Business Law Firm

Kochański i Partnerzy

RODOKochański i Partnerzy

Co oznacza powstanie Krajowego Systemu Cyberbezpieczeństwa?

Powstanie Krajowego Systemu Cyberbezpieczeństwa (KSC) ma na celu zapewnienie cyberbezpieczeństwa na poziomie krajowym, w tym niezakłóconego świadczenia usług kluczowych i usług cyfrowych, przez osiągnięcie odpowiedniego poziomu bezpieczeństwa systemów informacyjnych służących do świadczenia tych usług oraz zapewnienie obsługi incydentów. KSC jest tworzony przez operatorów usług kluczowych, dostawców usług cyfrowych, odpowiednie zespoły ds. reagowania na incydenty, tzw. sektorowe zespoły cyberbezpieczeństwa, wybrane jednostki sektora finansów publicznych, instytuty badawcze, NBP, BGK, Pełnomocnika Rządu do Spraw Cyberbezpieczeństwa, właściwe ministerstwa i inne wskazane w Ustawie o Krajowym Systemie Cyberbezpieczeństwa (UKSC) podmioty i instytucje.

 

Zmiany przepisów i wynikające z nich nowe obowiązki dotkną szczególnie tzw. operatorów usług kluczowych. Podmioty te zobowiązane będą w ciągu kilku miesięcy m.in. wdrożyć system zarządzania bezpieczeństwem w systemach informatycznych, zapewnić obsługę zdarzeń zagrażających cyberbezpieczeństwu, a w kolejnych krokach, przeprowadzać regularne audyty bezpieczeństwa systemów informatycznych wykorzystywanych do świadczenia usługi kluczowej.

Informacje, akty prawne, porady dotyczące dostosowania przedsiębiorstw do nowych wymogów KSC

Opracowane przez Kochański i Partnerzy

Wdrożenie wymogów ustawy o krajowym systemie cyberbezpieczeństwa

Wsparcie dla operatorów usług kluczowych i dostawców usług cyfrowych w zakresie wdrożenia wymogów ustawy obejmuje w szczególności analizę potrzeb w zakresie rodzaju i zawartości dokumentacji dotyczącej cyberbezpieczeństwa. Na podstawie przeprowadzonej analizy, przygotowana zostaje dokumentacja dostosowana do potrzeb danego przedsiębiorstwa opisująca procedury mające na celu zapewnienie odpowiedniego poziomu cyberbezpieczeństwa systemów informatycznych wykorzystywanych do świadczenia usług.

Analiza powdrożeniowa

Procedury przyjęte w celu spełnienia wymogów w zakresie cyberbezpieczeństwa powinny podlegać dalszej ocenie. Analiza powdrożeniowa obejmuje w szczególności ocenę realizacji przyjętych procedur pod kątem ich zgodności z prawem oraz rekomendacje w zakresie działań naprawczych.

Wsparcie w trakcie incydentu

Na operatorów usług kluczowych i dostawców usług cyfrowych nałożony został szereg obowiązków w zakresie obsługi incydentów wpływających na cyberbezpieczeństwo. Wsparcie w tym zakresie obejmuje w szczególności pomoc w klasyfikacji incydentu, zgłaszaniu incydentu i współdziałaniu z właściwym CSIRT podczas obsługi incydentu.

Wsparcie po incydencie

Po zakończeniu obsługi incydentu ważne jest przeprowadzenie analizy zaistniałego incydentu oraz oceny skuteczności podjętych działań i ich zgodności z przyjętymi procedurami w zakresie cyberbezpieczeństwa oraz wymogami ustawy. Pozwala to udoskonalić realizację przyjętych procedur w ramach organizacji i ograniczyć ryzyko ewentualnych naruszeń obowiązków wskazanych w ustawie w przyszłości.

Wsparcie dla dostawców usług cyfrowych

Zapewnienie zgodności działalności dostawców usług cyfrowych z wymogami w zakresie cyberbezpieczeństwa jest procesem ciągłym. Bieżące wsparcie obejmuje w szczególności pomoc w aktualizacji przyjętych środków technicznych i organizacyjnych w celu zarządzania ryzykiem na jakie narażone są systemy informatyczne wykorzystywane do świadczenia usługi cyfrowej.

Wsparcie dla operatorów usług kluczowych

Zapewnienie zgodności działalności operatorów usług kluczowych z wymogami w zakresie cyberbezpieczeństwa jest procesem ciągłym. Bieżące wsparcie obejmuje w szczególności pomoc w stosowaniuobowiązkowej aktualizacji dokumentacji dotyczącej cyberbezpieczeństwa systemu informatycznego wykorzystywanego do świadczenia usługi kluczowej, a także pomoc w zakresie przeprowadzania obowiązkowych audytów bezpieczeństwa takiego systemu informatycznego.

KALENDARZ

19 października 2018 r.

