28 sierpnia br. wchodzi w życie ustawa o krajowym systemie cyberbezpieczeństwa implementująca europejską dyrektywę NIS (Network and Information Systems Directive) dotyczącą bezpieczeństwa sieci i informacji. Na jej mocy część firm zostanie wpisana do rejestru operatorów usług kluczowych, na których będą ciążyły obowiązki związane z zapewnieniem cyberbezpieczeństwa. Nowe wymogi będą obowiązywały m.in. dostawców prądu i gazu, firmy transportowe, służbę zdrowia oraz banki.
Dyrektywa NIS weszła w życie w sierpniu 2016 roku. Jest pierwszym ogólnounijnym aktem prawnym w dziedzinie cyberbezpieczeństwa, a zawarte w niej regulacje mają gwarantować równy poziom zabezpieczeń sieci i systemów w całej Unii Europejskiej oraz wzmacniać ochronę państw członkowskich przed cyberatakami. Określone w polskiej ustawie ministerstwa i regulatorzy, czyli tzw. organy właściwe ds. cyberbezpieczeństwa do 9 listopada br. mają czas na podjęcie decyzji odnośnie podmiotów, które zostaną wpisane do rejestru operatorów usług kluczowych. Po tym czasie firmy wpisane do rejestru będą musiały w dość krótkim czasie wdrożyć nałożone na nie nowe obowiązki.
W terminie zaledwie trzech miesięcy operatorzy usług kluczowych będą musieli m.in. powołać wewnętrzne struktury do zarządzania cyberbezpieczeństwem (lub skorzystać z outsourcingu), wdrożyć program systematycznej analizy i zarządzania ryzykiem oraz uruchomić sprawnie funkcjonujący proces zarządzania incydentami bezpieczeństwa, pozwalający m.in. na zgłaszanie poważnych incydentów do krajowego zespołu CSIRT (sieć Zespołów Reagowania na Incydenty Bezpieczeństwa Komputerowego) w czasie nieprzekraczającym 24 godzin od ich wykrycia.
Dla większości dużych przedsiębiorstw powyższe wymagania nie są czymś nowym, ale mniejsze podmioty lub firmy z sektorów gospodarki o niższym poziomie dojrzałości bezpieczeństwa mogą mieć duży problem z wypełnieniem nowych obowiązków. Wdrożenie powyższych wymagań od podstaw w trzy miesiące jest praktycznie niemożliwe. Z kolei dla dojrzałych firm wyzwaniem może być posiadanie sformalizowanego, systematycznego procesu oceny i zarządzania ryzykiem, jak również sprawnego procesu zarządzania incydentami, zapewniającego szybką analizę incydentów, by sprostać wymaganiu 24 godzin na notyfikację – mówi Michał Kurek, parter, szef zespołu ds. cyberbezpieczeństwa w KPMG w Polsce.
Wdrożenie powyższych obowiązków nie będzie oznaczało końca spełniania wymagań nałożonych ustawą o krajowym systemie cyberbezpieczeństwa. W terminie do sześciu miesięcy operatorzy usług kluczowych będą bowiem zobowiązani: wdrożyć zabezpieczenia proporcjonalne do oszacowanego ryzyka, obejmujące m.in. wdrożenie planów ciągłości działania, czy objęcie systemów informatycznych monitorowaniem w trybie ciągłym, uruchomić sprawny proces zarządzania podatnościami i gromadzenia wiedzy na temat cyberzagrożeń, a także opracować i zapewnić aktualność dokumentacji dotyczącej cyberbezpieczeństwa systemów informatycznych wykorzystywanych do świadczenia usługi kluczowej.
Po spełnieniu wszystkich obowiązków oraz ich uporządkowaniu operatorzy usług kluczowych, będą zobowiązani do przeprowadzenia w terminie jednego roku zewnętrznego audytu bezpieczeństwa. Później audyty będą musiały być realizowane co dwa lata. Brak wywiązania się z tego obowiązku może kosztować operatora usługi kluczowej 200 tys. zł.
Wiele z podmiotów już dziś wie, że znajdzie się w rejestrze operatorów usług kluczowych. Dlatego jeśli jeszcze nie zostały uruchomione stosowne inicjatywy w zakresie dostosowania do wymogów ustawy o krajowym systemie cyberbezpieczeństwa, nie warto odkładać tego na później. Jeśli firmy mają niedociągnięcia w którychkolwiek z obszarów zarządzania cyberbezpieczeństwem – chociażby w zakresie posiadania właściwej dokumentacji – pół roku może okazać się zbyt krótkim terminem na uzupełnienie posiadanych luk. Przykładowo, jeśli firma nie dysponuje formalnie wdrożonym i funkcjonującym planem zapewnienia ciągłości działania, należy już dziś rozpoczynać działania w tym zakresie. Także objęcie kluczowych systemów monitorowaniem bezpieczeństwa w trybie ciągłym wiąże się z reorganizacją, której czas realizacji zwykle liczy się w miesiącach – dodaje Michał Kurek, parter, szef zespołu ds. cyberbezpieczeństwa w KPMG w Polsce.
