Cybebezpieczeństwo

PODMIOTOM ZE STRATEGICZNYCH SEKTORÓW GOSPODARKI PRZYBĘDZIE OBOWIĄZKÓW Z ZAKRESU CYBERBEZPIECZEŃSTWA

Nowe wymagania w obszarze ciągłości i bezpieczeństwa działania sieci i systemów informatycznych dla operatorów usług kluczowych (energetyka, ciepłownictwo, woda, banki, transport i ochrona zdrowia) i dostawców usług cyfrowych (internetowa wyszukiwarka, platforma handlowa i chmura przetwarzania danych).

Cybebezpieczeństwo – jak chronić się przed cyberatakami
28 sierpnia 2018 r. weszła w życie ustawa o cyberbezpieczeństwie - opóźniona implementacja dyrektywy NIS (Network Internet Security), która ma na celu zapewnienie ciągłości i bezpieczeństwa działania sieci i systemów informatycznych na terytorium państw członkowskich UE.

Operatorzy usług kluczowych i dostawcy usług cyfrowych
Właściwy organ do spraw cyberbezpieczeństwa wskaże operatorów usług kluczowych, którzy świadczą krytyczne usługi dla działalności społecznej lub gospodarczej uzależnione od systemów informacyjnych, a ewentualny incydent (tj. zdarzenie, które może mieć niekorzystny wpływ na cyberbezpieczeństwo), miałby istotny skutek zakłócający dla świadczonej usługi (po przekroczeniu ustalonych progów). Decyzja organu podlega natychmiastowemu wykonaniu i pozostaje w mocy pomimo odwołania.
Operatorzy usług kluczowych będą identyfikowani zgodnie z podziałem na sektory gospodarki, tj. energetyka (wytwarzanie, przesyłanie, dystrybucja, obrót lub magazynowanie kopalin, energii elektrycznej, ciepła, ropy naftowej i gazu); transport (m.in. przewoźnicy i podmioty zarządzające infrastrukturą w transporcie lotniczym, kolejowym, wodnym i drogowym), bankowość (banki, instytucje kredytowe, SKOKi, podmioty prowadzące rynki regulowane i inne); ochrona środowiska (podmioty prowadzące działalność w zakresie farmacji); zaopatrzenie w wodę pitną i jej dystrybucja oraz infrastruktura cyfrowa.
W ramach dostawców usług cyfrowych uwzględniono internetowe wyszukiwarki i platforma handlowe oraz chmury przetwarzania danych.

Nowe obowiązki dla energetyki i ciepłownictwa
Każdy z Operatorów usług kluczowych będzie zobowiązany do przeprowadzenia audytu systemu informacyjnego, opracowania i wdrożenia dokumentacji cyberbezpieczeństwa, która zapewni obsługę incydentów i zarządzanie bezpieczeństwem informacji w celu zapewnienie ciągłości świadczenia usług. Koniecznym będzie również powołanie wewnętrznych struktur odpowiedzialnych za cyberbezpieczeństwo lub zawarcie umowy o outsourcing tych usług, jak również wyznaczenie osoby odpowiedzialnej za utrzymywanie kontaktów z podmiotami krajowego systemu bezpieczeństwa. Na stronach internetowych operatorów usług kluczowych będę również publikowane informacje pozwalające użytkownikom zapoznanie się z zagrożeniami systemów cyberbezpieczeństwa.

Terminy  wdrożenia i sankcje za brak zgodności
Operatorzy usług kluczowych będą zobowiązani do oszacowania ryzyka oraz wdrożenia wewnętrznych procedur i środków w terminie 3 i 6 miesięcy od otrzymania decyzji, a w ciągu roku o wejścia w życie ustawy przeprowadzenie audytu bezpieczeństwa systemu informacyjnego.
Za nieprzestrzeganie obowiązków grożą kary pieniężne w wysokości od 15.000 do 200.000 PLN. Uporczywe naruszanie przepisów prowadzące do bezpośredniego i poważnego zagrożenia dla cyberbezpieczeństwa w skali kraju oraz wywołania poważnej szkody majątkowej lub poważnych utrudnień w świadczeniu usług kluczowych upoważni organ właściwy do nałożenia kary w wysokości do 1.000.000 PLN.
Podmioty zainteresowane szerszą informacją o nowych obowiązkach nałożonych na mocy ustawy zapraszamy do zapoznania się z prezentacją oraz kontakt.