Nowa Ustawa o Krajowym Systemie Cyberbezpieczeństwa wejdzie w życie pradopodobnie w II połowie 2024 roku. Nowa ustawa oparta jest na wymogach unijnej dyrektywy NIS2 dot. cyberbezpieczeństwa. Definiuje podmioty kluczowe i podmioty ważne. Podmioty te zobowiązane będą do stosowania wielu zasad cyberbezpieczeństwa takich jak np. wdrożenie SZBI, szacowanie ryzyka, prowadzenie szkoleń czy zastosowanie środków technicznych zwiększających poziom bezpieczeństwa.
Pierwszym krokiem będzie złożenie w ciągu 2 m-cy od wejścia w życie ustawy wniosku o wpis do wykazu podmiotów kluczowych i podmiotów ważnych. Podmioty publiczne zostaną wpisane automatycznie. Po otrzymaniu decyzji, podmiot będzie miał 6 m-cy na realizację obowiązków. Będzie zobowiązany do przeprowadzenia pierwszego wymaganego audytu w czasie do 12 m-cy od otrzymania decyzji, zaś każdy kolejny audyt ma przeprowadzić w czasie do 24 m-cy.
Kogo dotyczyć ma nowa Ustawa KSC ?
Wśród podmiotów, których dotyczyć ma nowa Ustawa są m.in.:
- jednostki samorządu terytorialnego
- jednostki budżetowe samorządowe
- zakłady budżetowe
- instytucje gospodarki budżetowej
- podmioty lecznicze - SPZOZ-y i NZOZ-y
- firmy powyżej 250 prac
Szacuje się, że liczba zobowiązanych to blisko 10000 podmiotów publicznych i firm.
Obowiązki dla podmiotu kluczowego i podmiotu ważnego wynikające z nowej Ustawy KSC
Do najważniejszych obowiązków podmiotu należeć będzie:
- opracowanie i wdrożenie systemu zarządzania bezpieczeństwem informacji (SZBI) i jego aktualizacja, wraz z polityką bezpieczeństwa,
- systematyczne szacowanie ryzyka oraz dostosowanie do niego środków bezpieczeństwa w praktyce,
- opracowanie procedury związanej z systemami informatycznymi,
- opracowanie procedury zarządzania incydentami,
- obsługa incydentów i ich zgłaszanie,
- organizacja struktury wewnętrznej do realizcji zadań wynikających z Ustawy KSC,
- opracowanie dokumentacji związanej z ochroną danych osobowych (obowiązek RODO),
- stosowanie bezpiecznych środków komunikacji elektronicznej,
- obowiązkowe szkolenie dla kierownika podmiotu kluczowego i ważnego - raz w roku.
Wg Ustawy: "Wymagania, uznaje się za spełnione, gdy podmiot kluczowy i podmiot ważny zapewnia system zarzadzania bezpieczeństwem informacji, z uwzględnieniem wymagań określonych w Polskiej Normie PN-EN ISO/IEC 27001 oraz PN-EN ISO/IEC 22301."
Dostosowanie podmiotu do wymogów KSC
MEDIATOR oferuje :
- opracowanie dokumentacji dotyczącej bezpieczeństwa systemu informacyjnego wykorzystywanego do świadczenia usługi,
- wdrożenie systemu zarządzania bezpieczeństwem informacji w procesach wpływających na świadczenie usług,
- uaktualnienie wdrożonego systemu zarządzania bezpieczeństwem informacji,
- audyt po roku i kolejnych,
- przeprowadzenie okresowej lub wymaganej analizy ryzyka,
- konsultacje w zakresie spełnienia pozostałych wymogów KSC,
- wymagane szkolenia dla personelu podmiotu.
Więcej o tym co czeka podmiotu w ramach nowej Ustawy KSC na stronie NASK: Nowelizacja ustawy o krajowym systemie cyberbezpieczeństwa – najważniejsze zmiany dla podmiotów
Audyt KSC
Operator kluczowy i ważny ma obowiązek przeprowadzenia audytu w czasie do 12 m-cy oraz kolejne co najmniej raz na 2 lata. Może to zlecić podmiotowi zewnętrznemu. Firma audytująca musi spełnić warunki określone w Rozporządzeniu Ministra Cyfryzacji . MEDIATOR oferuje przeprowadzenie wymaganego audytu przez 2 certyfikowanych audytorów wiodących według normy PN-EN ISO/IEC 27001 i PN-EN ISO/IEC ISO22301. Po przeprowadzonym audycie, zespół przygotowuje sprawozdanie z przeprowadzonego audytu. Podmiot sprawozadanie przekazuje do właściwego organu.
Czekamy na wejście w życie Ustawy zmieniającej KSC i przygotowujemy się już teraz do wdrożenia. Zalecamy podmiotom przygotowywanie się do nowych obowiązków, których będzie znacząco więcej niż wynika z Rozporządzenia KRI dla podmiotów publicznych.
Bezpieczna poczta e-mail i domena ? To trzeba sprawdzić !
Zapraszamy do kontaktu w celu omówienia szczegółów zlecenia wymaganego nową Ustawą KSC.