Business Law Firm
Co oznacza powstanie Krajowego Systemu Cyberbezpieczeństwa?
Powstanie Krajowego Systemu Cyberbezpieczeństwa (KSC) ma na celu zapewnienie cyberbezpieczeństwa na poziomie krajowym, w tym niezakłóconego świadczenia usług kluczowych i usług cyfrowych, przez osiągnięcie odpowiedniego poziomu bezpieczeństwa systemów informacyjnych służących do świadczenia tych usług oraz zapewnienie obsługi incydentów. KSC jest tworzony przez operatorów usług kluczowych, dostawców usług cyfrowych, odpowiednie zespoły ds. reagowania na incydenty, tzw. sektorowe zespoły cyberbezpieczeństwa, wybrane jednostki sektora finansów publicznych, instytuty badawcze, NBP, BGK, Pełnomocnika Rządu do Spraw Cyberbezpieczeństwa, właściwe ministerstwa i inne wskazane w Ustawie o Krajowym Systemie Cyberbezpieczeństwa (UKSC) podmioty i instytucje.
Zmiany przepisów i wynikające z nich nowe obowiązki dotkną szczególnie tzw. operatorów usług kluczowych. Podmioty te zobowiązane będą w ciągu kilku miesięcy m.in. wdrożyć system zarządzania bezpieczeństwem w systemach informatycznych, zapewnić obsługę zdarzeń zagrażających cyberbezpieczeństwu, a w kolejnych krokach, przeprowadzać regularne audyty bezpieczeństwa systemów informatycznych wykorzystywanych do świadczenia usługi kluczowej.
Informacje, akty prawne, porady dotyczące dostosowania przedsiębiorstw do nowych wymogów KSC
Opracowane przez Kochański i Partnerzy
Wdrożenie wymogów ustawy o krajowym systemie cyberbezpieczeństwa
Wsparcie dla operatorów usług kluczowych i dostawców usług cyfrowych w zakresie wdrożenia wymogów ustawy obejmuje w szczególności analizę potrzeb w zakresie rodzaju i zawartości dokumentacji dotyczącej cyberbezpieczeństwa. Na podstawie przeprowadzonej analizy, przygotowana zostaje dokumentacja dostosowana do potrzeb danego przedsiębiorstwa opisująca procedury mające na celu zapewnienie odpowiedniego poziomu cyberbezpieczeństwa systemów informatycznych wykorzystywanych do świadczenia usług.
Analiza powdrożeniowa
Procedury przyjęte w celu spełnienia wymogów w zakresie cyberbezpieczeństwa powinny podlegać dalszej ocenie. Analiza powdrożeniowa obejmuje w szczególności ocenę realizacji przyjętych procedur pod kątem ich zgodności z prawem oraz rekomendacje w zakresie działań naprawczych.
Wsparcie w trakcie incydentu
Na operatorów usług kluczowych i dostawców usług cyfrowych nałożony został szereg obowiązków w zakresie obsługi incydentów wpływających na cyberbezpieczeństwo. Wsparcie w tym zakresie obejmuje w szczególności pomoc w klasyfikacji incydentu, zgłaszaniu incydentu i współdziałaniu z właściwym CSIRT podczas obsługi incydentu.
Wsparcie po incydencie
Po zakończeniu obsługi incydentu ważne jest przeprowadzenie analizy zaistniałego incydentu oraz oceny skuteczności podjętych działań i ich zgodności z przyjętymi procedurami w zakresie cyberbezpieczeństwa oraz wymogami ustawy. Pozwala to udoskonalić realizację przyjętych procedur w ramach organizacji i ograniczyć ryzyko ewentualnych naruszeń obowiązków wskazanych w ustawie w przyszłości.
Wsparcie dla dostawców usług cyfrowych
Zapewnienie zgodności działalności dostawców usług cyfrowych z wymogami w zakresie cyberbezpieczeństwa jest procesem ciągłym. Bieżące wsparcie obejmuje w szczególności pomoc w aktualizacji przyjętych środków technicznych i organizacyjnych w celu zarządzania ryzykiem na jakie narażone są systemy informatyczne wykorzystywane do świadczenia usługi cyfrowej.
Wsparcie dla operatorów usług kluczowych
Zapewnienie zgodności działalności operatorów usług kluczowych z wymogami w zakresie cyberbezpieczeństwa jest procesem ciągłym. Bieżące wsparcie obejmuje w szczególności pomoc w stosowaniu i obowiązkowej aktualizacji dokumentacji dotyczącej cyberbezpieczeństwa systemu informatycznego wykorzystywanego do świadczenia usługi kluczowej, a także pomoc w zakresie przeprowadzania obowiązkowych audytów bezpieczeństwa takiego systemu informatycznego.
KALENDARZ
19 października 2018 r.
