Wdrożenie nowej ustawy KSC

Nowa Ustawa o Krajowym Systemie Cyberbezpieczeństwa wejdzie w życie pradopodobnie w I połowie 2025 roku. Nowa ustawa oparta jest na wymogach unijnej dyrektywy NIS2 dot. cyberbezpieczeństwa. Definiuje podmioty kluczowe i podmioty ważne. Podmioty te zobowiązane będą do stosowania wielu zasad cyberbezpieczeństwa takich jak np. wdrożenie SZBI, szacowanie ryzyka, prowadzenie szkoleń czy zastosowanie środków technicznych zwiększających poziom bezpieczeństwa.

Kogo dotyczyć ma nowa Ustawa KSC ?

Wśród podmiotów, których dotyczyć ma nowa Ustawa są m.in.:

• jednostki samorządu terytorialnego
• jednostki budżetowe samorządowe
• zakłady budżetowe
• instytucje gospodarki budżetowej
• podmioty lecznicze - SPZOZ-y i NZOZ-y
• firmy powyżej 250 prac

Szacuje się, że liczba zobowiązanych to blisko 10000 podmiotów publicznych i firm.

Obowiązki dla podmiotu kluczowego i podmiotu ważnego wynikające z nowej Ustawy KSC

Do obowiązków podmiotu należeć będzie:

• wdrożenie systemu zarządzania bezpieczeństwem informacji - SZBI
• prowadzenie systematycznego szacowania ryzyka wystąpienia incydentu - analiza ryzyka
• wdrożenie odpowiednich i proporcjonalnych do oszacowanego ryzyka środków technicznych i organizacyjnych - szacowanie ryzyka, testy infrastruktury, szkolenia z zakresu cyberbezpieczeństwa dla personelu, opracowanie procedur ciągłości działania SZCD dla fukcjonowania podmiotu i systemów informacyjnych
• zbieranie informacji o cyberzagrożeniach i podatnościach na incydenty systemu informacyjnego wykorzystywanego do świadczenia usługi - skany podatności / testy penetracyjne
• zarządzanie incydentami - aktalizacja SZBI
• stosowanie środków zapobiegających i ograniczających wpływ incydentów na bezpieczeństwo systemu informacyjnego wykorzystywanego do świadczenia usługi - sprzęt i techniczne rozwiązania
• stosowanie bezpiecznych środków komunikacji elektronicznej w ramach krajowego systemu cyberbezpieczeństwa, uwzględniających uwierzytelnianie wieloskładnikowe - usługi chmurowe, oprogramowanie zwiększające bezpieczeństwo

Wg Ustawy: "Wymagania, uznaje się za spełnione, gdy podmiot kluczowy i podmiot ważny zapewnia system zarzadzania bezpieczeństwem informacji, z uwzględnieniem wymagań określonych w Polskiej Normie PN-EN ISO/IEC 27001 oraz PN-EN ISO/IEC 22301."

Dostosowanie podmiotu do wymogów KSC

MEDIATOR oferuje :

• opracowanie i wdrożenie SZBI w 7 krokach wg harmonogramu,
• usprawniania wdrożonego SZBI, prace w planie 12-miesięcznym,
• skany podatności, przeprowadzane dla potrzeb analizy ryzyka,
• dokumentacja związana z ciągłością działania (ISO22301),
• uaktualnienie wdrożonego SZBI,
• audyt KSC po roku i kolejne,
• wymagane szkolenia dla personelu podmiotu, podnoszące wiedzę i świadomość

Więcej o tym co czeka podmiotu w ramach nowej Ustawy KSC na stronie NASK: Nowelizacja ustawy o krajowym systemie cyberbezpieczeństwa – najważniejsze zmiany dla podmiotów

Audyt KSC

Operator kluczowy i ważny ma obowiązek przeprowadzenia audytu w czasie do 24 m-cy oraz kolejne co najmniej raz na 3 lata. Może to zlecić podmiotowi zewnętrznemu. Firma audytująca musi spełnić warunki określone w Rozporządzeniu Ministra Cyfryzacji . MEDIATOR oferuje przeprowadzenie wymaganego audytu przez 2 certyfikowanych audytorów wiodących według normy PN-EN ISO/IEC 27001 i PN-EN ISO/IEC ISO22301. Po przeprowadzonym audycie, zespół przygotowuje sprawozdanie z przeprowadzonego audytu. Podmiot sprawozadanie przekazuje do właściwego organu.

Czekamy na wejście w życie Ustawy zmieniającej KSC i przygotowujemy się już teraz do wdrożenia. Zalecamy podmiotom przygotowywanie się do nowych obowiązków, których będzie znacząco więcej niż wynika z Rozporządzenia KRI dla podmiotów publicznych.

Bezpieczna poczta e-mail i domena ? To trzeba sprawdzić !