Nowa Ustawa o Krajowym Systemie Cyberbezpieczeństwa wejdzie w życie pradopodobnie pod koniec 2025 roku. Nowa ustawa oparta jest na wymogach unijnej dyrektywy NIS2 dot. cyberbezpieczeństwa. Definiuje podmioty kluczowe i podmioty ważne. Podmioty te zobowiązane będą do stosowania wielu zasad cyberbezpieczeństwa m.in.: wdrożenie SZBI, planów ciągłości działania SZCD, szacowanie ryzyka, prowadzenie szkoleń, zastosowanie środków technicznych zwiększających poziom bezpieczeństwa.
Podmioty publiczne zostaną wpisane automatycznie do wykazu podmiotów kluczowych i podmiotów ważnych, zaś firmy złożą wniosek o wpis. Podmioty będą miały 12 m-cy na realizację obowiązków ustawowych. Podmioty kluczowe będą także zobowiązane do przeprowadzenia pierwszego wymaganego audytu (audyt KSC) w czasie do 24 m-cy i kolejnego w czasie do 3 lat.
Kogo dotyczyć ma nowa Ustawa KSC ?
Wśród podmiotów, których dotyczyć ma nowa Ustawa są m.in.:
- podmioty publiczne (UM, UG, powiaty)
- podległe jednostki organizacyjne podmiotów publicznych (wspólnie z podmiotem publicznym)
- zarządy dróg
- przedsiębiorstwa wodociągowo-kanalizacyjne
- podmioty lecznicze
- firmy powyżej 250 prac (podmiot kluczowy)
- firmy 50-250 prac (podmiot ważny)
Szacuje się, że liczba zobowiązanych to blisko 10000 podmiotów publicznych i firm.
Obowiązki dla podmiotu kluczowego i podmiotu ważnego wynikające z nowej Ustawy KSC
Do obowiązków podmiotu kluczowego i ważnego należeć będzie:
- wdrożenie systemu zarządzania bezpieczeństwem informacji - opracowanie SZBI
- prowadzenie systematycznego szacowania ryzyka wystąpienia incydentu - analiza ryzyka
- wdrożenie odpowiednich i proporcjonalnych do oszacowanego ryzyka środków technicznych i organizacyjnych - szacowanie ryzyka, testy infrastruktury
- wdrażanie, dokumentowanie, testowanie i utrzymywanie planów ciągłości działania umożliwiających ciągłe i niezakłócone świadczenie usługi - opracowanie SZCD, objęcie dostaw produktów, usług i procesów ciągłością i bezpieczeństwem - wymóg dla dostawców podmiotów kluczowych i ważnych
- monitorowanie systemu w trybie ciągłym - usługi SIEM / SOC
- edukacja z zakresu cyberbezpieczeństwa dla personelu podmiotu oraz podstawowe zasady cyberhigieny - szkolenia z zakresu cyberbezpieczeństwa dla personelu
- zapewnienie bezpieczeństwa zasobów ludzkich - weryfikacja wymogów RODO
- zbieranie informacji o cyberzagrożeniach i podatnościach na incydenty systemu informacyjnego wykorzystywanego do świadczenia usługi - skany podatności / testy penetracyjne
- stosowanie środków zapobiegających i ograniczających wpływ incydentów na bezpieczeństwo systemu informacyjnego wykorzystywanego do świadczenia usługi - sprzęt i techniczne rozwiązania
- stosowanie bezpiecznych środków komunikacji elektronicznej w ramach krajowego systemu cyberbezpieczeństwa, uwzględniających uwierzytelnianie wieloskładnikowe - usługi chmurowe, oprogramowanie zwiększające bezpieczeństwo
Podmiot kluczowy i podmiot ważny opracowuje, stosuje i aktualizuje dokumentację dotyczącą bezpieczeństwa systemu informacyjnego wykorzystywanego w procesie świadczenia usługi, którą stanowią dokumentację normatywną:
- systemu zarządzania bezpieczeństwem informacji,
- ochrony infrastruktury,
- systemu zarządzania ciągłością działania,
- techniczna systemu informacyjnego,
- wynikająca ze specyfiki świadczonej usługi
oraz opracowuje dokumentację stanowią zapisy poświadczające wykonywanie czynności wymaganych przez postanowienia zawarte w dokumentacji normatywnej.
Dostosowanie podmiotu do wymogów KSC / NIS2
MEDIATOR oferuje :
- opracowanie i wdrożenie SZBI (wg ISO 27001) w 7 krokach wg harmonogramu,
- usprawnienie wdrożonego SZBI w czasie 4 do 8 miesięcy,
- skany podatności/ testy penetracyjne,
- dokumentacja związana z ciągłością działania SZCD (wg ISO 22301),
- uaktualnienie wdrożonego SZBI, SZCD
- audyt KSC pierwszy i kolejne,
- wymagane szkolenia dla personelu podmiotu, podnoszące wiedzę i świadomość
- szkolenia dla kierownika podmiotu kluczowego/ ważnego, w związku z wymogami ustawy
Nowe przepisy już niebawem - Misterstwo Cyfryzacji informuje.
Audyt KSC
Operator kluczowy i ważny ma obowiązek przeprowadzenia audytu w czasie do 24 m-cy oraz kolejne co najmniej raz na 3 lata. Może to zlecić podmiotowi zewnętrznemu. Firma audytująca musi spełnić warunki określone w Rozporządzeniu Ministra Cyfryzacji . MEDIATOR oferuje przeprowadzenie wymaganego audytu przez 2 certyfikowanych audytorów wiodących według normy PN-EN ISO/IEC 27001 i PN-EN ISO/IEC ISO22301. Po przeprowadzonym audycie, zespół przygotowuje sprawozdanie z przeprowadzonego audytu. Podmiot kluczowy i ważny sprawozadanie przekazuje do właściwego organu.
Czekamy na wejście w życie Ustawy zmieniającej KSC i przygotowujemy się już teraz do wdrożenia. Zalecamy podmiotom publicznym i firmom przygotowywanie się do nowych obowiązków, których zarys wskazuje Dyrektywa NIS2.
Bezpieczna poczta e-mail i domena ? To trzeba sprawdzić !
Zapraszamy do kontaktu w celu omówienia szczegółów zlecenia wymaganego nową Ustawą KSC.