19 października 2018 r. Wejście w życie Rozporządzenia Rady Ministrów z dnia 2 października 2018 r. w sprawie zakresu działania oraz trybu pracy Kolegium do Spraw Cyberbezpieczeństwa.
13 października 2018 r.
13 października 2018 r. Wejście w życie Rozporządzenia Ministra Cyfryzacji z dnia 12 października 2018 r. w sprawie wykazu certyfikatów uprawniających do przeprowadzenia audytu.
22 września 2018 r.
Wejście w życie Rozporządzenia Rady Ministrów z dnia 11 września 2018 r. w sprawie wykazu usług kluczowych oraz progów istotności skutku zakłócającego incydentu dla świadczenia usług kluczowych.
17 września 2018 r.
Wejście w życie Rozporządzenia Ministra Cyfryzacji z dnia 10 września 2018 r. w sprawie warunków organizacyjnych i technicznych dla podmiotów świadczących usługi z zakresu cyberbezpieczeństwa oraz wewnętrznych struktur organizacyjnych operatorów usług kluczowych odpowiedzialnych za cyberbezpieczeństwo.
4 września 2018 r.
Opublikowanie projektu z dnia 31 sierpnia 2018 r. rozporządzenia Rady Ministrów w sprawie progów uznania incydentu za poważny
28 sierpnia 2018 r.
Wejście w życie ustawy z dnia 5 lipca 2018 r. o krajowym systemie cyberbezpieczeństwa (stanowiącej implementację dyrektywy NIS)
20 czerwca 2018 r.
Opublikowanie projektu z dnia 15 czerwca 2018 r. rozporządzenia Rady Ministrów w sprawie dokumentacji cyberbezpieczeństwa systemów informacyjnych wykorzystywanych do świadczenia usług kluczowych
8 sierpnia 2016 r.
Wejście w życie dyrektywy Parlamentu Europejskiego i Rady (UE) 2016/1148 z dnia 6 lipca 2016 r. w sprawie środków na rzecz wysokiego wspólnego poziomu bezpieczeństwa sieci i systemów informatycznych na terytorium Unii (tzw. dyrektywa NIS)
AKTY PRAWNE
Ustawa z dnia 5 lipca 2018 r. o krajowym systemie cyberbezpieczeństwa
Rozporządzenie Ministra Cyfryzacji z dnia 12 października 2018 r. w sprawie wykazu certyfikatów uprawniających do przeprowadzenia audytu
Rozporządzenie Rady Ministrów z dnia 2 października 2018 r. w sprawie zakresu działania oraz trybu pracy Kolegium do Spraw Cyberbezpieczeństwa
Rozporządzenia Rady Ministrów z dnia 11 września 2018 r. w sprawie wykazu usług kluczowych oraz progów istotności skutku zakłócającego incydentu dla świadczenia usług kluczowych
Rozporządzenie Ministra Cyfryzacji z dnia 10 września 2018 r. w sprawie warunków organizacyjnych i technicznych dla podmiotów świadczących usługi z zakresu cyberbezpieczeństwa oraz wewnętrznych struktur organizacyjnych operatorów usług kluczowych odpowiedzialnych za cyberbezpieczeństwo
Dyrektywa Parlamentu Europejskiego i Rady (UE) 2016/1148 z dnia 6 lipca 2016 r. w sprawie środków na rzecz wysokiego wspólnego poziomu bezpieczeństwa sieci i systemów informatycznych na terytorium Unii (tzw. dyrektywa NIS)
Strona internetowa Agencji Unii Europejskiej ds. Bezpieczeństwa Sieci i Informacji (ENISA)
PUBLIKACJE
Krajowy System Cyberbezpieczeństwa – obowiązki dla operatorów usług kluczowych
Cyberbezpieczeństwo w transporcie
Krajowy System Cyberbezpieczeństwa – nowe obowiązki dla dostawców usług cyfrowych
Trzy scenariusze cyberataku, na które należy przygotować przedsiębiorstwo
Obowiązki dostawców usług cyfrowych w świetle postanowień Dyrektywy NIS – cz. 1
Obowiązki dostawców usług cyfrowych w świetle postanowień Dyrektywy NIS – cz. 2
Wspólne standardy cyberbezpieczeństwa w UE?
Osoba kontaktowa
Monika Maćkowska-Morytz
telefon: +48 22 326 9600
tel kom.: +48 660 765 918
email: m.mackowska-morytz@kochanski.pl
Kontakt
Adres
Kochański i Partnerzy
Plac Piłsudskiego 1, 00-078 Warszawa (bud. Metropolitan)
Godziny otwarcia biura:
Poniedziałek – Piątek, 9:00-20:00
Plac Piłsudskiego 1, 00-078 Warszawa (bud. Metropolitan)
Godziny otwarcia biura:
Poniedziałek – Piątek, 9:00-20:00