Szukaj w serwisie

Wdrożenie nowej ustawy KSC

Wdrożenie nowej ustawy KSC

Nowa Ustawa o Krajowym Systemie Cyberbezpieczeństwa wejdzie w życie pradopodobnie w II połowie 2024 roku. Nowa ustawa oparta jest na wymogach unijnej dyrektywy NIS2 dot. cyberbezpieczeństwa. Definiuje podmioty kluczowe i podmioty ważne. Podmioty te zobowiązane będą do stosowania wielu zasad cyberbezpieczeństwa takich jak np. wdrożenie SZBI, szacowanie ryzyka, prowadzenie szkoleń czy zastosowanie środków technicznych zwiększających poziom bezpieczeństwa.

 

Pierwszym krokiem będzie złożenie w ciągu 2 m-cy od wejścia w życie ustawy wniosku o wpis do wykazu podmiotów kluczowych i podmiotów ważnych. Podmioty publiczne zostaną wpisane automatycznie. Po otrzymaniu decyzji, podmiot będzie miał 6 m-cy na realizację obowiązków. Będzie zobowiązany do przeprowadzenia pierwszego wymaganego audytu w czasie do 12 m-cy od otrzymania decyzji, zaś każdy kolejny audyt ma przeprowadzić w czasie do 24 m-cy.

 

Kogo dotyczyć ma nowa Ustawa KSC ?

 

Wśród podmiotów, których dotyczyć ma nowa Ustawa są m.in.:

  • jednostki samorządu terytorialnego
  • jednostki budżetowe samorządowe
  • zakłady budżetowe
  • instytucje gospodarki budżetowej
  • podmioty lecznicze - SPZOZ-y i NZOZ-y
  • firmy powyżej 250 prac

Szacuje się, że liczba zobowiązanych to blisko 10000 podmiotów publicznych i firm.

 

 

Obowiązki dla podmiotu kluczowego i podmiotu ważnego wynikające z nowej Ustawy KSC

 

 

Do najważniejszych obowiązków podmiotu należeć będzie:

  • opracowanie i wdrożenie systemu zarządzania bezpieczeństwem informacji (SZBI) i jego aktualizacja, wraz z polityką bezpieczeństwa,
  • systematyczne szacowanie ryzyka oraz dostosowanie do niego środków bezpieczeństwa w praktyce,
  • opracowanie procedury związanej z systemami informatycznymi,
  • opracowanie procedury zarządzania incydentami,
  • obsługa incydentów i ich zgłaszanie,
  • organizacja struktury wewnętrznej do realizcji zadań wynikających z Ustawy KSC,
  • opracowanie dokumentacji związanej z ochroną danych osobowych (obowiązek RODO),
  • stosowanie bezpiecznych środków komunikacji  elektronicznej,
  • obowiązkowe szkolenie dla kierownika podmiotu kluczowego i ważnego - raz w roku.

 

Wg Ustawy: "Wymagania, uznaje się za spełnione, gdy podmiot kluczowy i podmiot ważny zapewnia system zarzadzania bezpieczeństwem informacji, z uwzględnieniem wymagań określonych w Polskiej Normie PN-EN ISO/IEC 27001 oraz PN-EN ISO/IEC 22301."

 


Dostosowanie podmiotu do wymogów KSC

 

MEDIATOR oferuje :

  • opracowanie dokumentacji dotyczącej bezpieczeństwa systemu informacyjnego wykorzystywanego do świadczenia usługi,
  • wdrożenie systemu zarządzania bezpieczeństwem informacji w procesach wpływających na świadczenie usług,
  • uaktualnienie wdrożonego systemu zarządzania bezpieczeństwem informacji,
  • audyt po roku i kolejnych,
  • przeprowadzenie okresowej lub wymaganej analizy ryzyka,
  • konsultacje w zakresie spełnienia pozostałych wymogów KSC,
  • wymagane szkolenia dla personelu podmiotu.

 

 

Więcej o tym co czeka podmiotu w ramach nowej Ustawy KSC na stronie NASK: Nowelizacja ustawy o krajowym systemie cyberbezpieczeństwa – najważniejsze zmiany dla podmiotów

 

 

 

Audyt KSC

Operator kluczowy i ważny ma obowiązek przeprowadzenia audytu w czasie do 12 m-cy oraz kolejne co najmniej raz na 2 lata. Może to zlecić podmiotowi zewnętrznemu. Firma audytująca musi spełnić warunki określone w Rozporządzeniu Ministra Cyfryzacji . MEDIATOR oferuje przeprowadzenie wymaganego audytu przez 2 certyfikowanych audytorów wiodących według normy PN-EN ISO/IEC 27001 i PN-EN ISO/IEC ISO22301. Po przeprowadzonym audycie, zespół przygotowuje sprawozdanie z przeprowadzonego audytu. Podmiot sprawozadanie przekazuje do właściwego organu.

 

Czekamy na wejście w życie Ustawy zmieniającej KSC i przygotowujemy się już teraz do wdrożenia. Zalecamy podmiotom przygotowywanie się do nowych obowiązków, których będzie znacząco więcej niż wynika z Rozporządzenia KRI dla podmiotów publicznych.

 

Bezpieczna poczta e-mail i domena ? To trzeba sprawdzić !

Dla weryfikacji bezpieczeństwa poczty mailowej oraz domeny www podmiotu, CERT udostępił na swojej stronie prosty tester. Pozwala on na zweryfikowanie poprawności konfiguracji mechanizmów SPF, DKIM i DMARC poczty oraz domeny.

 

Zapraszamy do kontaktu w celu omówienia szczegółów zlecenia wymaganego nową Ustawą KSC.

 

 

 

Proszę o więcej informacji na temat usługi mailem lub telefonicznie:

Prośba o kontakt została wysłana
Kiedy możemy zadzwonić?