19 października 2018 r. Wejście w życie Rozporządzenia Rady Ministrów z dnia 2 października 2018 r. w sprawie zakresu działania oraz trybu pracy Kolegium do Spraw Cyberbezpieczeństwa.

13 października 2018 r.

13 października 2018 r. Wejście w życie Rozporządzenia Ministra Cyfryzacji z dnia 12 października 2018 r. w sprawie wykazu certyfikatów uprawniających do przeprowadzenia audytu.

22 września 2018 r.

Wejście w życie Rozporządzenia Rady Ministrów z dnia 11 września 2018 r. w sprawie wykazu usług kluczowych oraz progów istotności skutku zakłócającego incydentu dla świadczenia usług kluczowych.

17 września 2018 r.

Wejście w życie Rozporządzenia Ministra Cyfryzacji z dnia 10 września 2018 r. w sprawie warunków organizacyjnych i technicznych dla podmiotów świadczących usługi z zakresu cyberbezpieczeństwa oraz wewnętrznych struktur organizacyjnych operatorów usług kluczowych odpowiedzialnych za cyberbezpieczeństwo.

4 września 2018 r.

Opublikowanie projektu z dnia 31 sierpnia 2018 r. rozporządzenia Rady Ministrów w sprawie progów uznania incydentu za poważny

28 sierpnia 2018 r.

Wejście w życie ustawy z dnia 5 lipca 2018 r. o krajowym systemie cyberbezpieczeństwa (stanowiącej implementację dyrektywy NIS)

20 czerwca 2018 r.

Opublikowanie projektu z dnia 15 czerwca 2018 r. rozporządzenia Rady Ministrów w sprawie dokumentacji cyberbezpieczeństwa systemów informacyjnych wykorzystywanych do świadczenia usług kluczowych

8 sierpnia 2016 r.

Wejście w życie dyrektywy Parlamentu Europejskiego i Rady (UE) 2016/1148 z dnia 6 lipca 2016 r. w sprawie środków na rzecz wysokiego wspólnego poziomu bezpieczeństwa sieci i systemów informatycznych na terytorium Unii (tzw. dyrektywa NIS)

AKTY PRAWNE

h

Ustawa z dnia 5 lipca 2018 r. o krajowym systemie cyberbezpieczeństwa

h

Rozporządzenie Ministra Cyfryzacji z dnia 12 października 2018 r. w sprawie wykazu certyfikatów uprawniających do przeprowadzenia audytu

h

Rozporządzenie Rady Ministrów z dnia 2 października 2018 r. w sprawie zakresu działania oraz trybu pracy Kolegium do Spraw Cyberbezpieczeństwa

h

Rozporządzenia Rady Ministrów z dnia 11 września 2018 r. w sprawie wykazu usług kluczowych oraz progów istotności skutku zakłócającego incydentu dla świadczenia usług kluczowych

h

Rozporządzenie Ministra Cyfryzacji z dnia 10 września 2018 r. w sprawie warunków organizacyjnych i technicznych dla podmiotów świadczących usługi z zakresu cyberbezpieczeństwa oraz wewnętrznych struktur organizacyjnych operatorów usług kluczowych odpowiedzialnych za cyberbezpieczeństwo

h

Dyrektywa Parlamentu Europejskiego i Rady (UE) 2016/1148 z dnia 6 lipca 2016 r. w sprawie środków na rzecz wysokiego wspólnego poziomu bezpieczeństwa sieci i systemów informatycznych na terytorium Unii (tzw. dyrektywa NIS)

h

Strona internetowa Agencji Unii Europejskiej ds. Bezpieczeństwa Sieci i Informacji (ENISA)

PUBLIKACJE

h

Krajowy System Cyberbezpieczeństwa – obowiązki dla operatorów usług kluczowych

h

Cyberbezpieczeństwo w transporcie

h

Krajowy System Cyberbezpieczeństwa – nowe obowiązki dla dostawców usług cyfrowych

h

Trzy scenariusze cyberataku, na które należy przygotować przedsiębiorstwo

h

Obowiązki dostawców usług cyfrowych w świetle postanowień Dyrektywy NIS – cz. 1

h

Obowiązki dostawców usług cyfrowych w świetle postanowień Dyrektywy NIS – cz. 2

h

Wspólne standardy cyberbezpieczeństwa w UE?

Osoba kontaktowa

Olgierd Świerzewski

telefon: +48 22 326 9600
tel kom.: +48 788 262 267
email: o.swierzewski@kochanski.pl

więcej..

Kontakt

Adres

Kochański i Partnerzy
Plac Piłsudskiego 1, 00-078 Warszawa (bud. Metropolitan)
Godziny otwarcia biura:
Poniedziałek – Piątek, 9:00-20:00

Telefon

tel.+48 22 326 9600
fax +48 22 326 9601

Bądźmy w kontakcie

15 + 7 =