest-api/endpoints/class-wp-rest-users-controller.php on line 1

Warning: Uninitialized string offset 0 in /home/platne/serwer232406/public_html/autoinstalator/dziennikbankowy.pl/wordpress64318/wp-includes/class-wp-script-modules.php on line 1

Warning: Uninitialized string offset 0 in /home/platne/serwer232406/public_html/autoinstalator/dziennikbankowy.pl/wordpress64318/wp-includes/class-wp-script-modules.php on line 1
Krajowy System Cyberbezpieczeństwa już niedlługo - | Finanse | Ekonomika | Biznes

Krajowy System Cyberbezpieczeństwa już niedlługo

W piątek, 3 sierpnia Prezydent podpisał ustawę o krajowym systemie cyberbezpieczeństwa. Ustawa jest implementacją do polskiego porządku prawnego Dyrektywy Parlamentu Europejskiego i Rady (UE) 2016/1148 w sprawie środków na rzecz wysokiego wspólnego poziomu bezpieczeństwa sieci i systemów informatycznych na terytorium Unii, która została przyjęta 6 lipca 2016 r.

Zgodnie ze wspomnianą dyrektywą, wszystkie państwa członkowskie UE zobowiązane są do zagwarantowania minimalnego poziomu zdolności krajowych w dziedzinie cyberbezpieczeństwa poprzez ustanowienie organów właściwych do spraw cyberbezpieczeństwa, powołanie zespołów reagowania na incydenty komputerowe (CSIRT) oraz przyjęcia krajowych strategii w zakresie cyberbezpieczeństwa.

By chronić państwo, gospodarkę i społeczeństwo
Podjęcie prac związanych z kompleksowym uregulowaniem krajowego systemu cyberbezpieczeństwa wynikało nie tylko z konieczności wdrożenia do polskiego porządku prawnego dyrektywy Parlamentu Europejskiego i Rady 2016/1148/UE, ale także z potrzeby zapewnienia systemowego podejścia do krajowego systemu cyberbezpieczeństwa w obliczu stale rosnących i dynamicznie zmieniających się zagrożeń cyberbezpieczeństwa dla funkcjonowania państwa, gospodarki i społeczeństwa.

Ustawa pozwala na stworzenie krajowego systemu cyberbezpieczeństwa, którego zadaniem jest zapewnienie niezakłóconego świadczenia usług kluczowych i usług cyfrowych oraz osiągnięcie odpowiedniego poziomu bezpieczeństwa systemów informacyjnych służących do świadczenia tych usług. Efektem stworzenia systemu będzie podniesienie odporności kluczowych usług świadczonych z wykorzystaniem technologii informacyjnych na ataki pochodzące z cyberprzestrzeni, co przyczyni się do lepszego zapewnienia ciągłości działania tych usług, tak, aby zarówno obywatele, jak i przedsiębiorcy mieli do nich stały dostęp. System będzie obejmował m.in. operatorów usług kluczowych, dostawców usług cyfrowych, zespoły reagowania na incydenty komputerowe (CSIRT), podmioty świadczące usługi z zakresu cyberbezpieczeństwa i organy właściwe do spraw cyberbezpieczeństwa.

Obowiązki wynikające z ustawy dotyczą operatorów usług kluczowych oraz dostawców usług cyfrowych. Do operatorów usług kluczowych zaliczeni zostali przedsiębiorcy świadczący usługi z zakresu bankowości, infrastruktury rynków finansowych, energetyki, transportu i ochrony zdrowia, tj. takie których bezpieczeństwo jest kluczowe dla społeczeństwa i gospodarki. O tym, którzy przedsiębiorcy z powyższych sektorów będą uznawani za operatorów usług kluczowych, zdecydują organy właściwe do spraw cyberbezpieczeństwa. W stosunku do przedsiębiorców wydawane będą w tym zakresie indywidualne decyzje administracyjne. Organem ds. cyberbezpieczeństwa właściwym dla sektora bankowego i infrastruktury rynków finansowych jest KNF. Decyzje o uznaniu za operatorów usług kluczowych powinny zostać wydane do 9 listopada 2018 r., a wyznaczone podmioty będą miały jedynie kilka miesięcy na dostosowanie się do obowiązków wynikających z ustawy.

W ustawie przewidziano obowiązki w zakresie bezpieczeństwa teleinformatycznego operatorów usług kluczowych (czyli m.in. banków, które uznane zostaną za takich operatorów). Są oni zobowiązani m.in. do:

wdrożenia systemu zarządzania bezpieczeństwem we własnych systemach operacyjnych – obejmującego wdrożenie odpowiednich środków organizacyjnych (polityki, procedury, procesy) i technicznych, które pozwolą zapewnić bezpieczeństwo w obszarze IT, zapewnią systematyczne zarządzanie ryzykami, zbieranie i analizę informacji o zagrożeniach, identyfikację podatności oraz zarządzanie incydentami,

wdrożenia procedur obsługi oraz zgłaszania incydentów bezpieczeństwa od właściwego organu – zgłoszenia będą musiały być przekazywane w ciągu 24 godzin od wykrycia incydentu i zawierać m.in. opis incydentu, jego wpływ na świadczenie usług kluczowych również przez innych operatorów, przyczynę i przebieg incydentu, a także informacje o podjętych działaniach zapobiegawczych i naprawczych. Konieczne może okazać się przekazywanie informacji stanowiących tajemnice prawnie chronione, w tym tajemnicę przedsiębiorstwa, a organ nadzoru będzie decydował o upublicznieniu takiej informacji,

wdrożenia procedury klasyfikacji incydentów jako poważne lub istotne – progi skutków incydentu dla usługi kluczowej zostaną określone we właściwym rozporządzeniu Rady Ministrów,

stworzenia wewnętrznych struktur odpowiedzialnych za cyberbezpieczeństwo – np. poprzez powołanie odrębnej komórki organizacyjnej, przypisanie nowych zadań pracownikom lub zawarcie umowy z podmiotem świadczącym usługi z zakresu cyberbezpieczeństwa,

przeprowadzania audytu bezpieczeństwa systemu informacyjnego wykorzystywanego do świadczenia usług kluczowych – operatorzy usług kluczowych są zobowiązani do przeprowadzania audytów bezpieczeństwa teleinformatycznego co najmniej raz nad dwa lata, audyt musi być przeprowadzany przez akredytowaną jednostkę oceniającą zgodność systemu zarządzania bezpieczeństwem i zarządzania ciągłością działania.

Ustawa o krajowym systemie cyberbezpieczeństwa będzie wyzwaniem dla podmiotów obowiązanych do jej stosowania, zarówno pod względem zapewnienia odpowiednich środków organizacyjnych (strategia działania, informacja zarządcza, procesy zarządzania ryzykiem operacyjnym), wdrożenia i właściwego funkcjonowania środków prewencyjnych, wykrywania i reagowania, jak również zapewnienia ciągłego budowania świadomości u pracowników, testowania organizacji pod kątem bezpieczeństwa, zapewnienia środków przygotowujących na zagrożenia, właściwej reakcji na incydenty, zbierania i analizowania materiału dowodowego oraz działań powłamaniowych. Na operatorów usług kluczowych oraz dostawców usług kluczowych, którzy nie spełnią obowiązków nałożonych ustawą może zostać nałożona kara do 200 tys. zł (a w wyjątkowych przypadkach do 1 mln zł).

żródło: KZBS
fot. fotolia