Ustawa Krajowego Systemu Cyberbezpieczeństwa (KSC) dotyczy operatorów usługi kluczowej (OUK) oraz dostawców usługi kluczowej (DSP). Operatorami usług kluczowych są podmioty publiczne i firmy z sektora ochrony zdrowia, energetyczne, transportowe, bankowe, zaopatrzenia w wodę pitną i infrastruktury cyfrowej. W ciągu roku lub 2 lat wejdzie w życie nowa Ustawa o KSC. Wówczas pojawią się operatorzy 'kluczowi' i nowa grupa podmiotów nazwanych 'ważnymi'.
Obowiązki dla podmiotu UOK wynikające z Ustawy KSC
Do najważniejszych należy:
- opracowuje i wdraża system zarządzania bezpieczeństwem w systemie informacyjnym (SZBI) i go aktualizuje
- prowadzi systematyczne szacowanie ryzyka wystąpienia incydentu oraz dostosowuje do niego środki bezpieczeństwa w praktyce
- organizuje strukturę wewnętrzną do realizcji zadań wynikających z Ustawy
- obsługuje incydenty i je zgłasza do CSIRT
- zleca przeprowadzanie audytu zgodności z Ustawą - raz na 2 lata
Operatorzy usług kluczowych i dostawcy usług cyfrowych za zaniechanie lub niedopełnienie obowiązków wynikających z treści ustawy, mogą zostać ukarani karą pieniężną w wysokości od 1000 zł do 1 000 000 zł. Kara pieniężna jest nakładana w drodze decyzji przez organ właściwy do spraw cyberbezpieczeństwa.
Operator usługi kluczowej ma obowiązek przeprowadzenia, co najmniej raz na 2 lata, audytu bezpieczeństwa systemu informacyjnego wykorzystywanego do świadczenia usługi kluczowej i może to zlecić podmiotowi zewnętrznemu. Podmiot taki musi spełnić warunki określone w Rozporządzeniu Ministra Cyfryzacji oraz przeprowadzić go zgodnie z zaakceptowanym przez Ministerstwo Cyfryzacji szablonem. MEDIATOR oferuje przeprowadzenie wymaganego audytu przez 2 certyfikowanych audytorów wiodących według normy PN-EN ISO/IEC 27001 i zgodnie z wytycznymi Ustawy KSC. Po przeprowadzonym audycie oferujemy działania naprawcze i dostosowujące UOK do ustawy.
Ponadto oferujemy w ramach dostosowania do wymogów Ustawy o KSC:
- wdrożenie systemu zarządzania bezpieczeństwem informacji SZBI (polityka, procedury, instrukcje, wytyczne)
- uaktualnienie wdrożonego SZBI
- przeprowadzenie okresowej lub wymaganej analizy ryzyka
- konsultacje w zakresie spełnienia pozostałych wymogów KSC
Nowa ustawa o KSC - Dyrektywa NIS 2
W styczniu b.r. weszła w życie dyrektywa UE w sprawie środków na rzecz wysokiego wspólnego poziomu cyberbezpieczeństwa na terytorium Unii, zwana NIS 2. Wymusi ona zmianę Ustawy o Krajowym Systemie Cyberbezpieczeństwa. Wg niej do stosowania zasad cyberbepieczeństwa zobowiązane będą podmioty z 11 sektorów: energetyka, transport, bankowość, infrastruktura rynku finansowego, ochrona zdrowia, wodociągi, spółki wodno- kanalizacyjne, infrastruktura cyfrowa, administracja publiczna, przestrzeń kosmiczna i produkcja żywności. Obowiązki tych podmiotów to m.in: zarządzanie ryzykiem, zapewnienie ciągłości działania, wdrożenie stosownych polityk i procedur, szkolenia. Choć planowane modyfikacje Ustawy KSC nie wprowadzają znaczących zmian, to jednak zapewne uporządkują pewne kwestie obowiązków. Najważniejszą zmianą będzie zapewne jasne określenie podmiotów uznawanych jako 'kluczowe' oraz rozszerzenie podmiotów zobowiązanych, nazwanych 'ważnymi'.
Zapraszamy do kontaktu w celu omówienia szczegółów zlecenia wymaganego audytu KSC oraz innych wymagań Ustawy KSC.