Polityka i prawo
Ustawa o krajowym systemie cyberbezpieczeństwa to nowe obowiązki dla firm
Ustawa o krajowym systemie cyberbezpieczeństwa implementująca europejską dyrektywę NIS to nowe obowiązki dla firm - oceniają eksperci KPMG. Dotyczy to szczególnie tzw. operatorów usług kluczowych, np. banki i służbę zdrowia.
Do rejestru operatorów usług kluczowych wpisane zostaną również podmioty takie, jak m.in. dostawcy energii elektrycznej oraz gazu, a także firmy transportowe.
Na operatorach usług kluczowych w myśl ustawy spoczywać będą obowiązki związane z zapewnieniem odpowiedniego poziomu cyberbezpieczeństwa, takie jak np. powołanie wewnętrznych struktur do zarządzania cyberbezpieczeństwem, wdrożenie programu systematycznego zarządzania ryzykiem czy wdrożenie procesu zarządzania incydentami bezpieczeństwa. Podmioty te będą także zobowiązane zgłaszać poważne incydenty do krajowego zespołu CSIRT (Zespoły Reagowania na Incydenty Bezpieczeństwa Komputerowego) w ciągu doby od wykrycia zdarzenia.
Zdaniem szefa zespołu ds. cyberbezpieczeństwa w KPMG w Polsce Michała Kurka, "powyższe wymagania nie są czymś nowym, ale mniejsze podmioty lub firmy z sektorów gospodarki o niższym poziomie dojrzałości bezpieczeństwa mogą mieć duży problem z wypełnieniem nowych obowiązków". W jego opinii wdrożenie tych wymagań "od podstaw w trzy miesiące jest praktycznie niemożliwe". Kurek uważa, że również duże firmy mogą stanąć przed wyzwaniem, jakim "może być posiadanie sformalizowanego, systematycznego procesu oceny i zarządzania ryzykiem", jak i "sprawnego procesu zarządzania incydentami".
W myśl ustawy o krajowym systemie cyberbezpieczeństwa operatorzy usług kluczowych będą zobowiązani w ciągu sześciu miesięcy do wdrożenia zabezpieczeń adekwatnych względem oszacowanego ryzyka, czyli np. objęcia systemów informatycznych ciągłym monitorowaniem. Operatorzy usług kluczowych będą również zobowiązani do przeprowadzania w ciągu roku zewnętrznego audytu bezpieczeństwa. Podobne audyty będą później w myśl nowej ustawy musiały być przeprowadzane co dwa lata, a niewywiązanie się z tego obowiązku może narazić podmiot na karę grzywny w wysokości 200 tys. złotych.
Dyrektywa NIS weszła w życie w państwach członkowskich Unii Europejskiej w sierpniu 2016 roku. To pierwszy akt prawny w UE regulujący działanie sektora cyberbezpieczeństwa na poziomie krajowym. Głównym celem powstania dyrektywy NIS było wyrównanie poziomu zabezpieczeń sieci i systemów informatycznych w całej Unii Europejskiej oraz wzmocnienie ochrony państw członkowskich przed cyberatakami.
Polska ustawa implementująca dyrektywę NIS stanowi, że organy właściwe ds. cyberbezpieczeństwa mają do 9 listopada czas, aby sformować listę podmiotów, które zostaną wpisane do rejestru operatorów usług kluczowych. Po wpisaniu do rejestru firmy określone tym mianem będą musiały, w przewidzianym przez ustawę czasie, wypełnić szereg obowiązków.
"Wiele podmiotów już dziś wie, że znajdzie się w rejestrze operatorów usług kluczowych" - podkreśla Kurek. "Dlatego jeśli jeszcze nie zostały uruchomione stosowne inicjatywy w zakresie dostosowania się do wymogów ustawy, nie warto odkładać tego na później" - zaznacza.